유럽 일반개인정보보호법(GDPR) 시행이 2개월 여 앞으로 다가왔다. GDPR은 개인정보 적용 범위를 폭넓게 인정하고 있으며, 정보주체의 자기결정권을 강화했으며, 위반 시 막대한 과징금이 부과된다. GDPR 준수를 위해서는 서비스를 설계하는 단계부터 개인정보보호를 적용해야 한다. GDPR 준수를 위해 반드시 고려해야 할 사항을 확인한다.<편집자>
GDPR 준수를 위해서는 애플리케이션, 제품, 서비스 기본 설정을 ‘개인정보보호 적용 설계(Privacy by Design)’로 하는 것이 필수다. 만일 고객이 새로운 제품이나 서비스를 구매해 이용할 경우, 혹은 이미 구입한 제품이나 서비스에 새로운 기능을 추가하는 경우 사용자가 별도 조치를 하지 않아도 개인정보 설정이 자동으로 적용돼야 한다.
대중교통 시스템, 위치기반서비스, 센서기술, 원격의료, 대용량 데이터 분석 분야 등의 주요 애플리케이션은 반드시 검토가 필요하다. 특히 ▲CCTV ▲카지노·게임 시설에서 사용되는 생체인식 ▲스마트 미터, 스마트 그리드 ▲모바일 장치와 통신 ▲근거리 통신 ▲RFID와 센서 기술 ▲IP 지리적 위치 데이터 재설계 ▲원격가정 건강관리 ▲대용량 데이터, 데이터 분석 등의 분야에서는 특히 철저한 검토가 필요하다.
조남용 한국델EMC RSA 이사는 “GDPR은 방대한 영역에서 개인정보를 보호해야 하기 때문에 GDPR 규정 준수를 지원하는 정책과 표준을 마련하는 것이 필요하다. 이를 통해 비즈니스 운영 중 예외사항을 지정하고, 정책을 제어하는 과정이 절차에 부합되는 입증하고, 정책 개발 수명주기 프로세스를 효과적으로 관리해야 한다”며 “새로운 문제를 더 빠르게 해결하기 위해서는 체계적으로 관리되는 프로세스가 반드시 필요하다”고 말했다.
델EMC RSA 보안사업본부가 제안하는 GDPR 위험 관리 고려사항은 다음과 같다.
• 규정 내용 파악: GDPR에 대비하는 첫 단계는 GDPR의 99개 조항 모두에 대해 규정과 규정 요건을 명확하게 파악하고 이해하며, 요건이 조직에 어떻게 적용되는지 자세히 검토하고 확인하는 것이다. 법·규정 전문가의 자문을 받아 분석하는 것이 바람직하다.
• 현재 상태 파악: 어떤 데이터에 개인정보보호 의무가 적용되는지, 해당 데이터가 어디에 저장돼 있고 어떻게 사용되고 있는지 파악해야 한다. 데이터가 데이터센터 여러 시스템에 혼재돼 있기 때문에 자동화된 툴을 사용하면 데이터 양과 유형을 식별하는데 도움이 된다. 그러나 클라우드까지 분산돼 있는 데이터를 파악하는데 한계가 있으므로 데이터 거버넌스 프로세스를 잘 확립하는 것이 필요하다.
• 준비 상태 확인: 조직 내·외부로 전송되는 데이터의 인벤토리를 작성한 후, 기존 데이터 보안이 어떻게 이뤄지고 있는지 검토한다. 암호화된 데이터의 키관리 상태와 복호화 된 상태로 보관되거나 이동되고 있지 않은지 살펴보고, 데이터 거버넌스 정책과 백업, 복구 정책을 점검한다.
• 타사 위험 관리: 퍼블릭 클라우드나 외부 IT 서비스를 이용하면서 데이터를 공유할 때 GDPR 위험이 가중된다. 외부와의 계약을 문서화하고, 타사로 인해 발생할 수 있는 위험 수준을 진단하며, 타사 거버넌스를 최적화해야 한다.
• 빠른 대응 준비: GDPR에서는 침해사고를 인지하고 72 시간 이내에 보고하도록 하고 있다. 보안 침해가 일어나는 데는 몇 분밖에 안 걸리지만 보안 침해를 발견하기까지 수개월이 걸릴 수 있다는 사실을 감안한다면 빠른 준비 태세를 갖추는 것이 필요하다.
컨설팅·통합 솔루션으로 GDPR 대응
GDPR은 개인정보 관리에 대한 매우 강도 높은 규제 수준을 포함하고 있기 때문에 체계적인 대비가 요구된다. 데이터 관리 솔루션 기업 베리타스는 GDPR 자문 서비스와 ‘360 데이터 관리 솔루션’을 통해 기업/기관의 GDPR 준수 노력을 돕는다.
자문 서비스는 ‘베리타스 정보 거버넌스 프레임워크’에 따라 GDPR 핵심 요소를 중심으로 기업의 개인정보보호 체계가 얼마나 잘 대응할 수 있는가에 대한 평가를 실시하고 개선방향을 제시한다.
‘360 데이터 관리 솔루션’은 ▲데이터 위치를 파악하는 ‘인포메이션 맵(Information Map)’ ▲컴플라이언스 원칙에 따라 데이터 사용 현황을 분석하고 가시화하는 ‘데이터 인사이트(Data Insight)’ ▲데이터 수집·분석 기능을 제공하는 ‘e디스커버리 플랫폼(eDiscovery Platform)’ ▲데이터 아카이빙 솔루션 ‘엔터프라이즈 볼트(Enterprise Vault)’ ▲데이터 백업 솔루션 ‘넷백업(NetBackup)’ ▲클라우드를 위한 소프트웨어 정의 스토리지 ‘인포스케일(InfoScale)’ ▲서비스 레벨 목표(SLO) 관리를 제공하는 ‘레질리언시 플랫폼(Resiliency Platform)’ ▲개인정보 보호 위반 활동을 모니터링하는 ‘데이터 인사이트(Data Insight)’ 등으로 구성된다.
데이터 신뢰성·품질·정확성 높일 수 있어
GDPR이 광범위한 범위에서 개인정보를 보호하고 위반 시 막대한 과징금이 부과된다는 점 때문에 세계 많은 국가들의 반발을 사고 있지만, GDPR 덕분에 데이터 보호 체계가 효율화되고 있다는 장점도 있다.
베리타스가 지난해 발표한 보고서에 따르면 기업의 91%가 현재 GDPR 준수를 위한 문화를 갖추지 못한다고 답했지만, 92%는 GDPR 준수를 위한 노력이 지속되면서 바람직한 데이터 정제화를 통해 데이터 신뢰성을 높이고 데이터 품질, 정확성 향상과 함께 확실한 정책 이행 등 다양한 이점을 누릴 수 있을 것이라고 응답했다. 68%는 GDPR 준수를 통해 기업 비즈니스에 대한 더욱 강력한 데이터 인사이트를 얻고 이를 통해 보다 나은 고객 경험을 제공할 것이라고 답했으며, 68%는 비용 절감 효과를 거둘 수 있다고 답했고, 59%는 데이터 컴플라이언스를 통해 기업 평판 또는 고객 관계가 강화될 것이라고 내다봤다.
나아가 45%는 보다 나은 데이터 관리를 통해 비용을 절감하고 매출 증대 또는 시장 점유율을 높일 수 있을 것이라고 응답했으며, 25%의 응답자는 향상된 데이터 컴플라이언스를 통해 기업이 더 많은 직원을 채용해 보다 우수한 고객 서비스를 제공할 수 있을 것이라고 기대하고 있다.
GDPR 준수 노력을 통해 비즈니스 경쟁력을 제고할 수 있는 만큼, 기업은 과도하게 불안감을 갖거나 무사안일의 태도로 일관하기보다 규정을 정확하게 이해하고, 적용할 수 있도록 대처해야 한다.
