디지털 시대의 개인정보 보호를 위해서 보안팀과 프라이버시팀은 반드시 함께 작업해야만 한다.










디지털 시대에 프라이버시란 아득한 추억이 되어버렸다. 인터넷, 기업 인트라넷, 전자 통신 네트워크 및 컴퓨팅 기기들에 프라이버시는 존재하지 않는다. 우리 일상의 프라이버시 결여는 거부할 수 없는 진실이 되었다. 오늘날의 기술적 현실은 개인에 속한 정보에 외부자들이 너무 쉽게 접근할 수 있다. 만일 당신이 정보 기술과 보안 영역에 오랫동안 관여해왔으며 오늘날 우리가 있는 곳에 어떻게 도달했는지를 알고 있다면 이것이 진실임을 알 것이다.
프라이버시를 보호하기 위한 분명한 조치가 필요하다. 이메일 메시지는 스스로 암호화되지 않는다. 절대적인 신뢰는 인프라스트럭처 서비스 공급사에 달려있다. 데이터 트래픽은 분석을 위해 수집된다. 검색 쿼리들은 유지되고 기록되며 분석된다. 어떤 이의 프라이버시를 보호해줄 수 있는 기술적 대응책이 존재하지만 그것에는 복잡성이 없을 수 없다. 또한 대부분의 사용자들보다 기술을 심도 깊게 이해해야만 하는 사람이 있기 마련이다.
단체 내 정보 보안팀과 프라이버시팀은 온라인 프라이버시의 결여를 해결하기 위해 반드시 함께 작업해야만 한다. 보안팀만으로 시스템을 평가하고 물리적·논리적 컨트롤을 기반으로 한 위험 수준을 결정할 수는 없다. 또한 프라이버시 세분화도 반드시 고려되어야만 한다. 기술의 유비쿼터스적인 본성을 다루는데 있어 보안부서와 프라이버시부서 사이의 친밀한 교류 촉진은 필수적이다.
근본적인 이유는 두 가지다. 첫째, 모든 직원들과 고객들의 개인 식별 정보(PII : Personally Identifiable Information)가 저장, 처리, 또는 전송될 때 이를 보호하기 위한 추가 통제가 필요할 수 있기 때문이다. 위험은 특히 PII에 속한 시스템 내에서는 식별되지 않을 수도 있지만 해당 시스템의 사용 또는 운영은 이러한 정보에 간접적으로 영향을 끼칠 수도 있다.
둘째, 개개인들은 그들의 PII를 저장, 처리, 또는 전송하는 단체에 대한 어떤 수준의 신뢰를 가지고 있기 때문이다. 그들의 PII를 단체가, 그리고 잠재적으로 아웃소싱 단체가 관리하는 것에 관한 프라이버시 결과에 대해 명확한 설명이 그들에게 제공되어야만 한다.
물론 단체들은 프라이버시에 대해서 균형을 유지한다. 그들은 자산들이 적절히 사용되며 지적 자산이 손상되지 않음을 보장하고자 한다. 더불어 소송이라는 결과를 가져올 수 있는 불법적인 행위는 반드시 피해야만 하며 적절한 작업 시간이 소요되어야만 한다. 국가 안보의 관점에서 대부분 국가들의 정부 단체들은 인터레스팅 트래픽(Interesting Traffic)에 관해 전자 통신 인프라스트럭처를 모니터한다.
IT 및 보안의 기술과 비즈니스 쪽에서 살아 숨쉬고 있는 우리들은 전 세계의 12억 인터넷 사용자에 비해 우리가 소수에 불과하다는 사실을 너무 자주 잊곤 한다. 다음에 당신이 새로운, 혹은 업데이트된 보안 정책이나 인식 교육 자료, 또는 모든 직원 메모에 관해 발표할 때는 프라이버시 관리자의 노력도 동반되어야 한다. 또한 저장, 처리, 또는 전송된 직원, 또는 고객의 PII에 관한 프라이버시 결과를 고려해야 한다.
동시에 보안 및 프라이버시 기능은 다방면에 걸친 엔드 유저의 배경에 대한 고려를 필요로 한다. 그들은 자신들이 온라인에서 직면하고 있는 위협들을 이해하지 않으며 그저 대중 매체의 커버를 장식한 정보 보안 및 사생활 토픽들에 공감할 뿐이다. IT 전문 직원들과 고객들이 온라인에서 웹 서핑 하거나 다양한 컴퓨팅 기기들을 사용할 때 존재하게 되는 노출에 관해 적절한 수준으로 이해할 수 있도록 돕는 것이 우리의 임무다.

<글·케네스 스미스(Kenneth M. Smith)>
[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>