[컬럼] “프라이버시 보호 프로그램 구축하라”
상태바
[컬럼] “프라이버시 보호 프로그램 구축하라”
  • 데이터넷
  • 승인 2022.11.25 14:09
  • 댓글 0
이 기사를 공유합니다

네이더 헤네인 가트너 리서치 부사장 “보안 솔루션만으로는 프라이버시 문제 해결 어려워”
▲ 네이더 헤네인(Nader Henein) 가트너 리서치 부사장

[데이터넷] 개인정보보호 규정이 성숙해짐에 따라 관련 규정에 대한 요구사항은 보다 엄격해지고 있으며, 프라이버시 위반으로 인한 영향 정의는 더욱 까다롭게 세밀해지고 있다. 신뢰 위반은 기업의 평판은 물론 재정적 및 규제적 측면에 큰 영향을 미치기 때문이다.

최근 발표된 ‘데이터 침해 비용 연구’에 따르면 기밀 정보가 포함된 데이터 분실 또는 도난 사건이 초래하는 평균 비용은 141달러로 나타났다. 메타는 케임브리지 애널리티카 사태 이후 사용자들의 신뢰를 저버렸다는 이유로 약 1000억 달러에 달하는 벌금형이 내려지기도 했다. 

이러한 사례는 개인을 넘어 조직, 그리고 기업이 정보보호 및 프라이버시 엔지니어링을 반드시 준수하는 제품 및 서비스를 선택하도록 한다.

프라이버시 엔지니어링 수용
프라이버시 엔지니어링은 설계, 배포, 거버넌스 등 다양한 방법론을 결합한 비즈니스 프로세스 및 기술 아키텍처에 대한 접근 방식이다. 이 프로세스에는 개인 데이터 처리 사용 사례에 대한 최적의 효용성을 유지하면서 개별 데이터 소유자에 대한 위험을 지속적으로 재정립하고 재조정하는 과정이 포함된다. 

무엇보다 보안 및 리스크 관리(SRM) 리더는 개인 정보에 대한 상황별 보호와 개인에 대한 위험 요소를 제공할 수 있는 능력을 기준으로 서비스를 평가해야 한다. 즉, 기존 기능의 용도를 변경하고 이를 개인 정보로 위장하려는 왜곡된 상황을 피해야 한다. 일련의 오퍼링을 구문 분석하는 가장 좋은 방법은 다음과 같은 기능적 질문에 답할 수 있는 솔루션의 능력을 테스트하는 것이다.

· 표준 기능이 OECD 개인 정보 8대 원칙(수집 제한, 정보 정확성, 목적의 명확성, 이용 제한, 안전성 확보, 공개, 개인 참가, 책임)을 해결할 수 있는 기능을 갖췄는가?
· 개인 정보를 다른 유형의 정보와 구별하고 개별 데이터 소유자에 대한 위험에 따라 이 정보를 다르게 처리하는가?

이미 시행 중인 솔루션을 검토할 때는 위의 평가를 수행하고, 제한 사항을 이해하며, 최선의 해결책을 모색하는 것 역시 중요하다.

프라이버시 엔지니어링 사용 사례
대부분의 시스템은 관계형 데이터베이스(RDB)를 사용해 정보를 저장한다. 이러한 DB는 쉽게 읽히고 수익을 창출할 수 있는 데다 방대하고 구조화된 저장소 형식으로 구성돼 있기 때문에 모든 공격자의 주요 표적이다.

가트너가 보는 대규모 개인 데이터 침해의 대부분은 공격자가 사용자 기록 DB를 유출한 결과다. 일례로 한 사건에서는 보안이 적용되지 않은 단일 DB 인스턴스에 의해 5억6000만 개 이상의 로그인 정보가 노출된 바 있다. DB 암호화는 장시간 사용됐지만 성능 및 검색 인덱싱에 악영향을 미치기 때문에 거의 사용되지 않는다.

SRM 리더는 애플리케이션 팀이 프라이버시 엔지니어링 지침을 준수할 것을 촉구하며 확인해야 하고, 애플리케이션 개발자가 개인정보를 분리해 다르게 처리하는 DB를 설계하도록 안내해야 한다. 이 경우 하나의 핵심 테이블은 다른 테이블에 대한 개별 참고 자료를 제공하며 식별 가능한 주요 사용자 데이터를 저장한다.

애플리케이션 설계자는 전체 데이터베이스를 암호화할 필요가 없으며, 해당 인덱스를 메모리 내에서 처리할 필요가 없다. 이는 공격자가 소유자와의 기록을 연결할 수 없게 함으로써 공격하려는 데이터를 무용지물로 만든다. 또한 해당 과정에서 데이터 체인이 끊기기 때문에 이 같은 공격이 개별 데이터 소유자에게 미치는 영향을 최소화할 수 있게 한다. 

개인 데이터를 보유하는 조직은 데이터 수집 목적이 여전히 유효하거나 법적 요구 사항(OECD 사용 제한 원칙)을 충족하는 경우에만 보유가 가능하다. 이러한 조건이 만료되면 정보도 폐기돼야 한다. 간단히 말하면 조직은 데이터 주체의 의사를 존중하고, 정보 노출을 제한해 사생활 유출 위험을 줄이기 위해 가능한 단시간 동안 개인정보를 보유해야 한다.

프라이버시 엔지니어링을 준수하는 솔루션은 데이터 유효성에 관한 기록을 유지하고, 보유 및 폐기할 수 있는 역량을 통해 데이터를 관리해야 한다. 또한 기록이 실제로 시스템에서 삭제됐는지 여부를 평가하는 데 주의를 기울여야 한다. 많은 개발자들이 DB 일관성을 유지하기 위해 기록을 삭제된 것으로 표기하고 사용자 인터페이스에서 숨긴다.

개별 데이터 소유자는 각자의 목적을 가지고 개인 데이터를 제공한다. 규제 또는 법적 보존 요구 사항을 제외하고, 해당 목적을 달성한 후에는 구조화된 데이터 보존 정책에 따라 데이터를 폐기하거나 익명화해야 한다.

보안 솔루션만으로는 프라이버시 문제 해결 어려워
조직은 액세스 제어 또는 인증된 암호화와 같은 보안 기능들을 종종 개인정보보호로 착각한다. 보안은 개인정보보호 요구 사항 해결을 위한 다양한 기능 툴 상자의 구성 요소 중 하나일 뿐이다.

궁극적인 목표는 접근 가능하고 효과적인 결과를 제공하는 것이다. 여기에는 SRR(Subject Rights Request)에 편리한 응답을 지원하는 기능, SAR(Subject Access Request)를 포함한 주체 접근 제품군, 그리고 업데이트 및 삭제 요청 기능들이 포함된다. 또 더 이상 필요하지 않은 개인 데이터를 수동 작업이나 복잡한 프로세스 없이 삭제할 수 있는 기능도 포함된다. 

이처럼 보안 관련 문제가 피해를 주면서 보안은 기능 점검표에 의해 측정돼야 하는 것이 됐다. 규정 준수를 통해 개인정보보호 문제를 해결하는 일이 없도록 세심한 주의를 기울여야 한다. 규정 준수는 보안이나 개인정보를 보장하지 않으며, 잘못된 보안 의식을 생성하기도 한다.

성공적인 SRM 리더는 개인의 데이터 처리 방식에 변화를 가져오는 것을 목표로 프라이버시 보호 프로그램을 주도한다. 이를 위해서는 시스템이 조직이 아닌 개인 데이터 소유자에게 미치는 영향을 측정해 개인정보, 데이터 민감도, 위험 등을 인식해야 한다. 

궁극적으로 SAR를 포함한 모든 SRR은 개인 기록에 대한 하이퍼웨어(hyperaware) 상태를 유지하고 필요시 이 지식을 바탕으로 조치를 취하는 조직의 능력에 달려 있다. 데이터 정보가 상주하는 위치를 식별할 수 없다면 대상 요청에 효과적으로 대응할 수 없다. 보안은 정보가 적절하게 보호되고 권한이 있는 사람만이 개인 기록에 액세스할 수 있도록 보장하는 개인정보에 대한 보조 역할을 한다.

보안 전용 솔루션만으로 개인 정보 보호 문제를 해결할 수 있는 경우는 드물다. SRM 리더는 전체 IT 및 거버넌스 툴을 살펴봄으로써 시야를 넓혀야 한다. 데이터 주체에 미치는 영향을 기준으로 우선순위화된 프라이버시 보호 리스크 레지스터를 유지하는 것을 고려해야 한다.

기록의 추적은 과제의 일부일 뿐이며, 측정도 마찬가지로 중요한 요소다. 솔루션이 OECD 개인 정보 8대 원칙을 준수할 수 있는 범위를 테스트하여 개인 정보 보호를 위한 별도의 측정 기준을 만들어야 한다. 이는 SRR에 대응하기 위한 시간과 비용을 계산하고 벤치마킹하는 것처럼, 간단하게 이뤄질 수 있다.

프라이버시 엔지니어링 지침 가이드
다음 지침은 프라이버시 엔지니어링을 준수해야 하는 SRM 리더를 위해 성공적인 개인 정보 보호 프로그램을 실행하는 데 필요한 기반을 제공한다. 해당 지침 목록은 완전하지 않으며, 계속해서 개발될 것이다.

■ 관찰
· 구조화된 메타데이터를 기록에 할당할 수 있는 솔루션을 개발하라. 이를 통해 다음의 항목을 지원할 수 있다.

- 기존 분류 체계를 방해하거나 대체해서는 안 되는 개인 데이터의 분류; 이는 시스템이 사용자 기록을 효과적으로 추적할 수 있도록 하기 위함이다.
- 데이터 최소화 및 데이터 보존 정책의 실행을 위한 개인 기록의 만료 날짜; 데이터 만료 시 유효 기간을 연장하거나, 정보를 익명화하거나 삭제할 수 있다.
- 리스크 기반 의사 결정을 지원하는 개인 기록에 대한 데이터 민감도 점수 측정

· 개인 정보를 처리하는 방법을 설명하기 위한 유효성 매트릭스를 개발 및 유지하라. 예를 들어, 동의와 관련된 테이블 자료는 개별 연락처의 세부 정보를 사용하는 방법을 안내한다.
· 개인 정보 처리를 위한 독립 로그를 유지 및 관리하라. 이는 다양한 데이터 주체의 권한을 지원하고 적법한 프로세스와 실제 사용사례를 입증하기 위해 데이터 수명 주기에 대한 과거 기록을 제공한다.

■ 강화
· 개인 정보 메타데이터를 사용하여 유효성 매트릭스에 대한 처리 활동을 검증할 수 있는 기능을 개발하라. 이를 통해 정보가 수집된 목적에 부합하고 개별 데이터 소유자에 대한 리스크에 따라 정보에 충분한 통제력을 제공할 수 있다.

· 과거 데이터가 새로운 유효성 매트릭스 모델로 변환되었는지 확인하라.
· 개인 데이터의 마스터 기록을 유지하고 필요에 따라 즉시 동적 마스킹을 수행하라. 복사본을 만들면 공격 표면이 확장되고 데이터가 더 많은 개인 정보 보호 침해 리스크에 노출된다.
· 데이터 보존 정책에 따라 타당성을 평가하고 수정 조치를 취하는 데이터 최소화 정리를 수행하라.

■ 소통
· 투명하고 외부 지향적인 개인 정보 보호 알림 시스템을 유지하라. 이는 데이터 주체에 대한 조직의 책임이다.
· 직원 및 파트너에게 개인 정보 취급에 대한 지침을 제공하는 내부 개인 정보 보호 정책을 통해 개인 정보 보호 고지의 약속을 시행하라.
· 외부 개인 정보 보호 정책에 부합하고 내부 개인 정보 보호 정책의 지원을 받은 안전한 리더십을 확보하라.

■ 권한 부여
개인이 데이터 주체 권한에 액세스하고 행사할 수 있는 안전한 사용자 대시보드를 제공하라. 이는 개별 데이터 소유자가 다음을 수행할 수 있는 기능을 포함한 인터페이스를 제공한다.

· 보관 중인 데이터 확인 및 구조화된 프로세스를 통한 수정 지원
· 데이터가 저장되는 위치 및 사용 방법 이해
· 해당 데이터에 액세스할 수 있는 사용자에 대한 이해
· 권한 집합 및 권한 호출 방법에 대한 개요
· 문의 및 대응에 대한 연락처 정보 제공


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.