CIO
2018.05.28

GDPR 발효 후 기업이 해야 할 일

Tom Macaulay | Computerworld UK
5월 25일 GDPR이 발효됐다. 규제 준수는 발효일부터 계속 진행되는 과정이며, 정확히 규제가 어떻게 진행되는지에 대한 관심도 남아 있다.

포레스트 보안 및 위험 애널리스트 엔자 이아노폴로는 기업이 준비 상태에서 지속적인 규정 준수로 태도를 전환해야 한다고 충고했다. 이아노폴로는 “GDPR 발효는 이야기의 시작에 불과하다”고 말한다. 또, “현재 준비가 된 기업의 경우도 여전히 진행 중인 과제라고 간주한다. 프로세스 내에서 규정을 구축하고 기본적인 진행 규범을 확인하는 것은 항상 완료가 없는 과정이다. GDPR 같은 과정에서는 내부 감사나 규정 확립 등의 절차의 최종 단계가 있을 수 없다”고 단언했다.

아직 GDPR 대비가 되지 않은 조직은 많다. 이아노폴로는 이런 조직이 가장 위험이 높은 데이터 처리 활동에 초점을 맞추라고 권고했다. 이런 활동은 보통 민감한 개인 정보를 포함하기 때문이다.

사용자 동의 전략, 데이터 주체 권한, 정보 유출 알림 역시 우선 순위에 포함되며, 대규모 예측 분석 프로그램이 개인 식별 정보나 클라우드 데이터를 포함할 경우에도 해당된다.

GDPR 준수 추적 시스템
구형 시스템도 규정을 준수하는지 확인해야 하고, 신규 시스템은 자체 설계에 데이터 보호 기능이 내장되어 있어야 한다. 맥아피 데이터 개인정보 보호 전문가 나이젤 호돈은 “GDPR데이터 처리 처리 방식 변경 절차와 정책을 위한 확장 세트로 고려되지 않았다. 그러나 새로운 시스템은 모두 처음부터 데이터를 최소화하기 위한 베스트 프랙티스를 고려해서 설계되어야 한다. GDPR 발효 이후에도 여전히 대비하지 못한 부분이기도 하다”고 설명했다.

호돈은 “이제 기업이 데이터 유출을 발견하고 72시간 안에 데이터 보호 담당 기관에 유출 사실을 통보해야 한다. 위험을 최소화하려면 기업은 민감한 정보를 관리 기기에만 허용하고, 행동 분석을 사용해 비정상적인 활동을 감지하고, 규정 위반이 발생하면 신속하게 대응할 계획이 있어야 한다”고 말했다. 서드파티 기업은 더 큰 위험에 직면해 있다.

이아노폴로는 기업이 “서드파티와 관련된 위험뿐 아니라 서드파티 데이터 판매와 공유의 의미를 이해해야 한다”고 지적했다. 즉, 서드파티 기업이 GDPR을 준수하는 방식도 기업의 규정 준수 전략에 영향을 미치며, 따라서 체계적으로 위험을 처리해야 한다는 점을 명심해야 한다.

루커(Looker)의 수석 데이터 에반젤리스트 다니엘 민츠 역시 일회성 소거 장치보다는 장기적인 안목으로 데이터 관리 정책이 필요하다고 지적했다. 민츠는 “기업에 데이터 단일 액세스 포인터가 있어야 액세스 권한자와 활동을 안전하게 집중 관리할 수 있다”고 말했다.

데이터 전략이 구축된 후에는 모든 처리 과정이 명확하게 문서화되어야 한다. 정부 부처의 감사가 있다고 해도 문서화가 도움이 될 것이다. 이아노폴로는 “조직의 데이터 준수 작업에는 꼭 문서화가 병행되어야 한다. 문서화는 규제를 준수하고 있다는 기초적인 증거이며, 정부 부처가 갑자기 찾아와 GDPR을 준수하는 방식을 보여달라고 요구해도 문서화가 뒷받침이 될 것”이라고 덧붙였다.

GDPR, 당근과 채찍
GDPR 관련 뉴스에서 가장 눈에 띄는 것은 벌금 최대 금액이지만, 처벌은 궁극적으로 유출의 본질에 달려 있다. 조사 완료까지는 시간이 걸리고, 입장을 변호할 기회도 있지만, 중요한 권리 침해 사례에 대해서는 결국 벌금이 부과될 것이다. 이아노폴로는 집행이 강제적일 것으로 예상한다며, “몇 가지 사례를 겪으면서 규제가 정착될 것으로 내다본다. 각국의 데이터 담당 부처는 GDPR이 엄격한 규칙으로 자리 잡기를 바랄 것”이라고 전망했다.

그러나 기업은 GDPR이 가져오는 새로운 비즈니스 기회에 초점을 맞춰야 한다. 기업은 데이터 보호를 통해 비즈니스 차별화 요소를 만들고, 데이터에 민감한 사용자나 기업의 신뢰를 얻을 수 있다.

마이크로 포커스(Micro Focus) 제품 마케팅 및 정보관리, 거버넌스 책임자 조 가버는 GDPR 규제준수 일자를 통해 GDPR의 장점을 실현할 기회를 얻을 수 있다고 말했다. 가버는 기업이 “GDPR을 여러 각도에서 살펴보면서 프라이버시, 보안을 개선하고 제품이 진짜 데이터 가치를 발견할 수 있도록 기회를 발굴해야 한다. GDPR은 데이터를 더욱 총체적으로 관리하는 기본 단계에 해당하며, 기업이 저장하는 정보를 더욱 거시적이고 포괄적으로 바라볼 수 있을 것”이라고 진단했다. 가버는 GDPR 프로세스를 통해 데이터를 정리하면서 기업은 분석 도구를 활용하고, GDPR이 요구하는 개인 정보 보호 규정을 준수해 유용하고 정확한 인사이트를 얻을 수 있으며, 궁극적으로 기업과 사용자 모두 이익을 얻을 수 있다고 설명헀다. editor@itworld.co.kr   


CIO
2018.05.28

GDPR 발효 후 기업이 해야 할 일

Tom Macaulay | Computerworld UK
5월 25일 GDPR이 발효됐다. 규제 준수는 발효일부터 계속 진행되는 과정이며, 정확히 규제가 어떻게 진행되는지에 대한 관심도 남아 있다.

포레스트 보안 및 위험 애널리스트 엔자 이아노폴로는 기업이 준비 상태에서 지속적인 규정 준수로 태도를 전환해야 한다고 충고했다. 이아노폴로는 “GDPR 발효는 이야기의 시작에 불과하다”고 말한다. 또, “현재 준비가 된 기업의 경우도 여전히 진행 중인 과제라고 간주한다. 프로세스 내에서 규정을 구축하고 기본적인 진행 규범을 확인하는 것은 항상 완료가 없는 과정이다. GDPR 같은 과정에서는 내부 감사나 규정 확립 등의 절차의 최종 단계가 있을 수 없다”고 단언했다.

아직 GDPR 대비가 되지 않은 조직은 많다. 이아노폴로는 이런 조직이 가장 위험이 높은 데이터 처리 활동에 초점을 맞추라고 권고했다. 이런 활동은 보통 민감한 개인 정보를 포함하기 때문이다.

사용자 동의 전략, 데이터 주체 권한, 정보 유출 알림 역시 우선 순위에 포함되며, 대규모 예측 분석 프로그램이 개인 식별 정보나 클라우드 데이터를 포함할 경우에도 해당된다.

GDPR 준수 추적 시스템
구형 시스템도 규정을 준수하는지 확인해야 하고, 신규 시스템은 자체 설계에 데이터 보호 기능이 내장되어 있어야 한다. 맥아피 데이터 개인정보 보호 전문가 나이젤 호돈은 “GDPR데이터 처리 처리 방식 변경 절차와 정책을 위한 확장 세트로 고려되지 않았다. 그러나 새로운 시스템은 모두 처음부터 데이터를 최소화하기 위한 베스트 프랙티스를 고려해서 설계되어야 한다. GDPR 발효 이후에도 여전히 대비하지 못한 부분이기도 하다”고 설명했다.

호돈은 “이제 기업이 데이터 유출을 발견하고 72시간 안에 데이터 보호 담당 기관에 유출 사실을 통보해야 한다. 위험을 최소화하려면 기업은 민감한 정보를 관리 기기에만 허용하고, 행동 분석을 사용해 비정상적인 활동을 감지하고, 규정 위반이 발생하면 신속하게 대응할 계획이 있어야 한다”고 말했다. 서드파티 기업은 더 큰 위험에 직면해 있다.

이아노폴로는 기업이 “서드파티와 관련된 위험뿐 아니라 서드파티 데이터 판매와 공유의 의미를 이해해야 한다”고 지적했다. 즉, 서드파티 기업이 GDPR을 준수하는 방식도 기업의 규정 준수 전략에 영향을 미치며, 따라서 체계적으로 위험을 처리해야 한다는 점을 명심해야 한다.

루커(Looker)의 수석 데이터 에반젤리스트 다니엘 민츠 역시 일회성 소거 장치보다는 장기적인 안목으로 데이터 관리 정책이 필요하다고 지적했다. 민츠는 “기업에 데이터 단일 액세스 포인터가 있어야 액세스 권한자와 활동을 안전하게 집중 관리할 수 있다”고 말했다.

데이터 전략이 구축된 후에는 모든 처리 과정이 명확하게 문서화되어야 한다. 정부 부처의 감사가 있다고 해도 문서화가 도움이 될 것이다. 이아노폴로는 “조직의 데이터 준수 작업에는 꼭 문서화가 병행되어야 한다. 문서화는 규제를 준수하고 있다는 기초적인 증거이며, 정부 부처가 갑자기 찾아와 GDPR을 준수하는 방식을 보여달라고 요구해도 문서화가 뒷받침이 될 것”이라고 덧붙였다.

GDPR, 당근과 채찍
GDPR 관련 뉴스에서 가장 눈에 띄는 것은 벌금 최대 금액이지만, 처벌은 궁극적으로 유출의 본질에 달려 있다. 조사 완료까지는 시간이 걸리고, 입장을 변호할 기회도 있지만, 중요한 권리 침해 사례에 대해서는 결국 벌금이 부과될 것이다. 이아노폴로는 집행이 강제적일 것으로 예상한다며, “몇 가지 사례를 겪으면서 규제가 정착될 것으로 내다본다. 각국의 데이터 담당 부처는 GDPR이 엄격한 규칙으로 자리 잡기를 바랄 것”이라고 전망했다.

그러나 기업은 GDPR이 가져오는 새로운 비즈니스 기회에 초점을 맞춰야 한다. 기업은 데이터 보호를 통해 비즈니스 차별화 요소를 만들고, 데이터에 민감한 사용자나 기업의 신뢰를 얻을 수 있다.

마이크로 포커스(Micro Focus) 제품 마케팅 및 정보관리, 거버넌스 책임자 조 가버는 GDPR 규제준수 일자를 통해 GDPR의 장점을 실현할 기회를 얻을 수 있다고 말했다. 가버는 기업이 “GDPR을 여러 각도에서 살펴보면서 프라이버시, 보안을 개선하고 제품이 진짜 데이터 가치를 발견할 수 있도록 기회를 발굴해야 한다. GDPR은 데이터를 더욱 총체적으로 관리하는 기본 단계에 해당하며, 기업이 저장하는 정보를 더욱 거시적이고 포괄적으로 바라볼 수 있을 것”이라고 진단했다. 가버는 GDPR 프로세스를 통해 데이터를 정리하면서 기업은 분석 도구를 활용하고, GDPR이 요구하는 개인 정보 보호 규정을 준수해 유용하고 정확한 인사이트를 얻을 수 있으며, 궁극적으로 기업과 사용자 모두 이익을 얻을 수 있다고 설명헀다. editor@itworld.co.kr   


X