Skip to content

Instantly share code, notes, and snippets.

@coleea

coleea/Internet of Bodies.mdx

Last active September 10, 2024 07:01
Show Gist options
  • Save coleea/544dd07d2a7c0efbb0da6ce41465a0d4 to your computer and use it in GitHub Desktop.
Save coleea/544dd07d2a7c0efbb0da6ce41465a0d4 to your computer and use it in GitHub Desktop.
Download ZIP
Raw
Internet of Bodies.mdx

https://www.youtube.com/watch?v=bdqmCQc6oXY

  • Cyber Risk Thursday: Internet of Bodies - YouTube
  • Speaker : Dr. Andrea M. Matwyshyn - Visiting research collaborator at the center for information technology policy at Princeton University

여러분, 안녕하세요. 오늘 오후 Atlantic Council의 Cyber Risks Thursday에 오신 것을 환영합니다.

오늘의 주제는 여러분도 아시다시피 '신체 인터넷(Internet of Bodies)'입니다. 참석해 주셔서 감사합니다. 저는 Frank Kramer이며, 이곳 Atlantic Council의 Cyber Initiative의 석학 연구원입니다. Cyber Initiative는 Brent Scowcroft Center의 일부이며 오늘 이 자리에는 신체 인터넷에 대해 논의할 훌륭한 패널들이 함께 해 주셨습니다. 신체 인터넷은 아직 해결되지 않은 광범위하고 복잡한 문제들을 안고 있습니다. 물론 이 자리를 떠날 때쯤이면 모든 문제가 해결되어 명확한 규제, 법률 및 정책 프레임워크를 갖추고 집으로 돌아갈 수 있을 것이라 확신합니다.

패널 여러분, 부담 갖지 마세요! 온라인으로 시청해 주시는 분들도 환영합니다. 트위터에서 해시태그 #ACCCyber 또는 @ACScowcroft를 사용하여 참여해 주시기 바랍니다.

오늘 오후, 우리는 이미 말씀드린 것처럼 의료용 임플란트 및 신체 내부에 삽입되는 기타 장치와 관련된 획기적인 보안 및 윤리적 문제들에 대해 집중적으로 논의할 예정입니다. 이러한 장치들은 인터넷과 결합하여 신체 인터넷을 구성합니다. 많은 사람들이 사물 인터넷에 대해 이야기하며 수많은 문제를 제기해 왔지만, 이제 우리는 인간을 위해 세상이 작동하는 방식을 근본적으로 바꿀 획기적인 혁신을 마주하고 있습니다. 바라건대 더 나은 방향으로 나아가겠지만, 우리가 반드시 고려해야 할 잠재적인 부정적 결과도 많이 있습니다. 우리 모두 Fitbit과 같은 장치를 사용해 봤을 것입니다. 저는 오늘 Apple Watch를 착용하고 왔는데, 제 심박수를 추적해 주더군요. 앞으로 더 많은 일들이 일어날 것이며, 이러한 장치들이 계속해서 개발되고 확산됨에 따라 의학, 기술, 법률, 규제, 정보 보안 및 사이버 보안이 교차하게 될 것입니다. 우리는 이 모든 것을 종합적으로 고려하여 어떻게 해야 할지 생각해 봐야 합니다. Andrea M. Matwyshyn 박사는 우리 모두가 직면하고 있으며 피할 수 없는 법률, 규제 및 윤리적 문제들을 자세히 설명해 주실 것입니다. 이 문제에서 벗어날 수는 없습니다. 따라서 우리는 앞으로 나아갈 방법을 신중하게 고민해야 합니다.

Andrea 박사님께 발표를 부탁드리기 전에 간단히 패널들을 소개하겠습니다. Terrell McSweeney는 FTC(Federal Trade Commission)의 위원입니다. FTC는 규제 권한을 가지고 있으며 FDA(Federal Drug Administration)와의 관계에 대한 문제도 존재합니다. McSweeney 위원은 이전에 법무부(DOJ)에서 경쟁 정책 및 정부 간 관계 담당 수석 고문으로 재직했습니다. 또한 대통령 보좌관, 부통령 국내 정책 보좌관, 바이든 상원의원 시절 부통령 비서실장 겸 정책 책임자를 역임했습니다. Abigail Slater는 인터넷 협회(Internet Association)의 법률 고문입니다. Slater는 회원사를 대표하여 자유롭고 개방적인 인터넷을 옹호하고 있습니다. 그녀는 FTC에서 10년 동안 근무했으며, Julie Brill 위원의 집행 변호사이자 법률 고문으로 활동했습니다. Janine Medina는 저명한 인터넷 보안 연구원입니다. Medina는 생명 공학, 의료 기기 등에 중점을 두고 있으며, 흥미롭게도 DEFCON에서 '바이오 해킹 빌리지(Biohacking Village)'를 운영하고 있습니다. 나중에 꼭 그녀에게 무엇인지 물어보세요. 정말 멋진 기회입니다. David Forscey는 패널 토론을 진행할 예정입니다. 그는 NGA(National Governors Association)의 정책 분석가로서 사이버 보안 및 통신 분야를 담당하고 있습니다. NGA에 합류하기 전에는 Third Way에서 감시 정책 및 테러 방지 업무를 담당했습니다.

패널들의 의견을 기대하며, 여러분의 질문과 참여를 환영합니다. 또한 미국에서 매우 어렵지만 중요한 이러한 문제들을 어떻게 해결해 나갈지 알아내는 데 도움이 되기를 바랍니다. 아, Andrea 박사님을 소개하지 않은 것 같네요. 죄송합니다. Andrea M. Matwyshyn 박사는 Atlantic Council Cyber Statecraft Initiative의 선임 연구원이며, Northeastern University에서 법학 및 컴퓨터 과학 교수로 재직하고 있습니다. 그녀는 Center for Law, Innovation and Creativity의 공동 책임자이며, Stanford Law School의 Center for Internet and Society 소속이며, Princeton University의 Center for Information Technology Policy에서 객원 연구원으로 활동하고 있습니다. 규모는 작지만 명성이 자자한 학교들이죠. Matwyshyn 박사는 이러한 문제들을 명확하게 파악하고 있으며, 곧 출판될 훌륭한 기사를 준비하고 있습니다. 우리는 잠시 이 기사에 대해 이야기를 나누었는데, 몇 달 후 The Wall Street Journal에 실릴 예정입니다.

이제 Andrea 박사님을 패널 토론에 초대합니다. 감사합니다.

Atlantic Council과 이 작업에 대해 논평해 주실 존경하는 패널분들께 감사드립니다. 슬라이드가 잘 보이지 않을 수도 있어서 어느 순간에는 슬라이드를 잘 보기 위해 이쪽으로 이동하여 발표를 이어갈 수도 있습니다. 미리 양해 부탁드립니다.

이 작업은 '신체 인터넷(Internet of Bodies)'이라고 합니다. 여러분 중 일부에게는 공상 과학처럼 들릴 수도 있지만, 사물 인터넷에서 제가 신체 인터넷이라고 부르는 신체에 부착된 네트워크로의 눈에 띄는 진전이 있습니다. 요약을 먼저 말씀드리자면, 사물 인터넷은 잠시 후에 정의할 신체 인터넷으로 진화하고 있으며, 사물 인터넷의 법적 및 기술적 과제는 이 신체 인터넷으로 이어질 것입니다. 특히 사물 인터넷의 만연한 보안 취약성과 관련된 과제가 신체 인터넷으로 이어질 것입니다. 신체 인터넷은 처음으로 소프트웨어가 인체에 규칙적으로 물리적 손상을 입히는 것을 의미할 것이며, 이는 특히 법률이 해결해야 할 새로운 단계이며 그로 인해 발생할 피해를 해결해야 합니다. 따라서 신체 인터넷은 현재의 법적 구조, 특히 규제 구조, 불법 행위, 지적 재산권, 계약법에 새로운 방식으로 도전할 것입니다. 또한 사회적 긴장도 나타날 것입니다. 신체 인터넷은 우리 자신의 인체에 대해 그리고 우리가 인체를 교정하는지 아니면 강화하는지, 그리고 기술 중심 사회에서 인체의 미래를 어떻게 보는지에 대해 잠재적으로 불편한 질문을 던지도록 강요할 것입니다.

더 이상 고민하지 않고 우리 주변에는 사물 인터넷이 존재하며 우리는 사물을 연결하는 것을 즐깁니다. 저는 다른 사람들과 마찬가지로 하나 이상의 인터넷 연결 기기를 가지고 있습니다. 이것은 제가 애완동물을 감시하는 데 사용하는 애완동물 카메라입니다. 또한 저는 휴대폰과 연결되는 반지를 착용하고 있습니다. 우리는 이러한 장치들이 재미있고 삶을 더 편리하게 만들어 주기 때문에 선택합니다. 이러한 장치들이 우리 사회에 스며드는 속도는 아마도 놀라울 것입니다. 2013년에는 인터넷 연결 토스터라는 유머러스한 개념에 대한 유명한 만우절 농담이 인터넷에 퍼졌습니다. 그런데 2017년에 우리는 토스트에 날씨를 인쇄하는 토스터를 갖게 되었고, 이제 우리는 토스터가 해킹되어 네트워크를 손상시키는 공격에 악용될 수 있는지에 대해 이야기하고 있습니다. 따라서 현재 사물 인터넷의 결정적인 특징은 우리가 기술의 다음 세대로 나아감에 따라 이어질 것입니다.

첫 번째는 때때로 불필요한 인터넷 연결이라는 개념입니다. 저는 이것을 '베이컨 문제'라고 부릅니다. 일부 요리사들이 모든 것에 베이컨을 넣는 것을 정말 좋아하는데, 베이컨 애호가라면 '오, 베이컨!'이라고 말하겠지만 채식주의자라면 예상치 못한 베이컨 때문에 식사를 망칠 수도 있습니다. 요점은 때때로 인터넷 연결이 가치를 더하고 때때로는 그렇지 않다는 것입니다. 우리가 인터넷에 연결하는 것에 대해 생각할 때 항상 그러한 질문을 하는 것은 아닙니다.

두 번째는 사물 인터넷에서 이미 보아 왔던 극도의 보안 취약성 수준입니다. 이러한 취약성은 틀림없이 새로운 차원의 피해를 일으키고 있으며 곧 그러한 피해의 일부를 살펴보겠습니다. 또한 이전과 같은 규모로는 볼 수 없었던 데이터 수집, 집계 및 용도 변경에 대한 새로운 기회가 있습니다. 그리고 특정 기술을 거부할 수 있는 소비자의 능력이 감소하고 있습니다. 최근에 새 차를 구입한 사람이라면 컴퓨터 코드가 없는 '멍청한' 차를 찾는 것은 불가능합니다. 최신 기술이 적용되기 전에 개조된 구형 차량을 구입하지 않는 한 대부분의 경우 불가능합니다. 따라서 기술의 범위 측면에서 다양한 시장을 유지하는 능력은 우리가 고려해야 할 사항입니다. 모든 컴퓨터 코드는 인간이 작성하고 인간이 구현하고 사용합니다. 즉, 항상 실수가 있을 수밖에 없습니다. 사물 인터넷에서 우리는 사람들이 예상치 못한 인형의 집을 받는 우스꽝스러운 사례를 보아 왔고, 전문가들조차도 스마트 전구를 구현하는 데 어려움을 겪는 경우가 있습니다. 이 경우 제 컴퓨터 과학자 친구가 스마트 홈을 사용하면서 겪은 흥미로운 모험입니다.

우리가 이렇게 고도로 기술적으로 상호 연결된 사회에 착수함에 따라 당연히 범죄가 발생하고 있으며, 안타깝게도 많은 사물 인터넷 기기에 퍼져 있는 맬웨어는 필요한 지식의 범위에서 볼 때 '저급'입니다. 특히 최근 DVR, 홈 카메라를 이용한 Mirai 봇넷은 너무나 많은 사물 인터넷 기기를 이용할 수 있어서 주요 기술 웹사이트, 기술 회사 웹사이트를 오프라인으로 만들었고 트위터도 마찬가지였습니다. 따라서 집계된 피해의 가능성은 이 경우 기하급수적으로 증가하고 있으며, 이를 바탕으로 차세대 기술과 그 의미에 대해 생각해 볼 필요가 있습니다. 특히 Mirai 봇넷은 특정 사업 분야에서 경쟁자와 경쟁하려던 지나치게 열성적인 개발자가 봇넷을 제어하지 못한 사례이기 때문에 흥미롭습니다. 따라서 이 새로운 세계에서는 부실한 사업 행위에 더해 그러한 실수도 문제의 원인이 될 것입니다.

또한 특히 워싱턴 D.C. 지역 및 기타 지역의 병원을 강타한 랜섬웨어를 보아 왔으며, 여러분 중 일부는 영국 국립 보건 서비스 병원의 일부를 마비시킨 WannaCry 공격에 대해 들어 보셨을 것입니다. 따라서 여기서 우리는 사물 인터넷 기기가 이러한 기기에 연결된 인간에게 영향을 미치기 시작하는 것을 볼 수 있으며, 의료 부문의 표적은 당연히 특히 매력적입니다. 그리고 여기서 사물 인터넷이 잠재적으로 물리적 손상을 일으키기 시작합니다. 특히 의료 기기의 경우 '죽음의 블루 스크린(Blue Screen of Death)'이 실제로 죽음의 블루 스크린이 될 수 있습니다. 따라서 우리는 사물 인터넷에서 신체 인터넷으로의 이러한 진행을 보게 됩니다.

그렇다면 신체 인터넷이란 무엇일까요? 저는 신체 인터넷을 인체의 무결성과 기능을 위해 소프트웨어와 인터넷에 대한 기술적 의존성과 취약성이 점점 커지는 것으로 정의합니다. 따라서 우리는 해결되지 않은 사물 인터넷, 인터넷 및 소프트웨어의 기술적 및 법적 과제가 이전 세대의 의료 기술에서 비롯된 해결되지 않은 법적 및 윤리적 문제와 만나는 것을 보게 됩니다.

제가 생각하는 신체 인터넷 기기의 세 가지 단계는 우리 주변과 미래에 존재합니다. 첫 번째 단계는 이미 언급된 연결된 시계, 연결된 기타 장치, 피트니스 트래커와 같은 종류의 장치입니다. 우리는 신체에서 특정 데이터 흐름을 인터넷에 연결한다는 개념에 매우 익숙합니다. 따라서 이러한 장치는 선택 사항이며 보안 및 개인 정보 침해의 위험은 있지만 대부분의 경우 물리적 손상에 대해 이야기하는 것은 아닙니다.

하지만 미래에는 피부 아래에 구성 요소가 있는 심박 조율기, 인공 와우와 같은 내부 장치가 등장하는 두 번째 단계가 있습니다. 이러한 장치는 생명이나 사망이 컴퓨터 코드의 기능에 따라 달라질 수 있습니다. 인공 췌장을 생각해 보세요. 이러한 장치는 선택 사항이 아니며 물리적 손상의 가능성이 있으며 신체 무결성이 훼손될 수 있습니다. 인터넷에 연결된 병원 장비는 예를 들어 호흡을 제어할 수 있습니다.

세 번째 단계는 아직 도달하지 못했습니다. 우리는 현재 두 번째 단계에 있지만, 세 번째 단계는 일론 머스크와 같은 선지자들이 제시하는 차세대 아이디어, 즉 인터넷과 연결되어 실시간으로 콘텐츠를 공유하는 뇌에 이식 가능한 장치와 같은 것입니다. 따라서 항상 연결된 하드와이어 상호 연결이 있으며, 그 시점에서 의무적인 신체 강화와 선택적인 신체 강화의 경계가 모호해질 수 있습니다.

우리는 1세대 품목 중 일부에 익숙하며 일부 제품은 소비자에게 균일하게 큰 상업적 성공을 거두지 못했습니다. 하지만 다른 분야에서 자리를 잡았습니다. 예를 들어 Google Glass는 제조 현장에서 자리를 잡았습니다. 국방부는 군인의 호흡수, 심박수 등의 기능을 모니터링하는 데 도움이 되도록 데이터를 주고받는 연결 기능이 있는 슈트를 실험하고 개발하고 있습니다. 이러한 장치는 업데이트하고 의도한 대로 기능하려면 연결이 필요합니다.

안타깝게도 생명을 구하는 기능을 하는 인슐린 펌프와 같은 취약한 장치에 대한 수많은 보고가 있습니다. 특히 심박 조율기의 경우 FDA는 환자가 보안 업데이트를 위해 의료 서비스 제공자를 방문해야 하는 업데이트를 시작했습니다. 이것이 신체 인터넷으로의 진행입니다. 신체 내부의 데이터가 신체에서 데이터가 나온 사람의 증언을 탄핵하는 증거로 사용되는 첫 번째 사례가 있습니다. 따라서 상황은 진화하고 있습니다. 로봇 수술은 표준이 되었고, 인공 췌장이 승인되었으며, 스마트 알약이라는 개념이 승인되었습니다. 이러한 알약은 위 내부에서 스마트폰 등으로 통신하여 약을 복용했는지, 약을 흡수하고 있는지, 몸 상태가 어떤지 등을 보고합니다.

이러한 혁신은 개인의 삶과 신체 기능을 향상시키는 데 엄청난 잠재력을 가지고 있지만, 사물 인터넷에서 알 수 있듯이 그러한 기능에는 몇 가지 위험도 따릅니다. 특허 활동을 보면 주사형 콘택트렌즈와 같은 것이 특허를 받고 있는 것을 알 수 있으며, 여기서 우리는 전통적인 의료 기기뿐만 아니라 오락용 신체 인터넷이라고 부를 수 있는 선택적 강화라는 문제에 직면하게 되며, 이는 앞으로 규제에 영향을 미칠 것입니다.

앞서 언급한 일론 머스크의 뇌 인터페이스 프로젝트입니다. 이것이 미래의 세계입니다. 문제는 버그가 있는 코드, 버그가 있는 비트가 버그가 있는 신체와 만날 때 발생합니다. 우리 모두 몸을 가지고 있기 때문에 몸이 이상하다는 것을 알고 있습니다. 몸은 항상 우리가 원하는 대로 움직이지 않습니다. 때때로 우리는 아프고, 때때로 몸은 우리가 바라는 대로 기능하지 않습니다.

버그가 있는 비트와 버그가 있는 신체가 만나면 물리적 손상이 발생합니다. 그리고 그곳에서 우리는 몇 가지 법적 과제에 직면하게 될 것입니다. 주사형 콘택트렌즈를 사용하는 Mirai 봇넷을 상상해 보세요. 그 콘택트렌즈가 서비스 거부 공격을 용이하게 하는 세상을 상상해 보세요. 아니면 인공 췌장에 대한 WannaCry 공격과 겁에 질린 할머니가 비트코인을 범죄자에게 보내는 방법을 알아내기 위해 손자에게 연락하려고 하는 모습을 상상해 보세요. 범죄자는 췌장을 인질로 잡고 있습니다. 이러한 가능성은 무섭습니다.

이것이 우리가 해결해야 할 법적 문제입니다. 특히 보안 문제와 경쟁 문제에 대해 생각할 때 우리는 주로 두 개의 규제 기관과 세 번째 규제 기관의 상호 작용을 보게 됩니다. FDA는 의료 기기를 구성하는 요소를 지정하고 FTC는 의료 기기의 광고뿐만 아니라 의료 기기의 범위에 속하지 않는 신체 인터넷 기기가 될 수 있는 기기에 대한 집행 및 집행을 담당합니다. 그리고 FTC와 FCC의 교차점에서 우리는 망 중립성과 관련된 몇 가지 문제에 직면하게 됩니다. 직관에 반할 수도 있지만 휴대폰의 연결을 생각해 보세요. 항상 균일하지는 않죠? 연결 상태가 좋지 않은 지점이 있을 수 있습니다. 하지만 서비스 등급이 있는 세상에서 인터넷에 의존하는 신체 부위에 대해 잘못된 서비스 등급을 구매하면 다른 서비스 등급을 가진 사람과 동일한 시기에 보안 업데이트를 받을 수 있을까요? 로봇 팔이 제공자에게 정보를 주고받거나 콘택트렌즈가 예상했던 대로 신속하게 클라우드와 데이터를 공유할까요? 아마도 잘못된 서비스 등급을 선택했을 수도 있습니다. 따라서 몇 가지 문제가 있습니다.

불법 행위 구제와 관련하여 다시 한번 우리는 이러한 장치의 분류에 대한 FDA의 권한에 의존하고 있습니다. 왜냐하면 FDA의 분류에 따라 주정부 선점, 즉 FDA의 승인에 대한 선점으로 인해 피해를 입었다고 주장하는 환자 또는 사용자가 주정부 차원에서 주정부 불법 행위법에 따라 소송을 제기할 기회가 차단될 수 있기 때문입니다. 즉, 민사 피해를 규제하는 제도가 그들이 입은 물리적 피해에 대한 금전적 보상을 받는 것을 차단할 수 있습니다. 따라서 우리는 이 분류와 1세대 사물 인터넷 기기의 보안 피해에 따라 법원에서 흥미로운 진화를 보게 될 것입니다. 우리는 여전히 판례법을 구축하기 시작했으며, 불법 행위 구제를 위한 직접적인 인과 관계를 구성하는 요소에 대한 질문은 앞으로 진화할 법적 미해결 문제입니다.

지적 재산권과 관련하여 현재의 소프트웨어 특허 소송에서 알 수 있듯이 특허 집행만을 중심으로 진화하는 전체 비즈니스 모델이 있습니다. 심지어 집행을 요청하는 주체가 제작자가 아니고 새로운 것을 만드는 데 특허를 사용하지 않는 경우에도 말입니다. 따라서 과거가 미래의 서막이라면 신체에 이식된 인간 장치, 인체에 이식된 장치와 관련된 소프트웨어 특허에서 특허 주장 주체와 몇십 년 전에 보았던 의료 과정 특허에 대한 의회 조치 사이에 몇 가지 유사점이 있습니다. 우리가 그곳에서 보았던 것은 의사들이 특허 침해로 고소당할까 봐 행동을 바꾸기 시작했다는 것입니다. 특허 제작과 특허 제작을 보호하려는 욕망과 신체 무결성이 충돌한 사례입니다. 의회는 그 사례에서 환자의 편을 들었습니다. 앞으로 신체 인터넷과 그 장치에 대한 대화에서도 같은 종류의 긴장과 역학 관계를 보게 될 수 있습니다.

우리 모두가 '예'를 클릭하고 최적이 아닌 이해력이나 검토를 통해 읽는 최종 사용자 라이선스 계약은 정기적으로 변경됩니다. 최종 사용자 라이선스 계약을 둘러싼 제도는 한계점에 도달하고 있으며, 전통적인 계약법의 원칙과 관련하여 우리는 서로 다른 순회 법원, 서로 다른 순회 법원, 상급 연방 법원이 해당 조항이 인체에 물리적으로 해당 조항의 특정 종류를 시행하는 것에 불편함을 느끼기 시작하는 정도에 따라 다른 방식으로 진행되는 것을 보게 됩니다. 인체에 물리적으로 해를 끼치기 시작하면 더 많은 연방 법원이 최종 사용자 라이선스 계약을 둘러싼 열성적이고 강력한 집행 제도에 불편함을 느낄 것으로 예상합니다. 그렇다면 다음에는 이 분야에 어떤 법적 조치를 취해야 할까요? 하지만 저는 그 부분은 토론을 위해 남겨두고 마지막 사회적 질문을 던지며 마무리하겠습니다.

법적 문제는 흥미롭고 해결하는 데 수십 년이 걸리겠지만, 더 근본적인 사회적 문제도 있습니다. 우리는 신체 인터넷의 정책 및 법적 문제에 대해 이야기하면서 틀림없이 우리 자신의 인류 역사와 기술이 우리 발전의 다음 단계에서 어떤 역할을 할지에 대한 경쟁적인 비전에 대해서도 이야기하고 있습니다. 따라서 우리가 추구하는 바람직한 세상을 기술이 인간을 돕지만 인간이 분석의 주요 단위인 세상으로 개념화할 때, 우리는 인간이 점점 더 무의미해지고 우리가 문제이며, 우리가 결함이 있고, 우리 자신으로부터 우리를 구하기 위해 기술이 필요한 세상에 대한 비전으로 시작하는 경우와는 다른 정책 및 법적 결과에 도달할 수 있습니다. 따라서 우리가 그러한 신체적 열등성 입장을 취한다면 인간을 보존해야 한다는 입장을 취하는 것과는 다른 결론에 도달하게 될 것입니다. 우리는 기술의 도움이 조금 필요할 뿐입니다.

그리고 이것은 여러분 중 일부가 의심할 여지 없이 들어 보았을 다섯 가지 사고방식으로 구체화됩니다. 저는 AI가 인수하는 시뮬레이션 이론에 괄호를 쳐 두었습니다. 왜냐하면 그 시점에서 우리가 컴퓨터에 살고 있는 시뮬레이션이라면 모든 것이 이미 결정된 것이기 때문에 치즈와 와인을 즐기고 걱정하지 않아도 되기 때문입니다.

저는 개인적으로 그렇게 생각하지 않습니다. 그렇게 되면 제가 좋아하는 기사를 쓸 수 없기 때문입니다. 나머지 네 가지 종착점 중 어떤 것을 목표로 삼느냐에 따라 신체 인터넷 기기를 둘러싼 차세대 정책을 만들 때 어떻게 거꾸로 작업해야 할지가 결정됩니다. 이것으로 발표를 마치고 존경하는 패널들에게 넘기겠습니다.

[박수]

잘 들리나요? 네, 잘 들립니다. 이러한 문제와 질문은 이전에 접해 본 적이 없기 때문에 꽤 오랜만에 접하는 가장 흥미로운 법적 및 규제적 질문입니다.

바로 본론으로 들어가겠지만, 먼저 청중 여러분께 질문을 드리겠습니다. 변호사이신 분은 손을 들어 주시고, 자신을 기술 사이버 보안 전문가라고 생각하시는 분은 손을 들어 주세요. 네, 도움이 되네요.

Terrell, Gail, Janine, Andrea의 멋진 프레젠테이션에 대한 첫 번째 소감을 듣고 싶습니다. 먼저 말씀드려도 될까요?

네, 좋습니다. 이 흥미로운 대화를 주선해 주신 Atlantic Council과 매우 생각을 자극하고 약간은 무서운 프레젠테이션을 해 주신 Andrea에게 감사드립니다.

우리 모두 이것을 경종이자 경고로 받아들여야 한다고 생각합니다. 이 프레젠테이션에서 가장 눈에 띄는 점 중 하나는 우리가 이미 집, 몸, 자동차, 일상생활에서 사용하고 있는 사물 인터넷의 문제를 해결하지 못했다는 핵심 요점입니다. 그리고 신체 인터넷으로의 전환의 중요성은 매우 심각한 우려를 불러일으킵니다. 따라서 사물 인터넷의 문제를 해결하는 단계에서 소비자가 신체에 착용하고 어쩌면 신체에 삽입하게 될 새로운 기술로 나아감에 따라 안전한 환경을 조성할 수 있도록 문제를 해결할 준비를 하는 단계로 빠르게 이동해야 한다고 생각합니다. 따라서 해야 할 일이 많다는 것이 제 주요 결론입니다. 두 번째 결론은 이것이 단순히 보안 문제가 아니라는 것입니다.

매우 큰 소비자 보호 문제이기도 합니다. 따라서 우리는 그 대화도 해야 한다고 생각합니다. 세 번째 결론은 지금 당장 AI 거버넌스 문제를 다루기 시작해야 한다는 것입니다. 이러한 문제를 미리 해결하지 못하면 우리 모두가 피하고 싶어 하는 다섯 번째 괄호 안에 있는 신체적 열등성 AI 인수 상황에 처하게 될 것이기 때문입니다. 하지만 무어의 법칙과 이미 사물 인터넷이 매우 빠르게 확산되는 방식에서 볼 수 있는 변화의 빠른 속도 때문에 우리는 규제적 대응, 더 나아가 공공 정책 및 사회적 참여, 그리고 우리가 달성하려는 것에 대한 집단적 의사 결정을 기술이 이미 세상에 나온 후가 아니라 지금 준비해야 합니다. 네.

제 말이 들리나요? 네, 좋습니다. 다시 한번 Atlantic Council과 교수님께 감사드립니다. 미래를 내다보고 5년, 10년 후에 다가올 일을 예측하는 교수님의 능력은 부러울 따름입니다. 교수님은 이러한 매우 중요한 문제에 대해 나머지 우리를 위해 많은 내부적 고민을 하고 계십니다. 저도 교수님처럼 생각할 시간이 있었으면 좋겠습니다. 저는 업계 단체 변호사이기 때문에 당장 눈앞에 닥친 문제를 처리하고 더 똑똑한 사람들에게 이러한 큰 그림을 생각하도록 의존합니다. 저는 그 업계를 대표하기 때문에 약간 반대되는 의견을 제시하겠습니다. 우리가 어떤 것에 대해 격렬하게 의견이 다르다는 것은 아니지만 말입니다.

두 가지 수준에서 저는 이것이 여전히 인터넷이라는 명제를 제시하고 싶습니다. 20년 전으로 거슬러 올라가 보면 인터넷의 황량한 서부 시대가 있었고, 그러다가 검색을 중심으로 점차 조직화되기 시작했습니다. 인터넷에 있는 모든 정보를 가져다가 색인을 생성하고 검색하고 구성하는 방법을 알아냈습니다.

그리고 나서 우리는 소셜로 진화했고, 페이스북과 트위터가 생겨났고, 인터넷의 그 단계에서 온라인에서 사회적 관계를 조직했습니다. 그리고 나서 우리는 사물 인터넷과 물리적 그래프 등으로 성장했습니다. 그렇다면 규제적 관점, 공공 정책적 관점에서 새로워진 것은 무엇일까요? 저는 2013년에 교수님이 쓰신 인터넷 맥락에서 계약법 적용에 관한 기사를 참고하겠습니다. 교수님의 논지는 판사와 학자들이 때때로 인터넷 예외주의에 빠지는 경향이 있다는 것입니다.

즉, 인터넷이기 때문에 인터넷에 대한 특별한 규칙이 필요하다는 것입니다. 그리고 교수님이 드는 비유는 의학적 비유인데, 말발굽 소리가 들리면 먼저 얼룩말이 아니라 말을 떠올리라는 것입니다. 이 말은 의료 종사자들에게 의료 문제를 볼 때, 아픈 환자를 볼 때 대부분 이전에 그 문제를 다룬 적이 있을 가능성이 높으며 기존의 전문 지식과 지식을 활용하여 환자가 나아지도록 도울 수 있다는 것을 의미합니다. 그렇게 하기 위해 독창적인 과학 연구를 할 필요는 없습니다.

그것이 말이고, 대부분의 의료 문제는 말입니다. 하지만 얼룩말이라는 새로운 것이 존재하며, 새로운 과제를 제시합니다. 그렇다면 우리는 사회, 입법자로서 어떻게 그 문제를 해결할까요? 인터넷의 경우 20년 넘게 존재해 왔습니다. FTC를 예로 들어 보겠습니다. FTC는 생각해 보면 100년이 넘은 기관이며, 시장에서 기만, 불공정, 불공정한 경쟁 방법을 다룰 수 있다는 매우 광범위한 프레임워크 법령을 가지고 있습니다. 하지만 그것은 인터넷이 생기기 전, 심지어 컴퓨터가 생기기 전 100년 전에 시작된 것이었고, FTC는 100년 넘게 그 법령을 지속적으로 적용해 왔습니다. FTC는 프레임워크를 조정했고 여전히 인터넷, 개인 정보 보호, 데이터 보안에 적용하고 있습니다. 유연한 프레임워크이기 때문에 이러한 새로운 문제에도 적용될 수 있었습니다. 그렇다면 사물 인터넷과 신체 인터넷에 대해 그렇게 특별하고 예외적인 것이 있어서 매우 유연한 프레임워크에도 부담을 줄까요?

저는 그러한 질문을 던지고 토론을 기대하겠습니다. Janine, 너무 작게 말씀하시네요.

제가 한 모든 말이 마음에 듭니다. 저는 가는 곳마다 이것을 설파하기 때문입니다. 저는 기술자이고 변호사가 아닙니다. 이 일을 한 지 12년 정도 되었습니다.

제가 가장 크게 우려하는 문제 중 하나는 이와 관련된 취약성입니다. 이것의 끝에는 인간이 있고, 모든 사람이 이 기기가 연결된 인간이 있다는 것을 고려하는 것은 아닙니다. 따라서 우리는 그 사람을 걱정하고 배려해야 합니다. 제가 병원에 가서 사람들과 보안에 대해 이야기할 때 저는 이렇게 말합니다. '의사 선생님, 당신은 히포크라테스 선서를 했죠? 이 사람의 육체를 걱정하잖아요. 그러니 병원 관리자로서 당신은 이 사람의 몸속에 있는 모든 것을 걱정해야 합니다.' 저는 주로 EMR을 다루는데, EMR은 환자의 모든 것, 즉 신체적 의료 기기나 이식된 기기를 포함하기 때문에 저에게는 의료 기기입니다.

따라서 이 모든 것에 대해 이야기할 때 인간이 소프트웨어를 만들고 있고 이것이 연결된 인간이 있습니다. 이것을 작동시키거나 망가뜨리는 원동력은 항상 인간적 요소입니다. 따라서 제가 병원에 가서 매일 제 일을 할 때 저는 그들이 결국 저와 논쟁을 벌일 것이라는 것을 알기 때문에 기쁩니다.

모두, 모두, 모두, 네. 동의하는 것은 좋은 일입니다. FTC와 FDA 사이에 흥미로운 대화를 불러일으킬 또 다른 법적 문제를 제기하겠습니다. 2016년 12월 의회는 21세기 치료법에서 의료 기기의 정의를 개정하여 소프트웨어를 명시적으로 제외했습니다. 따라서 이러한 기기의 소프트웨어와 하드웨어의 상호 작용은 의료 기기를 어떻게 정의할지에 대한 흥미로운 논의를 불러일으킬 것이며, 이는 다시 FTC 집행의 필요성 범위와 FDA의 공유 권한에 영향을 미칩니다.

패널의 누구와도 의견이 다르고 싶지는 않지만, 방금 말씀하신 모든 것에 동의하지는 않습니다. 그래서 반론을 제기하겠습니다. 괜찮으시죠?

잠시 해명을 하자면

저는 FTC 위원이지만 지금은 FTC를 대표해서 말하는 것이 아닙니다. 제 개인적인 견해를 말씀드리는 것입니다. Gail의 말에 동의하고 FTC가 매우 광범위하고 오래된 권한을 디지털 경제에 적용하여 소비자를 보호한 방식에 대한 설명에 감사드립니다. 하지만 FTC 자체가 부족한 부분을 반복적으로 지적해 왔다는 점을 지적하는 것이 중요하다고 생각합니다. 이러한 부족한 부분은 사물 인터넷과 관련된 미해결 문제 중 일부이며, FDA와 FTC 사이에서 일부 장치(라이프스타일 장치인지 의료 기기인지)에 대한 관할권을 해결하려고 할 때도 여전히 문제가 될 것입니다. 따라서 저는 현재 충분한 보호 장치가 마련되어 있지 않다고 생각하는 사람 중 한 명이며, 예를 들어 FTC에 불이익 권한과 사물 인터넷 기기의 안전 및 보안에 대한 규칙 제정 권한을 부여하는 보다 포괄적인 데이터 보안 법률을 지지합니다. 우리는 의료 기기와 신체 인터넷 기기에 대한 적절한 규제 기관이 누구인지 생각해 볼 필요가 있으며, 보안에 대한 규제가 있어야 하는지 여부에 대한 답변 중 일부는 해당 기기에서 나오는 데이터가 어떻게 관리되는지, 어떤 AI 거버넌스 정책이 필요한지에 대한 규제와도 관련이 있을 것이라고 생각합니다. 따라서 어느 시점에는 이에 관여하는 전문 규제 기관이 필요할 것이라고 생각하며, 그 기관은 FTC일 수도 있고 FDA일 수도 있고, 둘의 조합일 수도 있고, 아니면 모든 전문 지식을 활용하는 기관일 수도 있습니다. 하지만 오늘날 존재하는 격차에 대해 진지하게 생각해 보지 않는다면 이러한 미래에 잘 대비하지 못할 것이라고 생각합니다. 예를 들어, 사람들의 사물 인터넷이 랜섬웨어 공격을 받았을 때 사람들에게 무엇을 해야 할지 알려주지 못하고 있습니다. 지불해야 할까요, 말아야 할까요? 버려야 할까요? 눈에 들어 있는 경우에는 훨씬 더 어려워질 것입니다.

규제 논쟁(이 논쟁은 벌집을 쑤시는 것과 같습니다)으로 들어가기 전에 Janine에게 기술적인 질문을 하겠습니다. 전자 건강 기록이든 실제 장치 자체이든, 특히 소형 이식형 장치와 관련하여 의료 분야의 사이버 보안은 다른 분야와 어떻게 다를까요? 우리가 Apache Struts를 관리하는 것과는 다릅니다. 몇 가지 매우 다른 요구 사항이 있습니다. 그 부분에 대해 간략하게 설명해 주시고 공급업체가 장치를 보호할 수 있는 방법과 보호할 수 없는 방법에 대해 말씀해 주시겠습니까? 장치 보호에 대해 말입니다.

저는 Atlantic Council과 Christendom의 Jeffery Talley 장군과 함께 애리조나에 가서 첫 번째 사이버 정상 회의를 개최했습니다. 저는 손으로 말하는 습관이 있습니다. 죄송합니다. 그래서 첫 번째 사이버 정상 회의를 열었고, 우리가 한 일은 의사들이 무슨 일이 일어나고 있는지 전혀 모르는 방에 들어가는 시뮬레이션이었습니다. 우리는 의사들에게 시나리오를 주고 '시작하세요'라고 말했습니다. 첫 번째 환자는 심박 조율기에 문제가 있었는데, 소프트웨어가 고장났습니다. 두 번째 환자는 인슐린 펌프가 모든 인슐린을 방출하여 약 2~3주 분량의 인슐린이 몸에 들어가 혼수상태에 빠졌습니다. 의사 중 누구도 신체적 적용, 즉 이식이 문제라고 생각하지 않았습니다. 그들은 다른 문제가 있다고 생각했습니다. 그래서 의사들은 다른 모든 것을 연구하고 있었습니다. 의료 기술의 문제 중 하나는 의사들이 환자에게 무엇이 들어가는지, 무슨 일이 일어나고 있는지 제대로 알지 못한다는 것입니다. 의사들은 장치를 받고 '여기 있어요, 가세요, 괜찮아요'라고 말합니다.

하지만 아무도 질문을 하지 않고, 환자들도 이것이 사물 인터넷 연결 장치일 수 있다는 사실조차 모르기 때문에 질문을 하지 않습니다. 따라서 이것은... 의료는 법률과 다양한 정부 기관에 의해 엄격하게 규제되며, 의료를 제공하기는 정말 어렵습니다. 그리고 그 모든 것의 끝에는 결과가 좋든 나쁘든 그 결과를 느끼게 될 사람이 있습니다. 우리는 공동체로서, 그리고 환자와 의사로서 이 사람을 돌봐야 한다고 생각합니다. 이것은... 이것은 고통스러울 정도로 어렵습니다. 따라서 저는 교수님의 말씀을 듣고...

교수님의 말씀을 들을 때마다 모든 버튼을 누르고 모든 것을 확인하고 '네, 어떻게 도와드릴까요?'라고 생각합니다. 왜냐하면 신체 인터넷은 현실이 되고 있기 때문입니다. 아까 3단계에 대해 말씀하셨는데, 뇌 임플란트를 한 사람들이 있다고 생각합니다. 극심한 색맹으로 태어난 Neil Harbison이라는 사람이 있습니다. 그는 머리 뒤쪽에 이만큼 튀어나온 안테나가 있는 임플란트를 삽입했습니다. 그 앞에 무언가를 놓으면 그 사람이 무슨 색인지 말해 줄 것입니다. 문제는 그 사람이 이제 자외선 색상을 본다는 것입니다. 우리가 이렇게 보는 것을 그 사람은 벌처럼 봅니다. 그 사람은 모든 색상을 볼 수 있고 이제 당신의 목소리가 어떻게 들리는지 말해 줄 수 있습니다. 하지만 들리는 소리가 아니라 보이는 색상, 즉 어떤 색으로 보이는지 말입니다. 그 사람이 할 수 있는 일은 정말 놀랍습니다. 그 사람은 또한 자신의 흉상을 만들어 스페인의 박물관에 기증했고, 사람들은 그 아래에 무언가를 놓고 그 사람의 하루를 방해할 수 있습니다. 그 사람은 항상 인터넷에 연결되어 있고 사람들이 무슨 색으로 보이는지, 어떤 소리가 나는지 말해 달라고 하루를 방해하는 것을 허용합니다. 그것은 아무도 생각하지 못할 놀라운 일입니다. 저는 볼 수 없기 때문에 색상으로 듣겠습니다. 하지만 또 다른 문제는 우리가 그것에 대해 토론을 했는데, Wi-Fi를 항상 켜 두는지 여부입니다. 그 사람은 누구도 자신을 해치려고 일부러 그럴 것이라고 생각하지 않기 때문에 Wi-Fi를 항상 켜 둡니다. 그리고 그것이 규제와 관련된 또 다른 문제입니다. 우리는 사람들이 누군가를 해치려고 일부러 그럴 것이라고 생각하지 않지만, 소프트웨어를 개발하는 사람들 중에는 '이렇게 해 보면 어떨까? 어떤 일이 일어나는지 보자'라고 생각하는 사람들이 있습니다. 인간의 실수가 인간의 문제가 되기 때문입니다.

이 질문을 모두에게 드리겠습니다. 이러한 장치의 위험을 통제할 책임은 누구에게 있으며, 심박 조율기와 같은 건강과 웰빙에 필요한 것과 강화 장치에 대해 이야기하는 경우 책임이 달라질까요? 누가 우리가 해야 할 일을 제대로 하고 있는지 확인할 책임이 있을까요? 규제 기관일까요? 제조업체일까요? 제공자일까요? 아니면 사용자일까요? 사용자가 지식을 갖추고 자신이 구매하는 것을 이해할 책임이 있을까요?

저는 모두, 모든 사람, 모든 단계의 모든 사람이 책임이 있다고 생각합니다. 하지만 제조업체는 이것이 제대로 작동하는지 확인해야 하고, 의사는 질문을 하고 참여하여 이것에 대해 알아봐야 하며, 환자는 이런 일이 일어나고 있다는 것을 알아야 하고, 의사는 환자에게 설명해야 합니다. 할아버지는 이제 Wi-Fi 지점입니다. 이것은 문제입니다. 전체 커뮤니티가 참여하고 모두가 이것에 대해 이야기하는 것이어야 합니다.

저는 정책 담당자로서 Andrea의 연구가 매우 중요하다고 생각합니다. 우리는 종종 시장에 충분한 인센티브를 부여하기 위해 책임 시스템에 의존하기 때문입니다. 따라서 소비자가 구매하는 새로운 것을 개발하는 사람들이 충분히 안전하거나 안전하게 만들거나 미리 사람들에게 어떤 영향을 미치는지 적절하게 공개하고 있습니다. 그리고 저는 여기에 몇 가지 격차가 있다고 생각하며, 이러한 격차를 미리 해결하지 않으면 안타까운 일이 될 것이라고 생각합니다. 사람들이 너무 많은 위험을 감수하는 시나리오에 처할 수 있기 때문입니다. 틀림없이 지금 미국에서는 소비자가 정보적 손상의 위험을 너무 많이 감수하고 있습니다. 우리는 지난 몇 주 동안 많은 사람들에게 매우 생생하게 드러났습니다.

뉴스에서 보도된 다양한 데이터 침해 사례를 생각해 보세요. 따라서 우리는 소비자가 라이선스 계약을 제대로 이해하지 못한 채 신체에 장치를 삽입하는 시나리오에 처하고 싶지 않습니다. 자신이 신체에 삽입한 것을 여전히 통제할 수 있는지, 그 장치에서 다른 사람이나 어쩌면 수십 명의 다른 사람에게 다시 흘러가는 데이터에 무슨 일이 일어나고 있는지 제대로 이해하지 못하는 시나리오에 처하고 싶지 않습니다. 그리고 저는 정보 공개가 정말 정말 중요하다고 생각하지만, 시장에 적절한 인센티브를 만들려면 우리가 우려하는 몇 가지 피해를 처음부터 방지하기 위해 보다 강력한 정책적 대응이 필요할 것이라고 생각합니다.

저는 몇 가지 매우 중요한 과제가 있을 것이라고 생각하며, 그 중 일부는 소비자의 신뢰에 영향을 미칠 것이라고 생각합니다. 의사의 신뢰도 마찬가지입니다. 이 요점을 다시 한번 강조하고 싶습니다. 사람들, 의사들은 자신이 무엇을 하고 있는지, 이러한 장치가 어떻게 작동하는지 알아야 합니다. 우리는 시장에서 혁신을 원합니다. 우리는 모두 다시 매트릭스에 연결되어 AI에 전력을 공급하는 세상을 원하지 않습니다. 하지만 그 외에는 이러한 혁신이 많이 시장에 출시되기를 바랍니다. 하지만 우리가 알고 있는 한 가지 사실은 신뢰가 소비자 수요를 저해할 수 있다는 것입니다. 그리고 저는 신뢰가 의료 전문가의 이러한 기술에 대한 수요도 저해할 수 있다고 생각합니다. 따라서 이 분야에서 해야 할 일이 많습니다.

이러한 의견에 이어 두 가지 사항을 추가하고 싶습니다. 첫 번째는 역사적으로 우리가 암묵적인 기본적인 치료 기준이 필요하다고 결정한 특정 상황이 있다는 것입니다. 집주인은 한겨울에 난방을 끌 수 없습니다. 왜냐하면 우리가 불변의 수준이든, 카운티 수준이든, 주 수준이든 모든 임대 계약에 존재하는 특정 암묵적인 약속이 있으며, 그것은 인체 부상, 즉 사람들이 얼어 죽는 것을 방지하기 위한 것이라고 결정했기 때문입니다.

저는 다른 연구에서 이러한 종류의 장치를 만드는 사람들이 처음부터 구현하는 보안과 관련하여 존재하는 치료 수준에 대해 그러한 종류의 기준이 필요하다고 주장했습니다. 보안 설계는 앞으로 나아갈 유일한 방법입니다. 보안을 개조할 수는 없습니다. 안타깝게도 극복할 수 없는 레거시 코드 문제가 있습니다. 따라서 우리는 보안 설계를 장려하고 사려 깊은 방식으로 구축하고, 그 끝에 있는 인간을 생각해야 합니다. 두 번째 요점은 보안에 제대로 투자하는 기업, 옳은 일을 하고 고객을 돌보는 기업에 보상하기 위해 시장 인센티브를 설정해야 한다는 것입니다. 그러한 기업은 사람들이 제품을 구매함으로써 보상을 받아야 합니다. 그리고 보안 프로세스에 대해 정직하지 않거나 철저하게 테스트하고 보안 설계를 구현한 정도에 대해 정직하지 않은 기업은 시장이 거짓말을 하기에 좋은 곳이 아니라는 사실을 상기시켜야 하며, 많은 투자를 한 기업에게는 불공평합니다. 많은 투자를 한 기업은 시장 보상의 혜택을 받아야 합니다. 다른 기업은 소비자가 진실한 정보에 입각하여 의미 있는 선택을 할 수 있도록 시장에서 프로세스에 대한 정확한 정보를 제공해야 합니다. 그렇다면 인센티브를 부여하는 적절한 방법과 장단점은 무엇일까요? 인센티브는 판례법을 통해 만들 수 있고, 법률을 통해 만들 수 있고, 에너지 스타 등급을 통해 만들 수 있습니다. 모두가 에너지 스타 등급에 대해 이야기하는 것을 좋아합니다. 다양한 접근 방식의 장단점은 무엇일까요? 누구든 답변해 주시겠습니까?

최근 Mark Warner 상원의원은 연방 기관에서 조달하는 사물 인터넷 기기에 대한 최소 표준을 기본적으로 설정하도록 연방 기관에 요구하는 법안을 발의했습니다. 이러한 접근 방식이 타당할까요? 이 접근 방식의 장단점은 무엇일까요? 일부 표준은 소프트웨어 재료 명세서를 가지고 있고 알려진 모든 취약점이 패치되었는지 확인하는 것과 같습니다. 신체 인터넷 기기의 맥락에서 이러한 표준이 어떻게 타당할까요?

먼저 말씀드려도 되지만 Gail도 답변해 주시면 좋겠습니다. 저는 Warner 상원의원의 법안이 특히 사물 인터넷 기기에 대한 보다 나은 보안 표준을 추진하기 위해 연방 조달 권한을 사용하려는 좋은 시도라고 생각합니다. 조달을 사용하는 것은 이미 툴박스에 있는 도구 중 하나입니다. 저는 실제로 프로세스 기반 규제 접근 방식에 대한 정말 좋은 모델이 이미 있다고 생각합니다. 따라서 저는 한 걸음 더 나아가 이것이 실제로 우리가 규제해야 할 영역이라고 말씀드리고 싶습니다. 우리는 다른 다양한 산업에서 성공을 거두었고 그 방법을 알고 있습니다. 예를 들어 FTC가 규칙을 작성하는 COPPA 법률의 데이터 보안 요구 사항과 금융 기관에 대한 GLBA 법률의 안전 조치 규칙이 있습니다. HIPAA에도 있고 데이터 보안 요구 사항이 있는 다른 다양한 개인 정보 보호법에도 있습니다. 따라서 예를 들어 규제를 통해 데이터 보안 요구 사항을 부과한다는 아이디어는 실제로 역동적이고 변화하는 영역을 과도하게 규제하여 죽이는 상황 중 하나가 아니라고 생각합니다. 왜냐하면 실제로 기술 중립적인 프로세스 기반 규제를 만드는 방법에 대해 많이 알고 있으며, 이는 옳은 일을 하는 기업이 이미 규정을 준수하고 그렇지 않거나 단순히 모르는 기업이 따라야 할 규정과 규칙을 이해할 수 있도록 하는 데 매우 도움이 될 것이라고 생각하기 때문입니다. 저는 여기서 잠시 말을 멈추고 다른 사람들이 규제 문제에 대해 답변하도록 하겠습니다.

Warner 법안에 대해서는 잘 모르지만 어떤 내용인지 알고 있습니다. 연방 정부가 조달 권한을 사용하여 시장에 자극을 준 좋은 선례가 있습니다. 과거에 상호 운용성과 관련하여 연방 정부는 '다음 표준을 충족하고 다른 모든 사람의 것과 호환된다면 구매하겠습니다'라고 말했습니다. 좋은 자극입니다. 다시 한번 말씀드리지만 저는 여러분만큼 이 법안에 정통하지는 않습니다. 그 표준이 특정 시점의 표준일까요? 아니면 올바른 표준일까요? 이러한 질문은 중요합니다. 그리고 또 한 가지 말씀드리고 싶은 것은... 저는... 저는 FTC가 이러한 일을 더 잘한다고 생각합니다. 그래서 업계의 입장에서 우리에게 법률이 필요할까요? 아니면 FTC가 집행 조치를 통해 만든 기존 법률을 살펴봐야 할까요? 우리는 이 법률을 일반적으로 미국의 개인 정보 보호 및 데이터 보안에 대한 관습법이라고 부릅니다. 믿으세요. FTC에서 나오는 모든 동의 명령은 개인 정보 보호 및 데이터 보안과 관련하여 법률로 간주됩니다. 그리고 그 위에 우리는 개인 정보 보호 및 데이터 보안과 관련하여 다른 기관보다 먼저 FTC가 무엇을 하고 있는지 살펴봐야 합니다. 왜냐하면 이러한 것들은 의회에 있는 법안 초안만큼 중요하다고 생각하기 때문입니다.

저는 FTC가 훌륭한 일을 하고 있다고 생각하지만, 이것이 논란의 여지가 없는 분야가 아니라는 점을 말씀드리겠습니다. 우리가 데이터 보안에서 불공정하고 기만적인 행위와 관행으로부터 소비자를 보호하기 위해 권한을 올바르게 사용하고 있는지 여부는 여전히 논란의 여지가 있습니다. 따라서 우리에게 권한이 있는지 여부는 여전히 소송 중이며, 둘째, 우리는 시장에서 합리적인 데이터 보안 표준이 무엇인지 설명하기 위해 최선을 다하고 있다는 데 동의하지만, 저는 우리가 훌륭한 일을 하고 있다고 생각합니다...

제가 끊임없이 듣는 의견은 아무도 따라야 할 표준이 무엇인지 이해하지 못한다는 것입니다. 그래서 저는 NIST가 COPPA 데이터 보안 규칙, 안전 조치 데이터 보안 규칙, HIPAA 데이터 보안 규칙에서도 말했듯이, 그리고 일반적으로 FTC의 합리적으로 안전한 보안 프로그램에서도 말했듯이 같은 말을 하고 있는지 궁금합니다. 우리 모두는 프로세스 기반 접근 방식이 올바른 접근 방식이라는 데 동의합니다.

우리가 그냥 규칙에 넣으면 아무도 우리가 무슨 말을 하는지 헷갈리지 않을 것이라고 생각합니다. 그리고 저는 민사 처벌 권한이 필요하다고 생각하는데, 그 이유는 우리에게 더 큰 채찍이 필요하다고 생각하고 FTC가 보안 약속의 허위를 단속할 수 있는 더 많은 자원을 확보했으면 하기 때문입니다.

네, 우리에게는 이미 그런 것들이 있었습니다. 다시 한번 말씀드리지만 이것은 단지 보안 부분입니다. 신체 인터넷에 도달하면 장치 보안뿐만 아니라 정보 공개, 구제 의무, 장치가 출시된 후 패치할 수 있는지 확인하는 것뿐만 아니라 5년 일찍 장치를 사용 중지하기로 결정한 경우 고객 관계를 어떻게 유지할지, 심박 조율기와 같은 것을 망가뜨리는 경우, 평생 괜찮을 것이라고 들었는데 이제 지원되지 않는 경우, 그 상황에서 사람들을 어떻게 보상할지 등 신체 인터넷이 제기하는 다른 많은 문제도 염두에 두어야 한다고 생각합니다. 우리는 아직 그 질문에 대한 답을 찾지 못했습니다.

Janine에게 질문을 하고 나서 질문을 받겠습니다. 손을 들어 주시면 질문을 받겠습니다. Janine, 의료 회사들은 지금 이 문제에 대비하기 위해 무엇을 하고 있나요? 인식이 최고 경영진에게까지 도달하여 개발 프로세스로 확산되고 있나요? 아니면 의료 분야의 가장 큰 문제 중 하나는 정보 보안 담당자가 많지 않다는 것인가요? 많은 경우 'IT가 알아서 할 거야', 'IT는 정보 보안과 완전히 별개야'라는 식입니다.

저는 더 많은 사람들이 의료 보안, 정보 연구자 분야에 뛰어들도록 옹호합니다. 그냥... 거기에 들어갈 방법을 찾으세요. 너무나 많은 똑똑한 사람들이 있고, 이것은 그 안으로 들어갈 수 있는 방법입니다. 아까 하신 말씀 중에 하나를 다시 언급하고 싶습니다. 때로는 Fitbit이 꼭 필요한 것은 아니지만 시간 제약이 있습니다. 쇼크가 없어서 심장이 멈추려고 한다면 결정을 내릴 시간이 약 5시간밖에 없습니다. 그래서 이제 컴퓨터를 잡고 모든 옵션을 확인해야 합니다. 제 옵션은 무엇일까요? 실제로 누구에게 연락할 수 있을까요? 지원 센터에 전화해야 할까요? 그래서 저는 Warner 법안이 무엇을 하려는지 이해하지만, 컴퓨터, 휴대폰과 같이 손에 들고 다닐 수 있는 기술에는 효과가 있습니다. 하지만 이 장치가 제 가슴에 들어가고 지금 당장 필요한데 모든 이상 현상을 해결할 시간이 많지 않다면...

의료 기기의 취약점에 대한 정보 공개 프로그램은 예를 들어 토스터에 대한 정보 공개 프로그램과 조금 다릅니다. 예를 들어 연결된 토스터가 제 취약점에 응답하지 않고 결국 어떤 채널을 통해 공개할 수 있다면 저는 괜찮습니다. 저는 투명성이 좋다고 생각합니다. 저는 단지... 정보 공개 프로그램은 좋다고 생각합니다. 저는 버그 바운티 프로그램이... 이 모든 것이 좋은 투자이지만, 의료 기기와 방금 말씀하신 이유로 그 정보를 공개하는 방법은 조금 다를 수 있습니다.

질문 있으신가요? 바로 앞에 계신 분 질문해 주세요.

훌륭한 패널 토론에 감사드립니다. 질문을 하나 드리고 싶습니다. 논의하신 문제와 과제는 제가 보기에 국내 문제일 뿐만 아니라 글로벌 과제이기도 합니다. 질문은 이 과제를 해결하기 위해 국제 협력이나 다른 국제적인 방법을 생각하고 있는지 여부입니다.

기술적인 수준에서 말씀드리자면, 이 문제에 대해 잘 아는 사람에게 넘기겠지만, 의료 기기는 때때로 제조된 지역에 따라 다른 방식으로 코딩되는 경우가 있습니다. 따라서 한 국가에서 설치한 심박 조율기를 다른 국가의 응급실에서 쉽게 조작하지 못할 수 있으며, 이는 보안 문제뿐만 아니라 신체 무결성 위험도 초래합니다.

따라서 우리는 실제로 사이버 정상 회의를 더 많은 곳에서 개최하기 위해 노력하고 있습니다. 애리조나에서 개최한 의료 기기 관련 사이버 정상 회의를 11월에 뉴욕에서 개최할 예정이며, 더 많은 사람들과 국제 사회가 참여하여 '이것이 작동 방식입니다. 저는 몰랐지만 이제 우리는 정말로 속도를 높여 더 나은 결정을 내려야 합니다'라고 말할 수 있도록 노력하고 있습니다. 우리는 FTC에서 개인 정보 보호에 대한 규범이 다른 글로벌 환경에서 데이터 개인 정보 보호 정책을 조정하는 방법에 대해 많은 시간을 할애합니다. 매우 어렵고 국제적으로 많은 참여가 필요합니다. 우리가 이러한 문제를 어렵게 생각하는 만큼 인공 지능과 이러한 신체 인터넷 기술과 관련된 문제는 훨씬 더 복잡하지만 사전에 더 많은 조정이 필요합니다. 신체 인터넷 기기를 이용하는 봇넷 운영자를 잡는 것만큼 간단한 일도 그 사람이 물리적으로 어디에 있는지에 따라 우리는 해당 국가와 범죄인 인도 조약을 맺지 않았거나 이중 처벌이 적용되지 않을 수 있습니다. 즉, 두 국가에서 동일한 행위가 불법이 아닐 수 있습니다. 따라서 사람들을 법의 심판대에 세우는 데 필요한 모든 물류 문제를 해결하는 것도 이 구성 요소의 일부입니다.

다음 질문은 저쪽 분께 받겠습니다.

네, 감사합니다. 저는 Charles Lehman이고 Washington Free Beacon에서 일합니다. 저는 주로... 나쁜 놈들을 생각하고... Janine의 의견을 듣고 싶습니다. 신체 인터넷 관련 기기를 악용하거나 오용할 수 있는 행위자는 어떤 유형일까요? 교수님은 강연에서 악의적인 행위자에 대해 상당히 일반적으로 이야기했습니다. 범죄자 집단에 대해 궁금합니다. 그러한 행위자뿐만 아니라 테러리스트와 같은 비국가 행위자의 정치적 오용과 당연히 국가 행위자의 오용에 대해서도 궁금합니다. 그러한 위협은 무엇일까요? 우리는 무엇을 생각해야 할까요?

좋은 질문입니다. 그리고 여기에 덧붙여서, 이식형 의료 기기에 대한 성공적인 공격 사례가 있었나요?

그리고 이 질문에 대해... 그래서... 그 질문에 대한 진짜 답은 없습니다. 저는... 잘 모르겠습니다. 여기 계셔서 다행입니다. 저는... 경우에 따라서는 Janine에게 답변을 맡겨야 할 수도 있기 때문입니다. 더 큰 문제 중 하나는 의료가 다음 사이버 전쟁의 대상이 될 것이라는 점이며, 제 커뮤니티의 많은 사람들이... 알고 있고... 그래서 우리는 이 문제를 전면에 내세우고... 아까 질문으로 돌아가서 많은 학교에서 의료를 정보 보안의 한 분야로 다루지 않습니다. '소프트웨어를 살펴보자, 컴퓨터를 살펴보자'라는 식입니다. 의료는 교육 과정에 포함되어야 합니다. 저는... 지난주에 한 국가에서 강연을 했는데, 그들이 저에게 한 질문 중 하나는 '코드를 보여주세요. 무엇을 했는지, 어떻게 했는지 보여주세요'였습니다. '아니요, 못 보여드립니다. 아니요, 괜찮습니다. 여기 계시잖아요. 보여주세요. 아니요, 여전히 못 보여드립니다.' 다른 일들이 일어나지만, 그런 식입니다. 그것은... 그것은... 그것은... 양심이나 윤리가 없는 사람들이 '물론이죠, 잠깐만요. 컴퓨터를 꺼내서 모든 것을 보여드리죠'라고 말하는 것입니다. 때로는 자존심의 문제가 됩니다. '제가 무엇을 할 수 있는지 보여드리죠'라는 식입니다. 상대방에 있는 사람은 의도와 상관없이 코드를 작성할 수 있는 사람이라면 누구든지 악용할 수 있습니다. 따라서 여기서 과제는 처음부터 악용될 수 있는 취약점을 최소한으로 줄이는 것이며, 이것이 바로 사물 인터넷뿐만 아니라 미래의 신체 인터넷에서도 우리 모두를 안전하게 지키는 열쇠인 견고한 감사와 보안 설계를 갖춘 훌륭한 방어가 중요한 이유입니다. 네, 나쁜 행위자, 네, 어쩌면 나쁜 국가, 모든 적들이 있을 수 있지만, 저는 소비자 보호 변호사로서 무책임한 기업 행동이 소비자에게 해를 끼치는 것을 걱정합니다.

고의가 아닐 수도 있고, 단지 조금 불합리할 뿐인데, 그래서 결국 사람들이 다치게 됩니다. 그리고 우리가 이렇게 더 복잡한 일에 뛰어들수록 처음부터 어떤 개인의 인권을 보호하고 싶은지, 어떤 개인의 소비자 권리를 보호하고 싶은지, 그리고 처음부터 그러한 권리를 보호하여 모두가 동일한 규칙을 따르도록 어떻게 해야 하는지 이해해야 합니다. Mirai 봇넷은 누군가가 코드를 제어하지 못해서 발생했습니다. 또 한 가지 흥미로운 점은 특허 괴물이 누군가를 공격할 때 악의적인 의도가 없을 수도 있다는 것입니다. 공급업체는 서비스를 중단해야 합니다. 그들은 반드시 나쁜 행위자는 아닙니다. 하지만 여전히 서비스를 거부합니다.

최근 세계보건기구(WHO)와 대화를 나누면서 모든 사람을 테이블에 앉혀 '이것이 지금 일어나고 있는 일이고, 이것이 우리가 해야 할 일이며, 이것이 우리가 해결하는 방법입니다. 이제 가세요'라고 말하려고 노력했습니다.

저쪽 분 질문해 주세요.

안녕하세요, 저는 Ben Berliner이고 Federal Computer Week에서 일합니다. McSweeney 위원님과 Slater님께 질문이 있습니다. 오늘 논의된 모든 소비자 보호 문제와 사물 인터넷 및 신체 인터넷 기기의 확산, 그리고 물론 Equifax 사건 이후에 국가 데이터베이스 알림법의 역할이 있다고 생각하시나요?

죄송합니다. 그 대답은 '예'입니다.

의회에서는 10년 동안 이 일을 하려는 관심이 있었습니다. 그리고 의회는... 그리고 우리는 의회를 사랑합니다. 따라서 작년에 하원 에너지 상무 위원회에서 법안을 발의했습니다. 법안 번호는 잊어버렸지만 기본적으로 데이터 침해 알림을 연방화하는 법안이었습니다. 주정부는 꽤 잘하고 있지만...

하지만 땜질식이고... 이제 50개 주 전체에 데이터 침해 알림법이 있는 것 같습니다. 따라서 우리는 작년에 에너지 상무 위원회에서 발의된 법안을 건설적으로 지지했고, 매우 일반적인 법안이었습니다. 모든 경제 부문에 적용되었고, 물론 의회는 의회이기 때문에 항상 위원회 간의 간섭이 있고 하원 금융 서비스 위원회는 조금 다른 데이터 침해 기준을 가지고 있었고, 그래서 우리가 알기도 전에 우리가 지지하지 않는 금융 서비스 데이터 침해 법안이 생겼습니다. 그래서... 우리는 의회에서 이런 상황에 처해 있습니다. 하지만 연방 데이터 침해 표준을 갖는다는 원칙에 대해... 그것은 제가 대표하는 기업들이...

건설적으로 협력하고 싶어 하는 것입니다. 최종 법안이 아직 없기 때문에 법안에 대해 확답을 드릴 수는 없지만...

특히 Equifax 침해 사건이 아니라 일반적인 침해 알림 문제에 대해 FTC는 오랫동안...

강력한 연방 침해 알림법을 지지해 왔습니다. 47개의 서로 다른 법률이 있기 때문입니다. 저는 개인적으로 그보다 더 강력한 것을 지지합니다. 우리에게는 포괄적인 데이터 보안법이 필요하다고 생각합니다. FTC는 소비자가 금융 신원을 보호할 수 있도록 툴박스에 더 강력한 도구가 필요하다고 생각하며, 특히 많은 양의 민감한 정보를 보유하고 있는 기업에 대해서는 정보 보유 방식에 대한 요구 사항뿐만 아니라 소비자로서 우리가 가질 수 있는 접근 권한과 제어 권한, 그리고 정보가 침해되었을 때 우리가 이용할 수 있는 구제책에 대한 요구 사항도 더 많아야 한다고 생각합니다. 많은 글이 침해 알림에 관한 것이지만, 침해 알림법은 실제로 공격을 방지하는 데이터 보안 표준을 부과하지 않습니다. 그리고 침해를 방지하려는 것이 침해로 인한 신체적 상해라면 침해 알림은 고통받는 사람에게 도움이 되지 않습니다. 따라서 그 차이를 구분하는 것이 중요합니다.

훌륭한 토론에 감사드립니다. 저는 Asha이고 현재 정보 기술 및 혁신 재단에서 인턴으로 일하고 있습니다. 질문이 너무 많아서... 저는... 저는... 사이버 보안 체인의 약한 고리인 인간에게 정말 집중하고 싶습니다. 그 문제를 어떻게 해결해야 할까요? 물론 최종 사용자 라이선스 계약을 읽도록 하는 것은 효과가 없거나 효과가 없었습니다. 의료 기기를 신체에 삽입하는 사람들이 자신이 하는 일의 모든 결과를 이해하고 기기 제조업체나 다른 누구에게도 책임을 전가하지 않도록 어떻게 해야 할까요? 하지만 이것도 그 일부입니다. 이 문제를 어떻게 해결할 수 있는지에 대한 의견을 듣고 싶습니다. 둘째, 특히 Janine에게 묻고 싶은 것은 병원 간, 병원의 정보 보안 전문가 간의 정보 공유를 어떻게 촉진하고 제도화할 수 있을까요?

두 가지 훌륭한 질문입니다. 첫 번째 질문에 대해 모두 답변해 주시겠습니까?

두 번째 질문에 첫 번째 질문에 대한 답변 중 하나가 있다고 생각합니다. 부족한 것은 번역입니다. 이러한 노력의 일환으로 기술 콘텐츠를 소비자가 이해할 수 있는 콘텐츠로 번역하는 것이 더 많이 필요합니다. 하지만 수신자뿐만 아니라 코드 제작자도 인간입니다. 우리는 바로 지난주에 소련 미사일 엔지니어가 컴퓨터의 계측기를 믿지 않아 잘못된 핵 발사를 막았다는 기사를 읽었습니다. 회의적인 태도는 좋습니다. 우리 자신의 가정을 테스트하는 것은 좋습니다. 전체 체인에 걸쳐 감사하는 것은 좋습니다. 따라서 개발자는 코드를 살펴보고 주의를 기울이며 자신의 인간성을 인식하고 이메일을 쓸 때 마침표나 쉼표를 빼먹지 않고는 긴 이메일을 쓸 수 없는 것처럼 우리 모두가 실수를 저지른다는 것을 인식해야 합니다. 코드 제작에서도 마찬가지입니다. 의사는 자신을 감사하고 환자 치료에서 사용하는 모든 기술 구성 요소를 파악해야 합니다. 환자는 좋은 정보에 접근하고 시간을 내어 이해하고 처리해야 하며, 우리는 번역 구성 요소를 도와야 합니다. 말씀드린 대로 저는 최근에 개인적인 삶에서 이것을 경험했기 때문에 일화를 하나 소개하고 훌륭하신 저희 아버지를 잠깐 언급하겠습니다. 저희 아버지는 80대 후반이고 거의 90세인 분치고는 기술에 정통한 분입니다. 정말 대단하시죠. 아버지는 최근에 보청기를 업데이트하셨는데, 이제 훨씬 더 똑똑하고 영리한 기술 장치를 사용하고 계십니다. 며칠 전에 아버지가 저희 집에 오셨는데 '집에서 작동하지 않아'라고 하시더라고요. '그럴 리가 없는데. 휴대폰에 무슨 문제가 있는지 볼게요'라고 생각했습니다. '어떤 이유에서인지 아빠는 저희 Wi-Fi에 로그인한 적이 없어서 Wi-Fi에 연결해 드렸더니' 놀랍게도 Wi-Fi에 연결되자 제대로 작동했습니다. 저는 아버지가 소비자와 소통하는 방법에 대한 질문의 복잡성을 잘 보여주는 사례라고 생각합니다.

아버지는 일종의 시연을 하고 계셨고, 의사들은 아버지가 기술을 잘 사용할 수 있을 만큼 충분히 잘 설명해 주신 것 같습니다. 하지만 완벽하지는 않았습니다. 그리고 우리는 의료 기기와 관련하여 의사가 이러한 대화를 나누는 데 도움을 주고, 의료 기기를 사용하는 환자를 돕고, 이러한 질문에 답하는 데 도움을 주는 기술 통역사와 같은 사람이 필요할 것이라고 생각합니다. 왜냐하면 이것은 완전히 새로운 교육이고, 사람들과 함께 해야 할 일이며, 마치... 지금 우리가 살고 있는 세상과는 다른 방식으로 사람들의 의료 기기를 위한 Geek Squad와 같은 고객 서비스와 기술 지원을 제공해야 할 것입니다.

Gail, Janine, 의견을 말씀해 주시겠어요?

두 가지 말씀드리겠습니다. 첫째, 아직 당황하지 마세요. 제 말은... 8월에 한 컨퍼런스에 참석했는데, AI에 대한 것이었고... 다시 한번 말씀드리지만 저는 업계의 관점을 제시하고 있습니다.

이미 알고 계시겠지만... 하지만 우리 모두 소비자이기도 합니다. 페이스북 관계자와 이야기를 나누는 것이 정말 흥미로웠는데... 이 사이보그 군대가 온다는 밈에 대해 이야기했습니다.

그리고 그 사람은 이렇게 말했습니다. '정말 흥미로운 점은 우리 인간이 아직... 우리 자신의 신경 경로를 매핑하는 방법, 추적하는 방법을 알아내지 못했다는 것입니다.' 그것은 지금 우리 과학의 수준을 넘어서는 것입니다. 아직 거기에 도달하지 못했습니다. 그래서 사이보그 군대를 만들려면 먼저 우리 자신의 뇌에 그렇게 할 수 있어야 하는데, 그런 일은 당장 일어나지 않을 것입니다. 이것이 중요하지 않다는 말이 아닙니다. 이러한 대화를 나누는 것은 정말 중요하고, 저도 오늘 여기에 있지만... 하지만... 하지만 아직 시간이 있고... 두 번째는 정보 공개와 소비자, 그리고 공급업체와 소비자 간의 정보 비대칭입니다. 이 맥락에서 정말 중요한 대화이며, 이것이 그러한 대화의 지름길이 될 수 있을지 궁금합니다. 왜냐하면... 아래로 스크롤하고 '동의'를 클릭할 때... 우리 모두 스크롤하고 '동의'를 클릭합니다... 장치를 신체에 삽입할 때... 소비자로서... 저는 소비자로서 말씀드리고 있습니다... 그것이 다른 제안일까요? 아니면 우리가 교수님이 말씀하신 인터넷과 베이컨 등 모든 것에 너무 익숙해져서 인터넷 배포의 다음 단계일 뿐이고 정보 공개는 정보 공개일까요? 저는 그 답을 알지 못하지만, 저보다 훨씬 똑똑한 사람들에게 흥미로운 질문이 될 것이라고 생각합니다.

저명한 분야에서는 수요가 많기 때문에 모두가 함께 해야 합니다. 정보 보안 연구자로서 저는 뉴욕에 살고 있고 워싱턴 D.C.가 어떻게 돌아가는지 잘 모릅니다. 많은 모임이 있고 저는 모든 병원에 아는 사람들이 있습니다. 제가 작업하고 있는 시스템에 문제가 있으면 다른 사람에게 전화해서 '이런 일이 일어나고 있습니다'라고 말할 수 있다는 것을 알고 있습니다. 또한 EMR 제조업체는 보통... 죄송합니다. 전자 의료 기록... 일종의 토론 게시판이 있어서 정보를 올리고 '이해가 안 돼요. 무슨 일을 하는 거죠?'라고 말할 수 있습니다. 그러면 다른 사람들이 의견을 제시해 줄 수 있습니다. 하지만 저는 많은 사람들을 멘토링합니다. 이제 DEFCON 바이오 해킹 빌리지에 대해 간략하게 말씀드리겠습니다. 바이오 해킹 빌리지는 생물학과 정보 보안에 중점을 두고 있으며, 7월/8월에 모두가 모여 대화를 나누는 곳입니다. 우리는 모두 서로를 알고 있습니다. 다시 한번 말씀드리지만, '여기서 무슨 일이 일어나고 있는지 모르겠지만 저쪽에 있는 친구는 알고 있어요'라는 식입니다. 그리고 제가 수년 동안 쌓아온 인맥 덕분에 지원 센터나 해당 장소에 있는 누군가에게 직접 전화해서 '이게 의도한 대로 작동하는 것 같지 않아요. 확인해 보세요'라고 말할 수 있습니다.

그 인맥에는 제조업체와 병원 관계자도 포함되나요? 아니면 해커뿐인가요?

저는 모든 사람에게 이메일을 보내 '이런 일이 일어나고 있습니다. 와 보세요. 좋은 생각입니다'라고 말합니다.

두 번째 질문인 정보 공유에 대해 말씀해 주셨네요. 다른 분들도 정보 공유에 대해 말씀해 주시겠습니까?

Nina가 언급한 한 가지 중요한 점은 연구자들이 정보를 교환하고 이러한 장치에 대한 연구가 법적으로 안전한 환경을 조성해야 한다는 것입니다. 따라서 우리 모두를 안전하게 만들려는 사람들은 자신의 연구가 공격으로 오해받을까 봐 두려워하지 않고 취약점의 정도를 탐구할 수 있습니다. 소비자 보호를 증진하기 위한 연구일 때 말입니다.

또한 정보 공유가 많더라도 정보 공유를 통해 얻은 교훈을 실행할 자원이 없다면 항상 문제가 발생할 것이라는 점을 덧붙이고 싶습니다.

따라서 최고 경영진의 참여가 항상 중요합니다. 그렇게 하는 방법은 많지만 항상 기억해야 할 중요한 점입니다. 정보 공유만으로는 충분하지 않습니다.

추가 질문이 있으신가요?

저쪽 분과 이쪽 분께 질문을 받고 시간이 있으면 다시 돌아오겠습니다. 네, 말씀하세요.

안녕하세요. 저는 변호사보다는 보안 전문가에 가깝습니다. 이것은 변호사에게 묻는 질문입니다.

원하는 대로... 하지만 현재 존재하는 법률... 오늘날 존재하는 연방 거래 판결에서... 여러 번 언급된 EULA, 즉 최종 사용자 라이선스 계약... 대부분의 소프트웨어에서 이 계약은... 농담입니다. 왜냐하면 기본적으로 공급업체의 모든 책임을 면제해 주기 때문입니다. 이러한 의료 기기의 경우 오늘날에도 마찬가지인가요? 저는... 저는... 거부할 선택권이 없습니다. 심박 조율기를 달아야 한다면 심박 조율기를 받아들여야 합니다. '이 EULA에 동의하지 않습니다'라고 말할 수 없습니다. 그들은 그런...

네, 무슨 일이 생기면 당신 잘못이죠.

구제책이 있나요?

상해... 답변해 주시겠습니까?

간단히 말씀드리자면 FDA의 사전 시장 심사 및 인증 범위에 따라 다릅니다. 주정부 차원에서 금전적 구제를 받을 수 있는 민사 소송 기회가 다릅니다. 말씀드린 대로 이러한 계약이 발전하는 방식은 전통적으로 계약법이 허용해 온 한계에 부딪히기 시작했습니다. 따라서 저는 일부 재구성이 이루어질 것으로 예상하며, 법원이 이러한 계약을 전적으로 집행하려는 의지가 있는지에 대해 연방 법원에서 의견이 분분합니다. 이러한 계약 중 일부에 물리적 신체적 상해가 수반되면 법원은 많은 경우 계약을 작성된 대로 집행하는 데 더욱 불편함을 느낄 것이라고 생각합니다. 특히 협상이 부족하고 일방적인 수정 조항이 있기 때문입니다. 경우에 따라서는 중재를 요구하고 사람들의 재판을 받을 권리를 박탈하는 조항이 있으며, 일부 순회 법원은 이에 대해 불편함을 느끼고 있습니다. 시간이 지남에 따라 점점 더 많아지고 있습니다. 저는 예전에... 저는 90년대 후반, 2000년대 초반에 기업 변호사였고, 그 당시에 제가 작성했던 계약은...

오늘날 우리가 보는 진화의 범위, 길이, 소비자에게 전가되는 위험의 범위를 알아보면 거의 알아볼 수 없을 정도입니다. 저는 법원이 이러한 맥락에서, 특히... 네, 이것은 책임에 대한 모든 범주에서 나타나는 주제인 것 같습니다. 우리가 그것을 책임이라고 부른다면 말입니다. 그리고 큰 의문은 이러한 장치가 사람들의 신체에 삽입될수록 기존 책임 시스템에 얼마나 많은 부담을 주느냐는 것입니다. 불법 행위가 있고 계약이 있으며, 우리는 특허에 대해 조금 이야기했습니다. 그리고 그것은 흥미로운 질문을 제기합니다. 의회가 모든 범주에 걸쳐 개입하는 시점이 언제일까요? 생각해 보면... 모든 지역구에 사람들이 있고...

우리 모두는 하원 의원들이 지역구에 매우 민감하다는 것을 알고 있습니다. 그래서 책임 제도가 일종의... 의회의 하나의 큰 법안으로 통합되는 시점이 언제일까요? 예를 들어 신체 인터넷에 대한 봇넷 공격이 발생하면 의원들은 끊임없이 전화를 받게 될 것이기 때문입니다. 그리고 저는... 저는... 여기서 제 권한을 훨씬 넘어서고 있지만 흥미로운 질문입니다. 의료 기기 분야(FDA의 지분이 더 많습니다)에서 조금 벗어나 더 일반적인 라이프스타일 분야에서는 거짓말을 해서 소비자를 속이거나 불합리한 데이터 보안 관행을 통해 불공정하게 대할 수 없습니다. FTC 책임과 관련하여 '우리는 매우 불공정하지만 모든 것을 말씀드리고 있습니다'라고 말하더라도 도움이 되지 않습니다.

도움이 되지 않습니다.

저쪽 분 질문해 주세요. 감사합니다. 저는 Jimmy Hoover이고 Law360에서 일합니다. McSweeney 위원님께 질문이 있습니다. 100년이 넘었다고 들었는데...

얼마나 오래되었는지...

FTC의 집행 시스템, 즉 사례 공개 및 소송 절차가 현재 신체 인터넷 시대에 어떻게 실패하고 있는지 구체적으로 말씀해 주시겠습니까? 그리고 그것이 최근 언론에 보도된 데이터 침해 사건의 흐름을 막을 수 있다고 생각하시는지 궁금합니다.

사후에... 네, '사후'라고 말씀하셨나요?

사후는 나쁜 일이 일어난 후에 조사를 하고 소송을 제기하는 것을 의미합니다. 미리 법률을 제정하는 것과는 대조적입니다.

규정을 만들어서 나쁜 짓을 하지 말라고 명확하게 말하는 것입니다. 알겠습니다.

따라서 FTC는 일반적인 권한을 가지고 있습니다. Gail이 아까 말했듯이 우리는 불공정하고 기만적인 행위와 관행, 불공정한 경쟁으로부터 소비자를 보호할 수 있습니다. 그것이 우리 법률이 말하는 것입니다.

지난 1세기 동안... U-dub 권한은 조금 덜하지만... 우리는 소비자가 오프라인 세계에서 온라인 세계로 이동함에 따라 소비자를 보호하는 능력을 발전시켜 왔습니다. 기본적으로 그것은 우리가 특히 사실이 아닌 기술 제품에 대한 주장을 단속할 수 있다는 것을 의미합니다. 따라서 제가 '세계 최고의 보안으로 당신의 정보를 보호하겠습니다'라고 말하고 정보를 잃어버리면...

문제가 될 수 있습니다. '저의 기술을 사용하시면 위치 정보를 추적하지 않겠습니다'라고 말하고 위치 정보를 추적하면...

문제가 될 수 있습니다.

따라서 일종의... 제품에 대한 진실을 말하고... 개인 정보 보호 정책 표준을 갖추고... 점점 더 합리적인 데이터 보안 관행 표준을 갖추는 것입니다. 합리적이라는 것은 우리가 법령을 해석하는 데 사용하는 표준이며...

합리적인 것은 모범 사례가 바뀜에 따라 바뀌지만...

하지만 매우 매우 천천히 바뀌고, 솔직히 말해서... 저는 이전에 공개적으로 말씀드렸지만 합리성의 기준은 극복하기에 매우 높은 기준이 아니기 때문에 소비자가 신원을 잃게 되는 많은 실패 사례를 보게 되며...

그것은 정말 큰 문제입니다. 따라서 저는 FTC가 가지고 있는 기존 권한으로 훌륭한 일을 해왔다고 생각합니다. 점점 더 연결된 경제와 세계에서 소비자를 보호하기 위해 최선을 다하고 있지만, 추가적인 권한이 필요하다고 생각합니다. 예를 들어 미국에 포괄적인 개인 정보 보호 법률이 있다면 좋을 것이라고 생각합니다. 데이터 사용과 관련하여 어디에 선을 그을지 더 잘 이해하고 미국에서 보다 보편적으로 적용된다면 좋을 것이라고 생각합니다. 우리가 오늘 이미 논의한 FTC에 몇 가지 추가 도구를 제공할 포괄적인 데이터 보안 법률이 있다면 좋을 것이라고 생각합니다. 또한 다른 전문 규제 기관과 협력해야 한다고 생각합니다. 연결된 자동차에 대한 솔루션은 의료 기기에 대한 솔루션과 조금 다를 것이며...

어쩌면 토스터와 같은 가전제품에 대한 솔루션과 조금 다를 것입니다.

따라서 우리는 다른 전문 규제 기관과 계속 협력하고 적절한...

우리가 이야기하는 특정 산업과 기술에 따라 적절한 선을 그어야 합니다. 더 많은 자원이 필요할 것입니다...

그리고 아마도 더 많은 위원이 필요할 것입니다.

위원님... FTC에는 1,100명의 직원이 있다는 사실을 사람들은 잊고 있습니다. 사람들은 FTC를 작지만 강력한 기관이라고 부릅니다.

네, 우리의 예산은 작년에 3억 달러였고 미국 소비자에게 140억 달러를 돌려주었습니다. 꽤 좋은 ROI입니다.

저는 또한 규제 문제에 관심이 있는 사람들에게 FTC와 FCC 이외의 기관도 살펴보라고 권하고 싶습니다. 당연히 매우 다른 임무를 가진 원자력 규제 위원회는 원자력 발전소 운영자에게 적용되는 매우 엄격한 규제를 가지고 있습니다. 하지만 그냥... 정말 엄격한 사전 규칙을 부과하여 어떤 일이 일어날 가능성도 방지하려고 한다면... 물론 완전히 없앨 수는 없지만 흥미로운 사례입니다.

질문이 있으신가요?

아니요.

괜찮습니다. 네, Equifax는 금융에 영향을 미쳤고 모두가 금융을 걱정합니다. 그리고 저는 그 이유를 이해하지만... 어떤 일이 일어날 때... 아니, 오히려... 누군가가 의료 기기를 해킹해서 당신의 신원뿐만 아니라 다른 모든 정보도 알아낼 경우 어떤 기관이 나서서 규제나 규칙을 만들어야 할까요? 왜냐하면 이식 장치에는 당신의 삶이 담겨 있기 때문입니다. 어떤 기관이 나서서 테이블을 마련하고 구제책이나 법률을 마련해야 할까요?

누가 답변해 주시겠습니까? 어려운 질문입니다. FTC가 자연스러운 출발점이겠지만...

FDA가 의료 기기를 어떻게 정의하는지에 따라 많은 것이 달라질 것입니다.

21세기 치료법의 법률 개정을 고려할 때 소프트웨어가 이 그림의 어디에 속하는지, 정의와 관련하여... 그래서 우리는 일종의 유동적인 시기에 있습니다. 일반적인 사례에서 우리는 침입 피해를 인지 가능한 피해로 인정했습니다. 따라서 저는...

일종의... 그 정보 중 일부는 거의 침입 피해와 같다고 말할 수 있다고 생각합니다. 금융 피해가 아닙니다. 아무도 당신의... 심장 정보를 훔쳐서 당신의 신원을 도용하여 신용 카드를 만들지는 않습니다.

맞습니다. 하지만 그게 어떻게...

하지만 당신의 이름이 거기에 있습니다.

좋은 지적입니다. 어떤 생체 정보... 그럴 수도 있습니다. 하지만 우리는 사람들의 침실에 있는 카메라를 켜는 것을 침입 피해로 인정했습니다.

기대하세요. 사물 인터넷에는 인터넷에 연결된 섹스 토이도 많이 포함되어 있기 때문입니다.

정말 흥미로울 것입니다. 우리는 아직 그 부분에 대해 이야기하지 않았습니다. 따라서 저는 일반적인 소비자 보호 집행... 즉, FTC가 침입 기반 피해를 살펴보고 침입 기반 피해를 기소하는 방법과 사람들을 위한 구제책을 마련하는 방법을 모두 생각하는 것을 보게 될 것이라고 생각합니다. 아무도...

다른 의견이나 질문이 있으신가요? 시간이 다 되었습니다.

존경하는 패널들에게 박수를 보내고 싶습니다.

완벽합니다. 토론은 저쪽 방에서 계속 이어질 수 있습니다.

거기서 뵙겠습니다. 대단히 감사합니다.

네.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment