2018.05.04

토픽 브리핑 | 목전에 닥친 GDPR 발효, 기업과 사용자가 준비해야 할 것들

허은애 기자 | ITWorld
한 연구원이 개발한 페이스북 서드파티 앱이 일반적인 허용 범위를 넘어서는 광범위한 개인정보에 접속했다. 이 앱은 27만 명의 앱 사용자 데이터뿐 아니라, 무려 5,000만 명에 달하는 사용자의 민감한 정보에까지 자유롭게 접근할 수 있었다. 데이터 구매자가 다른 기업에 해당 정보를 재판매할 수 없다는 페이스북 내부 규정이 적용되지도, 사후 관리되지도 않은 것이다. 어떻게 이런 일이 가능했던 것일까?

유럽 개인 정보 보호 관리법(General Data Protection Regulation,, GDPR)이 5월 25일부터 모든 유럽연합 회원국에 적용된다. 단순한 데이터를 잘못 관리해도 최대 2,000만 유로나 매출 5%에 이르는 벌금이 부과될 수 있다. 유럽연합 회원국 28개국에만 적용되는 것이 아니라, 유럽연합 관할 내에서 운영되는 조직, 유럽연합 내의 행동을 모니터링하는 조직, 250명 미만의 작은 규모라도 정보처리를 통해 정보 주체의 권리와 자유에 영향을 미치고 민감한 개인 정보를 처리하는 조직은 모두 GDPR의 대상이 된다. 기업의 물리적 위치와는 관련이 없다는 점이 중요하다.

유럽연합 국가의 시민 데이터를 처리하는 기업이라면 2018년 5월 25일까지 GDPR에 대한 대비를 마치는 것이 좋다. GDPR은 EU 시민에게 부여된 의무 사항과 권리, 그리고 GDPR 운영과 구조, 벌칙을 정의하는 99개 조항으로 구성되어 있다. 사업 영역과 데이터 관리 수칙 등 직접적 영향을 끼치는 조항을 우선해서 살펴봐야 할 것이다.

“GDPR 대응 완료 기업 7% 불과”…SAS 글로벌 조사 발표
유럽 개인정보데이터보호법, GDPR에서 기업에 영향을 주는 조항들
GDPR 컴플라이언스 6단계

GDPR의 주요 영역은 개인정보보호 권리, 데이터 보안, 데이터 제어 및 거버넌스다. 특히 개인 데이터를 유럽연합 밖으로 전송하고 처리하는 문제가 주요 현안이기 때문에 클라우드 관련 업체의 주의가 요망된다. 데이터는 유럽연합 외에도 전 세계 어디에나 저장할 수 있으므로 기업과 클라우드 서비스 업체 모두 GDPR 위반의 책임을 질 수 있다.

개인 사용자에게 미치는 영향도 없지는 않다. 페이스북은 아일랜드에 데이터센터를 세우면서 세이프 하버 협정을 준수하려는 노력을 강조해온 기업 중 하나다. 그러나 최근 비유럽 회원 데이터를 아일랜드에서 미국으로 이전해 GDPR의 보호를 받는 데이터와 그렇지 않은 데이터를 분리하는 작업을 진행하고 있다. 유럽연합 사용자의 정보가 상대적으로 더욱 철저하고 투명하게 관리될 것이라고 예상할 수 있다.

GDPR과 클라우드 : 곤경에 빠지지 않으려면 알아야 할 것
IDG 블로그 | 페이스북, GDPR 피해 데이터 이전…클라우드 서비스 업체도 주의 필요
페이스북 사태로 보는 GDPR 프레임워크의 중요성

특히 전문가들은 보안 분야에서의 기업 지출이 점차 증가하고, 그 안에서도 프라이버시 규제 준수가 차지하는 비중이 커질 것으로 전망하고 있다. GDPR 내용 중에도 사물인터넷과 관련된 ‘프라이버시 최적화 설계(Privacy by Design)’ 조항이 존재한다. 기업이 “적절한 기술적 조직적 장치를 마련해 효과적으로 GDPR 규제를 만족하고 데이터 주체의 권리를 보호할 것”을 요구하는 조항이다.

데이터 처리와 관리, 감시 역할을 하나의 부서가 맡아서는 안 된다는 SoD(Separation of duties, 직무 분리) 개념을 더욱 철저히 적용하는 것도 조직이 해야 할 준비다. 보안 설계와 구현 책임자, 보안 테스트, 보안 감사, 보안 모니터링, 보고 책임자는 모두 각각 분리되어야 한다는 원칙은 GDPR 발효와 더불어 더욱 중요해졌다. 기업은 GDPR을 주의 깊게 검토하고, 고객 데이터 활용과 보호 정책을 다시 검토해 GDPR을 준수하는 SoD를 구축해야 한다.

2019년 IoT 보안 비용 15억 달러… 관련 규제도 한몫 : 가트너
직무 분리와 IT 보안
GDPR, 기업 블록체인 데이터베이스에 된서리 될까

아직 GDPR에 맞춰 내부 개편과 재조직 과정을 시작하지 않았다면, 남은 시간이 많지 않다. 사실상 거의 모든 고객 정보가 개인정보 데이터에 해당하기 때문이다. 기본 비용도 많이 든다. 따라서 대규모 정보 처리자인 글로벌 IT 기업에서 어떻게 GDPR을 대비하는지 살펴보고, 전사적 프로그램이나 고객 대상의 정보 보호 서비스를 구현할 때 참고할 점을 확인하는 것도 중요하다. IBM이나 델 EMC 등의 기업은 한 번에 완성되는 프로그램은 없다는 기조를 바탕으로 반복적인 사전 테스트와 점검, 예행연습을 가장 강조하고 있다.

IBM이 GDPR을 준비하는 방식
델 EMC가 GDPR을 준비하는 방법

그러나 아직 늦지 않았다. 기업은 지금이라도 새로운 규정을 지원할 방법을 고민하고, 기업 내부의 SLA를 업데이트해 GDPR 컴플라이언스 지침을 포함해야 한다. 연례적인 내부 컴플라이언스 감사를 시행해 GDPR 준수 역량을 정확히 파악하는 것도 방법이다. 유럽연합 회원국에서 서비스하지 않기로 했다면, 그 사실을 정확히 명시해야 한다.

향후 GDPR은 기업의 유럽 사용자 데이터 관리 방식에 대한 포괄적 규범으로 작용하고, 유럽 외 지역에서의 데이터 관리 정책에도 영향을 미칠 것으로 보인다. 기업은 데이터 관리를 정비하고, 정책과 문화를 쇄신함으로써 결과적으로 더 심도 있는 분석과 개선된 서비스를 내외부에 제공할 수 있다. 제한이 아니라 기회다. editor@itworld.co.kr 


2018.05.04

토픽 브리핑 | 목전에 닥친 GDPR 발효, 기업과 사용자가 준비해야 할 것들

허은애 기자 | ITWorld
한 연구원이 개발한 페이스북 서드파티 앱이 일반적인 허용 범위를 넘어서는 광범위한 개인정보에 접속했다. 이 앱은 27만 명의 앱 사용자 데이터뿐 아니라, 무려 5,000만 명에 달하는 사용자의 민감한 정보에까지 자유롭게 접근할 수 있었다. 데이터 구매자가 다른 기업에 해당 정보를 재판매할 수 없다는 페이스북 내부 규정이 적용되지도, 사후 관리되지도 않은 것이다. 어떻게 이런 일이 가능했던 것일까?

유럽 개인 정보 보호 관리법(General Data Protection Regulation,, GDPR)이 5월 25일부터 모든 유럽연합 회원국에 적용된다. 단순한 데이터를 잘못 관리해도 최대 2,000만 유로나 매출 5%에 이르는 벌금이 부과될 수 있다. 유럽연합 회원국 28개국에만 적용되는 것이 아니라, 유럽연합 관할 내에서 운영되는 조직, 유럽연합 내의 행동을 모니터링하는 조직, 250명 미만의 작은 규모라도 정보처리를 통해 정보 주체의 권리와 자유에 영향을 미치고 민감한 개인 정보를 처리하는 조직은 모두 GDPR의 대상이 된다. 기업의 물리적 위치와는 관련이 없다는 점이 중요하다.

유럽연합 국가의 시민 데이터를 처리하는 기업이라면 2018년 5월 25일까지 GDPR에 대한 대비를 마치는 것이 좋다. GDPR은 EU 시민에게 부여된 의무 사항과 권리, 그리고 GDPR 운영과 구조, 벌칙을 정의하는 99개 조항으로 구성되어 있다. 사업 영역과 데이터 관리 수칙 등 직접적 영향을 끼치는 조항을 우선해서 살펴봐야 할 것이다.

“GDPR 대응 완료 기업 7% 불과”…SAS 글로벌 조사 발표
유럽 개인정보데이터보호법, GDPR에서 기업에 영향을 주는 조항들
GDPR 컴플라이언스 6단계

GDPR의 주요 영역은 개인정보보호 권리, 데이터 보안, 데이터 제어 및 거버넌스다. 특히 개인 데이터를 유럽연합 밖으로 전송하고 처리하는 문제가 주요 현안이기 때문에 클라우드 관련 업체의 주의가 요망된다. 데이터는 유럽연합 외에도 전 세계 어디에나 저장할 수 있으므로 기업과 클라우드 서비스 업체 모두 GDPR 위반의 책임을 질 수 있다.

개인 사용자에게 미치는 영향도 없지는 않다. 페이스북은 아일랜드에 데이터센터를 세우면서 세이프 하버 협정을 준수하려는 노력을 강조해온 기업 중 하나다. 그러나 최근 비유럽 회원 데이터를 아일랜드에서 미국으로 이전해 GDPR의 보호를 받는 데이터와 그렇지 않은 데이터를 분리하는 작업을 진행하고 있다. 유럽연합 사용자의 정보가 상대적으로 더욱 철저하고 투명하게 관리될 것이라고 예상할 수 있다.

GDPR과 클라우드 : 곤경에 빠지지 않으려면 알아야 할 것
IDG 블로그 | 페이스북, GDPR 피해 데이터 이전…클라우드 서비스 업체도 주의 필요
페이스북 사태로 보는 GDPR 프레임워크의 중요성

특히 전문가들은 보안 분야에서의 기업 지출이 점차 증가하고, 그 안에서도 프라이버시 규제 준수가 차지하는 비중이 커질 것으로 전망하고 있다. GDPR 내용 중에도 사물인터넷과 관련된 ‘프라이버시 최적화 설계(Privacy by Design)’ 조항이 존재한다. 기업이 “적절한 기술적 조직적 장치를 마련해 효과적으로 GDPR 규제를 만족하고 데이터 주체의 권리를 보호할 것”을 요구하는 조항이다.

데이터 처리와 관리, 감시 역할을 하나의 부서가 맡아서는 안 된다는 SoD(Separation of duties, 직무 분리) 개념을 더욱 철저히 적용하는 것도 조직이 해야 할 준비다. 보안 설계와 구현 책임자, 보안 테스트, 보안 감사, 보안 모니터링, 보고 책임자는 모두 각각 분리되어야 한다는 원칙은 GDPR 발효와 더불어 더욱 중요해졌다. 기업은 GDPR을 주의 깊게 검토하고, 고객 데이터 활용과 보호 정책을 다시 검토해 GDPR을 준수하는 SoD를 구축해야 한다.

2019년 IoT 보안 비용 15억 달러… 관련 규제도 한몫 : 가트너
직무 분리와 IT 보안
GDPR, 기업 블록체인 데이터베이스에 된서리 될까

아직 GDPR에 맞춰 내부 개편과 재조직 과정을 시작하지 않았다면, 남은 시간이 많지 않다. 사실상 거의 모든 고객 정보가 개인정보 데이터에 해당하기 때문이다. 기본 비용도 많이 든다. 따라서 대규모 정보 처리자인 글로벌 IT 기업에서 어떻게 GDPR을 대비하는지 살펴보고, 전사적 프로그램이나 고객 대상의 정보 보호 서비스를 구현할 때 참고할 점을 확인하는 것도 중요하다. IBM이나 델 EMC 등의 기업은 한 번에 완성되는 프로그램은 없다는 기조를 바탕으로 반복적인 사전 테스트와 점검, 예행연습을 가장 강조하고 있다.

IBM이 GDPR을 준비하는 방식
델 EMC가 GDPR을 준비하는 방법

그러나 아직 늦지 않았다. 기업은 지금이라도 새로운 규정을 지원할 방법을 고민하고, 기업 내부의 SLA를 업데이트해 GDPR 컴플라이언스 지침을 포함해야 한다. 연례적인 내부 컴플라이언스 감사를 시행해 GDPR 준수 역량을 정확히 파악하는 것도 방법이다. 유럽연합 회원국에서 서비스하지 않기로 했다면, 그 사실을 정확히 명시해야 한다.

향후 GDPR은 기업의 유럽 사용자 데이터 관리 방식에 대한 포괄적 규범으로 작용하고, 유럽 외 지역에서의 데이터 관리 정책에도 영향을 미칠 것으로 보인다. 기업은 데이터 관리를 정비하고, 정책과 문화를 쇄신함으로써 결과적으로 더 심도 있는 분석과 개선된 서비스를 내외부에 제공할 수 있다. 제한이 아니라 기회다. editor@itworld.co.kr 


X