보안 / 프라이버시

IBM이 GDPR을 준비하는 방식

Tom Macaulay | Computerworld UK 2017.12.01
글로벌 IT 업체인 IBM은 세계 최대의 정보 처리자 가운데 한 곳이다. 따라서 곧 발효될 유럽 개인정보보호규정(GDPR) 준수에 만전을 기하는 것이 필수적이다. 이를 위해 고객들에게 다양한 정보보호, 보안, 관리 서비스를 제공하고 있으며 내부에도 이와 동일한 준비 프로그램을 전사적으로 도입 중이다.

이 준비 프로그램은 일련의 작업 흐름으로 분할해 IBM의 다양한 분야를 담당한다. 예를 들면 IBM이 더 웨더 컴퍼니(The Weather Company)와 같은 자회사에게 제공한 서비스, IBM 제품 사용 고객에 대한 IBM의 정보처리 방식, 그리고 내부적으로는 물론 외부 고객에 의해 사용되는 공통서비스 등을 통해 IBM의 정보 통제 업무를 평가하는 것이다.

IBM의 글로벌 GDPR 전도사 리차드 호그는 "IBM의 준비가 진행됨에 따라 준비 프로그램 역시 진화하고 있다"고 소개했다. 호그는 "최근에 추가된 작업 흐름은 감사(audit)에 관한 것이다. 규정 준수 여부와 규정 준수가 다른 작업 흐름에도 유지되고 전사적으로 실행되는지 확인하고 검증하게 될 것이다"고 설명했다.

IBM은 GDPR 관련 절차 개발 과정을 계속 문서화하고 있다. 따라서, 규정 준수를 위해 내부적으로 취한 조치를 규제 당국에게 명확하게 전달해줄 수 있을 것이다.

정보 파악
GDPR은 각 회사가 보유 정보의 종류와 보유 장소를 상세하게 파악하는 것을 의무화하고 있다. 호그는 "이제 GDPR이 발효되면 집중적으로 개인정보와 민감 정보가 무엇인지 정확히 알아야 한다. 해당 정보에 대한 추가적인 정보보호 의무가 있을지도 모르기 때문이다"고 설명했다.

IBM은 이런 정보를 파악하고 분류하기 위해 '경로 프레임워크(pathways framework)'라는 것을 개발했다. 회사의 최고정보책임자와 최고정보보호책임자가 앞장서서 각 사업부마다 주요 연락책을 지정해 두고 규정 준수를 책임진다. 이들은 각자의 작업 흐름과 차이 분석 평가에 따라 해야 할 일의 정확한 범위와 일정을 파악하게 된다.

호그는 "첫 단계는 정보보호위험 영향평가와 고급 매핑을 실시하는 것"이라고 말했다.
IBM의 주요 사업부와 서비스는 GDPR 준수 목표에 이르는 경로 상에서 현재 어느 위치에 있는지 평가받는다. 그 후 IBM은 각 작업 흐름의 공백을 채울 프로그램을 개발하고 필요한 기술 대책과 조직 대책을 수립한다.

이 과정에는 우선순위 정보 출처에 대한 상세한 검색 작업이 수반된다. 개인정보의 일부는 중앙 목록에 정리해 둔다. 회사가 정보 처리 활동 기록을 관리하고 규제 당국이나 정보 주체의 관련 요청에 대응할 수 있게 하기 위함이다.

IBM 왓슨 헬스(Watson Health)를 통해 얻어진 것과 같은 고위험 정보는 특히 집중해서 평가해야 할 분야다.

170개국 이상에서 영업중인 IBM은 세계 곳곳에서 중복되는 많은 규정을 충족해야 한다. 직원들이 개인적인 의무는 물론 규정 준수 요건을 반드시 이해하게 하기 위해 회사에는 정기적인 교육을 실시하고 특별히 GDPR 대비를 위한 프로그램을 내놓고 있다.

호그는 "정보보호와 정보 윤리는 IBM의 기본적인 핵심 부분이며 전 직원 대상 연례 윤리 교육 내용에 모두 포함되어 있다"며, "그 위에 집중적이면서도 간단하게 GDPR를 추가하는 것이다"고 설명했다.

개인정보보호 최적화 설계
GDPR은 전사적으로 포함된 개인정보보호 최적화 설계(privacy by design)를 매우 강조한다. 이런 원칙들은 IBM에서 이미 관리의 기반이었다. 단, GDPR의 구체적인 요건 충족을 위해 IBM은 관행을 새롭게 정비했다.

호그는 "당사 제품 및 서비스에 대해서는 그야말로 하나도 빠짐없이 정보보호 영향 평가를 실시해 오고 있다. 각 제품이 정확히 어떤 개인 정보를 어떻게 다루는지 상세하게 살펴본다"고 설명했다.

이런 평가의 대상은 정보의 생성, 캡처, 저장 방식이며 개인 식별자의 한 형태인 IP 주소의 처리까지 포함된다. IBM과 같이 전사적으로 수준높은 정보보호 관행이 이미 자리잡은 회사의 경우, GDPR은 사업에 지장을 주는 대신 도리어 관행 개선의 기회가 될 수 있다.

호그는 "정보가 그 생애 전반에 걸쳐 올바로 파악, 처리되고 있는지 확인할 절차에 집중하고 전반적으로 강화할 수 있는 기회가 있다"고 말했다. IBM에는 보안 위반을 감시, 처리, 보고할 수 있는 절차가 이미 있었는데 GDPR 관련 의무를 충족할 수 있도록 개정되었다.

GDPR 하에서는 데이터 주체의 동의 요건 역시 강화된다. 구체적이고 상세하며 감사 가능해야 한다. 따라서 IBM은 각 사업 분야를 점검해 사용자 동의가 필요한 시점을 파악했다.

호그는 "동의는 반드시 해야 하거나 모든 곳에 적용해야 하는 만병통치약이 아니다"고 지적했다. "GDPR 상의 합법적인 6가지 처리 종류 가운데 하나일 뿐이다. 동의하기로 선택하는 것은 가장 힘들고 부담스러운 의무를 지는 것이다. 오늘날 우리가 처리 중인 여러 종류의 개인정보는 이미 정상 업무 과정에서 합법적으로 처리되고 있다. 따라서 모든 것에 대해 다 동의해야 할 필요는 없을지도 모른다. 그래도 IBM은 모든 서비스를 고객과 함께 검토하면서 어떤 것에 동의가 필요할지 판단한다. 회사 쪽은 물론 데이터 주체에게도 그 부담을 간소화하고 통합시켜 줄 전사 공통의 동의 서비스를 추진하고 있다."

새로운 권리
GDPR은 정보 주체에게 일련의 강화된 주체 접근권을 부여한다. 정보를 제공받을 권리, 수정 권리, 삭제 권리, 정보 이동성에 대한 권리 등이다. IBM은 이런 요청에 대응하기 위해, 전사적 정보 수집 및 정보 관리를 통해 요청을 캡처, 인증, 증명할 수 있는 기능을 갖췄다.

호그는 "정보 주체 요청자를 인증한 후에는 그 사람에 관한 정보가 있을 만한 15곳을 빠르게 찾아낼 수 있다. 그 곳으로 이동해 심도있는 검색을 통해 해당 정보를 수집, 분석하고 검토한다"고 설명했다.

회사들이 정보 주체의 요청을 다 이행할 의무는 없다. IBM은 다른 책임사항과 GDPR 상의 회사 요건과 맞게 요청을 관리하기 위해 정보관리 정책 및 법적 보류 의무를 검토했다.

다른 회사에 대한 호그의 조언은 간단하다. "기다려서는 안된다. IBM 관점에서 볼 때 내년 5월에 대비가 되어 있으려면 최소한 정보보호 영향 평가는 완수해야 한다. 자사의 고객 중에는 이제서야 시작하는 경우도 있지만 완료할 시간은 아직 있다. 그 다음에는 해당 기업의 개인 정보와 그 위치, 혈통, 처리 내용이 포함된 초기 목록을 준비한다. 이는 내년 5월 규제 당국이 들이닥칠 경우에 제30조 대응의 일환으로 활용할 수 있는 기본 자료가 될 것이다. 준비 프로그램은 진화할 것이다. 따라서 특정한 한 가지 설계나 정책에 갇혀서는 안된다. 프로그램은 진화하고 반복을 거치게 될 것이다. 총 점검이나 예행 연습이 시작되면 특히 그렇다. 총 점검 또는 예행 연습은 어떤 프로그램에도 존재해야 하는 핵심 테스트다." editor@itworld.co.kr  
 Tags IBM GDPR

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.