Offcanvas

HR / SNS / 검색|인터넷 / 디지털 디바이스 / 로봇|자동화 / 마케팅 / 보안 / 비즈니스|경제 / 애플리케이션 / 인문학|교양 / 클라우드

GDPR에서 정의하는 '개인정보', 어디에 어떻게 저장돼 있나

2018.05.03 Doug Drinkwater  |  CSO
예상치 못한 PII를 찾았을 때의 조치
GDPR은 동의, 계약, 법적 의무, 사활적 이익, 공공 업무, 합리적인 이해 등 개인정보를 처리하기 위한 6가지 합법적인 근거를 나열했다. 이것이 중요한 이유는 보유하고 있는 PII와 그 위치가 확인되면 이를 확보할 합법적인 근거를 확인하거나 프로세스를 변경하여 불필요한 PII를 더 이상 요구하지 않아야 한다.

우선, 어떻게 찾을까? 핵심 운영 체제 외의 위치에 PII가 존재할 수 있는 몇 가지 예가 있다.

• 클라우드 앱, 조직이 승인하지 않은 것 제외
• 온라인 파일 공유 서비스
• 이동식 디스크
• 물리적인 저장소(파일 캐비닛)
• 제 3자/공급망 제공자
• 임시 파일
• 샌드박스(Sandbox)/테스트 시스템
• 백업 시스템
• 직원이 사용하는 기기

아이오아노우는 "GDPR은 진정한 (아날로그 및 디지털) 데이터 보호 규정이기 때문에 우선 한 걸음 물러서서 서류, 인쇄물, 스캔 또는 창작물, 디지털 콘텐츠로 저장된 모든 것을 살펴보아야 한다. 섀도우 IT뿐만이 아니라 이동식 USB 메모리 및 드라이브와 백업 등에 예상치 못한 많은 개인정보가 있을 수 있다"고 말했다.

스튜어트는 말 그대로 모든 곳을 살펴보아야 한다고 주장했다. 그는 "서류 캐비닛, 제 3자 저장소, 파일 서버 등 모든 곳이다. 우선은 개인정보가 무엇인지 파악해야 하며, 정보 분류를 전제 조건으로 하여 개인정보를 파악할 수 있어야 한다. 많은 조직이 찾는 대상을 명확히 하지 않았기 때문에 개인정보를 다시 처음부터 찾아야 한다는 이야기를 들었다"고 이야기했다.

케임브리지 애널리티카 스캔들 이후로 그는 공급망도 곧 그 영향을 느낄 것이라고 언급했다. 그는 "공급망도 분명 중요한 곳이기 때문에 살펴보아야 한다. 또한 백업과 저장소 리소스도 살펴보아야 한다. 또한 GDPR이 역사상 가장 거대한 인간 지식 이동의 중심에 있다는 사실을 기억해야 한다"고 덧붙였다.

스튜어트는 현장 저장 장치에서 클라우드로의 신속한 이행을 언급하고 있다. 스튜어트는 "그 자체가 나쁜 것은 아니지만 동기 유인은 일반적으로 저장 비용 감소 또는 디스크 공간 부족 전에 이동이다. 따라서 대부분 조직은 완전히 이해하지 못하는 콘텐츠의 대규모 이동을 수행하고 있다. 모든 종류의 민감한 개인정보가 이를 인식하지 못한 채 클라우드로 이동할 것이다"고 설명했다.

유럽 헤지펀드 관리기업인 브레반 하워드(Brevan Howard)의 CISO였으나 현재는 가상 CISO로 활동하는 닉 밀러도 테스트 시스템에서 실제 데이터가 너무 많이 사용되고 있다고 생각한다. 그는 비정형 데이터가 여러 조직에 맹점이 될 것으로 보고 있다. 밀러는 "공유 폴더, 임시 드라이브 등 개인정보를 찾는 단순한 방법은 없다. 개인정보는 더욱 잘 파악한 PII보다 더 광범위하다"고 말했다.

밀러는 "많은 기업들이 여러 인력 서비스, 급여, 연금, 보험 등에 제 3자 서비스를 사용할 것이다. 이 모든 기업들은 대부분 인원에 대한 많은 양의 민감한 데이터를 보존할 것이다"고 이야기했다. "하지만 상당한 주의를 기준으로 생각해서는 안 된다. 해당 정보를 공유하는 방식을 고려한다. 암호화된 첨부파일이 있는 이메일을 교환하는 경우 이메일이 잘못된 주소로 전송되었을 때 사고가 발생하며 이메일 저장 등을 통해 내부적으로 이 데이터가 확산되면 문제가 더 커진다"고 덧붙였다.
 
앞으로의 향방은?
밀러는 프로세스가 중요하다고 언급했다. "우리가 적절한 조치를 마련했으며 IT인프라와 프로세스를 문서로 정리하고 위험을 평가해야 한다는 것을 입증하기 위해 '위험에 적합한 보안 수준을 확보하기 위한 적절한 기술 및 조직적 조치' 이행에 관한 것이 바로 GDPR이다. 섀도우IT, 보유, 권리, 공유, 접근 관리와 함께 모든 비즈니스 프로세스와 GDPR 의무가 이런 프로세스에 영향을 끼치는 곳을 살펴보아야 한다"고 밀러는 전했다.

스튜어트는 "2가지 핵심 활동이 우선순위가 되어야 한다"고 강조했다. "우선, 프로젝트 위험을 관리하고 '디자인을 통한 보안'을 이행하는 프로세스를 마련한다. 둘째, 개인정보를 정의하고 발견 프로세스를 실행하여 BAU에서 찾은 후 개인정보에 필요한 안전의 80%를 제공한다고 생각되는 핵심 관리사항의 분류 프로세스를 사용해 높은 수준의 위험 평가를 수행한다. 예를 들어, 접근 관리 검토, 로깅(Logging) 및 모니터링, 취약성 관리 등이 '상위 10대 항목'에 포함될 수 있다.

스튜어트는 계속해서 암호화 및 익명화 기술이 "훌륭하지만 꽤 달성하기 어렵다"고 말했다. 런던에 있는 사이버보안 업체 파나시어(Panaseer)의 설립자 겸 CEO인 닉 위트필드도 스튜어트의 말에 동의하면서 "데이터 보호에 적합하며 올바르게 사용하지 않는 경우 보호에 대해 착각할 수 있다"고 밝혔다.

스튜어트는 "많은 조직이 여전히 기존문제 때문에 고군분투하고 있다"며 한 국제은행을 예로 들었다. "그들은 얼마나 많은 서비스를 보유하고 있으며 어디에 활용하고 있는지 모르고 있다. 그들이 GDPR 준수성을 '확보'하고 있다는 말을 믿기 어렵다. 개인정보를 전체적으로 살펴보아야 하며 기술적인 통제보다 위험이 우선순위가 되어야 한다. ICO는 위험 기반 접근방식에 대해 알렸다. 이를 신뢰성 있게 이행하려면 전체적으로 살펴보아야 한다."

위트필드는 업체 솔루션에 얽매이는 것과 암호화에 대해 경고했다. "업체 벤더가 전략을 주도하도록 허용하는 것을 경계해야 한다. 'GDPR 준수성'을 제공하는 제품은 문제의 특정 부분에 대한 해결책만 제공할 뿐이다." ciokr@idg.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.