보안 / 프라이버시

직원의 코로나19 건강 데이터에 대해 'CISO가 알아야 할 사항'

Dan Swinhoe | CSO 2020.06.16
코로나19 팬데믹 위기에 다시 회사 문을 여는 기업은 누가 건강한지, 누가 아픈지, 누구를 격리해야 하는지 계속 추적해야 한다. 국제프라이버시전문가협회 (International Association of Privacy Professionals, IAPP)의 최근 조사 결과에 따르면, 고용주의 60%가 코로나19 진단을 받은 직원들의 기록을 유지하고 있다.  
 

이 민감한 새 데이터세트는 기존의 많은 보안 통제가 대규모의 재택근무로 인해 흔들리는 상태에서 생성됐다. CISO는 이런 데이터세트와 관련된 위험들을 파악해야 하며, 수집해야 할 데이터와 그 방법을 결정하는 데 도움을 줘야 한다.


코로나19 데이터 수집 시 CISO의 역할

수집하는 데이터의 종류와 보고서는 모바일 앱과 웨어러블 기기로부터 적외선 온도계와 열화상 매핑 등을 매개체로 하는 접촉 추적 조사와 자가 보고 건강 질문지에 따라 다르다. 이런 정보는 별개 정보일 수도 있지만, 동시에 직원의 건강에 대해 더 완전한 정보를 제공할 수 있도록 통합된 정보가 될 수도 있다.

포레스터의 수석 애널리스트 엔자 이아노폴로는 기업은 코로나19 관련 데이터 수집 방법을 신중히 생각해야 한다고 강조했다. 이아노폴로는 "조직이 안전한 환경을 유지하는 정책이 없는 상태에서 별도로 데이터를 수집하면, 직원은 감시를 받는다는 생각을 갖게 되기 때문에 신뢰 관계가 깨지고 책임 문제가 대두될 것이다"라고 경고했다.

데이터를 수집하기 전, CISO는 가장 순화된 방법으로 가능한 한 적은 정보를 수집하고, 데이터를 잃어버렸을 때 조직의 책임을 줄여야 한다고 주장해야 한다. 법률 업체인 오스본 클라크(Osborne Clarke)에서 디지털 헬스 팀을 책임지고 있는 마커스 바스 파트너는 “필요없는 데이터를 수집하고 싶은 욕심이 들 때가 있을 것이다. CISO가 사람의 마음을 집중시키는 간단한 방법은 데이터를 수집하면서 ‘만약 침해 사고가 발생하면 얼마나 큰 문제가 될까?’라는 질문을 하는 것이다”라고 설명했다.

데이터 보호 영향 평가(Data Protection Impact Assessments)나 프라이버시 영향 평가(Privacy Impact Assessment)는 기업이 수집할 가치가 있는 데이터, 수집 이유, 이 데이터를 보호하는 방법을 평가하는 데 도움을 준다. 또한, 데이터 수집 관련 문제나 데이터 사고가 발생했을 때 서류 상의 추적 자료와 증거를 제공한다. 

오스본 클라크의 안나 엘리옷은 “이런 양식은 데이터를 처리할 때 주의깊게 생각하도록 만드는 역할을 한다. 데이터에 요구되는 것, 데이터 이용 방법, 저장할 기간, 유지할 기간 등의 고려 사항을 반영해 위험 프로필을 평가한다. 이는 의료적인 증거, 사람들의 건강 정보에서 특히 중요하다”라고 말했다.

HR 부서가 코로나19 관련 추적 활동 가운데 상당수를 주도한다. 출발점으로 기존 데이터 유지 및 데이터 거버넌스 기준을 이 새로운 데이터에 적용한다. 이아노폴로는 “기존의 유지 및 거버넌스 정책만으로는 불충분하다. 일부 조직은 보안을 잘못 판단해 업무를 추진할 수 있다. 일부 CISO는 이런 대책 가운데 일부를 평가하는 데 관여하지만, 대부분 제대로 관여하지 않는다. 이는 아주 큰 위험이다”라고 지적했다.

CISO는 조직의 최고 데이터 보호 책임자(DPO), CIO, 법무 고문과 긴밀하게 협력해 해당 데이터와 관련된 위험 프로필을 정량화해, 적절한 통제책과 함께 데이터를 잃어버렸을 때의 사고 대응 계획을 수립해 이행해야 한다. 또 데이터 책임자와 위험을 파악하기 위해 비즈니스 부문과 협력해야 한다.

바스는 “직원에 대해 더 많은 데이터를 수집하고, 처음으로 건강 관련 정보를 수집하는 것이다. CISO는 DPO가 알려주는 허용되는 것들을 준수하기 위해 기술적 아키텍처를 바로잡는 사람이 되어야 한다. 건강 데이터를 중심으로, DPO의 승인이나 확인없이 데이터를 잘못 사용했을 때 DPO가 '말하지 않은 부분 아닌가요?'라는 말이 방어책이 되는 일이 있어서는 안 된다"라고 말했다.

HR 부서는 수집될 데이터, 보호 방법을 명확하고 투명하게 해 직원의 우려를 없애야 하며, CISO는 이를 지원해야 한다. 정책이나 절차를 도입하는 경우, 효과적인 커뮤니케이션을 통해 이런 정책과 절차를 인식하고, 이해하도록 만들어야 한다. 직원에게 이런 대책의 근거와 토대, 데이터가 수집되는 방식, 공유할 사람 등을 명확히 커뮤니케이션해야 한다. 엘리옷은 "직원에게 강요하지 말고, 이들의 동의를 얻어야 한다. 직원이 대책이 적절하다는 것을 수용하고, 여기에 동의하도록 만들 필요가 있다”라고 설명했다.


직원의 코로나19 데이터를 안전하게 보호하라     

재택근무로 인해 복잡한 문제가 하나 더 추가됐다. 개인 기기와 기업 기기, 일반 소비자용 홈 네트워크를 이용해 기업 시스템에 연결하는 것에 대해 보안 수준은 각기 다르며, 이로 인해 위험이 커진다.

국제회계감사기관 크롤(Kroll) 사이버 위험 부문 글로벌 책임자 제이슨 스몰라노프는 “직원의 코로나19 데이터에 대한 액세스 권한을 가진 사람은 이런 액세스가 필요하다는 것을 증명해야 한다. 또한 각자 자신이 할 일을 하기 위해 필요한 최소한의 데이터에만 액세스해야 하고, 민감한 데이터에 대한 액세스는 모두 로그로 기록해야 한다”라고 언급했다.

정보에 액세스한 사람, 액세스 방법(VPN이나 클라우드 기반 서비스에 대한 SSO(Single Sign-On) 등), 액세스에 이용한 기기와 위치 등으로 액세스에 대해 평가해야 한다. 또한 데이터에 대한 액세스 권한을 가진 사람 각각을 대상으로 홈 네트워크의 보안, 가정에서 정보를 인쇄할 수 있는지 여부, 해당 정보에 액세스할 수 있는 다른 가족 구성원에 대해서도 파악해야 한다.

오스본 클라크의 바스는 “문제가 발생할 가능성이 더 크다. CISO는 DPO와 협력, 원격으로 수행할 수 있는지, 또는 현장에서만 액세스해 처리하도록 구조화해야 하는지 여부를 평가해야 한다”라고 덧붙였다.  

정보를 익명으로 유지하는 것이 더 용이하지만, 더 자세한 정보를 원하는 조직은 이 새 데이터 세트를 기존 시스템과 연결하는 방법도 고려해야 한다. 기업이 책임을 경감하기 위해 가능한 데이터를 가명화해 유지할 계획을 갖고 있다면, 이런 건강 데이터를 영구적인 직원 기록과 연결하는 것이 문제가 될 수도 있다. 이런 연결 지점의 보안을 밀접히 모니터링해야 한다.

스몰라노프는 “수많은 기존 데이터를 새 데이터 구조로 옮기는 방법 대신, 코로나19 데이터를 기존 HR이나 의료 관련 부서 시스템과 연결하는 방법을 활용하는 것이 더 좋을 수 있다”라고 설명했다.

데이터 유지 및 폐지에 대해서도 명확히 규정할 필요가 있다. 영국 NHS(National Health Service)는 추적 앱이 수집한 개인 식별 정보를 20년 동안 보관하겠다고 발표했다. 하지만 민간 기업과 기관의 데이터 유지 기간은 이보다 훨씬 더 짧을 것이 분명하다. 바스는 “프로세스가 끝났을 때, 데이터를 폐지할 계획을 수립해야 한다. 일시적인 대책으로 데이터를 수집할 계획이라면, 종료가 되었을 때 관련 기술을 해체할 방법을 투명하게 준비해야 한다”라고 말했다.


코로나19 관련 데이터의 컴플라이언스 요건

영국과 유럽의 경우, GDPR이 건강 데이터를 ‘특별한 범주의 데이터’로 분류하고 있다. 이는 데이터 보호, 이를 위한 대책을 결정하는 데 필요한 정보를 제공할 것이다. 위치 데이터를 이용할 계획인 EU 소재 기업은 EU e프라이버시 지침(EU ePrivacy Directive)과 영국의 PECR(Privacy and Electronic Communications Regulations) 같은 규정도 염두에 둬야 한다.

GDPR에도 고려해야 할 변수가 아주 많다. 예를 들어, 프랑스의 고용주는 통상 건강 관련 정보를 수집할 수 없다. 독일의 경우, 직장 협의회(Work Councils)와 협의해 직원으로부터 수집할 데이터의 종류, 이유를 정당화해야 한다. 오스본 클라크의 엘리옷은 “모든 국가에 동일하게 접근할 수가 없다. 관련 지역, 국가 법을 결합해 반영할 필요가 있다. 건강 및 안전 관련 법과 프라이버시 법 아래 가장 중요한 의무들을 준수해야 한다”라고 설명했다.

GDPR에는 공중 보건과 관련된 예외 규정이 있다. 따라서 법적 요건을 살펴볼 때 데이터 수집에 대한 근거로 공중 보건 측면에서 비상 상황이라는 점을 이용할 수 있다. 현지 데이터 보호 당국은 코로나19 데이터 수집, 접촉 추적 앱 같은 기술에 대한 지침들을 발행한 상태다.

영국의 개인정보호보 독립기관 ICO(Information Commissioner's Office)는 팬데믹 위기 동안 고용주의 책무와 관련된 지침을 만들어 발표했다. 엘리옷은 "이 지침에 따르면, 데이터 보호가 직원의 건강과 안전 보호라는 더 중요한 책무를 방해하는 장애물이 되어서는 안 된다. 이런 지침은 현재 구속력이 없는 상태이며, 법에 반영되어 있지 않다. 따라서 상위의 법적 의무를 무시할 수 없다. 전체적으로 접근해야 하며, 상황에 상관없이 건강 및 안전 데이터 보호, 직원에 대한 법을 계속 준수해야 한다"라고 설명했다.

미국은 코로나19 데이터 적용 대상과 준수 요건이 명확하지 않다. 미국 의료정보보호법(HIPAA)의 경우 의료 및 건강 관련 데이터를 수집하는 경우를 포함, 적용이 되지 않는 기업과 기관이 있다. 반면 미국 장애인법(Americans with Disabilities Act, ADA)은 모든 직원들에게 적용되지 않는다. 캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA) 같은 주 정부 규정이 계획 수립의 기준이 될 수도 있지만, 주 별로 데이터에 대한 요건이 다를 것이다.

법률업체인 컬해인 매도우(Culhane Meadows) 파트너 피터 맥러플린은 “현재 가장 입장이 곤란한 사람은 CISO이다. 이런 데이터에 적용해야 할 보호 계층과 분류 체계가 명확하지 않기 때문이다. 사스(SARS), 신종 플루(H1N1), 후천성 면역 결핍증(HIV)에도 접촉 추적 앱이 사용되었기 때문에 이는 새로운 것이 아니다. 그러나 코로나19 데이터의 민감도가 명확하지 않다. 우리는 새로운 종류의 데이터를 가져온 후, 여기에 적용할 범주와 보호 수준을 파악하려 애를 쓰고 있는 중이다. 지나야 알게 될 것이다. 따라서 적절한 프로세스, 엄격한 프로세스를 일관되게 적용하는 것이 좋다”라고 말했다.

미국 기업은 (글로벌 GDPR 컴플라이언스 정책을 도입하지 않았다고 가정할 때) 데이터 보호와 관련된 결정에 도움을 줄 하나의 규정을 찾는 대신, ISO 27001, ISO 27002, ISO 27005, NIST의 데이터 프라이버시 프레임워크를 모범 사례로 활용하고, 기업의 특정 활동이 문제가 되었을 때를 대비해 의사결정 내용을 문서화하는 것이 좋다.

맥러플린은 “데이터를 잃어버리면, FTC가 가장 먼저 민감한 직원 정보를 잃어버렸으니, 무슨 문제인지 자세히 이야기를 하자는 편지를 보낼 것이다. 가장 먼저 물을 질문이 무엇일까? 무슨 일을 했는지 물을 것이다. 관련 문서와 서류를 제시하라고 요구할 것이다. 결정을 내린 근거, 그 과정, 프로세스를 물을 것이다. 이때, 기업이 한 일, 기술, 구성 등이 인정을 받는 기준과 일치한다는 것을 증명하면 도움이 될 것이다”라고 설명했다.


코로나19 데이터 수집 도구들을 평가하는 방법

데이터 수집 시스템 시장이 급성장해 이미 40여 개의 업체가 추적 시스템을 공급하고 있다. 그러나 이런 솔루션을 긴급히 도입해야 한다는 판단 때문에 ‘견제와 균형(checks and balances)’ 원칙이 훼손되고 있다.

바스는 “모든 것이 서두르면서, 평상 시 적용되던 규칙이 개인 데이터와 민감한 건강 데이터에는 면제된다는 잘못된 생각을 하는 경향이 있다. 이런 법은 철저히 지키지 않아도 된다고 생각은 문제가 될 가능성이 아주 많다”라고 지적했다.

전 미국 연방정부 CISO이자 현 카네기 멜론 대학의 하인즈 칼리지 교수 그렉 투힐은 코로나19 관련 애플리케이션에 대해 독립적인 침입 테스트를 실시한 제품을 선택하는 것이 좋다고 말했다. 투힐은 “평판 높은 애플리케이션 개발업체는 침입 테스트 전문가를 채용해 제품을 평가하고, 그 결과를 공유해 제품의 성능을 증명해 보이고 있다”라고 설명했다.

이에 대해서는 강점과 약점을 알려주는 리뷰를 확인할 필요가 있다. 여기에 더해, 해당 제품을 이용하는 고객에 대해 알려줄 것을 요청해야 한다(새로운 제품인 경우에는 어려울 수 있음). 또한 보안과 관련해 다음과 같은 고려 사항을 참작해야 한다.
 
  • 다중 인증(Multi-factor authentication, MFA)
  • 보관이나 전송 상태의 데이터를 암호화하는지 여부
  • 요청 시, 아티팩트를 남기지 않고 데이터를 삭제할 수 있는지 여부
  • 장치에 저장된 데이터의 종류
  • 전송되는 데이터의 종류와 전송 방법
  • 저장된 장소와 이를 관리하는 사람
  • 모니터링 및 로그 기록 기능, 성능
  • 데이터를 익명화, 가명화하는지 여부, 식별 가능 여부, 통합하는지 여부
  • 앱/시스템을 감사할 수 있는지 여부, 문서화했는지 여부
  • 데이터 유지 및 삭제 정책과 프로세스

스몰라노프는 “기업은 클라우드에 저장하고 있으니 자사의 문제가 아니라고 책임을 회피할 수 없다. 아웃소싱을 한 경우에도 시스템에 있는 모든 것이 자사의 책임이다”라고 강조했다.

이아노폴로는 일부 서드파티 기업은 이런 데이터를 이용하려 할 수 있다고 경고했다. 보험업체가 직장의 보험료를 책정하는 데 이 데이터를 사용하려 할 것이다. 이아노폴로는 "계약상 의무가 아주 구체적으로 규정되어 있어야 한다. 유지 정책과 관련된 내용을 살펴야 한다. 이런 데이터를 유지하려는 욕심이 들 기업이 아주 많다"라고 말했다.

애플리케이션 공급업체가 액세스를 규제하는 방법에도 관심을 기울여야 한다. 일부는 극히 예외적인 경우만 제외하고 ‘제로 액세스(zero access)’ 정책을 유지한다. 공급업체로부터 데이터를 가리고, 익명화하고, 식별 정보를 없애고, 가명화하고, 통합하는 방법에 대한 정보를 얻어야 한다. 

이아노폴로는 "신뢰할 수 있고, 윤리적으로 데이터를 취급하는 서드파티와 협력해야 한다. 데이터 관리와 프라이버시, 보안에 대한 모범 사례를 실천한 증거를 제시하지 못하는 서드파티와는 협력하지 않는 것이 좋다”라고 덧붙였다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.