보안 / 프라이버시

GDPR 감사를 정확히 이행하기 위한 4 단계

Bob Violino | CSO 2018.07.30
유럽연합(EU)의 일반정보보호규정(General Data Protection Regulation, GDPR)을 준비하는 일은 기업에게 시간 소모적 작업이 아닐 수 없다. 불행한 일이지만, 준비만으로 끝난게 아니다. 이제 GDPR이 발효했기 때문에 컴플라이언스 수준을 평가하는 내부 감사(audits)를 정기적으로 이행해야 한다. 이 감사를 문서화하는 능력은 위반 또는 이의 제기 시에 극히 중요하다. 선의의 노력이 있었음을 증명할 수 있다면 엄청난 벌칙을 피하는데 도움이 되기 때문이다.


Credit: Getty Images Bank

위험 관리 컨설팅 업체인 컴플라이언스포인트(CompliancePoint)의 수석부사장이자 총괄 매니저인 그레그 스패로우는 "감사는 매우 중요하다. 책임(accountability)이 GDPR의 원칙 가운데 하나이기 때문이다. 그리고 조직은 '컴플라이언스 상태임'의 일환으로 프라이버시와 컴플라이언스 프로그램을 모니터링해야 한다"고 말했다.

이어 "아울러 감사는 조직이 자사 프로그램의 문제나 오류를 포착할 수 있게 해주고, 따라서 위반이 발생하거나 조사를 받는 경우 규제 기관에게 '상당한 주의(due diligence)'가 있었음을 실증할 수 있다"면서, "컴플라이언스는 '설치 후 방치하는 프로그램'이 아니다. 조직은 규제 준수는 물론이고 컴플라이언스 상태를 유지하기 위해 정기 모니터링을 해야 할 의무가 있다"고 덧붙였다.

보안 업체인 CSPi의 사이버보안 사업부 총괄 매니저인 게리 사우스웰은 "GDPR 감사를 이행해 예컨대 잊힐 권리, 데이터 이동성 등 요구된 과제를 처리하는 프로세스가 정착되어 있고 따라서 정보보호 임직원이 위반 발생 시 무엇을 해야 할 지 알고 있음을 확인하는 것이 중요하다"고 말했다.

사우스웰은 "감사를 통해 프로세스들을 철저히 조사함으로써 프로세스를 개선할 대책을 마련할 수 있다"며, "그러나 이 법이 의도한 문제의 발생 여부를 떠나, 이는 컴플라이언스의 한 핵심 요소, 즉 회사가 이 같은 프로세스를 적소에 배치해 운영 중임을 증명하는 것에도 해당한다. 특히, 이는 전반적인 조사 대응 태세를 강화하는 데에도 기여한다. 이는 데이터 소실 위험을 최소화하기 위해 모든 회사가 해야 할 일이다"고 말했다.

GDPR 감사에는 데이터 거버넌스, IT, 법률 및 인사 등 보안 외부의 사람이 관여할 가능성이 높다. 명백히, 대부분의 초점은 사이버 보안 프로그램에 주어질 것이다. 이제부터 업계 전문가들이 말하는 GDPR 감사의 핵심 단계들을 알아보자.

1. GDPR 감사 계획 수립
사우스웰은 첫 단계가 일반정보보호규정의 요건을 단계적으로 진행하는 서면으로 된 실행 가능하고 할당 가능한 각종 프로세스의 상세 계획을 수립하는 것이라고 말했다. 사우스웰은 "계획을 처음 만드는 사람들을 위해 ISO(International Standards Organization)에서 이에 대한 템플릿을 제공한다"며, "이는 GDPR의 요건에 특화된 것은 아니지만 누가, 무엇을, 언제, 어떻게, 하는가를 상세히 서술한 실행 계획을 적절히 만드는 법을 예시한다"고 말했다.

이 초기 단계의 일환으로 회사는 자신이 수집하는 EU 거주자 데이터가 무엇인지, 어디에 저장되는지, 어떻게 어디서 처리되는지를 평가해야 한다. 사우스웰은 "감사는 이런 데이터가 정확히 식별되도록 보장해야 한다. 일단 식별이 끝나면 컴플라이언스 활동이 구체화될 수 있다"고 말했다.

예를 들어, EU 거주자의 요청 시 데이터를 제거하거나 이전하기 위해 데이터를 추적하는 책임자는 누구인가? 사우스웰은 "이런 요청이 합법적인지를 어떻게 확인하는가, 데이터가 적절히 처리되었음을 어떻게 확인하는가, 데이터가 삭제되어야 한다면 데이터 백업을 비롯해 모든 저장소가 정확히 갱신되고 기록이 남도록 보장하는 프로세스가 있어야 한다"고 지적했다.

계획에는 어떤 EU 거주자 세부정보가 노출되었는지, 기록이 암호화에 의해 보호되는 지를 확인할 수 있는 방법을 포함해야 한다. 사우스웰은 "그렇다면 통지에 관한 단계들이 극적으로 달라진다"며, "감사는 각 사례가 어떻게 취급되는 지를 검증해야 한다. 우수한 관행이라면 완벽한 법적 감사 경로 역시 갖췄을 것이고, 이는 질문에 답하고 컴플라이언스를 증명하는데 기여한다"고 설명했다.

GDPR 감사 계획을 개발할 때 회사는 자신이 보유한 데이터를 데이터 수명주기에 걸쳐 알고 있어야 함을 유의해야 한다. 보안서비스 업체 시큐리티 스코어카드(Security Scorecard)의 컴플라이언스 총괄인 포아드 카릴은 "유감스럽지만, GDPR은 애매한 규정이어서 풀리지 않은 의문이 많다. 이 때문에 컴플라이언스의 복잡성이 늘어난다"며, "이 때문에 조직이 개인 정보의 수명주기 전체를 아우르는 감사 계획을 구현하도록 추천한다"고 말했다. 이는 개인 정보의 분류, 정보 위험, 보안, 공급망의 관리를 포함한다.

2. GDPR 컴플라이언스 갭을 찾고 결과물을 보고하기
조직의 현행 GDPR 컴플라이언스 프로그램을 검토하라. 스패로우에 따르면, 이는 정보 처리에 관한 기록, 정보 주체의 데이터 접근 요청 프로세스, 기술적 및 보안 제어 장치, 프라이버시 원칙, 및 데이터 전송 메커니즘을 포함한다.

스패로우는 "GDPR은 조직 내 여러 부서에 영향을 준다"면서, "감사의 발견 단계는 개인 정보를 처리하는 부서 또는 개인 정보와 관련된 거버넌스, 운영, 기술적 제어 장치를 담당하는 부서와의 면담 및 문서화/정책 리뷰로 구성된다"고 말했다. 여기서 GDPR 규칙에 대한 조직의 합치 능력이 좌우된다. 스패로우에 따르면, 발견 단계는 다음과 같은 요건을 충족하는데 있어 조직의 효율을 포함해야 한다:

- 정보 주체 접근 요청
- 프라이버시 원칙
- 기술적 및 보안 제어수단
- DPO 적용 여부
- 적합 판정이 내려지지 않는 EU외부 국가로의 데이터 전송
- 정보 처리자 감독 및 계약
- 데이터 위반 대응, 그리고 감독 기구 및 데이터 주체로의 통지
- 프라이버시 영향 평가 방법론
- 설계 및 기본 설정에 의한 데이터 보호의 실증
- 컴플라이언스 프로그램의 지속적 모니터링


발견 단계가 마무리되면 감사자는 합치되지 않은 현행 프로세스와 분야를 간략히 정리해야 한다. 여기에는 GDPR 규칙에 합치하는 조직의 역량을 증명하는 보고서의 생성이 포함된다. 스패로우는 보고서가 포괄적 결과물, 그리고 변화에 대한 추천들로 인해 광범위할 수 있다고 말했다. 또는 '합치' 또는 '비합치' 판정처럼 간단할 수도 있다. 이는 '비합치' 범주에 속하는 것은 무엇이든 교정을 요한다는 이해를 전제한다.

3. GDPR 컴플라이언스 갭의 우선 순위를 설정하고 교정
그 다음, 감사 팀은 특정 분야의 위험 수위를 기준으로 컴플라이언스에 위배되는 분야의 우선순위를 설정해야 한다. 스패로우는 "교정을 이행할 때에는 위험 기반 접근법을 취하도록 한다. 예컨대 각종 컨퍼런스에서 규제 기구들이 언급한 바에 따르면, 규제 기구들은 위반에 치중할 것이고, 정보 주체의 합법적 접근 요청을 용이하게 하는 조직의 능력에 주안점을 둘 것이다. 만약 조직이 이에 부족함이 있다면 이를 신속히 교정하도록 권장한다"고 말했다.

위험을 측정할 때 고려해야 할 요인에는 발생 확률, 규제와의 비-합치 수준, 위반의 발생 시 사업이 받는 영향 등이 있다. 발견 단계에서 드러난 GDPR 컴플라이언스 갭의 교정은 최고 위험 분야로부터 시작한다.

스패로우는 "규정의 광범위성과 요건의 다양성을 생각하면, 갭은 한 개인 또는 팀에 의해 교정되기 어려울 것이다"고 말하면서, "현실적 기한으로 적절한 교정 책임자를 골라 교정을 맡기는 것이 좋다"고 덧붙였다.

일부 교정 항목은 시간이 오래 걸릴 수 있음을 이해하는 것이 필수적이다. 예를 들어 기술적 교정 및 갱신은 예산 재할당 및 인력 증강을 요할 수 있고, 또는 정보 주체 권리는 일선에서 최종 이용자 요청을 처리하는 인력들을 위한 교육 과정의 개발을 요할 수 있다.

4. 교정 결과의 테스트
이제 감사 팀은 컴플라이언스 갭을 찾고 교정하는데 시간과 자원을 투자했으므로 조직의 프로세스와 시스템이 GDPR의 요건을 충족하는지 확인해야 한다. 조직이 배치한 제어수단을 테스트하고 재-테스트하여 갭이 치유되었음을 확인하고, 일어날 수 있는 모든 문제를 교정한다. 스패로우는 "갭이 치유되었으므로 요건이 충족되었음을 확인하는 감사를 해야 한다"고 말했다.

이는 진행형 프로세스임을 기억하라. 스패로우는 "프라이버시 및 컴플라이언스 프로그램이 예상대로 작용하고 있음을 확인하는 감사를 정기적으로 수행한다. 컴플라이언스 및 프라이버시 프레임워크를 지속적으로 감사하고 테스트해 모든 것이 정연한 상태임을 보장한다. 책임은 GDPR하의 한 원칙이고, 조직은 GDPR 요건을 충족하는데 있어 프라이버시 프로그램의 효과를 검증할 수 있도록 지속적인 모니터링 및 실행 프로그램을 구현해야 한다"고 말했다.

보안 관제 서비스 업체인 인텔리 시큐어(Inteli Secure)의 CSO 미차 더네이소우는 "GDPR 및 데이터 프라이버시의 요소들은 정기적 위험 분석에 통합되어야 한다"고 말했다. 더네이소우는 "예컨대 DPO의 임명이라든지, 정보처리 활동에 대한 기록 유지 등 모든 회사에게 해당하는 것은 아닌 법의 측면이 있다"며, "감사 자체가 요건에 대한 회사의 이해를 높이는데 기여할 수 있다"고 말했다.

GDPR 자율 감사의 특별한 혜택
GDPR 감사의 이행은 시간과 돈 그리고 여타 자원을 요한다. 그러나 투자에 따른 급부는 단순히 벌금의 위험을 줄이는데 그치지 않는다. 테라데이터(Teradata)의 글로벌 산업 전파자(global industry evangelist)인 존 티머먼은 "자율 감사를 훌륭히 수행하는데 따른 긍정적인 점은 이를 수행하는데 따른 비용과 노력을 압도한다"라고 말했다.

예컨대, 티머먼은 자율 감사를 고객 지원을 실증하는 한 방법으로 생각한다. 티머먼은 "GDPR의 영향을 받는 마케팅 조직은 얼마나 고객을 잘 보호하고 대변하는지를 통해 주도적이 될 것이다. GDPR을 기회가 아닌 명령으로 보는 조직이 많다는 것은 의외다"고 말했다.

그러면서 티어먼은 "시장의 주도자라면 고객 정보의 든든한 지킴이가 되기 위해 자신이 하고 있는 모든 것을 솔직히 공표할 것이다. 그리고 더 나은 오퍼, 더 나은 서비스를 제공하기 위해 데이터가 왜 어떻게 사용되는지를 고객에게 구체적으로 보여줌으로써 앞서나갈 것이다"라고 덧붙였다. editor@itworld.co.kr  
 Tags EU GDPR

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.