지난 5월 25일 유럽연합 개인정보보호법 GDPR(General Data Protection Regulation)이 발효됐다. GDPR은 기업과 공공기관의 고객 관련 정보 처리 방식에 근본적인 변화를 가져와 정보 주체의 개인정보 보호 권리를 강화하고 유럽연합 전역의 데이터 처리에 관한 법률을 통합한다.
GDPR은 유럽연합이 제정한 규정인데 유럽연합 외부에 존재하는 조직에도 영향이 있느냐는 질문이 많다. 글로벌 기업이라면, 이 질문에 대한 답은 ‘그렇다’이다.
자국이나 유럽연합 이외의 지역에서만 거래와 배송이 이루어지는 소규모 비(非) 유럽연합 기업이라면 GDPR으로 인한 문제를 겪지 않을 수도 있다. 그러나 유럽연합 내에 거주하는 고객, 파트너, 직원이 단 한 명만 있어도 그 기업은 GDPR 준수 대상이 된다. GDPR은 지금까지의 데이터 보호법과 초점을 달리하여, 유럽연합 국가 거주민의 개인식별정보(Personally Identifiable Information, PII) 데이터를 위치와 상관 없이 안전하게 보호하는 데 중점을 둔다.
유럽연합 내에서 사업을 운영하는 모든 조직에 있어 GDPR 준수는 필수다. 하지만 본사가 다른 지역에 있더라도 유럽연합 내의 개인과 기관을 상대로 사업을 하려면 꼭 GDPR을 준수해야 한다. 그렇다면 GDPR에 대응할 때 어떤 준비가 필요할까?
유럽연합 시민과 관련된 데이터 처리의 유형에 따라 데이터 컴플라이언스 담당자가 필요할 수도 있다. GDPR에서는 이러한 역할을 담당하는 사람을 DPO(Data Protection Officer)라 한다. DPO는 기업이 유럽연합 시민의 데이터가 올바른 보호를 받도록 보장하는 업무를 맡고, 전반적인 컴플라이언스 준수와 유지 프로세스에 대한 책임을 진다. DPO가 없다면 내부 갈등이 발생해 효과적인 의사 결정이 이루어지기 어렵고, 결국 컴플라이언스 준수에 실패할 위험이 있다. DPO를 선임하는 기준과 역할에 대한 자세한 지침은 여기에서 확인할 수 있다.
기업은 데이터 컴플라이언스에 진지한 자세로 접근하면서 데이터 보호 모범 사례의 활용처를 파악할 수 있다. GDPR은 총 99개 조항으로 구성되는데, 여기서는 세 가지 중요한 영역을 우선적으로 살펴본다. GDPR 전문은 여기에서 확인할 수 있다.
1. 데이터 암호화. 너무나 당연한 부분이지만, 그래도 무엇을 암호화하고 어디에 저장하는지 시간을 할애해 검토해 볼 필요가 있다. 우선 전체적인 데이터 감사 진행이 한 방법이 될 것이다. 데이터는 제품 수명 주기 내내 계속 값이 변화하기 때문에, 감사를 통해 ‘암호화 대상’뿐 아니라 어떤 데이터를 보유하고 있는지, 그 데이터를 저장할지, 아니면 삭제할지를 알 수 있게 된다. 또한, 보유 데이터(data at rest) 암호화뿐 아니라, 이동 데이터(data in motion)와 네트워크 데이터 보호 방법에 대해서도 고려한다. 최신 암호화 및 CASBE 툴이 큰 도움이 될 것이다.
2. 데이터 액세스 주체, 액세스 시기, 장소. 다양한 기기가 24시간 연중무휴 온라인 리소스에 액세스하는 상황에서 상세한 데이터 컨트롤로 무단 액세스를 방지하는 것은 매우 중요하다. 동시에 정기적인 암호 변경과 멀티 팩터 인증을 통해 직원의 보안 액세스 수단을 강력하게 보호해야 한다. 그러나 이것만으로는 데이터에 대한 사용자 접근만 커버할 수 있다. 데이터에 접속하는 다른 위협도 살펴봐야 한다. 협력사나 다른 애플리케이션 등 서드파티를 두거나 활용하는 조직이 많은데, 이런 경우에도 GDPR 컴플라이언스를 준수하기 위해 지속적인 모니터링이 필요할 것이다. 급여 같은 서비스를 외부 업체에 아웃소싱하는 경우에도 유럽연합 시민 데이터가 관련되었다면 모두 조직의 책임이다.
3. 사고 대응 프로세스 수립. GDPR 규정에 따르면, 기업은 데이터 침해가 발생할 경우 해당 국가 데이터 보호 기관(Data Protection Authority, DPA)에 발생한 사건 내역을 보고해야 한다. 일반적으로 통지는 침해 사실 확인 후 72 시간 내에 이루어져야 한다. 효과적인 사고 관리를 통해 침해 발생 시의 피해 내역과 완화 방식을 파악할 때 더 유리한 태세를 갖출 수 있다. 침해 사실은 관련 기관뿐 아니라 개별 고객에게도 고지해야 한다. 효율적이고 명확한 대응 프로세스를 마련하면 사고 대응 과정을 가속화하고 기업의 평판, 브랜드, 재정적 피해를 줄일 수 있다.
요약하자면, 기업이 데이터의 확실한 보호를 보장할 수 있는지 여부는 비즈니스에 매우 큰 영향을 미친다. GDPR은 유럽 연합 시민과 관련 데이터를 보호하는 방법을 규정한 법적 프레임워크로 작용하므로, 조직은 GDPR을 통해 데이터 보호 모범 사례를 검토하고, 보유한 모든 개인 정보에 대한 보안을 강화하는 것이 바람직하다.
GDPR은 기업에 데이터 보안 향상의 기회를 제공하며, 기업 역시 데이터 보안을 강화해 고객에게 신뢰를 제공할 수 있다. GDPR을 치열한 경쟁에서 한 걸음 더 앞서 나가는 기회로 활용하자. 주니퍼가 제공하는 GDPR 대비를 위한 정보와 팁, 리소스 역시 유용할 것이다.