인도의 VPN 제공자를 위한 엄격한 개인정보 보호 규정, 3개월 연기

인도 컴퓨터 비상 대응 팀(CERT-In)은 월요일 데이터 센터, 가상 사설망(VPN) 제공자, 가상 사설 서버(VPS) 제공자 및 클라우드 서비스 제공자를 위한 새로운 개인정보 보호 규정을 3개월 더 연기하기로 결정했습니다.

인도의 새로운 개인정보 보호 규정을 준수해야 하는 마감일은 2022년 6월 27일로 설정되었으나, 이제 2022년 9월 25일로 연장되었습니다.

“2022년 4월 28일의 사이버 보안 지침 이행을 위한 기한 연장은 중소기업(MSME)에 대한 합리적인 시간 제공을 위해 요구되었습니다.”라고 CERT-In은 월요일 새로운 공지에서 강조했습니다.

“또한 데이터 센터, 가상 사설 서버(VPS) 제공자, 클라우드 서비스 제공자 및 가상 사설망 서비스(VPN 서비스) 제공자가 구독자/고객을 검증하는 메커니즘을 구현하기 위한 추가 시간도 요청되었습니다.”

잘 모르는 분들을 위해, 2022년 4월 28일 CERT-In은 데이터 센터, VPS 제공자, 클라우드 서비스 제공자 및 가상 사설망 서비스(VPN 서비스) 제공자에게 사이버 보안 지침을 발행했습니다. 이 지침은 그들이 사용자 정보를 최소 5년 동안 수집/저장하도록 요구하며, 사용자가 서비스를 중단한 후에도 해당 정보를 보관하고 기관에 제출해야 합니다. 준수하지 않을 경우 최대 1년의 징역형에 처해질 수 있습니다.

새로운 규정은 그들이 다음 정보를 수집하도록 요구했습니다:

2. 서비스를 이용하는 구독자/고객의 검증된 이름

3. 대여 기간 및 날짜 포함

4. 회원에게 할당된/사용 중인 IP

5. 등록/온보딩 시 사용된 이메일 주소 및 IP 주소 및 타임스탬프

6. 서비스 대여 목적

7. 검증된 주소 및 연락처 번호

8. 서비스를 이용하는 구독자/고객의 소유 구조

정당하게도, 새로운 규정은 VPN 제공자, 사이버 보안 전문가 및 기술자들에 의해 광범위하게 비판받았으며, 이는 인도 시장의 개인정보 보호 및 보안을 심각하게 약화시킬 것이라고 말했습니다.

인도 및 전 세계의 지역 사이버 보안 전문가들은 4월에 발행된 지침의 준수를 연기할 것을 촉구했습니다. 그들은 월요일 CERT 및 전자정보기술부(MeiTY)에 공동 서한을 보내며 지침이 사이버 보안 및 개인정보 보호에 미칠 부정적인 영향에 대해 경고했습니다.

“현재 형태의 지침은 사이버 보안과 온라인 개인정보 보호의 핵심 요소를 약화시키는 의도하지 않은 결과를 초래할 것입니다. 우리는 사이버 사건 보고를 위한 프레임워크를 만드는 필요성을 인식하고 있지만, 지침에 설정된 보고 마감일 및 과도한 데이터 보존 명령은 실제로 부정적인 결과를 초래하고 효과성을 저해하며, 개인정보 보호 및 온라인 보안을 위협할 것입니다.”라고 그들은 썼습니다.

한편, NordVPN, Surfshark, ExpressVPN 및 PureVPN과 같은 VPN 제공자들은 새로운 VPN 규정이 개인정보 보호 권리를 위반한다고 느끼며 이미 인도에서 물리적 VPN 서버를 종료했습니다.

인도 정부는 새로운 규정을 완화할 의사가 없으며 이 주제에 대한 공개 논의도 하지 않을 것임을 분명히 했습니다.