데이터의 자유로운 흐름 억제하는 법안, 클라우드에 타격
데이터의 가시성 더욱 요구될 듯 - 보안업계로서는 호재
[보안뉴스 문가용] 스노우든이 한 건 했다. 2013년의 대폭로로 인해 유럽사법재판소에서 15년간 미국과 유럽 사이에 유지되어 오던 데이터 관련 협정을 파기하기로 결정을 내린 것이다. 이 협정은 다름 아닌 세이프 하버(Safe Harbor) 협정으로 미국의 거대 기업들이 유럽인들의 정보를 미국 영토 내에 저장할 수 있도록 허락하는 것이었다.
물론 조건이 있었다. 미국의 기업이 유럽의 데이터 프라이버시 법을 지킨다는 것이었다. 그래서 미국의 기업들은 유럽의 프라이버시 및 데이터 관련 판결에 집중을 해서 귀를 기울이는 편인데, 지난 10월 6일 이들에게는 청천벽력과 같은 소식이 전달되고 말았다.
세이프 하버 조약이 파기됨으로써 제일 먼저 데이터의 자유로운 공유와 흐름이 있어야만 사업이 성립하는 기업들이 치명상을 입게 되었다. 특히 유럽연합의 지역에서 유럽 국가 및 고객들을 상대로 사업을 벌이고 있는 이들에겐 거의 사업장 폐쇄 조치나 다름없는 소식이다. 또한 유럽사법재판소에서 쌓이는 판례가 국제 트렌드에 얼마나 큰 영향을 미치는지 생각해봤을 때 이번에 1차 타격을 입지 않은 기업이라도 뭔가 다른 것을 준비해놓아야 할 필요가 생겼다.
일단 이번 판결의 핵심은 ‘데이터 프라이버시’다. 이를 제대로 이해하지 않고 넋 놓고 있다간 커다란 손해로 이어질 가능성이 높다.
가장 긴장해야 할 업종은 아마도 클라우드 서비스 제공업이라고 본다. 데이터의 자유로운 흐름이 클라우드의 기본 성질이기 때문에 데이터에 대한 제한이 적으면 적을수록 클라우드 업체들에겐 유리한데, 이번 판결로 여기에 커다란 장벽이 생겨버렸기 때문이다. 그렇기에 여기에 투자하던 금융기관이나 큰 손들 역시 섣불리 지갑을 열지 않을 가능성이 높다. 클라우드 기업 입장에서는 데이터센터를 이번 판결이 허락하는 곳에 새로 개설해야 한다는 당장의 문제도 발생한 것이고, 서비스 제공이 이전처럼 원활하지 않을 리스크를 떠안고 가야 한다.
하지만, 그렇기 때문에 이는 보안 업계에겐 다소 희망적인 소식이 된다. 일단 현대 기업들의 문화는 데이터센터에서 클라우드를 활용하는 쪽으로 빠르게 흘러가고 있고, 이는 제아무리 유럽연합의 사법재판소라지만 판결 몇 개로 막아설 수 없는 흐름이다. 애초에 그걸 막기 위한 흐름도 아니었고 말이다.
대신 이번 판결이 ‘데이터 프라이버시’를 강조한 내용이었기 때문에 클라우드를 계속 사용해야 하는 업체로서는 ‘민감한 데이터가 실제로 어디에 저장되어 있는가’에 대한 가시성을 확보하는 게 중요해졌다. 클라우드라는 흐름은 막을 수 없고, 데이터가 누구에 의해 어디에 저장되었는지 관리하는 건 더 엄격해졌으니 생기는 당연한 결과다. 그런데 이 ‘데이터의 가시성’을 고민해온 게 누군가? 정보보안 업계다.
정보보안 업계에서 이런 고민을 미리부터 해온 사람 중 하나로서 지금 이 판결이 줄 파장에 미리 대비하고자 하는 기업들에게 지금부터 확인해두면 좋을 사항들을 정리해보았다.
* 네트워크 바깥으로 흘러가는 데이터가 무엇인지, 또 어디로 흘러가는지 정확히 파악하는 게 중요하다.
* 기업이 운영하고 있는 클라우드가 무엇인지, 어디에 있는지, 데이터센터는 어디에 위치하고 있는지, 컴플라이언스 면에서 어떤 점을 보강해야 하는지 미리 파악해 둔다.
* 데이터의 암호화 및 토큰화를 적극적으로 실행하라. 그래야 최악의 경우에도 자신을 변호할 수 있게 된다. 또한 이것이 유럽연합의 데이터 프라이버시 법이 강조하는 내용 중 핵심에 속한다. 특히 원 텍스트와 토큰화된 결과물 사이에 그 어떤 수학적 관계가 존재하지 않아야 하는 것이 중요하다.
* 될 수 있으면 유럽에 데이터센터가 있는 클라우드 업체를 활용하는 편이 도움이 될 것이다. 다만 여태껏 클라우드 업체들은 자사의 데이터센터간 데이터 이송을 자유롭게 해온 편인데, 데이터 프라이버시에 대한 유럽연합의 요구사항을 잘 이해하고 있지 못한 클라우드 업체라면 간접적인 피해를 입을 수 있으니 이 점을 유의해야 한다.
* 이번 판결이 전부가 아니며, 영원할 것도 아니다. 언제나 데이터 프라이버시 관련 법은 바뀌게 되어 있다. 그러므로 이번 판결을 기회로 삼아 데이터 운영의 ‘유연성’을 고민해볼 필요가 있다. 아무리 법과 판결이 바뀌어도 어지간하면 변하지 않고 남아있을 것들을 찾아보는 게 좋을 것이다. 예를 들면 데이터의 암호화 같은 것. 데이터를 공유함에 있어서 항상 익명으로 하는 방법 혹은 시스템을 강구한다면 이번과 같은 법적 변화에도 여유롭게 대처할 수 있을 것이다.
* 데이터를 암호화할 때, 물리 암호화 키를 한 주체만 보유하게 하는 건 필수사항이다. 마치 중요한 핵 발사 장치의 작동 키나 암호를 중요한 몇 사람만 알고 있는 것과 비슷하다. 그러므로 데이터의 생애주기인 이송, 휴지, 활용의 모든 과정에서 이것이 꼭 지켜지도록 하는 것도 잊지 말자.
글 : 마이클 페이(Michael Fey)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
데이터의 가시성 더욱 요구될 듯 - 보안업계로서는 호재
[보안뉴스 문가용] 스노우든이 한 건 했다. 2013년의 대폭로로 인해 유럽사법재판소에서 15년간 미국과 유럽 사이에 유지되어 오던 데이터 관련 협정을 파기하기로 결정을 내린 것이다. 이 협정은 다름 아닌 세이프 하버(Safe Harbor) 협정으로 미국의 거대 기업들이 유럽인들의 정보를 미국 영토 내에 저장할 수 있도록 허락하는 것이었다.
물론 조건이 있었다. 미국의 기업이 유럽의 데이터 프라이버시 법을 지킨다는 것이었다. 그래서 미국의 기업들은 유럽의 프라이버시 및 데이터 관련 판결에 집중을 해서 귀를 기울이는 편인데, 지난 10월 6일 이들에게는 청천벽력과 같은 소식이 전달되고 말았다.
세이프 하버 조약이 파기됨으로써 제일 먼저 데이터의 자유로운 공유와 흐름이 있어야만 사업이 성립하는 기업들이 치명상을 입게 되었다. 특히 유럽연합의 지역에서 유럽 국가 및 고객들을 상대로 사업을 벌이고 있는 이들에겐 거의 사업장 폐쇄 조치나 다름없는 소식이다. 또한 유럽사법재판소에서 쌓이는 판례가 국제 트렌드에 얼마나 큰 영향을 미치는지 생각해봤을 때 이번에 1차 타격을 입지 않은 기업이라도 뭔가 다른 것을 준비해놓아야 할 필요가 생겼다.
일단 이번 판결의 핵심은 ‘데이터 프라이버시’다. 이를 제대로 이해하지 않고 넋 놓고 있다간 커다란 손해로 이어질 가능성이 높다.
가장 긴장해야 할 업종은 아마도 클라우드 서비스 제공업이라고 본다. 데이터의 자유로운 흐름이 클라우드의 기본 성질이기 때문에 데이터에 대한 제한이 적으면 적을수록 클라우드 업체들에겐 유리한데, 이번 판결로 여기에 커다란 장벽이 생겨버렸기 때문이다. 그렇기에 여기에 투자하던 금융기관이나 큰 손들 역시 섣불리 지갑을 열지 않을 가능성이 높다. 클라우드 기업 입장에서는 데이터센터를 이번 판결이 허락하는 곳에 새로 개설해야 한다는 당장의 문제도 발생한 것이고, 서비스 제공이 이전처럼 원활하지 않을 리스크를 떠안고 가야 한다.
하지만, 그렇기 때문에 이는 보안 업계에겐 다소 희망적인 소식이 된다. 일단 현대 기업들의 문화는 데이터센터에서 클라우드를 활용하는 쪽으로 빠르게 흘러가고 있고, 이는 제아무리 유럽연합의 사법재판소라지만 판결 몇 개로 막아설 수 없는 흐름이다. 애초에 그걸 막기 위한 흐름도 아니었고 말이다.
대신 이번 판결이 ‘데이터 프라이버시’를 강조한 내용이었기 때문에 클라우드를 계속 사용해야 하는 업체로서는 ‘민감한 데이터가 실제로 어디에 저장되어 있는가’에 대한 가시성을 확보하는 게 중요해졌다. 클라우드라는 흐름은 막을 수 없고, 데이터가 누구에 의해 어디에 저장되었는지 관리하는 건 더 엄격해졌으니 생기는 당연한 결과다. 그런데 이 ‘데이터의 가시성’을 고민해온 게 누군가? 정보보안 업계다.
정보보안 업계에서 이런 고민을 미리부터 해온 사람 중 하나로서 지금 이 판결이 줄 파장에 미리 대비하고자 하는 기업들에게 지금부터 확인해두면 좋을 사항들을 정리해보았다.
* 네트워크 바깥으로 흘러가는 데이터가 무엇인지, 또 어디로 흘러가는지 정확히 파악하는 게 중요하다.
* 기업이 운영하고 있는 클라우드가 무엇인지, 어디에 있는지, 데이터센터는 어디에 위치하고 있는지, 컴플라이언스 면에서 어떤 점을 보강해야 하는지 미리 파악해 둔다.
* 데이터의 암호화 및 토큰화를 적극적으로 실행하라. 그래야 최악의 경우에도 자신을 변호할 수 있게 된다. 또한 이것이 유럽연합의 데이터 프라이버시 법이 강조하는 내용 중 핵심에 속한다. 특히 원 텍스트와 토큰화된 결과물 사이에 그 어떤 수학적 관계가 존재하지 않아야 하는 것이 중요하다.
* 될 수 있으면 유럽에 데이터센터가 있는 클라우드 업체를 활용하는 편이 도움이 될 것이다. 다만 여태껏 클라우드 업체들은 자사의 데이터센터간 데이터 이송을 자유롭게 해온 편인데, 데이터 프라이버시에 대한 유럽연합의 요구사항을 잘 이해하고 있지 못한 클라우드 업체라면 간접적인 피해를 입을 수 있으니 이 점을 유의해야 한다.
* 이번 판결이 전부가 아니며, 영원할 것도 아니다. 언제나 데이터 프라이버시 관련 법은 바뀌게 되어 있다. 그러므로 이번 판결을 기회로 삼아 데이터 운영의 ‘유연성’을 고민해볼 필요가 있다. 아무리 법과 판결이 바뀌어도 어지간하면 변하지 않고 남아있을 것들을 찾아보는 게 좋을 것이다. 예를 들면 데이터의 암호화 같은 것. 데이터를 공유함에 있어서 항상 익명으로 하는 방법 혹은 시스템을 강구한다면 이번과 같은 법적 변화에도 여유롭게 대처할 수 있을 것이다.
* 데이터를 암호화할 때, 물리 암호화 키를 한 주체만 보유하게 하는 건 필수사항이다. 마치 중요한 핵 발사 장치의 작동 키나 암호를 중요한 몇 사람만 알고 있는 것과 비슷하다. 그러므로 데이터의 생애주기인 이송, 휴지, 활용의 모든 과정에서 이것이 꼭 지켜지도록 하는 것도 잊지 말자.
글 : 마이클 페이(Michael Fey)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
