GDPR
“오라클, 동의 없이 데이터 수집”… 美서 집단소송 제기
지난주 미국 캘리포니아 북부에서 오라클을 상대로 집단 소송이 제기됐다. 오라클이 전 세계 감시 시스템을 운영하고 있으며, 수억 명의 프라이버시 권리를 침해했다는 게 원고 측의 주장이다. 이번 소송은 오라클이 개인 데이터를 수집 및 판매함으로써 캘리포니아주 헌법을 위반했으며, 해당 주 데이터 보호법부터 연방 도청법까지 5가지 추가 소송 사유와 함께 美 일반법상 불법 행위인 ‘사생활 침범(Intrusion upon seclusion)’을 했다고 전했다. 이번 소송을 제기한 미국과 아일랜드의 프라이버시 활동가 3명은 오라클이 동의 없이 프로필을 생성했다고 지적하면서, 관련 증거 데이터가 있다고 밝혔다. 이어 오라클은 데이터 수집 활동을 중단하고, 동의 없이 수집된 데이터로 얻은 이익을 배상하라고 요구했다. 원고측은 “데이터 브로커로서 오라클은 원고와 집단 구성원의 프라이버시를 심각하게 침해하는 지속적이고 포괄적인 감시를 시행했다. 집단 구성원과 같은 일반 대중은 오라클의 감시가 자율성에 가하는 실질적인 위협에 관해 적절한 수준의 지식을 가지고 있지 않으며 가질 수도 없다”라고 말했다. 오라클이 데이터 수집과 관련해 법적 분쟁에 직면한 것은 이번이 처음은 아니다. 지난 2020년 오라클은 네덜란드에서 GDPR을 위반했다는 혐의로 제소된 바 있다. 해당 소송을 제기했던 비영리 소비자 보호단체 프라이버시 컬렉티브(The Privacy Collective)는 올해 초 항소할 계획이라고 전했지만 기각됐다. 한편 영국 법원도 지난해 구글을 상대로 제기된 유사한 소송을 기각한 바 있다. 당시 법원은 구글이 사파리 브라우저의 아이폰 프라이버시 설정을 부분적으로 무시했다는 주장에, 그 결과 원고 측이 피해나 손실을 입었다는 사실을 입증할 수 없다고 말했다. 미 연방법원에서 이번 오라클 소송의 결과가 어떻게 될지는 두고 봐야겠지만 프라이버시 전문가들은 이 소송을 예의주시하고 있다. 네덜란드와 ...
글로벌 칼럼 | 미국 연방 개인정보보호법 'ADPPA'에 대처하는 CISO의 자세
사용자들은 기기에서 새로운 앱을 열 때마다 정보 제공 요청을 받는다. 앱 사용에 필요한 정보도 있는 반면, 틈새 마케팅 시장을 위한 추가 정보도 있다. 앱 운영에 필요한 데이터가 무엇인지에 대한 토론에 CISO가 참여하는 것은 필수적이다. CISO는 개인정보 보호법을 준수하기 위해, 데이터를 어떻게 보호해야 하는지 결정하기 위해 데이터를 분석하는 방법에 대해서도 발언권을 가져야 한다. 여기에 더해 CISO는 직원들이 온라인에서 안전을 유지하고 자신과 회사의 프라이버시를 보호하는 데 도움을 주어야 한다. 과도한 데이터 수집의 위험 필자는 최근 개인정보 관리 업체 딜리트미(DeleteMe)의 창립자 롭 샤벨과 대화를 나누었다. 샤벨은 기업의 데이터 과잉 수집이 만연한 문제라고 지적했다. 데이터 브로커들은 사용자가 제공한 정보와 자신들이 긁어모은 데이터를 포장해 판매한다. 샤벨은 “PII(개인식별정보)를 보호하는 것이 기업의 이익에 부합하기 때문에 고용주들은 이제 직원들을 돕고 있다”라고 말했다. CISO가 취해야 할 조치는 구체적으로 무엇일까? 샤벨은 데이터 수집 컴플라이언스 요건과 데이터 태깅에 초점을 맞추라고 조언했다. 이런 방식으로 절차와 과정을 개선하면 “데이터를 필요한 만큼 보관하므로 개인이 PII 삭제를 원할 경우 가능하다”라고 말했다. (유럽연합의 일반 개인정보 보호법(General Data Protection Regulation, GDPR)에는 ‘잊혀질 권리(right to be forgotten)’가 명시되어 있다. 이에 따라 기업은 사용자의 요청 시 해당 개인정보를 삭제해야 한다.) 데이터 과잉 수집의 대표적 사례 ‘틱톡’ 사용자의 개인정보 보호와 관련해 눈살을 찌푸리게 만드는 대표적인 앱은 틱톡(TikTok)일 것이다. 샤벨은 “틱톡은 어린이부터 청소년, 성인까지 모두 사용하는 앱으로 여겨진다. 모든 영상 상호작용이 기록되며, 십대들은 어른으로 성장한다”라며, 시간이 지나면서 이런 ‘인생 항로 데이터’...
유형부터 사례까지…‘데이터 침해’ 자세히 살펴보기
‘데이터 침해’는 해커가 보안을 뚫고 불법적으로 데이터에 접근하는 보안 사건이다. 개인 데이터(예 : 이름, 생년월일, 금융 정보, 주민등록번호, 운전면허 번호 등)는 민간기업, 공공기관, 클라우드의 셀 수 없이 많은 수의 서버에 무수히 많은 사본으로 존재한다. 개인식별정보(PII) 접근 권한이 없는 사람이 해당 정보를 볼 수 있다면, 개인은 물론이고 이를 저장하고 안전하게 보관해야 하는 기업 모두에게 심각한 결과를 초래할 수 있다. PII는 해커가 보안을 위반하고 가능한 곳이라면 어디든 찾아낼 만큼 가치가 있다. 한편 데이터를 저장/보관하는 기업과 공공기관은 데이터를 적절하게 보호하지 못하는 때가 많으며, 이에 따라 몇몇 지역에서는 데이터 침해로 이어질 수 있는 느슨한 보안 관행 단속을 법으로 규제한다. 시작하기에 앞서 짚고 넘어갈 게 있다. 때때로 사람들은 ‘데이터 침해(data breach)’와 ‘데이터 유출(data leak)’을 구별해 사용한다. 여기서는 데이터 유출을 '기업이 적절한(또는 어떤) 보안 제어 없이 웹사이트나 다른 위치에 실수로 민감한 데이터를 저장하여 데이터가 그곳에 있다는 사실을 아는 사람이 자유롭게 접근할 수 있도록 하는 것'이라고 본다. 하지만 침해와 유출을 명확하게 구별하는 건 쉽지 않으며, 최종 결과가 동일할 때도 많다. 데이터 침해는 어떻게 발생하는가? 데이터 침해는 누군가가 접근해서는 안 되는 데이터베이스에 액세스할 때 발생한다. 사실상 이는 매우 폭넓은 설명이며, 간단한 예로 도서관 직원이 합법적인 업무상의 이유 없이 친구가 어떤 책을 빌렸는지 몰래 엿보는 것을 들 수 있다. 대부분 사람은 이게 문제가 된다고 생각하지 않을 수 있지만, 일부 데이터 침해는 내부에서 발생하는 것이 사실이다. 즉, 업무에 따라 PII에 접근할 수 있는 직원이 금전적 이득이나 기타 불법적인 목적을 위해 데이터를 유출할 수 있다. 물론 데이터 침해는 외부인의 사이버 공격으로...
"상사가 나를 팔로우한다면?" 소셜 미디어에서 지켜야 할 '선'
인스타그램과 같은 소셜 네트워크는 이제 일상의 필수 요소다. 그러나 고용주가 소셜 네트워크를 사용해 직원들에 대한 정보를 수집하기도 한다. 독일의 경우 전 인구의 4분의 3이 매일 온라인에 접속한다. 독일에만 3,200만 명의 사용자가 있는 페이스북의 사용량이 가장 많지만 인스타그램의 사용자 수도 2,100만 명에 달하고, 독일어 사용 국가에서 직업 관련 네트워크로 인기가 높은 씽(Xing)과 링크드인 사용자도 1,600만 명이나 된다. 소셜 네트워크는 매일 새로운 데이터와 이미지, 정보로 채워진다. 따라서 개인 간의 상호작용 외에도 모든 사람의 모든 정보를 수집하는 용도로도 악용될 수 있다는 점에 유의해야 한다. 예를 들어 고용주는 직원에 대한 정보를 손쉽게 수집하고 사진을 찾아볼 수 있을 것이다. 소셜 네트워크로 수집한 정보는 취업을 원하는 구직자의 불합격 원인이 되기도 하고, 현재 직원과의 다툼이나 법적 분쟁의 원인이 되어 징계나 해고로 이어질 수도 있다. 여기서 제기되는 질문은 고용주가 직원의 사적인 게시물을 보고 직업인으로서의 자질을 평가하고 비판하는 것이 정당한지, 그리고 이러한 행위가 직원의 권리를 침해하는 것인지다. 유럽을 대상으로 새로운 데이터 보호 규정(GDPR)이 발효됐지만 직원의 데이터 보호에 관한 규정은 여전히 불충분하다. 여기에 대한 비판도 다양했다. 유럽 연합 입법부는 개인정보보호의 광범위한 혁신이라는 맥락에서 직원 데이터 보호를 포함했지만 구속력 있는 규칙을 표준화하지는 못했다. 소셜 네트워크는 고용 관계가 성립하기 전, 지원자 선택 단계에서부터 중요한 역할을 한다. 지원자 데이터는 인터넷의 여러 소스에서 찾을 수 있다. 그러나 미래의 고용주가 온라인에서 지원자 정보를 사전에 수집하는 것을 금지하는 법이 있다고 해도 실제 적용하기는 어렵다. 어떤 게시물이 마음에 들지 않는다는 이유로 불합격되더라도 면접을 본 고용주가 정확히 그 이유로 지원자를 탈...
메타, GDPR 위반 혐의로 1,860억 달러 벌금
아일랜드 데이터보호위원회(DPC)가 페이스북 모기업 메타에 1,860억 달러에 달하는 과징금을 부과했다. 2018년 하반기에 발생한 12건의 데이터 유출 및 침해와 관련해 GDPR 조항 여러 개를 위반한 혐의에서다. GDPR은 2018년부터 유효한 데이터 관리, 처리, 보호를 엄격하게 규제하는 유럽 연합 규정을 말한다. 특히 아일랜드 DPC는 메타가 5조(2)와 24조(1)에서 규정한 GDPR 준수 입증 조치를 취하지 않았다고 구체적으로 밝혔다. DPC는 “메타 플랫폼이 12가지 개인 데이터 침해 사례에서 EU 사용자 데이터 보호를 위해 보안 조치를 실제로 구현했음을 입증하는 적절한 기술 및 조직적 조치를 취하지 못했다”라고 설명했다. 또한, DPC는 조사 내용에 국경 외 개인 데이터 처리가 포함되어 있어 GDPR 규정에 따라 다른 유럽 감독 당국과 협의를 거쳤다고 밝혔다. GDPR은 EU 국가에 거주하는, 또는 물리적 거주지를 둔 개인의 데이터를 처리하는 모든 업체에 적용된다. GDPR에 규정된 정보는 이름, 주소, 건강 데이터, 쿠키 등의 웹 식별자, 인종 데이터, 성적 지향과 정치적 의견 등을 모두 포함한다. 특히 GDPR 적용을 받는 업체와 계약한 서드파티 공급업체에도 적용된다. 즉, 법의 직접 적용을 받는 업체가 벌금을 부과받지 않으려면 서드파티 업체 역시 GDPR 규정을 준수해야 한다. GDPR 벌금은 위반 사실의 중대성, 성격, 고의 여부, 영향을 받은 데이터 범주 등을 고려하는 여러 단계의 법적 테스트를 거쳐 적용된다. GDPR 특정 장에 규정된 범죄에는 별도의 지침이 적용되고, 이때 벌금은 1,000만 유로 또는 전년도 전 세계 총 매출 최대 2% 중 큰 금액으로 결정된다. 중대한 위반에는 2,000만 유로 또는 전년 총 매출 4% 중 큰 금액이 적용되기도 한다. 이메일 보안 업체 테시안의 집계에 따르면 메타가 내야 하는 1,860억 달러의 벌금은 GDPR 위반 벌금 역대 11위에 해당하는 규모다. 역대 가장 많은 벌금은...
알고리즘 관리에 고삐를 채울 EU ‘긱 워커’ 규정
이른바 ‘긱 워커(Gig Worker)’를 고용하는 기업은 유럽연합 집행위원회(European Commission, EC)가 최근 발의한 규정 아래 알고리즘 관리 및 모니터링에 대한 투명성을 높여야 할 전망이다. 이 규정이 발효되면 자동화된 시스템에 의해 관리되는 모든 노동자에게 확대 적용된다. 또한 다른 EU 규정과 마찬가지로 유럽에서 긱 워커를 고용한 미국 기업에도 영향을 미친다. EC가 발의한 알고리즘 관리에 대한 규정은 지난 주 발표된 디지털 노동 플랫폼에서 일하는 직원의 지휘에 대한 조항 등 3가지 대책 가운데 하나이다. 차량 공유 회사인 우버와 리프트, 배달 회사인 딜리버루, 비공식 가사 도우미 서비스 플랫폼인 태스크래빗 등이 대표적인 적용 기업이다. EC에 따르면, 현재 EU의 긱 워커는 2,800만 명으로 추산되며, 2025년에는 4,300만 명으로 증가할 전망이다. 발의된 알고리즘 관리 규정은 긱 워커를 통제하는 데 사용되는 자동화된 시스템이 초래하는 부정적인 영향으로부터 노동자를 더 효과적으로 보호하는 데 목적이 있다. 벨기에 KU 루벤 대학 법학 교수인 발레리오 드 스테파노는 “알고리즘 관리가 초래하는 위험을 인식하는 측면에서 한 단계 발전했다. 지금까지 EC에서 나온 것 중 가장 세심한 주의를 기울인 접근법이다”고 평가했다. 알고리즘 관리의 이해 알고리즘 관리는 디지털 노동 플랫폼의 핵심 구성요소이다. 도구와 기법을 사용, 직원들의 업무를 자동으로 조율 및 조정한다. 작업을 할당하고 성과를 추적하는 것을 예로 들 수 있다. 또 사람이 감독하지 않고 데이터를 수집해 감시한다. 그러나 알고리즘 관리는 직원이 의사결정에 대응할 기회는 거의 주지 않고 직원들을 모니터링 및 평가하는 ‘블랙박스’ 시스템이라는 점에서 우려를 불러일으켰다. 비영리 단체인 워커 인포 익스체인지(Worker Info Exchange)의 최근 보고서에 따르면, 긱 워커 감시는 ...
"계정과 게임까지 삭제한 GDPR" 어느 유비소프트 사용자에게 일어난 일
한동안 유비소프트(Ubisoft) 계정을 사용한 적이 없는 경우, 내 계정이 비활성 상태가 되어 사라질지도 모른다. 그리고 그 과정에서 구매했던 모든 게임이 삭제될 위험이 있다. 1년 넘게 PC 게임 플레이를 쉬었다가 복귀한 한 사용자의 직접 경험이다. 토르라는 이름의 한 노르웨이인 게이머는 PCWorld에 “2020년 PC를 중고로 판매했다. 게임에 너무 중독되어 건전하게 게임을 즐기는 수준을 넘었기 때문에 일을 찾고 학교에 다니기로 했다”라고 말했다. 토르는 성을 밝히지 않았고 이름만으로 알려지길 원했다. 코어 i7 CPU와 지포스 GTX 1080 Ti로 구성된 PC를 팔았고, IT 기기는 스마트폰만 남겼다. 2021년 여름이 되자 토르는 게임 세계로 돌아가기로 결정하고 새 게이밍 PC를 구매했다. 그러나 그 후 유비소프트 계정에 로그인할 수 없음을 알게 됐다. 비밀번호를 초기화했지만 결국 계정이 완전히 폐쇄되었음을 알았고, 수백 달러를 들여 구매한 게임도 함께 사라진 것이다. ‘톰 클랜시의 레인보우 식스 시즈(Rainbow Six Siege)’ 시리즈와 어쌔신 크리드 시리즈 등 모든 유비소프트 타이틀이 사라졌다. 그러나 다른 게임사 계정은 변함없이 그대로 있었다. 사라진 것은 유비소프트 구입 내역뿐이었다. 문의 결과 유비소프트는 토르가 다시 계정을 복구할 수 없다고 말했다. 구입한 게임은 삭제되었고 계정은 영구적으로 폐쇄된 것이다. 토르는 답을 찾아 이메일 계정을 살펴보다가 비활성과 최종적 계정 삭제에 대한 한 차례의 경고가 스팸 폴더에 있는 것을 발견했다고 말했다. 원래 언어로 쓰인 이메일을 영어로 번역한 이미지는 다음과 같다. 토르는 유비소프트 지원 센터에 이메일로 연락했고 이메일 비밀번호를 초기화할 수 있었지만(계정이 유비소프트 시스템에 아직 존재하고 있음을 시사함) 수백 달러를 지불한 게임 타이틀에 액세스할 방법은 없었다. 유비소프트의 지원 센터 직원은 계정이 폐쇄되면 복원할 방법이 없다고...
SAS Cloud와 보안
SAS Cloud는 하드웨어 및 분석 지원 팀에 먼저 투자 할 필요없이 광범위한 비즈니스 문제를 해결할 수 있는 SAS 제품을 제공합니다. 배포 일정, 인력 투입 및 비즈니스 요구 사항 등에 관계 없이 이러한 클라우드 솔루션은 생산성 극대화 및 경쟁력 유지에 도움을 줍니다. 이 문서는 SAS 클라우드에서 구현 된 여러 유형의 보안 방법에 대한 개요를 포함하고 있습니다. 이 백서에 거론될 보안 방식은 인적 보안, 물리적 보안, 논리적 보안, 제 3자 공급자 관리 및 내부 감사 등입니다. 이 백서의 두 번째 부분에서는 데이터 보호 및 일반 데이터보호규정(GDPR)을 다룹니다. <10p> 주요 내용 - 물리적, 논리적, 인적 보안 - 내부 감사 및 개선 프로세스 - 데이터 보안 및 데이터 프라이버시 - 비즈니스를 위한 클라우드 활용법
미국 버지니아 주의 데이터 보호법, 주지사 서명…캘리포니아에 이어 두 번째
미국 버지니아 주는 EU의 GDPR에 맞춘 소비자 데이터 보호법을 제정한 미국의 두 번째 주가 됐다. 버지니아의 CDPA에 대해 기업이 알아야 할 것은 다음과 같다. 2021년 3월 2일, 미국 버지니아의 민주당 주지사인 랄프 노섬은 소비자 데이터 개인정보보호 및 보호를 관장하는 미국의 두 번째 주법에 서명했다. 미국 버지니아의 소비자 데이터 보호법(Consumer Data Protection Act, CDPA)은 2020년 1월 1일 발효된 캘리포니아 소비자 개인정보 보호법(CCPA)를 따른다. 지난해 가을 캘리포니아 시민들은 국민 투표를 통해 CCPA를 개정한 캘리포니아 개인정보 보호권 및 집행법(California Privacy Rights and Enforcement Act, CPRA)을 승인했다. CPRA는 2023년 1월 1일부터 시행된다. CCPA, CPRA, CDPA, 3개의 법률 모두 2018년 5월 25일에 시행된 EU의 획기적인 데이터 보호법인 GDPR(General Data Protection Regulation)을 따른다. 이 법률은 모두 GDPR에서 많이 차용했지만 각 데이터 개인정보 보호 수단에는 다른 내용의 법률과 조항이 포함되어 있다. CDPA, 대기업이 데이터를 제어하거나 처리하는 방법을 요구 2023년 1월부터 발효되는 버지니아의 CDPA는 ‘미 연방 내에서 사업을 수행하는 기업 또는 사람’이 데이터를 제어하거나 처리하는 방법에 대한 복잡한 프레임워크를 제시한다. 이 법안의 규정은 버지니아 거주자로 등록된 최소 10만 명의 소비자 개인정보를 관리 또는 처리하는 기업, 또는 개인 데이터 판매로 총 수입의 50% 이상을 얻는 최소 2만 5,000명의 버지니아 거주자의 데이터 관리 또는 처리하는 기업에만 적용된다. 이 법에 따르면, 일부 단체와 데이터는 해당 법안의 요건에서 제외된다. CDPA의 예외에는 주정부와 지방자치단체, 비영리단체, 고등교육기...
글로벌 칼럼 | 비즈니스 임원에게 가장 중요한 사이버 보안 토픽
업계에서는 사이버 보안이 기업의 이사회와 고위 경영진에게 가장 중요한 토픽이라고 흔히 말한다. 하지만 ESG의 최근 조사 결과에 따르면, 일부만 맞는 말이다. 선임 사이버 보안 관리자 및 비즈니스 관리자 중 58%는 소속 조직 고위 경영진의 사이버 보안에 대한 지원이 매우 좋다고 답한 반면, 42%는 고위 경영진의 보안에 대한 지원이 적절하거나 괜찮거나 빈약하다고 답했다. 그렇게 좋은 결과는 아니다. 또한 경영진에게 가장 중요한 사이버 보안 토픽이 무엇인지도 물었는데, 그 결과 역시 흥미롭다. 데이터 프라이버시. 응답자 35%가 가장 중요한 토픽으로 꼽았으며, GDPR이나 CCPA 같은 규제를 고려하면 당연한 결과이다. 과거에는 데이터 프라이버시가 법무팀의 담당이었지만, 규제가 확대되면서 CISO도 데이터 프라이버시를 운영할 수 있게 하라는 요청을 받고 있다. 다시 말해, 보안팀은 데이터 디스커버리나 새로운 데이터 보안 통제 도입, 데이터 제거용 기술 조정 같은 일을 맡게 됐다. GDPR 역시 막대한 벌금을 물 수 있기 때문에 경영진은 주의를 집중하고 있다. GDPR이 시작된 유럽 지역의 조직은 39%가 데이터 프라이버시에 높은 우선순위를 부여한 반면, 북미 기업은 33%로 그보다 적었다. 현존 사이버 위협. 거의 1/3의 비즈니스 및 사이버 보안 책임자가 경영진이 현재의 사이버 위협을 알고 싶어한다고 답했다. 정확하게 말하자면, CEO는 감염의 징조나 마이터 공격(MITRE ATT&CK) 프레임워크 기법 같은 세부적인 내용에는 관심이 없다. 하지만 전반적으로 어떤 일이 일어나고 있는지, 관련 업계에서는 무슨 일이 일어나고 있으며, 조직이 취약한지 여부, 위험을 경감하려면 무엇이 필요한지 등등은 자세히 알고자 한다. 이번 조사에 참여한 많은 CISO가 경영진이나 이사회를 위한 위협 보고서를 선제적으로 작성하며, 특히 주목할 만한 대형 데이터 유출 사고가 발생한 직후에 이런 ...
2020년 11월까지 가장 큰 데이터 보호법 위반 벌금 사례
취약한 보안, 은폐 또는 실수로 인해 발생한 해킹과 데이터 도난으로 인해 이들 기업은 총 13억 달러(약 1조 4,100억 원)에 달하는 비용을 지출했다. 2019년 이후 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 개인 데이터를 적절하게 보호하지 않는 기업에 대해 심각하게 생각한다는 것을 의미한다. 메리어트(Marriott)는 1억 2,400만 달러(약 1,345억 원)의 벌금을 부과받았지만, 나중에 감액됐으며, 에퀴팩스(Equifax)는 2017년 침해에 대해 최소 5억 7,500만 달러(약 6,238억 원)를 지불하기로 합의했다. 2018년 이후에도 데이터 침해 사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러(1,629억 원)를 손실이 발생했다. 2016년 당시, 약한 보호와 강한 규제 속 의료 데이터도 큰 손실을 입게됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다. 에퀴팩스: 최소 5억 7,500만 달러(약 6,235억 원) 2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다. 2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했...
남미 진출 기업을 위한 '브라질판' GDPR의 이해
2018년 EU 일반 개인정보보호법(GDPR)이 발효됐을 때, 유럽 외 지역에서는 어떻게 작동할지, 그리고 이와 비슷한 법이 만들어질지 주목받았다. 이런 가운데 지난 9월 브라질의 일반 정보보호법(Lei Geral de Proteção de Dados, LGPD)이 발표됐다. 데이터 수집과 저장, 공유 방법에 대한 체계를 설립하고 약 40가지 법규를 하나로 통합했다. 기존의 법체계는 명료성이 떨어져서 브라질의 경쟁력을 저해한 측면이 있었다. LGPD는 불확실성을 제거하고 그에 다른 경제적인 혜택을 목표로 한다. 2018년에 승인된 LGPD는 많은 부분을 GDPR에서 차용했고 기업과 공공 기관에 2년 동안의 적응 기간을 제공했다. 이 법은 동의 없는 개인 데이터의 수집 및 사용과 데이터의 차별적 사용을 제한한다. 개인이 보유한 데이터에 액세스하고, 수정 및 삭제하고, 동의를 철회할 수 있는 권한 등 몇 가지 개인의 권리를 보장한다. 또한 개인이 서비스 제공업체 간에 데이터를 옮기도록 요청할 수 있는 데이터 이동성을 규정했다. 마케팅 업체 줌드(Zoomd)의 중남미 신규 사업 책임자 길 밀다르에 따르면, LGPD는 기업이 내부에서 준용할 수 있는 명확한 법적 근거를 제공할 뿐 아니라, 규정 준수 및 벌금 부과 가능성에 대한 많은 새로운 책임을 부여한다. 그는 “새로운 브라질의 정보보호법은 개인정보 취급에 대한 전략적 접근이 필요하고 동시에 소비자의 신뢰를 얻고자 하는 기업에 좋은 기회가 될 것이다. 기업은 새로운 규제를 활용해 적절한 개인정보보호 관행을 계획 및 적용해 데이터 사용에서 경쟁 우위를 확보할 수 있다”라고 말했다. 규정 준수와 차이점 법률 기업 폭스 로스차일드(Fox Rothschild)의 GDPR 준수 및 국제 개인정보보호 부문 파트너이자 의장인 오디아 케이건에 따르면, 글로벌 운영에서 GDPR 표준을 구현한 기업은 대부분 LGPD를 준수하는 기반을 마련한 것과 마찬가지다. 그러나 그렇다고 해서 단순히 문자 그대로 GD...
2020년 지금까지 가장 큰 데이터 보호법 위반 벌금 사례
취약한 보안 사건과 은폐 또는 실수로 인해 발생한 해킹과 데이터 도난 등으로 기업들은 총 16억 3,000만 달러의 손실을 입었다. 2019년 데이터 침해에 대해 상당한 벌금이 부과되는 것은 각국의 규제당국이 소비자 데이터를 제대로 보호하지 못하는 기업에 대해 심각하게 생각한다는 것을 의미한다. 영국에서 영국항공(British Airways)은 2억 3,000만 달러의 사상 최고의 벌금을 냈으며, 매리어트는 1억 2,400만 달러의 벌금을 부과받았다. 미국에서는 에퀴팩스(Equifax)가 2017년 침해에 대해 최소 5억 5,500만 달러를 지불하기로 합의했다. 사고는 계속 발생했다. 우버(Uber)는 2016년 침해 사고를 제대로 처리하지 못해 1억 5,000만 달러의 손실이 발생했다. 엄격하게 규제되는 의료 데이터를 제대로 보안 조치를 취하지 못한 의료 기관도 큰 손실을 입게 됐고, 이로 인해 미국 보건복지부(US Department of Health and Human Services, DHS)는 점점 더 많은 벌금을 징수했다. 에퀴팩스: 최소 5억 7,500만 달러 2017년, 신용 기관인 에퀴팩스는 데이터베이스 가운데 하나에서 패치가 적용되지 않은 아파치 스트럿츠(Apache Struts) 프레임워크로 인해 거의 1억 5,000만 명의 개인 및 금융 정보를 잃어버렸다. 에퀴팩스는 패치가 발표된 지 수개월동안 이 심각한 취약점을 수정하지 못했으며, 침해 흔적을 발견한 후에도 수주동안 대중에게 침해 사실을 알리지 않았다. 2019년 7월, 에퀴팩스는 회사가 네트워크 안전 확보를 위해 합리적인 조치를 취하지 못한 이유로 미 연방거래위원회(Federal Trade Commission, FTC), 소비자금융보호국(Consumer Financial Protection Bureau, CFPB)과 미국 50개 주에 5억 7,500만 달러를 지불하기로 합의했다. ...
개인정보보호 규정(GDPR) 준수를 위한 데이터 관리와 전략
GDPR을 준수하는 것은 오늘날 기업들의 주된 목표일 것입니다. 그러나 더 큰 목표가 있다는 사실을 명심해야 합니다. 탄탄한 데이터 전략과 보다 우수한 데이터 품질, 그리고 거버넌스 프로세스를 갖추면 GDPR을 준수하는 것 이상의 효과를 달성할 수 있습니다 SAS가 제공하는 업계 최고의 데이터 관리 및 분석 솔루션을 이용하면 날로 까다로워지는 데이터 보호 규정을 훨씬 수월하게 준수할 수 있습니다. 5가지 단계를 통해 규정 준수 체계를 효과적으로 관리하는 방법을 소개합니다. <9p> 주요 내용 - 개인정보에 대한 정의 - GDPR이 중요한 이유 - 만반의 준비 - GDPR 규정을 준수하기 위한 5가지 단계 - 신뢰할 수 있는 소프트웨어, 통합 전략
쿠키 없는 세상에서 데이터의 미래는?
데이터가 중요한 고객경험을 제공하는 열쇠기 때문에 데이터 수집 방법은 발전할 것이다. 어떤 사람들은 데이터를 '새로운 석유'라고 부르기도 한다. 데이터양이 급증하는 환경에서 비즈니스의 핵심은 데이터의 정체성을 이해하는 데 있다. 이는 데이터베이스 마케팅 업체인 라이브램프(LiveRamp)의 인터내셔널 MD 겸 CFO인 워렌 젠슨의 견해다. 젠슨은 쿠키가 개인정보를 모으는 최선의 방법은 아니며 지금은 새로운 형태의 신원 확인 방법으로 바뀌는 시기라고 전했다. 젠슨은 1990년대 중반부터 25년 동안 이 방식으로 앱을 개발할 수 있도록 한 쿠키의 핵심적인 역할을 밝혔다. 그는 “전세계적으로 쿠키에서 얻을 수 있는 무료 콘텐츠를 생각하면 전례 없는 수준의 정보가 무료로 제공되고 있음을 알 수 있다”라고 언급했다. 젠슨은 “이를 바탕으로 쿠키, 공개 인터넷 및 사용자 커뮤니티를 사용해 비즈니스를 구축했다”라며 “최소한 쿠키는 생태계의 중요한 부분으로 남아 있다”라고 말했다. 데이터는 훌륭한 고객경험을 제공하는 데 핵심적인 요소다. 하지만 데이터 수집 방법은 발전할 것이다. “기술의 발전이 계속되면서 데이터는 훨씬 더 중요해질 것이다. 규모와 관계없이 브랜드 또는 게시자는 사용자가 기대하는 개인화된 경험을 제공하기 위해 데이터 중심 전략이 있어야 한다”라고 젠슨은 강조했다. 젠슨은 유럽의 일반 데이터 보호 규정(GDPR)과 같은 일부 개인정보 보호 규정을 비판하여 대규모 플랫폼의 허가를 받는 등 규제 요구 사항을 이 플랫폼을 통해 쉽게 얻을 수 있기 때문에 대규모 기술 생태계의 벽으로 둘러싸인 정원에 혜택을 제공한다고 주장했다. 그는 “큰 벽으로 둘러싸인 정원에 대해 생각해 보자. 이곳에서는 한 곳에서 다른 한 곳으로 도달하는 거리가 상당히 멀다. 우리는 매일 그것들을 사용하며 권한 상자를 클릭하기 쉽다. 따라서 벽으로 둘러싸인 정원의 규모와 범위는 GDPR을 볼 때 엄청난 이점이 있다”라고 이야기했다. 이어서 "...
"데이터 침해, GDPR 효과, 악성 앱, 악성 광고 등" 2019년 사이버보안에서 일어난 일
2019년이 끝나감에 따라, 지난 12개월 동안 사이버보안에서 무슨 일이 일어났는지, 그리고 올해 일어나지 않았던 일을 되돌아 볼 때가 됐다. 미드이어(Midyear) 보고서에 따르면, 지난해 40억 개 이상의 기록이 유출되어 지난해보다 침해사고가 54%나 증가했다. 올해는 데이터 침해를 당한 메이시스(Macy)와 T 모바일의 고객이 받은 피해만으로 뉴스가 끝날 수 있다. 디즈니의 새로운 스트리밍 서비스인 디즈니+는 해커가 침입해 사용자 계정을 해킹한 여파로 하루동안 꼬박 온라인 상태가 아니었다. 대규모 사건이 없었던 2019년 데이터 침해 2019년, 침해 사건 수는 증가했음에도 불구하고 눈에 띄는 점이 없었다. 실제 대규모 데이터 유출 사건이 없었기 때문인데, 이 때 대규모란 에퀴팩스, 야후, 메리어트, TJ 맥스, 타깃과 같은 초대형 사건을 얘기하는 것이다. 지난 10년 동안 데이터 유출 사건은 거의 매년, 몇 달 동안 헤드라인을 장식하고 오늘날까지도 여전히 화제가 되고 있다. 2019년 데이터 유출이 가장 많은 해가 될 수 있지만, 헤드라인을 장식할만한 대규모 데이터 침해 사건은 단 한 건도 없었다. 그렇다고 대형 사건이 없었다는 것은 아니다. 해커는 전 세계 10억 명 이상의 사용자를 위협할 수 있는 감시 소프트웨어를 왓츠앱(WhatsApp)에 설치했다. 포트나이트(Fortnite) 사용자는 랜섬웨어에 감염된 후, 위험에 처할 수 있다는 경고를 받았다. 그러나 이런 사건들은 대규모였지만, 해커들은 원했던 결과를 이루지 못했다. 이는 그저 행운이라고 볼 순 없다. 범죄자들은 여전히 매우 적극적이고 공격적이지만, 대기업이 이전 대형 사건에서 교훈을 얻어 대규모 위협에 더 잘 대처를 하고 있는 것일까? AI를 활용해 피해가 발생하기 전에 공격을 탐지하고 중지하는 첨단 보안 도구를 활용하고 있는가? 기본 보안 위생 및 실무, 프로세스 및 교육에 중점을 두어 위반이 있을 경...
GDPR 준수율, 여전히 낮다
클라우드 데이터 통합 업체인 탈렌드(Talend)의 설문 조사에 따르면, 유럽의 일반 데이터 보호 규정(GDPR)이 시행된 지 약 18개월 지난 현재 몇 가지 규제가 개선되었지만 GDPR 준수율은 여전히 낮은 수준으로 나타났다. 전 세계 조사 대상 기업 중 절반 이상(58%)은 GDPR에서 지정한 1개월이라는 시간 안에 데이터 접근 및 이동에 관한 정보 요청을 충족할 수 없는 것으로 조사됐다. 이 수치는 2018년 9월 첫 번째 설문 조사 결과보다 개선됐다. 첫 번째 설문 조사에서는 기업의 70%가 1개월 이내에 개인이 요청한 데이터에 관한 정보를 제공하지 못한 것으로 나타났다. 탈렌드는 처음 설문조사를 한 지 1년 만에 이 조사를 다시 했으며, 최근 조사에서 얼마나 나아졌는지를 파악하고자 했다. 전세계에 새로운 규정이 적용되면서 탈렌드는 조직에 데이터 보안 규정을 점검하는 프로세스가 필요해졌다고 주장했다. 데이터 보안 규정에는 미국(2020년 1월 캘리포니아 소비자 개인 정보 보호법), APAC(2020년 5월 태국의 PDPA), 라틴 아메리카(2020년 8월 브라질의 LGPD)에서 시행되는 데이터 보호 규정이 포함된다. 설문 조사에 따르면 미디어/통신, 공공 업계는 데이터 보호 요건을 충족하기 위해 고심하고 있으며, 공공의 29%와 미디어/통신의 32%만이 1개월이라는 제한된 시간 안에 데이터를 제공할 수 있는 것으로 파악됐다. 유통, 금융, 여행, 운송, 숙박 업종은 평균보다 한참 낮은 수준으로 조사됐다. 조사에 응한 기업의 46%는 1개월 이내에 데이터 요청에 정확한 답변을 제공했다고 보고했다. 탈렌드는 조직이 데이터 거버넌스 혁신을 시작하여 360도 고객에 대한 관점을 제공하고 데이터 자동화 담당자가 좀더 자동화된 데이터 처리와 제공을 통해 역량을 강화해야 한다고 말했다. 탈렌드 데이터 거버넌스 제품 담당 이사 장-미셸 프랑코는 “GDPR을 완전히 준수하려면 데이터의 위치, 처리 방법, 대상을 이해해야 한다...
추천기사
