2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다.
클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다.
최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다.
UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다.
데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다.
굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다.
개인정보 보호 최적화 설계란?
개인정보 보호 최적화 설계, 또는 ‘privacy by design’ 개념에 따르면 개인정보를 취급하는 기관은 고객의 개인정보 보호 권리를 이해하고 클라우드 솔루션 설계 단계부터 이를 반영해야 한다.
개인정보 보호 최적화 설계를 실제로 적용하려면 우선 DPIA(data privacy impact assessment, 데이터 프라이버시 영향 평가)를 해야 한다.
굿윈은 “개인정보 보호에서 DPIA가 기관의 약점이 무엇인지를 밝혀내고, 클라우드에서 데이터가 여러 프로세스를 거치는 과정에서 안전하게 보호된다는 믿음을 고객에게 줄 수 있다”고 설명했다.
DPIA를 위해서는 우선 사용 데이터를 파악하고 그러한 데이터를 어떻게, 어느 정도로 보호할 수 있는가를 평가해야 한다. 또한 모든 데이터 저장소의 위치를 고려하고, 이러한 데이터가 어떻게 처리되는지, 그리고 써드파티가 접근할 수 있는지 등도 계산에 넣어야 한다.
또 데이터 처리 과정에서 데이터가 국경을 넘는지도 살펴봐야 한다. 예컨대 미국처럼 GDPR의 관할이 미치지 않는 국가로 데이터를 이동할 경우 해당 국가에서 요구하는 데이터 보호 규정을 충족시키고 있는지도 확인해야 한다.
효과적으로 DPIA를 시행한다면 데이터 주체가 데이터 이용에 대해 합리적이고 사실에 기반을 둔 판단을 내리는 데 많은 도움을 줄 수 있다.