2018.01.17

클라우드 쓰면서 GDPR 준수, 가능할까?

Tom Macaulay | Computerworld UK

2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다.



클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다.

최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다.

UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다.

데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다.

굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다.

개인정보 보호 최적화 설계란?
개인정보 보호 최적화 설계, 또는 ‘privacy by design’ 개념에 따르면 개인정보를 취급하는 기관은 고객의 개인정보 보호 권리를 이해하고 클라우드 솔루션 설계 단계부터 이를 반영해야 한다.

개인정보 보호 최적화 설계를 실제로 적용하려면 우선 DPIA(data privacy impact assessment, 데이터 프라이버시 영향 평가)를 해야 한다.

굿윈은 “개인정보 보호에서 DPIA가 기관의 약점이 무엇인지를 밝혀내고, 클라우드에서 데이터가 여러 프로세스를 거치는 과정에서 안전하게 보호된다는 믿음을 고객에게 줄 수 있다”고 설명했다.

DPIA를 위해서는 우선 사용 데이터를 파악하고 그러한 데이터를 어떻게, 어느 정도로 보호할 수 있는가를 평가해야 한다. 또한 모든 데이터 저장소의 위치를 고려하고, 이러한 데이터가 어떻게 처리되는지, 그리고 써드파티가 접근할 수 있는지 등도 계산에 넣어야 한다.

또 데이터 처리 과정에서 데이터가 국경을 넘는지도 살펴봐야 한다. 예컨대 미국처럼 GDPR의 관할이 미치지 않는 국가로 데이터를 이동할 경우 해당 국가에서 요구하는 데이터 보호 규정을 충족시키고 있는지도 확인해야 한다.

효과적으로 DPIA를 시행한다면 데이터 주체가 데이터 이용에 대해 합리적이고 사실에 기반을 둔 판단을 내리는 데 많은 도움을 줄 수 있다.
 

GDPR 의 데이터 프로세싱, 법적 근거는 무엇인가?
GDPR은 데이터 프로세싱에 대해 6가지 법적 근거를 열거하고 있다. 데이터 주체의 동의, 계약 이행 하에 부여되는 권리, 법적 의무 준수, 데이터 주체의 사활적 이익 보호, 공공의 이익, 그리고 적법한 이해관계가 그것이다. 이들 중 어떤 법적 근거에 따라 데이터를 프로세싱하던지 간에 이 사실은 데이터 주체에게 전달돼야 한다.

데이터 주체의 동의는 자발적이고, 특정적이며, 명확해야 한다. 데이터 주체가 자신의 동의 조건을 제대로 이해한 상태에서 이뤄져야 하며, 동의만큼이나 동의 철회도 쉽게 할 수 있어야 한다. 이러한 데이터 주체의 동의 내용은 증거로 요구될 때를 대비해 포괄적으로 기록되고 저장돼야 한다.

또한, 동의는 소급 적용되어야 한다. 새롭게 보관하게 되는 데이터뿐 아니라 기존에 보유하고 있던 데이터 중에도 데이터 주체의 동의가 필요한 데이터가 없는지 확인해 봐야 한다.

클라우드의 장점은 데이터 주체의 동의가 중앙집권화될 수 있다는 것이다. 일례로 일부 클라우드 애플리케이션의 경우 사용자가 중앙 포털에 로그인해 누구에게 데이터 접근 권한을 부여할지, 누구에게 데이터 프로세싱에 대한 동의를 구할지를 직접 관리할 수 있고, 또 원한다면 쉽게 그러한 동의를 철회할 수도 있다.

굿윈은 “하지만 분명 클라우드의 특성으로 인한 문제점도 없지 않다. 예컨대 데이터 위치를 파악하기 위해서는 서비스 제공자의 협력이 필요하다. 또한 클라우드는 태생적으로 분산 스토리지를 지니고 있으며 회복 탄력적 컴퓨팅 자원을 국경을 넘어 옮기는 경우가 많다”고 지적했다.

이어서 “데이터 주체는 언제든지 자신의 동의를 철회할 수 있으므로, 결국 데이터의 물리적 위치를 파악하고 있어야만 한다. 때문에 클라우드 서비스 공급자가 개인 데이터 사일로 및 저장소의 물리적 위치를 실제로 파악하고 있는지 반드시 확인할 필요가 있다”고 덧붙였다.

 




2018.01.17

클라우드 쓰면서 GDPR 준수, 가능할까?

Tom Macaulay | Computerworld UK

2018년 5월 25일 GDPR 시행을 앞두고 클라우드 서비스를 통해 데이터를 처리하는 조직에 다소 곤란한 문제가 생겼다.



클라우드에서 GDPR 준수는 다소 까다로운 면이 있다. 세일즈포스나 드롭박스 같은 클라우드 이용 업체들은 각각의 데이터 활동이 GDPR 규정에 부합하는지를 확인해야 한다. 그러나 유럽 기업들이 평균적으로 608개의 클라우드 앱을 사용하는 상황에서 이러한 작업은 절대 쉽지 않을 것이라고 넷스코프(Netskope)는 연구 결과를 통해 밝혔다.

최근 컴볼트(Commvault)가 진행한 설문조사에 따르면, 전 세계 177개 IT기관들 중 12%만이 GDPR이 클라우드 서비스에 미치게 될 영향을 제대로 이해하고 있었다. 데이터 작업이 새로운 GDPR 규정에 부합하도록 하려면 우선 클라우드의 정보 관리에 GDPR이 미치게 될 영향을 이해해야 한다.

UKCloud의 컴플라이언스 및 정보 보증 디렉터 존 굿윈은 클라우드섹 2017(Cloudsec 2017)에서 “마치 브라이턴 락(Brighton rock)과 비슷하다. 이제는 GDPR 규정이 기관의 모든 활동의 핵심을 관통해야 한다. 부서나 직무를 막론하고, 기관에서 근무하는 모든 이들이 GDPR 규정을 알고 있어야 한다”고 말했다.

데이터 주체들도 가만히 있어선 안 된다. 자신의 데이터가 어떻게 쓰이는지, 안전하게 보호되고 있는지, 그리고 스스로 인지하고 있는 목적으로만 사용되고 있는지 끊임없이 감시해야 한다. 그런데 이는 데이터의 위치를 파악하기 어려운 클라우드에서는 쉽지 않은 일이 될 수 있다.

굿윈은 “데이터 주체의 권리 역시 이제는 우리가 신경 써야 할 영역이다. 특히 클라우드 서비스를 사용하게 되면, 이러한 클라우드 서비스가 데이터 주체의 권리를 어떻게 보장해 줄 수 있는지 알고 있어야 한다”고 말했다.

개인정보 보호 최적화 설계란?
개인정보 보호 최적화 설계, 또는 ‘privacy by design’ 개념에 따르면 개인정보를 취급하는 기관은 고객의 개인정보 보호 권리를 이해하고 클라우드 솔루션 설계 단계부터 이를 반영해야 한다.

개인정보 보호 최적화 설계를 실제로 적용하려면 우선 DPIA(data privacy impact assessment, 데이터 프라이버시 영향 평가)를 해야 한다.

굿윈은 “개인정보 보호에서 DPIA가 기관의 약점이 무엇인지를 밝혀내고, 클라우드에서 데이터가 여러 프로세스를 거치는 과정에서 안전하게 보호된다는 믿음을 고객에게 줄 수 있다”고 설명했다.

DPIA를 위해서는 우선 사용 데이터를 파악하고 그러한 데이터를 어떻게, 어느 정도로 보호할 수 있는가를 평가해야 한다. 또한 모든 데이터 저장소의 위치를 고려하고, 이러한 데이터가 어떻게 처리되는지, 그리고 써드파티가 접근할 수 있는지 등도 계산에 넣어야 한다.

또 데이터 처리 과정에서 데이터가 국경을 넘는지도 살펴봐야 한다. 예컨대 미국처럼 GDPR의 관할이 미치지 않는 국가로 데이터를 이동할 경우 해당 국가에서 요구하는 데이터 보호 규정을 충족시키고 있는지도 확인해야 한다.

효과적으로 DPIA를 시행한다면 데이터 주체가 데이터 이용에 대해 합리적이고 사실에 기반을 둔 판단을 내리는 데 많은 도움을 줄 수 있다.
 

GDPR 의 데이터 프로세싱, 법적 근거는 무엇인가?
GDPR은 데이터 프로세싱에 대해 6가지 법적 근거를 열거하고 있다. 데이터 주체의 동의, 계약 이행 하에 부여되는 권리, 법적 의무 준수, 데이터 주체의 사활적 이익 보호, 공공의 이익, 그리고 적법한 이해관계가 그것이다. 이들 중 어떤 법적 근거에 따라 데이터를 프로세싱하던지 간에 이 사실은 데이터 주체에게 전달돼야 한다.

데이터 주체의 동의는 자발적이고, 특정적이며, 명확해야 한다. 데이터 주체가 자신의 동의 조건을 제대로 이해한 상태에서 이뤄져야 하며, 동의만큼이나 동의 철회도 쉽게 할 수 있어야 한다. 이러한 데이터 주체의 동의 내용은 증거로 요구될 때를 대비해 포괄적으로 기록되고 저장돼야 한다.

또한, 동의는 소급 적용되어야 한다. 새롭게 보관하게 되는 데이터뿐 아니라 기존에 보유하고 있던 데이터 중에도 데이터 주체의 동의가 필요한 데이터가 없는지 확인해 봐야 한다.

클라우드의 장점은 데이터 주체의 동의가 중앙집권화될 수 있다는 것이다. 일례로 일부 클라우드 애플리케이션의 경우 사용자가 중앙 포털에 로그인해 누구에게 데이터 접근 권한을 부여할지, 누구에게 데이터 프로세싱에 대한 동의를 구할지를 직접 관리할 수 있고, 또 원한다면 쉽게 그러한 동의를 철회할 수도 있다.

굿윈은 “하지만 분명 클라우드의 특성으로 인한 문제점도 없지 않다. 예컨대 데이터 위치를 파악하기 위해서는 서비스 제공자의 협력이 필요하다. 또한 클라우드는 태생적으로 분산 스토리지를 지니고 있으며 회복 탄력적 컴퓨팅 자원을 국경을 넘어 옮기는 경우가 많다”고 지적했다.

이어서 “데이터 주체는 언제든지 자신의 동의를 철회할 수 있으므로, 결국 데이터의 물리적 위치를 파악하고 있어야만 한다. 때문에 클라우드 서비스 공급자가 개인 데이터 사일로 및 저장소의 물리적 위치를 실제로 파악하고 있는지 반드시 확인할 필요가 있다”고 덧붙였다.

 


X