미국, 통신사 데이터 대형 침해사고 잇따라…보고 의무 16년 만에 전면 개정

“CPNI 중심의 느슨한 규제”에서 “PII까지 포함하는 신속 보고 체계”로 전환

미국 연방항소법원이 연방통신위원회(FCC)의 새로운 데이터 침해 보고 규정을 지지하면서, 통신사들의 보고 의무가 16년 만에 크게 강화됐다. 이번 판결로 통신사들은 앞으로 고객 500명 이상의 개인정보가 유출될 경우, 침해 사실을 확인한 시점부터 7영업일 이내에 연방 기관에 보고해야 한다.

이번 개정은 최근 미국 내 주요 통신사에서 대형 해킹 사건이 잇따르면서 피해가 확산된 것을 계기로 마련됐다. 법원은 FCC가 이러한 규정을 강화할 충분한 법적 권한을 갖고 있다고 확인했다.

■과거 규정, 범위가 좁고 고객 보호보다는 수사 편의에 초점

2007년 제정돼 2023년까지 유지된 기존 규정은 오늘날 기준으로 보면 제한적이었다. 보고 의무가 있긴 했지만 범위가 좁고, 고객 보호보다는 수사 편의에 초점이 맞춰져 있었다.

당시 규정은 고객 고유 통신정보(CPNI)만을 대상으로 했다. 이는 통화 기록, 요금 청구 내역, 서비스 가입 정보 등 통신 서비스 과정에서 생성되는 데이터였다. 사회보장번호나 이메일, 생체정보 같은 개인식별정보(PII)는 포함되지 않았다.

또한 통신사가 침해 사실을 인지하면 즉시 FBI와 미 비밀경호국에 알리도록 돼 있었지만, 고객에게 통지할 때는 반드시 7영업일을 기다려야만 가능했다. 여기에 수사 필요성이 있으면 법 집행기관 요청으로 고객 통지가 더 늦춰지기도 했다. 결국 고객이 피해 사실을 알게 되는 시점은 상당히 지연될 수밖에 없었다.

■신규 규정, 보호 범위 확대와 보고 기한 명확화, 고객 통지 기준 강화

2024년부터 시행된 새로운 규정은 이러한 한계를 크게 보완했다. 가장 큰 특징은 보호 범위 확대와 보고 기한 명확화, 고객 통지 기준 강화다.

새 규정은 기존의 고객 고유 통신정보뿐 아니라 사회보장번호, 이메일, 생체정보 등 PII까지 포함시켰다. 또한 피해 규모가 500명 이상이거나 피해 가능성이 합리적으로 있다고 판단되면, FCC와 FBI, 비밀경호국에 7영업일 내 보고해야 한다.

고객 통지도 달라졌다. 과거에는 의무적으로 7일을 기다려야 했지만, 이제는 피해 가능성이 확인되면 즉시 통지할 수 있도록 바뀌었다. 이로써 고객이 늦게 통보받아 피해가 커지는 문제를 줄일 수 있게 됐다.

적용 대상도 넓어졌다. 기존에는 전통적인 이동통신사와 유선 통신사만 해당됐지만, 새 규정은 청각장애인을 위한 통신중계서비스(TRS) 사업자에게도 의무를 부과했다.

통신 업계 단체들은 FCC가 법적 권한을 넘어섰다며 소송을 제기했지만, 제6연방항소법원은 이를 받아들이지 않았다. 법원은 통신법 222조(고객 정보 보호 의무)와 201조(불합리한 관행 금지)를 근거로 FCC가 규정을 만들 수 있다고 밝혔다.

또한 2017년에 의회가 무효화한 2016년 규정과는 성격이 다르다고 설명했다. 당시 규정은 광범위한 개인정보보호 정책이었지만, 이번 개정은 침해 보고에만 집중돼 있어 의회검토법(CRA) 위반에 해당하지 않는다는 것이다.

■대형 해킹 사건이 촉발한 보고 의무 규정 변화

FCC가 규정을 강화한 배경에는 최근 통신사들의 연이은 침해 사건이 있다.

T-모바일은 2021년 이후 연속된 해킹 사건으로 3,150만 달러를 지불하고 다단계 인증과 제로트러스트 보안을 도입하기로 했다.

AT&T는 외부 클라우드 공급업체 침해 사건으로 1,330만 달러를 합의금으로 냈고, 별도로 1억7,700만 달러 규모의 집단소송 합의도 진행 중이다.

트랙폰(TracFone)은 고객 데이터 보호 미흡 문제로 1,600만 달러를 지급하고 API 보안을 강화하기로 했다.

이 같은 사례는 고객 데이터 보호의 허점을 드러냈고, 결국 강력한 규제 개정으로 이어졌다.

보안 전문가들은 이번 개정이 “고객을 보호하는 방향으로 제도의 중심이 이동한 것”이라고 평가한다. 과거에는 법 집행기관의 수사를 위해 고객 통지가 늦춰졌다면, 이제는 빠른 보고와 통지를 통해 피해를 최소화하는 것이 목표라는 것이다.

이번 판결로 미국은 “CPNI 중심의 느슨한 규제”에서 “PII까지 포함하는 신속 보고 체계”로 전환했다. 이는 단순한 제도 개선을 넘어, 통신사 데이터 보호 기준을 새로운 수준으로 끌어올린 조치로 평가된다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025 / 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명

(기관 및 기업에서 정보보호 책임자/실무자만 참석 가능)

*학생, 프리랜서, 보안과 관련없는 분들은 참석 불가.

△솔루션 전시회: 국내·외 최신 개인정보보호 및 정보보호 솔루션(40여개 기업 참여)

△보안교육인증: 공무원 정보보호/개인정보보호 교육 및 자격증 유지 교육시간 7시간인정

△사전등록 필수: 클릭

(사전등록후, 소속 및 업무확인후 최종 참석확정문자 보내드립니다.

참석확정 문자와 메일 받은 분만 참석 가능)

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★