▶ 원 클릭 프라이버시 법안… 2027년 초 개인정보 ‘판매·공유’ 금지 설정 가능
▶ ‘개인정보 삭제 요청’법안… 내년 1월 온라인 신청으로 개인정보 삭제 요청

가주 정부가 가주 인터넷 사용자의 개인정보 보호를 위한 법안 AB656과 AB566을 내년과 2027년 초에 각각 시행한다. [로이터]
기업이 개인정보를 판매하지 못하도록 규제하는 이른바‘원클릭 법안’이 가주에서 통과됐다. 이번 법안이 시행되면 가주 주민들은 복잡한 절차 없이 간단하게 자신의 개인정보를 보호할 수 있는 권리를 행사할 수 있게 된다. 최근 몇 년간 웹사이트 접속 시 나타나는‘쿠키 동의’ 창이 개인정보를 보호하는 유일한 방법처럼 여겨졌다. 그러나 웹사이트 사용자의 실질적인 프라이버시 보호보다는 형식적인 절차에 머문다는 지적이 많았다. 하지만 이번 법안 통과로 웹사이트 사용자가 주도적으로 개인정보를 보호할 수 있을 것으로 기대되고 있다.
■‘개인정보 판매·공유 금지’ 법안 2027년 초 시행 예정
개빈 뉴섬 가주 주지사는 지난 8일, 모든 웹 브라우저에 개인정보 판매 차단 기능을 의무화하는 ‘원클릭 프라이버시’ 법안(AB 566)에 서명했다. 이 법안은 2027년 초부터 시행될 예정이다.
법안이 시행되면 ‘크롬(‘Chrome), ‘사파리’(Safari), ‘엣지’(Edge) 등 주요 웹 브라우저는 브라우저에 내장된 설정을 통해 사용자가 일괄적으로 ‘내 정보를 판매 또는 공유하지 말라’는 명령을 웹사이트에 자동으로 보내게 할 수 있도록 해야 한다. 기존에는 사용자가 각 기업별로 복잡한 양식을 작성해 개별적으로 거부 요청을 해야 했고, 대부분의 사용자들은 이 과정의 번거로움 때문에 사실상 권리를 행사하지 못했다.
■거의 모든 웹 브라우저에서 가능
현재는 ‘덕덕고’(DuckDuckGo), ‘파이어폭스’(Firefox), ‘브레이브’(Brave) 등 일부 웹 브라우저만 자동으로 개인정보 판매 거부 요청을 보내는 기능을 제공하고 있다. 그러나 이번 법안이 시행되면 구글의 크롬, 애플의 사파리, 마이크로소프트의 엣지 브라우저도 같은 기능을 제공해야 한다.
이미 가주를 비롯해 텍사스, 콜로라도, 뉴저지, 메릴랜드 등 19개 주에는 유사한 개인정보 보호법이 시행되고 있다.
하지만, 실제로 개인정보 판매 및 공유 거부 기능인 ‘옵트아웃’(Opt-Out) 절차가 너무 복잡하다는 비판이 있어왔다. 지난해 유사한 법안이 구글과 애플 등의 반대로 부결된 바 있으나, 올해는 상대적으로 기업의 반대가 줄어들면서 법안이 원활히 통과됐다.
■‘개인정보 삭제 요청’ 법안은 내년 1월 시행
이번 법안과는 별도로 가주 정부는 2026년 1월 1일부터 사용자가 한 번의 온라인 신청만으로 수백 개의 데이터 중개업체에 자신의 정보를 삭제하도록 요청할 수 있는 법안(AB 656)도 시행한다.
이른바 ‘데이터 브로커’로 불리는 중개업체들은 그동안 개인의 운전 습관, 쇼핑 기록, 심지어 구직자의 민감한 정보까지 수집해 보험사나 마케팅 회사에 판매해 왔다. 가주 정부는 사용자에게 피해를 줄 수 있는 이 같은 업계 관행에 제동을 걸겠다는 취지로 이번 법안을 시행한다고 밝혔다.
가주 ‘개인정보 보호국’(California Privacy Protection Agency·CPPA)의 톰 켐프 국장은 “이 두 가지 조치가 결합되면 가주 주민은 과거 어느 때보다도 쉽고 강력하게 개인정보를 보호할 수 있게 된다”라며 “대규모로 프라이버시 권한을 행사할 수 있게 만드는 결정적인 전환점”이라고 강조했다.
■현재 사용 가능한 개인정보 보호 기능
한편, 가주 외 타주에 거주하는 주민들도 ‘원클릭 프라이버시’ 기능을 일부 행사할 수 있다. 전국 규모 기업들은 거주 지역과 관계없이 개인정보 판매 차단 요청을 수용하고 있기 때문이다. 다음은 현재 사용할 수 있는 주요 개인정보 판매 차단 도구들이다.
▲DuckDuckGo, Brave, Firefox: 이들 브라우저는 웹사이트에 법적으로 구속력 있는 ‘데이터 판매 금지’ 신호를 자동으로 보낸다. (Firefox는 설정 변경 필요) ▲Privacy Badger: ‘전자프런티어재단’(Electronic Frontier Foundation·EFF)이 개발한 무료 소프트웨어로, 사용자가 방문하는 웹사이트가 정보를 수집 및 판매하지 못하도록 자동으로 차단한다. ▲Permission Slip: 소비자 단체 ‘컨슈머 리포츠’(Consumer Reports)가 제작한 앱으로, 사용자가 정보를 입력하면 기업에 자동으로 정보 삭제 및 판매 금지 요청을 보낸다. 일부 기능은 무료, 고급 기능은 유료로 운영된다.
■개인정보 보호, ‘패스워드 관리’도 중요
이처럼 개인정보를 기업의 수집과 판매로부터 지키는 법적 장치가 강화되는 가운데, 개인 사용자의 패스워드 관리가 개인정보 보호의 첫 걸음으로 항상 강조된다.
‘국립표준기술연구소’(NIST)는 지난해 기존의 복잡하고 비효율적인 패스워드 규정이 오히려 보안을 약화시킬 수 있다며 쉬우면서도 안전한 패스워드 사용 지침을 새롭게 발표하기도 했다. 새 지침에 따르면 특수문자와 주기적인 변경을 요구하던 기존 규정을 개선해, 띄어쓰기나 유니코드, 문장 형태의 패스워드를 허용한다.
◆너무 잦은 변경 오히려 취약
사이버 보안 전문가들은 특별한 피해가 없으면 잦은 패스워드 변경이 오히려 보안에 취약하다고 조언한다. NIST도 정보 유출이 없을 경우 잦은 변경을 권장하지 않는다. 다만 해킹 등 정보 유출 통보를 받으면 민감한 계정의 비밀번호를 즉시 바꾸고, 주요 신용평가사에 연락해 신용 동결을 요청해야 한다.
◆반드시 8개 이상, 최소 15개 문자
패스워드는 최소 8자 이상, 가급적 15자 이상을 사용하고 웹사이트명, 사용자명, 가족, 반려동물 이름 등 추측 가능한 개인 정보나 사전에서 고른 임의 단어는 피해야 한다. 문장형 암호에 특수문자와 숫자를 섞어 사용하면 자동화된 ‘크리덴셜 스터핑’(Credential Stuffing) 공격으로부터 보호할 수 있다.
◆패스워드 관리 앱 사용
여러 패스워드를 문서나 메모장 등에 저장하는 것은 보안에 취약하며, 분실이나 삭제 위험도 크다. 대신 패스워드 관리 앱을 사용하면 암호를 안전하게 저장하고 자동 로그인 기능까지 제공받을 수 있어 보다 안전하고 편리하다. Dashlane, 1Password 등 전문 앱뿐 아니라 애플과 구글도 자체 운영체제에 무료 관리 기능을 제공하고 있다.
◆패스키 사용
패스키는 패스워드보다 간편하고 안전한 로그인 수단이다. 한 번 설정하면 기기 잠금 해제 시 사용하는 안면인식, 지문 등 생체인증으로 자동 로그인된다. 구글, 마이크로소프트 등 주요 업체가 지원하며, 패스워드 관리 앱에 다른 인증정보와 함께 저장해 사용할 수 있다.