2019.02.13

"기업-고객 신뢰의 출발점"··· IAM으로 프라이버시 강화하기

Susan Morrow | CSO
지난 12개월 동안 데이터 프라이버시 관련 굵직한 뉴스가 잇달아 나왔다. 데이터 유출 사고와 데이터 보호 규정 변경 사항 관련 기사가 넘쳐나고 실무자 사이에서도 데이터 프라이버시에 관해 이야기가 분주히 오간다. 너무 과하다는 생각이 들 정도다. 그렇다면 지금 우리는 '프라이버시 보호의 정점'에 도달했을까? 

© Getty Images Bank

안타깝게도 그렇지 않다. 특히 신원 분야에서는 소비자 영역에 진입하기 전까지 데이터 프라이버시를 제대로 고려한 적이 없었다. 실제로 기업 IAM(Identity and Access Management)의 경우 직원의 개인 정보를 사용하고 있는데도, 프라이버시를 언급한 적이 거의 없다. 기업 시스템의 경계가 흐릿해지고 IAM 서비스를 소비자에게 제공하기 시작한 최근에서야 데이터 프라이버시가 업계 일반의 용어로 쓰이게 됐다.

프라이버시 고려가 중요한 이유
데이터 유출과 프라이버시 위반은 일종의 '디지털 트라우마'로 인식될 수 있다. 7억7,300만 명의 개인정보가 유출된 'Collective #1' 사고 소식을 들었을 때 필자는 당장 "또!"라는 생각이 들었다. HBP(HaveIBeenPwned)를 검색해 필자 역시 이메일 주소가 유출됐음을 확인했지만 이미 둔감해졌기 때문에 큰 걱정이 되지 않았다.

트라우마를 겪은 사람은 둔감해지기 마련이다. 예를 들어, 실제 폭력을 경험한 10대는 자신이 노출되지 않은 상대방의 폭력 행위에 덜 영향을 받는다. 무엇인가를 계속 경험하면 익숙해지는 것이다. 하지만 그렇다고 해서 이를 용인해야 한다는 뜻은 아니다.

지금도 우리의 개인 정보에 영향을 주는 유출 사고가 계속되고 있다. EU의 GDPR은 기업 경영진의 주의를 환기하는 데 도움이 되지만 사이버 범죄자가 개인 정보를 훔치려고 시도하는 것까지 저지하지는 못한다. 법률 기업 DLA 파이퍼(DLA Piper)에 따르면, GDPR이 발효된 이후 유럽 전역에서 5만 9,000건의 개인 정보 유출 사고가 있었다.

개인 정보 관리자와 실무자라면 프라이버시를 외면해선 안 된다. 프라이버시를 포기하는 고객만큼이나 기업도 피해를 본다. 프라이비타(Privitar)의 보고서를 보면, 소비자 중 90%가 기술 발전이 데이터 프라이버시에 위험하다고 우려하는 것으로 나타났다. 

기술과 프라이버시: 좋은 IAM 콤비?
IAM 플랫폼은 걷잡을 수 없이 밀려드는 개인 정보를 관리하고 고객 경험을 개선하기 위해 혁신이 필요하다. 데이터는 놀랍도록 유용한 상품이며 통합 과정의 디지털화를 포함해 온라인 작업을 수행하는 데 활용할 수 있다. 그러나 IAM 기술 스택의 렌즈를 통해 본 프라이버시는 플랫폼 고유의 것이어야 한다. 이것이 시사하는 바는 무엇일까. 프라이버시를 확보하면서도 활용하는 방법은 없을까.

프라이버시의 정점 1: 훌륭한 UI/UX는 데이터 프라이버시를 강화한다
신원 관리 백엔드와 사용자 사이의 접점에서 데이터 프라이버시 선택이 시작된다. 이 부분은 고객과의 관계가 시작되는 곳이기도 하다. 프라이버시는 신뢰의 고유한 부분이며 관계 형성 도구다. 따라서 적절한 UX를 통해 고객이 프라이버시를 공고히 하는 방향으로 안내해야 한다. UI는 데이터 처리 방식을 간소하게 반영해야 한다. 그렇게 하면 프라이버시를 존중한다는 신뢰를 쌓을 수 있다.

프라이버시의 정점 2: 약속을 이행한다
사용자에게 자신의 데이터를 X 또는 Y에 사용하지 않겠다고 약속한 경우 실제로 이를 이행한다. 사용자에게 더 좋은 서비스를 위해 데이터를 이용한다고 약속한 경우도 그렇게 해야 한다. 그리고 이런 기본적인 사고가 서비스 구축 초기의 설계 프로세스에 포함돼야 한다. 이를 다시 제공하는 경우 하기가 더 어렵지만 불가능한 것은 아니다. 신원 API 기반 서비스 아키텍처는 프라이버시를 개선하는 데 필요한 빠진 기능을 추가하는 데 도움이 될 수 있다.

프라이버시의 정점 3: 동의는 유동적이다
동의 관리는 다양한 형태로 나타난다. 처음에 고객의 데이터를 처리할 때 이미 동의를 받았어야 한다. 하지만 동의는 유동적이다. 사람들의 생각은 바뀐다. 시스템에 E2E 방식으로 데이터 프라이버시 관리 동의 프로세스를 구축한다. 이는 트랜잭션 동의에 포함될 수 있으며 OAuth 2.0과 UMA가 이를 달성하기 위한 대표적인 프로토콜이다.

또한 동의 관리는 사용자의 계정 관리자에 포함할 수 있다. 소비자용 IAM 업체는 서비스 전반에 걸쳐 동의를 관리하는 기능을 추가하기 시작했다. 심지어 블록체인도 유용할 수 있다. 동의 트랜잭션 수신 및 감사를 위한 계층으로 사용되면서 GDPR의 동의 요건을 제대로 준수했음을 증명하는 불변의 수단을 제공한다.

프라이버시의 정점 4: 기술은 프라이버시의 친구다
프라이버시의 핵심은 개인의 선택이지만 데이터 프라이버시는 기술 솔루션을 이용해 강화할 수 있다. 항상 가능한 최고의 보안 솔루션을 이용해 고객의 프라이버시 선택을 이행하고 가능한 원활하게 한다. 인증 등 특정 고객 대면 영역에서는 어려울 수 있지만 인증 분야에서는 '사용성 vs. 보안' 문제의 대안으로 자리 잡기 시작했다. 어떤 형태로든 개인 정보를 이동하는 시스템에서는 설계를 통해 이동 및 보관 중인 데이터 영역을 보호해야 한다.
 
---------------------------------------------------------------
프라이버시 인기기사
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

'데이터 프라이버시의 달'을 만들자
데이터 프라이버시의 날(Data Privacy Day)이 이제는 2월 28일까지 지속하는 데이터 프라이버시의 달(Data Privacy Month)로 바뀌었다. 개인 데이터를 관리하는 사람이라면 데이터 프라이버시에 대해 둔감해지거나 안주해서는 안 된다. 데이터 프라이버시는 기업 서비스와 고객 사이에서 구축해야 하는 관계의 핵심이다. 그 중심에는 데이터를 숨기는 것이 아니라 이를 이용해 데이터가 나타내는 사람을 존중하는 것이다. ciokr@idg.co.kr



2019.02.13

"기업-고객 신뢰의 출발점"··· IAM으로 프라이버시 강화하기

Susan Morrow | CSO
지난 12개월 동안 데이터 프라이버시 관련 굵직한 뉴스가 잇달아 나왔다. 데이터 유출 사고와 데이터 보호 규정 변경 사항 관련 기사가 넘쳐나고 실무자 사이에서도 데이터 프라이버시에 관해 이야기가 분주히 오간다. 너무 과하다는 생각이 들 정도다. 그렇다면 지금 우리는 '프라이버시 보호의 정점'에 도달했을까? 

© Getty Images Bank

안타깝게도 그렇지 않다. 특히 신원 분야에서는 소비자 영역에 진입하기 전까지 데이터 프라이버시를 제대로 고려한 적이 없었다. 실제로 기업 IAM(Identity and Access Management)의 경우 직원의 개인 정보를 사용하고 있는데도, 프라이버시를 언급한 적이 거의 없다. 기업 시스템의 경계가 흐릿해지고 IAM 서비스를 소비자에게 제공하기 시작한 최근에서야 데이터 프라이버시가 업계 일반의 용어로 쓰이게 됐다.

프라이버시 고려가 중요한 이유
데이터 유출과 프라이버시 위반은 일종의 '디지털 트라우마'로 인식될 수 있다. 7억7,300만 명의 개인정보가 유출된 'Collective #1' 사고 소식을 들었을 때 필자는 당장 "또!"라는 생각이 들었다. HBP(HaveIBeenPwned)를 검색해 필자 역시 이메일 주소가 유출됐음을 확인했지만 이미 둔감해졌기 때문에 큰 걱정이 되지 않았다.

트라우마를 겪은 사람은 둔감해지기 마련이다. 예를 들어, 실제 폭력을 경험한 10대는 자신이 노출되지 않은 상대방의 폭력 행위에 덜 영향을 받는다. 무엇인가를 계속 경험하면 익숙해지는 것이다. 하지만 그렇다고 해서 이를 용인해야 한다는 뜻은 아니다.

지금도 우리의 개인 정보에 영향을 주는 유출 사고가 계속되고 있다. EU의 GDPR은 기업 경영진의 주의를 환기하는 데 도움이 되지만 사이버 범죄자가 개인 정보를 훔치려고 시도하는 것까지 저지하지는 못한다. 법률 기업 DLA 파이퍼(DLA Piper)에 따르면, GDPR이 발효된 이후 유럽 전역에서 5만 9,000건의 개인 정보 유출 사고가 있었다.

개인 정보 관리자와 실무자라면 프라이버시를 외면해선 안 된다. 프라이버시를 포기하는 고객만큼이나 기업도 피해를 본다. 프라이비타(Privitar)의 보고서를 보면, 소비자 중 90%가 기술 발전이 데이터 프라이버시에 위험하다고 우려하는 것으로 나타났다. 

기술과 프라이버시: 좋은 IAM 콤비?
IAM 플랫폼은 걷잡을 수 없이 밀려드는 개인 정보를 관리하고 고객 경험을 개선하기 위해 혁신이 필요하다. 데이터는 놀랍도록 유용한 상품이며 통합 과정의 디지털화를 포함해 온라인 작업을 수행하는 데 활용할 수 있다. 그러나 IAM 기술 스택의 렌즈를 통해 본 프라이버시는 플랫폼 고유의 것이어야 한다. 이것이 시사하는 바는 무엇일까. 프라이버시를 확보하면서도 활용하는 방법은 없을까.

프라이버시의 정점 1: 훌륭한 UI/UX는 데이터 프라이버시를 강화한다
신원 관리 백엔드와 사용자 사이의 접점에서 데이터 프라이버시 선택이 시작된다. 이 부분은 고객과의 관계가 시작되는 곳이기도 하다. 프라이버시는 신뢰의 고유한 부분이며 관계 형성 도구다. 따라서 적절한 UX를 통해 고객이 프라이버시를 공고히 하는 방향으로 안내해야 한다. UI는 데이터 처리 방식을 간소하게 반영해야 한다. 그렇게 하면 프라이버시를 존중한다는 신뢰를 쌓을 수 있다.

프라이버시의 정점 2: 약속을 이행한다
사용자에게 자신의 데이터를 X 또는 Y에 사용하지 않겠다고 약속한 경우 실제로 이를 이행한다. 사용자에게 더 좋은 서비스를 위해 데이터를 이용한다고 약속한 경우도 그렇게 해야 한다. 그리고 이런 기본적인 사고가 서비스 구축 초기의 설계 프로세스에 포함돼야 한다. 이를 다시 제공하는 경우 하기가 더 어렵지만 불가능한 것은 아니다. 신원 API 기반 서비스 아키텍처는 프라이버시를 개선하는 데 필요한 빠진 기능을 추가하는 데 도움이 될 수 있다.

프라이버시의 정점 3: 동의는 유동적이다
동의 관리는 다양한 형태로 나타난다. 처음에 고객의 데이터를 처리할 때 이미 동의를 받았어야 한다. 하지만 동의는 유동적이다. 사람들의 생각은 바뀐다. 시스템에 E2E 방식으로 데이터 프라이버시 관리 동의 프로세스를 구축한다. 이는 트랜잭션 동의에 포함될 수 있으며 OAuth 2.0과 UMA가 이를 달성하기 위한 대표적인 프로토콜이다.

또한 동의 관리는 사용자의 계정 관리자에 포함할 수 있다. 소비자용 IAM 업체는 서비스 전반에 걸쳐 동의를 관리하는 기능을 추가하기 시작했다. 심지어 블록체인도 유용할 수 있다. 동의 트랜잭션 수신 및 감사를 위한 계층으로 사용되면서 GDPR의 동의 요건을 제대로 준수했음을 증명하는 불변의 수단을 제공한다.

프라이버시의 정점 4: 기술은 프라이버시의 친구다
프라이버시의 핵심은 개인의 선택이지만 데이터 프라이버시는 기술 솔루션을 이용해 강화할 수 있다. 항상 가능한 최고의 보안 솔루션을 이용해 고객의 프라이버시 선택을 이행하고 가능한 원활하게 한다. 인증 등 특정 고객 대면 영역에서는 어려울 수 있지만 인증 분야에서는 '사용성 vs. 보안' 문제의 대안으로 자리 잡기 시작했다. 어떤 형태로든 개인 정보를 이동하는 시스템에서는 설계를 통해 이동 및 보관 중인 데이터 영역을 보호해야 한다.
 
---------------------------------------------------------------
프라이버시 인기기사
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

'데이터 프라이버시의 달'을 만들자
데이터 프라이버시의 날(Data Privacy Day)이 이제는 2월 28일까지 지속하는 데이터 프라이버시의 달(Data Privacy Month)로 바뀌었다. 개인 데이터를 관리하는 사람이라면 데이터 프라이버시에 대해 둔감해지거나 안주해서는 안 된다. 데이터 프라이버시는 기업 서비스와 고객 사이에서 구축해야 하는 관계의 핵심이다. 그 중심에는 데이터를 숨기는 것이 아니라 이를 이용해 데이터가 나타내는 사람을 존중하는 것이다. ciokr@idg.co.kr

X