2018.05.29

'첫 GDPR 위반 사례 안되려면'··· 놓치기 쉬운 CRM 관리팁 8가지

David Taber | CIO
GDPR 관련 웨비나와 제품 홍보 자료는 이미 차고 넘치도록 많다. 여기서는 많은 기업이 미처 생각하지 못했을 더 큰 그림 차원의 이슈를 살펴보자.



포인트 #0: 법률 전문가를 고용하라
설령 GDPR 규제가 우리 기업이나 사업과 다소 무관해 보여도 법을 아예 모른다는 것은 좋을 것이 없고 변명의 여지도 없다. 우리 회사가 유럽 외 지역에 있다고 해도, 우리와 사업하는 다른 기업에 의해 GDPR의 영향을 받거나 어쩌면 벌금을 물게 될 수도 있다. 왜냐하면 자신도 모르는 사이 유럽 국적을 가진 고객이나 사용자의 정보가 우리 시스템으로 들어 올 수 있는 경로는 매우 다양하고, 이런 일이 생길 경우 우리 기업 역시 GDPR의 규제 대상에 포함되기 때문이다.

GDPR 규제를 위반할 시 벌금은 생각보다 훨씬 크다. 물론, 아직까지 충분한 관련 판례나 항소가 없었기에 한동안은 불확실성이 많은 영역으로 남아 있게 될 것이다. 그러나 그 전에라도 전문 변호사를 고용해 규제 관련 리스크를 최소화(더 자세히 살펴보겠지만 완전히 없애는 것은 불가능하다)할 방법에 대해 조언을 구하는 것이 좋다. 단, 필자는 변호사가 아니며(TV에 나가 변호사 행세를 하지도 않는다) 여기에 쓴 그 어떤 내용도 법률 조언은 아니다.

포인트 #1: 컴플라이언스 결함에 대한 병적인 집착을 버리자
추상적으로 보면 거의 모든 기업이 GDPR 컴플라이언스에 결함이 있을 확률이 높다. 특히 GDPR을 매우 엄격하게 해석하면 모든 기업에 컴플라이언스 문제가 있는 것처럼 보일 것이다. 그 어떤 프로그램도, 제아무리 뛰어난 컨설턴트도 컴플라이언스를 ‘보장’할 수는 없다. 완벽한 컴플라이언스를 인증해 주는 인증서가 따로 있는 것도 아니다. 또한, 컴플라이언스 문제가 있다고 해서 이에 대해 배상을 해 주는 IT 업체도 없다(물론 회사 보험이 커버하는 범위 내에서 약간의 배상을 받을 수는 있다). 따라서 문제를 분류해 가장 리스크가 큰 것부터 먼저 처리하는 접근법이 필요하다.

포인트 #2: CRM 시스템, 마케팅 자동화 시스템, 그리고 웹사이트는 GDPR 이슈의 ‘그라운드 제로’다
이들 시스템은 신상 정보를 많이 담고 있으며, 국적에 대한 정보는 담고 있지 않을 가능성이 매우 높다. 따라서 이들 시스템에 포함할 데이터를 옵트-인 방식으로 선별하고, GDPR 컴플라이언스를 위한 메타 데이터를 포함해야 한다. 그리고 이들 데이터를 다른 모든 프로세스와 동기화해 기업의 전체 프로세스가 일관성 있게 작동하도록 해야 한다.

웹사이트 등록 양식에도 유럽 국적 이용자가 국적을 표기할 수 있도록 해야 하고(그래야만 이들에게 컴플라이언스에 필요한 알림이나 의사 결정 사항을 전달할 수 있다) 반대로 유럽 국적이 아닌 이들은 제외해야 한다. 그래야 필요 없는 알림이나 정보로 인한 성가신 일을 막을 수 있다. 중앙화된 시스템에는 탈 중앙화 된, 더 큰 리스크가 존재한다는 사실을 잊어서는 안 된다.

포인트 #3: GDPR 컴플라이언스 관련 주의 의무를 다하고 있다는 증빙을 남기자
컴플라이언스를 돈으로 살 수는 없지만, 이를 위한 툴은 돈으로 살 수 있다. 보안 이벤트와 관련해 로깅 및 알림을 제공하는 솔루션(세일즈포스의 센트리 같은 것)을 구매하는 것도 좋다. 시스템 전반에 걸쳐 보안 문제를 탐지해 주는 툴(스플렁크(Splunk)가 대표적)이나 시스템 침입으로 인한 데이터 유출에 대비하는 심층 보호 솔루션 역시 ‘머스트 바이’ 아이템에 가깝다. 이들 제품과 서비스를 사용하는 것 만으로도 최소한 컴플라이언스에 대한 의지를 입증할 수 있다.


포인트 #4: 컴플라이언스의 핵심은 프로세스, 체크리스트 그리고 ‘사람’이다
이런저런 보안 솔루션이 없다고 해서 컴플라이언스 이행을 못하는 것은 아니다. 그러나 컴플라이언스에 필요한 명백한 프로세스와 절차 매뉴얼, 그리고 특히 컴플라이언스 임무를 완수하고자 하는 인센티브 및 목표가 없다면 컴플라이언스를 이행하는 것은 불가능하다. GDPR과 관련한 취약점 평가 및 권고를 아웃소싱하는 것도 좋지만(필자는 오히려 권장한다), 여러 가지 디테일을 파악하고 정리하는, 귀찮고 고되지만 꼭 필요한 기초 작업은 반드시 인하우스로 이루어져야 한다.

HR이나 법무팀 직원에게 적극적으로 자문을 구하자. 어쩌면 의도적인 GDPR 위반이나 고객의 개인 데이터 남용을 해고 사유 중 하나로 포함하는 것도 고려해 볼만하다. GDPR 컴플라이언스는 일회성 이벤트가 아니라, 길게 이어지는 여정이다. 마케팅팀을 재편하거나 서비스 공급자가 바뀔 때마다 관련 절차를 개정해야 할 수 있다. 또한 기존 절차가 잘 이행되고 있는지 해마다 점검할 필요도 있다. 필자도 알고 있다. 매일 이런 이야기만 하는 것이 ‘지루하다’는 것을. 그래도 어쩌겠는가?

포인트 #5: 느슨하게 통합된 시스템 관리가 가장 어렵다
장기적인 관점에서 보면, 가장 중요한 이슈는 고객 데이터를 어디에 보관하고, 또 이를 어떻게 사용하는가다. 유럽 국적을 가진 고객이나 사용자가 기업이 보유하고 있는 자신의 개인 정보에 어떤 것이 있는지, 그리고 이들이 어떻게 사용되는지를 알고자 할 경우 이는 상당한 문제가 될 수 있다.

또한, 만약 고객이 자신의 개인 정보를 삭제해 달라고 요청할 경우 주간 배치 프로세스에서 이러한 데이터가 다시 시스템에 재등장하지 않도록 어떻게 보장할 수 있을까? 따라서 이러한 개인 정보가 어디에 어떻게 저장되고, 관리되는지에 대한 프로세스 맵을 가지고 있어야 한다. 이를 통해 동기화가 더 빈틈없고 완성도 있게 이루어져야 하는 부분이 드러날 것이다. 이 과정 중 일부는 매우 고통스러울 수 있다.

포인트 #6: 의외의 리스크 복병은 이메일 주소록이다
거의 모든 이메일 클라이언트가 주소록 기능을 지원한다. 이메일 트래픽에서 자주 사용하는 메일 주소를 가져와 주소를 자동 완성해 준다. 이러한 주소는 전부 개인 정보인데, 정작 그 주인의 국적은 알 수 없다. 직원이 사용하는 이메일 주소록에는 옵트-인 데이터가 거의 없다고 봐도 좋으며, 이들 주소가 어디서 어떻게 생성됐는지도 알 수 없다.

모든 이메일 사용자의 주소록은 잠재적인 리스크 시한 폭탄과도 같다. 따라서 새로운 정책을 수립하고, 이메일 서명을 지정하고 알림 사항 및 교육 프로그램을 시행하는 것 외에, 이메일 주소록의 기술적 측면에 대해서도 생각해 볼 필요가 있다. 불행히도, 사용자 대부분은 이메일 주소록을 개인적인 소유로 인식하고 있으며 이를 기업 데이터 자산으로서 제출하는 일에 익숙하지 않다.

따라서 필자는 사용자에게 주소록을 2개 만들어 관리하는 것을 추천한다. 하나는 개인적 연락처 주소용이고 다른 하나에는 기업 및 업무와 관련된 주소만 저장하는 것이다. 기업용 주소록을 CRM 시스템과 동기화 하고, 개인용 주소록은 주기적으로 정리해 기업용 주소록에 가 있어야 할 것이 잘못 들어 있는지 잡아 내면 된다. 최대 수천 개에 달하는 이메일 주소록을 CRM 시스템과 동기화하는 것은 인력과 기술 측면에서 매우 힘든 과제다. 결코 가벼이 생각해서는 안 된다. 작은 실수도 데이터 오염 및 사용자 반발로 이어질 수 있다. 이 작업은 어떤 측면에서 봐도 결코 즐겁거나 쉬울 수 없는 작업이 아니다.

포인트 #7: 입단속 하기
GDPR 컴플라이언스를 위한 기업의 노력은 웹사이트, 이메일 등 공식적으로 널리 알리고 홍보해야 할 일이지만, 그렇다고 해서 지나치게 야단 법석을 떨 필요도 없다. 실제로 GDPR 컴플라이언스를 위해 노력할 정도로 현명한 기업이라면, 굳이 이것을 표시 내고 다니는 바보 같은 짓을 할 필요는 없다. 왜냐하면 어떻게든 컴플라이언스의 빈틈을 찾아 공격하려는 해커나 악의적 사용자를 끌어들일 수 있기 때문이다. 굳이 자진해서 유럽 연합 위원회의 규제망에 걸리는 첫 번째 기업이 될 필요는 없지 않은가? ciokr@idg.co.kr 
CIO / CRM / GDPR / 보안
2018.05.29

'첫 GDPR 위반 사례 안되려면'··· 놓치기 쉬운 CRM 관리팁 8가지

David Taber | CIO
GDPR 관련 웨비나와 제품 홍보 자료는 이미 차고 넘치도록 많다. 여기서는 많은 기업이 미처 생각하지 못했을 더 큰 그림 차원의 이슈를 살펴보자.



포인트 #0: 법률 전문가를 고용하라
설령 GDPR 규제가 우리 기업이나 사업과 다소 무관해 보여도 법을 아예 모른다는 것은 좋을 것이 없고 변명의 여지도 없다. 우리 회사가 유럽 외 지역에 있다고 해도, 우리와 사업하는 다른 기업에 의해 GDPR의 영향을 받거나 어쩌면 벌금을 물게 될 수도 있다. 왜냐하면 자신도 모르는 사이 유럽 국적을 가진 고객이나 사용자의 정보가 우리 시스템으로 들어 올 수 있는 경로는 매우 다양하고, 이런 일이 생길 경우 우리 기업 역시 GDPR의 규제 대상에 포함되기 때문이다.

GDPR 규제를 위반할 시 벌금은 생각보다 훨씬 크다. 물론, 아직까지 충분한 관련 판례나 항소가 없었기에 한동안은 불확실성이 많은 영역으로 남아 있게 될 것이다. 그러나 그 전에라도 전문 변호사를 고용해 규제 관련 리스크를 최소화(더 자세히 살펴보겠지만 완전히 없애는 것은 불가능하다)할 방법에 대해 조언을 구하는 것이 좋다. 단, 필자는 변호사가 아니며(TV에 나가 변호사 행세를 하지도 않는다) 여기에 쓴 그 어떤 내용도 법률 조언은 아니다.

포인트 #1: 컴플라이언스 결함에 대한 병적인 집착을 버리자
추상적으로 보면 거의 모든 기업이 GDPR 컴플라이언스에 결함이 있을 확률이 높다. 특히 GDPR을 매우 엄격하게 해석하면 모든 기업에 컴플라이언스 문제가 있는 것처럼 보일 것이다. 그 어떤 프로그램도, 제아무리 뛰어난 컨설턴트도 컴플라이언스를 ‘보장’할 수는 없다. 완벽한 컴플라이언스를 인증해 주는 인증서가 따로 있는 것도 아니다. 또한, 컴플라이언스 문제가 있다고 해서 이에 대해 배상을 해 주는 IT 업체도 없다(물론 회사 보험이 커버하는 범위 내에서 약간의 배상을 받을 수는 있다). 따라서 문제를 분류해 가장 리스크가 큰 것부터 먼저 처리하는 접근법이 필요하다.

포인트 #2: CRM 시스템, 마케팅 자동화 시스템, 그리고 웹사이트는 GDPR 이슈의 ‘그라운드 제로’다
이들 시스템은 신상 정보를 많이 담고 있으며, 국적에 대한 정보는 담고 있지 않을 가능성이 매우 높다. 따라서 이들 시스템에 포함할 데이터를 옵트-인 방식으로 선별하고, GDPR 컴플라이언스를 위한 메타 데이터를 포함해야 한다. 그리고 이들 데이터를 다른 모든 프로세스와 동기화해 기업의 전체 프로세스가 일관성 있게 작동하도록 해야 한다.

웹사이트 등록 양식에도 유럽 국적 이용자가 국적을 표기할 수 있도록 해야 하고(그래야만 이들에게 컴플라이언스에 필요한 알림이나 의사 결정 사항을 전달할 수 있다) 반대로 유럽 국적이 아닌 이들은 제외해야 한다. 그래야 필요 없는 알림이나 정보로 인한 성가신 일을 막을 수 있다. 중앙화된 시스템에는 탈 중앙화 된, 더 큰 리스크가 존재한다는 사실을 잊어서는 안 된다.

포인트 #3: GDPR 컴플라이언스 관련 주의 의무를 다하고 있다는 증빙을 남기자
컴플라이언스를 돈으로 살 수는 없지만, 이를 위한 툴은 돈으로 살 수 있다. 보안 이벤트와 관련해 로깅 및 알림을 제공하는 솔루션(세일즈포스의 센트리 같은 것)을 구매하는 것도 좋다. 시스템 전반에 걸쳐 보안 문제를 탐지해 주는 툴(스플렁크(Splunk)가 대표적)이나 시스템 침입으로 인한 데이터 유출에 대비하는 심층 보호 솔루션 역시 ‘머스트 바이’ 아이템에 가깝다. 이들 제품과 서비스를 사용하는 것 만으로도 최소한 컴플라이언스에 대한 의지를 입증할 수 있다.


포인트 #4: 컴플라이언스의 핵심은 프로세스, 체크리스트 그리고 ‘사람’이다
이런저런 보안 솔루션이 없다고 해서 컴플라이언스 이행을 못하는 것은 아니다. 그러나 컴플라이언스에 필요한 명백한 프로세스와 절차 매뉴얼, 그리고 특히 컴플라이언스 임무를 완수하고자 하는 인센티브 및 목표가 없다면 컴플라이언스를 이행하는 것은 불가능하다. GDPR과 관련한 취약점 평가 및 권고를 아웃소싱하는 것도 좋지만(필자는 오히려 권장한다), 여러 가지 디테일을 파악하고 정리하는, 귀찮고 고되지만 꼭 필요한 기초 작업은 반드시 인하우스로 이루어져야 한다.

HR이나 법무팀 직원에게 적극적으로 자문을 구하자. 어쩌면 의도적인 GDPR 위반이나 고객의 개인 데이터 남용을 해고 사유 중 하나로 포함하는 것도 고려해 볼만하다. GDPR 컴플라이언스는 일회성 이벤트가 아니라, 길게 이어지는 여정이다. 마케팅팀을 재편하거나 서비스 공급자가 바뀔 때마다 관련 절차를 개정해야 할 수 있다. 또한 기존 절차가 잘 이행되고 있는지 해마다 점검할 필요도 있다. 필자도 알고 있다. 매일 이런 이야기만 하는 것이 ‘지루하다’는 것을. 그래도 어쩌겠는가?

포인트 #5: 느슨하게 통합된 시스템 관리가 가장 어렵다
장기적인 관점에서 보면, 가장 중요한 이슈는 고객 데이터를 어디에 보관하고, 또 이를 어떻게 사용하는가다. 유럽 국적을 가진 고객이나 사용자가 기업이 보유하고 있는 자신의 개인 정보에 어떤 것이 있는지, 그리고 이들이 어떻게 사용되는지를 알고자 할 경우 이는 상당한 문제가 될 수 있다.

또한, 만약 고객이 자신의 개인 정보를 삭제해 달라고 요청할 경우 주간 배치 프로세스에서 이러한 데이터가 다시 시스템에 재등장하지 않도록 어떻게 보장할 수 있을까? 따라서 이러한 개인 정보가 어디에 어떻게 저장되고, 관리되는지에 대한 프로세스 맵을 가지고 있어야 한다. 이를 통해 동기화가 더 빈틈없고 완성도 있게 이루어져야 하는 부분이 드러날 것이다. 이 과정 중 일부는 매우 고통스러울 수 있다.

포인트 #6: 의외의 리스크 복병은 이메일 주소록이다
거의 모든 이메일 클라이언트가 주소록 기능을 지원한다. 이메일 트래픽에서 자주 사용하는 메일 주소를 가져와 주소를 자동 완성해 준다. 이러한 주소는 전부 개인 정보인데, 정작 그 주인의 국적은 알 수 없다. 직원이 사용하는 이메일 주소록에는 옵트-인 데이터가 거의 없다고 봐도 좋으며, 이들 주소가 어디서 어떻게 생성됐는지도 알 수 없다.

모든 이메일 사용자의 주소록은 잠재적인 리스크 시한 폭탄과도 같다. 따라서 새로운 정책을 수립하고, 이메일 서명을 지정하고 알림 사항 및 교육 프로그램을 시행하는 것 외에, 이메일 주소록의 기술적 측면에 대해서도 생각해 볼 필요가 있다. 불행히도, 사용자 대부분은 이메일 주소록을 개인적인 소유로 인식하고 있으며 이를 기업 데이터 자산으로서 제출하는 일에 익숙하지 않다.

따라서 필자는 사용자에게 주소록을 2개 만들어 관리하는 것을 추천한다. 하나는 개인적 연락처 주소용이고 다른 하나에는 기업 및 업무와 관련된 주소만 저장하는 것이다. 기업용 주소록을 CRM 시스템과 동기화 하고, 개인용 주소록은 주기적으로 정리해 기업용 주소록에 가 있어야 할 것이 잘못 들어 있는지 잡아 내면 된다. 최대 수천 개에 달하는 이메일 주소록을 CRM 시스템과 동기화하는 것은 인력과 기술 측면에서 매우 힘든 과제다. 결코 가벼이 생각해서는 안 된다. 작은 실수도 데이터 오염 및 사용자 반발로 이어질 수 있다. 이 작업은 어떤 측면에서 봐도 결코 즐겁거나 쉬울 수 없는 작업이 아니다.

포인트 #7: 입단속 하기
GDPR 컴플라이언스를 위한 기업의 노력은 웹사이트, 이메일 등 공식적으로 널리 알리고 홍보해야 할 일이지만, 그렇다고 해서 지나치게 야단 법석을 떨 필요도 없다. 실제로 GDPR 컴플라이언스를 위해 노력할 정도로 현명한 기업이라면, 굳이 이것을 표시 내고 다니는 바보 같은 짓을 할 필요는 없다. 왜냐하면 어떻게든 컴플라이언스의 빈틈을 찾아 공격하려는 해커나 악의적 사용자를 끌어들일 수 있기 때문이다. 굳이 자진해서 유럽 연합 위원회의 규제망에 걸리는 첫 번째 기업이 될 필요는 없지 않은가? ciokr@idg.co.kr 
CIO / CRM / GDPR / 보안
X