Offcanvas

General Data Protection Regulation

칼럼 | 무방비 상태의 B2B 프라이버시 규정, 문제 없을까

대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다. 가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다. 하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다. 직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다. 문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가? 직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 ...

스마트폰 GDPR 개인정보보호법 EU 유럽연합 B2C B2B 개인정보 보호 프라이버시 General Data Protection Regulation

2017.05.18

대부분 IT경영자들은 ‘기업 프라이버시 정책’이라는 단어를 보면 링크드인이나 우버, 에버노트 등이 고객의 사생활 보호와 관련해 추진하는 정책을 떠올린다. 하지만 여기서 말하는 프라이버시 정책이란 기업의 데이터를 관리하는 또 다른 기업과의 계약 체결에 필요한 정책을 말한다. 이 문제를 제대로 다루지 않은 채 이뤄지는 계약이 대부분이며 이러한 사실은 보안에서 상당한 취약점이 된다. 가장 피부에 와 닿는 사례부터 생각해 보자. 직원들이 사용하는 각종 안드로이드 및 iOS 기기는 어떨까? 오늘날 이들 기기는 끊임없이 사용자를 모니터링하고 있다. 글자 그대로 끊임없이 말이다. 예전에는 비행기 모드를 해 놓거나, 와이파이를 꺼 놓으면 기기의 모니터링을 피할 수 있었다. 하지만, 적어도 iOS에서는 아니다. 최근 OS 업그레이드를 통해 이제 아이폰에서는 비행기 모드를 해 놓거나 와이파이를 꺼 두어도 시리를 부르면 시리가 ‘시리를 사용할 수 없습니다’라고 답한다. 즉 시리가 데이터베이스에는 접근할 수 없다 해도 사용자의 활동을 계속해서 모니터링 하고 있다가 질문에 답변한다는 뜻이다. 직원들의 업무용 스마트폰 구매 계약을 체결할 때, 프라이버시 보호와 관련한 규정을 포함시킨 회사가 얼마나 될까? 회사의 프라이버시 정책에 맞지 않는 기기는 과감히 패스할 수 있는 기업은 또 몇이나 될까? 미국 내 기업들 다수가 이처럼 프라이버시 문제를 중요하게 여긴다면 빠르게 변화하리라고 장담할 수 있다. 문제는 스마트폰만이 아니다. 클라우드도 있다. 클라우드 업체와의 계약서를 펼쳐 보자. 업체는 아마도 기업의 중요 데이터에 대해 접근 권한을 지니고 있을 것이다. 이러한 데이터에 대해 업체의 활용 권한을 제한하는 항목이 들어 있는가? 직원 채용 시 작성하는 계약서와 비교해보면 이러한 허점은 더욱 드러난다. 직원 채용 계약서는 회사의 기밀 자료를 폐기 후 5년이 지나도 보안 규정에 따라 관리해야 하는 의무를 명시해 두고 ...

2017.05.18

1년 남은 EU의 GDPR··· 구글, "클라우드로 해결할 수 있다" 제안

EU의 일반 데이터 보호 규정(GDPR :General Data Protection Regulation) 적용 시기가 다가오고 있지만, 상당한 자원 투자가 필요해 많은 기업이 2018년 5월에 맞추고자 분투하고 있다. 구글 경영진에 따르면, 데이터를 클라우드로 옮기면 규정에 따라 보안 관행 및 데이터 보호 표준을 업그레이드하는 데 어려움을 겪을 수 있다. GDPR은 데이터 보호 규정에 관한 20년 만의 큰 변화며 많은 기업의 주요 과제다. 지난주 발표된 가트너 애널리스트의 조사에 따르면, 이 법안의 영향을 받는 사람들 가운데 약 절반(EU 또는 외부)은 규제가 효력을 발휘하면 그때 가서 따를 것으로 파악됐다. 3일 영국 런던에서 열린 구글의 클라우드 넥스트 행사에서 이 회사는 자사의 클라우드 플랫폼 및 G스위트 제품 포트폴리오에 데이터 보호 기능을 넣어 해당 규제에 대응하겠다고 발표했다. 4,500여 명이 참석한 이 행사에서 구글 클라우드 플랫폼 담당 부사장인 브라이언 스티븐스는 "구글의 보안 기능은 실제로 준수 의무를 해결하는 데 도움이 된다"며 "우리는 미국 연방정부의 위험 및 인증 관리 프로그램(FedRamp)의 가속 프로세스를 통해 방금 선정되었다. 우리는 오랫동안 유럽에서 모델 계약 조항을 제공하고 있으며 우리가 수행한 기본 작업으로 내년 5월 GDPR 발효에 맞춰 준비를 끝냈다"고 말했다. 이번 발표는 아마존 웹 서비스(AWS)와 마이크로소프트 애저 등 3대 클라우드 공급자들도 EU에서 운영하는 고객을 지원하기 위해 GDPR 준수를 약속한 것과 유사한 움직임을 보인다. 구글은 이미 G스위트 제품에 저장된 중요한 정보를 수정하는 데이터 손실 보호 API와 구글 드라이브의 데이터 보관을 위한 구글 볼트(Vault) 같은 데이터 보호 및 보안 관행 개선에 도움이 되는 여러 가지 서비스를 이미 출시했다. EMEA에서 클라우드 고객 엔지니어링을 총괄하는 빌 히펜메이어에 따르면, 클라우...

구글 General Data Protection Regulation GDPR 일반 데이터 보호 규정 마이크로소프트 애저 아마존 웹 서비스 EU AWS 가트너 클라우드 넥스트

2017.05.08

EU의 일반 데이터 보호 규정(GDPR :General Data Protection Regulation) 적용 시기가 다가오고 있지만, 상당한 자원 투자가 필요해 많은 기업이 2018년 5월에 맞추고자 분투하고 있다. 구글 경영진에 따르면, 데이터를 클라우드로 옮기면 규정에 따라 보안 관행 및 데이터 보호 표준을 업그레이드하는 데 어려움을 겪을 수 있다. GDPR은 데이터 보호 규정에 관한 20년 만의 큰 변화며 많은 기업의 주요 과제다. 지난주 발표된 가트너 애널리스트의 조사에 따르면, 이 법안의 영향을 받는 사람들 가운데 약 절반(EU 또는 외부)은 규제가 효력을 발휘하면 그때 가서 따를 것으로 파악됐다. 3일 영국 런던에서 열린 구글의 클라우드 넥스트 행사에서 이 회사는 자사의 클라우드 플랫폼 및 G스위트 제품 포트폴리오에 데이터 보호 기능을 넣어 해당 규제에 대응하겠다고 발표했다. 4,500여 명이 참석한 이 행사에서 구글 클라우드 플랫폼 담당 부사장인 브라이언 스티븐스는 "구글의 보안 기능은 실제로 준수 의무를 해결하는 데 도움이 된다"며 "우리는 미국 연방정부의 위험 및 인증 관리 프로그램(FedRamp)의 가속 프로세스를 통해 방금 선정되었다. 우리는 오랫동안 유럽에서 모델 계약 조항을 제공하고 있으며 우리가 수행한 기본 작업으로 내년 5월 GDPR 발효에 맞춰 준비를 끝냈다"고 말했다. 이번 발표는 아마존 웹 서비스(AWS)와 마이크로소프트 애저 등 3대 클라우드 공급자들도 EU에서 운영하는 고객을 지원하기 위해 GDPR 준수를 약속한 것과 유사한 움직임을 보인다. 구글은 이미 G스위트 제품에 저장된 중요한 정보를 수정하는 데이터 손실 보호 API와 구글 드라이브의 데이터 보관을 위한 구글 볼트(Vault) 같은 데이터 보호 및 보안 관행 개선에 도움이 되는 여러 가지 서비스를 이미 출시했다. EMEA에서 클라우드 고객 엔지니어링을 총괄하는 빌 히펜메이어에 따르면, 클라우...

2017.05.08

일반 데이터 보호 규정 마련한 EU··· 기업은 어떻게 준비할까?

유럽연합의 일반 데이터 보호 규정(GDPR)이 약 18개월 안에 시행될 경우 규제 당국이 엄청난 벌금을 부과할 수 있게 될 것이다. 이에 대응하려면 데이터 보호 담당자가 필요할 수 있다. 유럽연합의 일반 데이터 보호 규정(GDPR) 시행으로 2018년 5월 25일부터 EU 거주자와 관련 개인 데이터를 처리하는 기업 및 기관의 준비가 미흡할 경우 벌금을 내야 할 것이다. 사이버 보안 및 정보 위험 관리에 중점을 둔 글로벌 독립 정보보안 기관인 정보보안포럼(ISF)의 전무인 스티브 더빈은 대부분 조직에서 데이터 보호 책임자(DPO)를 지명해야 한다고 말했다. 더빈은 이달 초 성명서에서 "GDPR은 전 세계적으로 비즈니스 목표의 최전선에 데이터 보호를 적용하도록 하고 있다. 그 범위는 다른 어떤 국제법과도 비교할 수 없으며, EU 거주자의 개인 데이터를 처리하거나 EU를 기반으로 하므로 ISF 회원 중 98% 이상이 요구 사항의 영향을 받을 것으로 예상한다. 향후 18개월은 데이터 보호 체제가 GDPR의 적용 가능성과 규제 준수 및 위험 관리를 관리하는 데 필요한 통제와 기능을 결정하는 중요한 시기가 될 것이다"고 설명했다.   EU는 데이터 규제를 현대화하고자 5년 이상 노력한 끝에 2016년 4월 GDPR을 마련했다. 데이터를 처리하는 위치와 상관없이 EU 거주자와 관련된 개인 데이터에는 GDPR이 적용된다. 또한 EU는 데이터 보호법의 범위도 정의했다. 더빈은 GDPR이 규제 당국에 골칫거리를 줬다고 말했다. 규제 준수 비용과 벌금은 최대 2,000만 유로이거나 이전 회계연도 기준 연 매출액의 4%까지 될 수 있다. 따라서 데이터 침해 사고는 기업의 위험에 영향을 미칠 수 있다. 더빈은 기업이 가능한 한 빨리 그 영향을 반드시 이해해야 한다고 강조했다. 데이터 보호 규제, 준비됐나 이달 초 ISF는 회원들에게 ‘일반 데이터 보호 규정 준비’ 보고서를 발표했다. 이 보고서는 데이터 ...

CIO General Data Protection Regulation GDPR 일반 데이터 보호 규정 DPO 데이터 보호 책임자 ISF EU 유럽연합 정보보안포럼

2017.01.25

유럽연합의 일반 데이터 보호 규정(GDPR)이 약 18개월 안에 시행될 경우 규제 당국이 엄청난 벌금을 부과할 수 있게 될 것이다. 이에 대응하려면 데이터 보호 담당자가 필요할 수 있다. 유럽연합의 일반 데이터 보호 규정(GDPR) 시행으로 2018년 5월 25일부터 EU 거주자와 관련 개인 데이터를 처리하는 기업 및 기관의 준비가 미흡할 경우 벌금을 내야 할 것이다. 사이버 보안 및 정보 위험 관리에 중점을 둔 글로벌 독립 정보보안 기관인 정보보안포럼(ISF)의 전무인 스티브 더빈은 대부분 조직에서 데이터 보호 책임자(DPO)를 지명해야 한다고 말했다. 더빈은 이달 초 성명서에서 "GDPR은 전 세계적으로 비즈니스 목표의 최전선에 데이터 보호를 적용하도록 하고 있다. 그 범위는 다른 어떤 국제법과도 비교할 수 없으며, EU 거주자의 개인 데이터를 처리하거나 EU를 기반으로 하므로 ISF 회원 중 98% 이상이 요구 사항의 영향을 받을 것으로 예상한다. 향후 18개월은 데이터 보호 체제가 GDPR의 적용 가능성과 규제 준수 및 위험 관리를 관리하는 데 필요한 통제와 기능을 결정하는 중요한 시기가 될 것이다"고 설명했다.   EU는 데이터 규제를 현대화하고자 5년 이상 노력한 끝에 2016년 4월 GDPR을 마련했다. 데이터를 처리하는 위치와 상관없이 EU 거주자와 관련된 개인 데이터에는 GDPR이 적용된다. 또한 EU는 데이터 보호법의 범위도 정의했다. 더빈은 GDPR이 규제 당국에 골칫거리를 줬다고 말했다. 규제 준수 비용과 벌금은 최대 2,000만 유로이거나 이전 회계연도 기준 연 매출액의 4%까지 될 수 있다. 따라서 데이터 침해 사고는 기업의 위험에 영향을 미칠 수 있다. 더빈은 기업이 가능한 한 빨리 그 영향을 반드시 이해해야 한다고 강조했다. 데이터 보호 규제, 준비됐나 이달 초 ISF는 회원들에게 ‘일반 데이터 보호 규정 준비’ 보고서를 발표했다. 이 보고서는 데이터 ...

2017.01.25

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.

10.4.0.6