2020.09.02

IDG 블로그 | 클라우드에서 데이터 주권 문제 다루기

David Linthicum | InfoWorld
금요일 오후, 노트북을 덮고 주말을 보내러 떠나려는 순간, 데이터가 불법적으로 국외로 전송되었다는 긴급 이메일을 받는다. 회사는 25만 달러의 벌금을 맞는다.

무슨 일이 일어난 것일까?
 
ⓒ Getty Images Bank

운이 나빴던 탓에 회사가 이용하는 클라우드 서비스 업체가 규제 데이터가 포함된 데이터베이스를 국외의 스토리지 시스템으로 백업한 것이다. 좋은 목적이었다. 비즈니스 연속성과 재해복구 목적으로 데이터를 다른 리전으로 재배치하면, 한 리전에서 문제가 생겨도 데이터가 손실될 위험이 줄어든다.

물론 클라우드 서비스 업체의 잘못이 아니다. 주로 발생하는 흔한 환경 구성 실수로, 클라우드옵스팀이 데이터를 둘러싼 법과 규제 문제를 제대로 파악하지 못했기 때문이다. 데이터베이스 관리자는 사고가 일어났을 때까지 몰랐을 가능성이 크다. 교육과 훈련의 부족이 이런 문제를 유발했고, 회사는 25만 달러를 눈앞에서 잃었다.

데이터 주권은 기술보다는 법적인 문제이다. 개념은 데이터가 그것이 수집되고 존재하는 국가의 법에 종속된다는 것이다. 법은 나라마다 다르지만, 대부분 국가는 어떤 경우에도 특정 종류의 데이터가 국가를 벗어나는 것을 허용하지 않는다. 암호화와 데이터를 누가 어떻게 처리해야 하는지를 강제하기도 한다.

국가마다 전용 데이터센터를 두고 있다면, 이들 법과 규제는 지키기 쉽다. 하지만 퍼블릭 클라우드를 사용한다면, 그것도 리전과 POP가 전 세계에 걸쳐 있는 서비스 업체를 이용한다면 문제는 복잡해진다. 잘못된 구성, 이해 부족, 단순한 실수가 벌금으로 이어지고, 평판을 떨어뜨리고, 경우에 따라서는 클라우드 컴퓨팅을 사용하지 못하게 될 수도 있다.

클라우드에서 데이터 주권 문제를 다루는 베스트 프랙티스 몇 가지가 부상하고 있다. 

우선 데이터 거버넌스 시스템은 투자한 만큼의 가치가 있다. 데이터와 직결된 규제 문제를 다룰 때, 이들 시스템은 기업이 곤란에서 벗어날 수 있도록 해준다. 데이터가 위치한 국가의 법을 반영해 설정한 데이터 정책을 사람이 위반하도록 허용하지만 않으면 된다.

교육과 훈련은 또 하나의 중요한 요소이다. 데이터 주권 문제 대부분은 사람의 실수 때문에 일어난다. 데이터를 만지는 모두가 규제에 대한 지식을 갖추어야 한다. 많은 나라가 이를 강제 규정으로 두고 있다.

데이터 주권 문제를 다루는 것을 전문으로 구축한 보안 시스템을 이용해도 좋다. ID 기반의 보안 시스템은 데이터의 ID를 기반으로 한 특별한 보안 필요성을 다룰 수 있으며, 규제에 맞춰 데이터를 암호화하고, 또한 데이터가 국외로 전송되거나 다른 방법으로 도난당하지 않도록 한다.

이 문제에 관해 마법 같은 해결책은 없다. 각국이 점점 더 데이터를 관리하는 방법에 민감해지고 국제적인 퍼블릭 클라우드 이용은 점점 더 확산하면서 더 많은 문제가 일어날 것이다. 기업은 선제적으로 조치를 하라는 권고를 충분히 받았다. 그렇지 않으면 상황은 금방 나빠질 수 있다. editor@itworld.co.kr


2020.09.02

IDG 블로그 | 클라우드에서 데이터 주권 문제 다루기

David Linthicum | InfoWorld
금요일 오후, 노트북을 덮고 주말을 보내러 떠나려는 순간, 데이터가 불법적으로 국외로 전송되었다는 긴급 이메일을 받는다. 회사는 25만 달러의 벌금을 맞는다.

무슨 일이 일어난 것일까?
 
ⓒ Getty Images Bank

운이 나빴던 탓에 회사가 이용하는 클라우드 서비스 업체가 규제 데이터가 포함된 데이터베이스를 국외의 스토리지 시스템으로 백업한 것이다. 좋은 목적이었다. 비즈니스 연속성과 재해복구 목적으로 데이터를 다른 리전으로 재배치하면, 한 리전에서 문제가 생겨도 데이터가 손실될 위험이 줄어든다.

물론 클라우드 서비스 업체의 잘못이 아니다. 주로 발생하는 흔한 환경 구성 실수로, 클라우드옵스팀이 데이터를 둘러싼 법과 규제 문제를 제대로 파악하지 못했기 때문이다. 데이터베이스 관리자는 사고가 일어났을 때까지 몰랐을 가능성이 크다. 교육과 훈련의 부족이 이런 문제를 유발했고, 회사는 25만 달러를 눈앞에서 잃었다.

데이터 주권은 기술보다는 법적인 문제이다. 개념은 데이터가 그것이 수집되고 존재하는 국가의 법에 종속된다는 것이다. 법은 나라마다 다르지만, 대부분 국가는 어떤 경우에도 특정 종류의 데이터가 국가를 벗어나는 것을 허용하지 않는다. 암호화와 데이터를 누가 어떻게 처리해야 하는지를 강제하기도 한다.

국가마다 전용 데이터센터를 두고 있다면, 이들 법과 규제는 지키기 쉽다. 하지만 퍼블릭 클라우드를 사용한다면, 그것도 리전과 POP가 전 세계에 걸쳐 있는 서비스 업체를 이용한다면 문제는 복잡해진다. 잘못된 구성, 이해 부족, 단순한 실수가 벌금으로 이어지고, 평판을 떨어뜨리고, 경우에 따라서는 클라우드 컴퓨팅을 사용하지 못하게 될 수도 있다.

클라우드에서 데이터 주권 문제를 다루는 베스트 프랙티스 몇 가지가 부상하고 있다. 

우선 데이터 거버넌스 시스템은 투자한 만큼의 가치가 있다. 데이터와 직결된 규제 문제를 다룰 때, 이들 시스템은 기업이 곤란에서 벗어날 수 있도록 해준다. 데이터가 위치한 국가의 법을 반영해 설정한 데이터 정책을 사람이 위반하도록 허용하지만 않으면 된다.

교육과 훈련은 또 하나의 중요한 요소이다. 데이터 주권 문제 대부분은 사람의 실수 때문에 일어난다. 데이터를 만지는 모두가 규제에 대한 지식을 갖추어야 한다. 많은 나라가 이를 강제 규정으로 두고 있다.

데이터 주권 문제를 다루는 것을 전문으로 구축한 보안 시스템을 이용해도 좋다. ID 기반의 보안 시스템은 데이터의 ID를 기반으로 한 특별한 보안 필요성을 다룰 수 있으며, 규제에 맞춰 데이터를 암호화하고, 또한 데이터가 국외로 전송되거나 다른 방법으로 도난당하지 않도록 한다.

이 문제에 관해 마법 같은 해결책은 없다. 각국이 점점 더 데이터를 관리하는 방법에 민감해지고 국제적인 퍼블릭 클라우드 이용은 점점 더 확산하면서 더 많은 문제가 일어날 것이다. 기업은 선제적으로 조치를 하라는 권고를 충분히 받았다. 그렇지 않으면 상황은 금방 나빠질 수 있다. editor@itworld.co.kr


X