보안 / 프라이버시

GDPR 컴플라이언스 6단계

Leslie K. Lambert | CSO 2017.12.06
미리 대비하지 않으면 비싼 값을 치루게 된다.


Credit: Getty Images Bank

GDPR(General Data Protection Regulation)이 뉴스에 많이 회자된다. 이 새로운 EU의 법률은 EU 외부에서 행해지더라도 EU 시민의 데이터를 수집하고 처리하는 모든 기업에 적용된다. 이는 EU 내에서 운영하는 기업이나 EU 시민 데이터를 수집하고 처리하는 웹사이트나 앱을 운영하는 기업이라면 모두 포함된다는 의미다.

이 법률의 주요 영역은 개인정보보호 권리, 데이터 보안, 데이터 제어 및 거버넌스다. EU 회원국은 한가지 표준만을 준수해야 한다는 것을 의미한다. 그러나 기준은 높고 넓게 설정되어 있어 대부분의 기업이 이에 대해 투자를 해야한다.

GDPR을 준수하지 않으면 상당한 벌금을 낼 수 있기 때문이다. 기업이 유럽 시민의 데이터를 침해당한 사실이 발견되면 2,000만 유로 또는 회사의 전세계 매출의 4% 중 큰 벌금 금액을 내야 한다. 대기업이라면 한번의 위반으로 수억 달러의 벌금을 낼 수도 있다.

또한 침해가 발생하면, 해당 기업은 72시간 내에 EU 당국에 통보해야 하고 자사의 보안 접근방식이 최첨단임을 입증해야 하는 두가지 문제에 봉착한다. 모든 GDPR이 확정적이지 않기 때문에 일부 기업에서는 어떻게 진행될 지 기다리는 관망 전략을 선택한 곳도 있다. 그렇다고 하더라도 이 규정에 도입된 새로운 의무는 고려해야 한다.

데이터 제어
개인정보를 보호하기 위해 조직은 다음과 같은 조항을 수행해야 한다.

- 승인된 용도로만 데이터를 처리해야 한다
- 데이터 정확성과 무결성을 보장해야 한다
- 대상의 정체성 노출을 최소화해야 한다
- 데이터 보안 수단을 이행해야 한다


데이터 보안
데이터 보안은 데이터 제어와 함께 사용된다. GDPR은 보안을 개인 정보보호 서비스에 포함시킨다. 한 대상의 프라이버시를 보호하기 위해 조직은 다음과 같은 사항을 구현해야 한다.

- 추가 처리를 위해 데이터 보관을 위한 보호장치을 둬야 한다
- 데이터 보호 조치를 기본적으로 갖춰야 한다
- 위험 평가와 암호화를 기반으로 한 계약 요구 사항으로서의 보안을 시행해야 한다


잊힐 권리
대상의 데이터는 무기한 보관할 수 없다. GDPR은 다음과 같은 경우 조직이 모든 저장소의 데이터를 완전히 지우도록 요구한다.

- 데이터 대상이 동의를 철회한 경우
- 파트너 조직이 데이터 삭제를 요청한 경우
- 서비스 또는 계약이 종료한 경우


여기에 주목할 필요가 있다. 대상은 자신의 데이터를 지우기 위해 일일리 요구하지는 않는다. 규정에 명시된 법적 사유가 있는 경우, 조직은 대상의 데이터를 보존하고 처리할 수 있다. 예외는 없다.

위험 완화와 상당한 주의
조직은 개인정보보호와 보안에 대한 위험을 평가하고 위험을 완화해야 한다. 이를 위해 다음과 같은 사항이 필요하다.

- 완전한 위험 평가를 실시해야 한다
- 컴플라이언스를 보장하고 입증하는 조치를 이행해야 한다
- 서드파티 고객과 파트너가 이를 준수할 수 있도록 사전에 지원해야 한다
- 데이터를 완전히 제어한다는 것을 입증해야 한다


침해 알림
데이터 대상 또는 대상의 권리와 개인정보를 위협받는 보안 침해 사고가 났을 때, 조직은 다음과 같은 사항을 수행해야 한다.

- 72시간 내에 당국에 통보해야 한다
- 침해 결과를 설명해야 한다
- 영향을 받은 모든 대상에 대해 직접 침해 사실을 알려야 한다


GDPR 컴플라이언스 6단계
GDPR에 대비하기 위해 조직은 다음과 같은 6단계 프로세스를 사용할 수 있다.

1. 법을 이해하라
데이터 수집, 처리, 저장과 관련해 GDPR 하에서 법규의 많은 특수 사항을 포함한 자사의 의무를 이해하라.

2. 로드맵 작성
데이터 검색을 이행해 데이터의 연구, 발견, 결정, 행동, 위험에 대한 모든 것을 문서화하라.

3. 규제되는 데이터 파악
우선 데이터가 GDPR 특별 사항에 포함되는지 알아본다. 그런 다음 다른 유형의 데이터에 접속할 수 있는 사용자, 데이터를 공유하는 사용자, 해당 데이터를 처리하는 애플리케이션들을 분류한다.

4. 중요한 데이터부터, 절차와 함께 시작하라
모든 개인 데이터의 위험을 평가하고 정책과 절차를 검토하라. 핵심 자산에 포함되는 생산 데이터에 보안 조치를 적용하고 난 다음, 해당 조치들을 백업과 기타 저장소로 확장하라.

5. 다른 위험을 평가하고 문서화하라
이전 평가에 포함하지 않은 데이터에 대한 다른 위험들을 조사하라.

6. 개정하고 반복하라
4~6단계를 반복하고 필요한 경우 결과를 조정하라.

CSO들에게 GDPR은 조직의 보안 기능을 업그레이드해 데이터 기밀성과 개인정보보호에 대한 요구 사항을 충족시키고 전반적인 보안을 향상시킬 수 있는 좋은 기회를 제공한다. editor@itworld.co.kr  
 Tags GDPR

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.