Offcanvas

보안 / 빅데이터 | 애널리틱스 / 클라우드

"클라우드 쓴다면 더 문제"··· 기업을 위한 GDPR 가이드

2017.09.25 Tom Macaulay  |  Computerworld UK
2018년 5월 25일, 강화된 개인정보 보호 규정인 일반정보보호규정(GDPR)의 EU 시행일이 빠르게 다가오고 있다. 이 때문에 클라우드 서비스로 정보를 처리하는 기업은 새로운 과제와 기회를 맞고 있다.



GDPR 규정을 잘 지키려면 먼저 그 의미를 정확하게 이해해야 한다. GDPR은 개인정보 보호를 강화하는 정보 관리/통제 체제다. UK클라우드(UKCloud)의 준법 및 정보 보증 책임자 존 고드윈은 최근 열린 클라우드 보안 컨퍼런스 '클라우드섹 2017(Cloudsec 2017)'에서 "GDPR은 마치 브라이튼 록(Brighton rock) 사탕 과자의 막대와 같다. 기업 업무를 모두 관통하는 것이므로, 부서나 직무와 관계없이 모든 직원이 정확히 이해해야 한다”라고 말했다.

GDPR의 목표는 정보 주체에게 자신의 정보가 어떻게 사용되는지 충분히 인지시키고, 자신이 알고 있는 목적으로만 안전하게 처리될 것이라는 신뢰는 주는 것이다. 문제는 클라우드에서는 이러한 신뢰가 쉽지 않다는 것이다. 정보가 어디에 저장돼 있는지 확실치 않을 때가 있기 때문이다. 고드윈은 “정보 주체의 권리가 점점 커지고 있으므로, 기업이 클라우드 서비스를 사용할 때는 이러한 권리를 어떻게 보장할지 충분히 파악해 대비해야 한다"라고 말했다.

개인정보 보호 최적화 설계
GDPR은 개인 정보보호 권리를 클라우드 솔루션 내에 반영하도록 기업이 '개인정보 보호 영향 평가(DPIA, Data Privacy Impact Assessment)'를 의무적으로 수행하도록 규정했다. 고드윈은 "DPIA를 제대로 수행하면 정보보호 체계의 허점이 어디에 있는지 파악할 수 있고, 클라우드내 다양한 프로세스를 거치는 과정에서 고객 정보를 안전하게 유지할 수 있다”라고 말했다.

DPIA는 기업이 사용되는 정보를 파악하고 그 보호 정도를 평가한다. 정보 저장소의 위치와 정보 처리 방식, 제3자에 의한 접근 여부 등을 고려한다. 이 과정에서 어떤 국가가 관련되는 지도 중요하다. 미국처럼 GDPR 적용 범위를 벗어나는 국가로 정보가 이동될 경우 실무자는 해당 국가의 정보보호 요건에 맞는지 확인해야 한다.

정보 처리 권리
GDPR은 정보를 처리하는 법적 근거로 6가지를 규정한다. 정보 주체의 동의, 계약 이행 상 주어진 권리, 법적 의무 준수, 정보 주체의 사활적 이익 보호, 공공 이익, 공표된 정당한 이익 등이다. 정보 처리가 가능한 기준이 어떤 것이든 중요한 것은 이를 정보 주체에게 명시해야 한다는 점이다. 이때 동의는 자발적이고 구체적이며 분명해야 한다. 정보 주체가 조건을 제대로 이해할 수 있어야 하고, 동시에 철회 과정도 쉬워야 한다.

기업은 법적 다툼을 대비해 동의와 관련된 기록을 철저하게 남겨 보관해야 한다. 소급 적용도 가능해야 하므로 기업은 기존 정보에 대한 처리 동의 여부를 파악할 수 있는 근거를 확보하고 있어야 한다. 클라우드의 장점은 이러한 동의가 중앙 집중화된다는 점이다. 일부 클라우드 응용프로그램은 사용자가 중앙 포털에 로그인해 자신의 정보 열람 대상과 동의 여부를 관리할 수 있으며 원하면 이를 쉽게 철회할 수 있다.

고드윈은 “클라우드라서 부닥치는 특별한 어려움이 있다. 클라우드는 그 속성상 분산 저장 장치가 사용되고, 컴퓨팅 리소스가 서로 다른 국가나 지역을 돌아다니는 경우가 많다. 사용자가 동의를 철회할 때 정보의 위치를 정확히 제공해야 하므로, 클라우드 제공자를 통해 개인 정보의 저장소 또는 저장고의 물리적 위치가 실제로 파악되고 있음을 확실히 해야 한다"라고 말했다.

정보 주체 권리
또한, 클라우드 제공자는 정보 주체의 여러 가지 새로운 권리도 충족해야 한다. 예를 들어 주체 접근 요청권은 자신과 관련된 정보 중 저장된 보안 정보를 알 수 있도록 규정한 것이다. 정보 주체는 통신 서비스 제공자(CSP)에게 직접 연락하거나 혹은 CSP 협력사를 통해 자신의 정보에 대해 문의할 수 있고, CSP는 지정된 시간 내에 파악해 답변해야 한다.

이밖에 정보 수정권은 잘못된 정보가 저장돼 있으면 수정할 수 있는 권리다. 또한, 정보 이동권은 요청에 따라 정보를 전송할 권리로, 예를 들어 한 보험회사에서 다른 회사로 개인정보를 넘길 수 있다. 만일 정보가 사용되는 것을 원하지 않으면 정보 처리에 반대할 수 있고, 이른바 '잊힐 권리'라고 불리는 삭제권도 있다. GDPR은 기업이 사용자에게 이러한 권리를 보장하는 절차를 수립하도록 규정하고 있다.

고드윈은 “클라우드 서비스 제공자는 보유 기술 자원과 인력이 이러한 의무를 충족할 수 있도록 적절한 정보와 교육을 받도록 해야 한다. GDPR 규정된 기간은 30일 미만이어서 대부분 빠듯하다. 이 기간 안에 요청을 확인하고 조사하고 응답해야 한다. 30일이 정신없이 지나갈 것이 뻔하므로 기업은 이에 대해 확실히 대비하고 있어야 한다"라고 말했다.

그러나 안타깝게도 전자 정보는 때때로 파일 캐비닛에 있는 물리적인 문서보다 찾기가 더 어렵다. 클라우드에 저장된 정보는 특히 그렇다. 드롭박스(Dropbox)와 세일즈포스(Salesforce) 등 타사와 공유된 복사본, 백업, 아카이브 등에 분산돼 있기 때문이다. 따라서 모든 저장소에 있는 정보를 명확하게 기록해 둬야 한다.

또한, 클라우드 제공자는 직원, 데이터센터, 모기업, 프로세스 등이 전 세계에 흩어져 있을 가능성이 있다. 그러나 GDPR를 준수하는 것은 이들 전체 간의 정보 흐름을 보호하는 것이다. 따라서 고드윈은 “클라우드 서비스 업체를 이용한다면 그 서비스가 어떤 국가가 관련되는지, 해당 국가가 개인 정보를 보호할 수 있는 적정 수준의 정보보호 체계를 제공하는지 등을 꼭 파악해야 한다"라고 말했다.

이러한 노력은 결국 업계 전체를 위한 것이기도 하다. 자신의 정보가 투명하게 처리되고 있는지 사용자가 신뢰해야만 이와 관련해 현명한 결정을 내릴 수 있다. 그것은 클라우드 뒤편에 있는 기업과 디지털 플랫폼에 대한 신뢰를 의미하는 것이다.

---------------------------------------------------------------
프라이버시 인기기사
->블로그 | '투명한 소통? 개인정보 장사 합리화?' AVG의 쉬운 프라이버시 정책 해프닝
->안면 인식 기술의 발전··· 프라이버시는 이제 글렀는가?
->'해결책이 없다!' 빅 데이터 보안·프라이버시 문제
->무인 飛行體의 非行!··· 기상천외 드론 악용 사례들
->'합법'은 있으나 '의리'는 없다?··· 소셜 기업과 프라이버시
->'개인정보 거간꾼' 데이터 브로커의 어두운 세계
->IT 업계 최악의 배신 10가지
-> RSA 참관해보니··· "해커보다 기업들이 더 무섭더라"
-> IT 분야 거대 기업들의 '악질적 행태들'
---------------------------------------------------------------

새로운 의무
물론 이 과정에서 추가 투자가 불가피하다. 그러나 GDPR은 최대 1700만 파운드 또는 전 세계 연간 매출의 4%에 해당하는 벌금을 새로 도입했다. 이 정도면 기업 이사회가 GDPR 대비에 필요한 자금을 지원하도록 설득하는 데 충분할 것이다. 만약 기업이 규정을 위반하면 72시간 이내에 감독 당국에게 보고해야 한다. 고드윈은 "규정 위반에 클라우드 서비스 제공자가 관련돼 있다면 그들의 협조도 필요할 것이다"라고 말했다.

따라서 이러한 상황을 대비해서 규정 위반을 신속히 감지하는 데 필요한 적절한 자원을 미리 확보해야 한다. 규정 위반으로 입게 될 손해는 벌금과 같은 금전적인 차원에 그치지 않는다. 결국 위반 사실이 만천하에 공개되므로, 잘못하면 기업 평판에도 지속적으로 피해를 줄 수 있다.

CSP는 일반적으로 직접 소유하지는 않지만 고객이 제공한 정보를 처리한다. 그럼에도 불구하고 GDPR 하에서는 여러 가지 공동 책임이 부과된다. 즉, 피해를 본 주체는 정보 통제자 뿐만 아니라 관련 정보 처리자에게도 책임을 물을 수 있다. 평판이 좋은 CSP는 자신의 GDPR 준수 능력을 기꺼이 선보일 것이다. 고객은 CSP에게 그렇게 해 달라고 요청해야 한다. 그래야 대비 수준을 파악하고 우려 사항을 해결할 수 있다.

계약이 명확하며 상세한 서비스 정의로 뒷받침되어 있는지 확인해야 한다. CSP는 정보가 어디에 있는지, 연락책이 누가 될 것인지, CSP는 고객의 문제와 요청에 대해 어떻게 도움을 줄지를 명확히 해야 한다. 대부분의 CSP에는 고객과 GDPR에 대해 상세히 논의할 정보보호책임자(DPO)가 있다.

규정 위반 예방 및 파악 방법
종합적인 직원 교육이 필수적이다. 조직 구성원 전원은 문제를 이해하고 신고할 수 있는 지식과 인격을 갖춰야 한다. 이때 도움이 될 툴이 있다. 방화벽과 로그 파일을 통한 모니터링, 역할 기반 인증, 이메일 내용 검사, 데이터보호솔루션(DLP) 등이다.

솔루션에 취약점이 없도록 주기적인 보안 테스트가 필요하다. 고드윈은 "계획, 기술 인증, 인력 심사, 공급망 관리 등을 강화하면 할수록 규정 위반, 벌금, 규제 등을 걱정해야 할 가능성이 줄어든다. 따라서 이제는 기업이 개인정보 보호 규정 위반으로 처벌 받을 가능성을 최소화하기 위해 미리 어떤 조처를 해야 할지 생각해 보아야 할 때다”라고 말했다.

정보 사용을 감시하는 사람은 규제 담당자만이 아니다. 개인정보 보호 활동가 역시 영향력이 늘어나고 있다. 이들은 정보가 어디에 있고, 어떤 목적으로 사용되는지, 누가 보유하고 있는지, 얼마나 오래 보유할 것인지 등을 확인하고자 한다. 개인정보 보호 규정 위반은 민사 소송으로 이어져 상당한 벌금과 법률 비용이 들 수 있다. 웹사이트는 DIPA로 뒷받침한 적절한 개인정보 보호 공지를 통해 사용자에게 그들의 정보가 어떻게 사용되는지 분명하고 투명하게 알려야 한다.

특정 정보보호 수요
시민 정보를 다루는 기업은 동의의 근거와 기록 보관 관행, 정보 처분 방식을 자세히 살펴야 한다. 고드윈은 “클라우드 서비스 사용 시 해당 시민 정보는 어디에 있는가? 알고 있는가? 시민들도 알고 있는가? 처리 기준이 물리적으로 어디에 있을지 알려 주었는가?"라고 반문했다.

직원 역시 GDPR 하에 권리를 갖고 있다. 고용 계약 조건을 다시 점검해 자신의 정보가 처리되는 구체적인 목적을 파악해야 한다. 직원은 또한 자신만의 주체 접근 요청을 할 수 있다. 급여 처리, 직원복지 또는 외부 교육 제공업체와 같은 외주 용역이 있다는 것은 개인 정보가 기업 외부로 나간다는 것을 의미한다. 따라서 공급망 내에 개인정보에 대한 접근권이 있는 사람이 누구인지 기업 차원에서 모두 파악하고 있어야 한다.

이처럼 기업 내 정보 사용은 기업과 일반 대중을 위해서 통제와 보호가 필요하다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.