2017.05.18

칼럼 | 무방비 상태의 B2B 프라이버시 규정, 문제 없을까

Evan Schuman | Computerworld
대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다.



가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다.

하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다.

직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다.

문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가?

직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 있다. 반면 B2B 계약의 경우 계약 자체의 보안 유지에만 신경 쓸 뿐 정작 그 계약을 통해 전달되는 중요 데이터의 활용에 대한 항목은 제대로 다루지 않고 있다.  

이 문제가 중요한 이유는 트럼프 행정부 하에서 FCC가 프라이버시 보호 정책 기조를 철회함에 따라 이제 기업들은 중요 데이터 보호를 스스로 책임져야 할 입장에 놓였기 때문이다. 일부 지방 정부에서는 자체적인 프라이버시 보호법을 제정하고 있지만 대개 기업보다는 소비자인 시민들을 보호하기 위한 것들이다.

외국에 위치한 기업들과의 관계에서도 프라이버시가 문제가 된다. 외국 기업과의 관계에서 개인정보 보호를 다룰 때 가장 중요한 것은 데이터 주권 문제다. 서버 팜은 전 세계 여러 국가에 있기 때문에 클라우드 업체들은 당신의 데이터를 국경을 넘어 전송하게 된다. 그리고 데이터가 국경을 넘을 때마다 그에 대한 보호 규정도(최소한 해당 국가가 데이터 보호에 대한 규정이란 것 자체를 가지고 있는 국가라면) 변한다. 바로 이런 이유로 클라우드 업체와 직접 맺는 계약에 명확하고도 국제적으로 적용되는 규정을 포함할 필요가 있다.

내년이면 발효되는 유럽연합의 개인정보보호법(General Data Protection Regulation, GDPR)을 무시할 수 있는 기업은 없다. (얼마 전 GDPR 시행 이후 무엇이 어떻게 바뀔지에 대해 자세한 분석 글을 쓰기도 했다.) GDPR은 소비자 보호가 주목적인 법이지만 기업 데이터 보호에도 분명히 영향을 미칠 것이다.

사실, GDPR은 EU 국가에 고객이나 직원을 고용하지 않은 기업들에게도 영향을 미칠 수 있다. 간단히 말해, GDPR이 시행되면 기업들로서는 데이터가 보관된 위치와, 데이터를 관리하는 파트너 기업들의 역량에 훨씬 더 신경 쓸 수밖에 없게 된다. 포춘지 선정 1,000대 기업 중 EU와 간접적으로라도 인적인 연결고리가 전혀 없는 기업은 극소수에 불과하다.

이처럼 GDPR은 B2B 데이터 프라이버시 문제에 영향을 미칠 것이다. 법의 주목적은 소비자의 정보를 보호하는 것이지만, EU가 볼 때는 이 글을 읽는 여러분 기업의 직원들 역시 소비자에 해당한다. 문제가 되는 데이터가 기업에서 생성된 데이터인가는 중요하지 않다.

GDPR이 발효되면 훨씬 더 엄격하고 문서화 된 방식으로 데이터를 관리해야 한다. 다가오는 법 개정에 대비하는 과정은 모든 공급, 배포, 클라우드 관련 계약들을 다시 살펴보는 기회가 될 수 있을 것이다. 즉, GDPR 대비를 구실로 기업 데이터 보안을 한층 더 개선할 수 있다는 의미다.

*Evan Schuman는 리테일 테크놀로지 사이트 스토어프론트백토크(StorefrontBacktalk)의 설립 편집자이자 CBS뉴스닷컴, 리테일위크, 컴퓨터월드, 이위크 칼럼니스트다. ciokr@idg.co.kr

2017.05.18

칼럼 | 무방비 상태의 B2B 프라이버시 규정, 문제 없을까

Evan Schuman | Computerworld
대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다.



가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다.

하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다.

직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다.

문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가?

직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 있다. 반면 B2B 계약의 경우 계약 자체의 보안 유지에만 신경 쓸 뿐 정작 그 계약을 통해 전달되는 중요 데이터의 활용에 대한 항목은 제대로 다루지 않고 있다.  

이 문제가 중요한 이유는 트럼프 행정부 하에서 FCC가 프라이버시 보호 정책 기조를 철회함에 따라 이제 기업들은 중요 데이터 보호를 스스로 책임져야 할 입장에 놓였기 때문이다. 일부 지방 정부에서는 자체적인 프라이버시 보호법을 제정하고 있지만 대개 기업보다는 소비자인 시민들을 보호하기 위한 것들이다.

외국에 위치한 기업들과의 관계에서도 프라이버시가 문제가 된다. 외국 기업과의 관계에서 개인정보 보호를 다룰 때 가장 중요한 것은 데이터 주권 문제다. 서버 팜은 전 세계 여러 국가에 있기 때문에 클라우드 업체들은 당신의 데이터를 국경을 넘어 전송하게 된다. 그리고 데이터가 국경을 넘을 때마다 그에 대한 보호 규정도(최소한 해당 국가가 데이터 보호에 대한 규정이란 것 자체를 가지고 있는 국가라면) 변한다. 바로 이런 이유로 클라우드 업체와 직접 맺는 계약에 명확하고도 국제적으로 적용되는 규정을 포함할 필요가 있다.

내년이면 발효되는 유럽연합의 개인정보보호법(General Data Protection Regulation, GDPR)을 무시할 수 있는 기업은 없다. (얼마 전 GDPR 시행 이후 무엇이 어떻게 바뀔지에 대해 자세한 분석 글을 쓰기도 했다.) GDPR은 소비자 보호가 주목적인 법이지만 기업 데이터 보호에도 분명히 영향을 미칠 것이다.

사실, GDPR은 EU 국가에 고객이나 직원을 고용하지 않은 기업들에게도 영향을 미칠 수 있다. 간단히 말해, GDPR이 시행되면 기업들로서는 데이터가 보관된 위치와, 데이터를 관리하는 파트너 기업들의 역량에 훨씬 더 신경 쓸 수밖에 없게 된다. 포춘지 선정 1,000대 기업 중 EU와 간접적으로라도 인적인 연결고리가 전혀 없는 기업은 극소수에 불과하다.

이처럼 GDPR은 B2B 데이터 프라이버시 문제에 영향을 미칠 것이다. 법의 주목적은 소비자의 정보를 보호하는 것이지만, EU가 볼 때는 이 글을 읽는 여러분 기업의 직원들 역시 소비자에 해당한다. 문제가 되는 데이터가 기업에서 생성된 데이터인가는 중요하지 않다.

GDPR이 발효되면 훨씬 더 엄격하고 문서화 된 방식으로 데이터를 관리해야 한다. 다가오는 법 개정에 대비하는 과정은 모든 공급, 배포, 클라우드 관련 계약들을 다시 살펴보는 기회가 될 수 있을 것이다. 즉, GDPR 대비를 구실로 기업 데이터 보안을 한층 더 개선할 수 있다는 의미다.

*Evan Schuman는 리테일 테크놀로지 사이트 스토어프론트백토크(StorefrontBacktalk)의 설립 편집자이자 CBS뉴스닷컴, 리테일위크, 컴퓨터월드, 이위크 칼럼니스트다. ciokr@idg.co.kr

X