.gif)
GDPR의 어마어마한 벌금 규모로 모든 업체가 비상
GDPR 직원 교육이 가장 좋은 시작...1년 남은 준비 기간
[보안뉴스 문가용 기자] 혹시 사업상 유럽 기업들과 거래를 진행하고 있는가? 보다 정확히 묻자면, 유럽연합 내 시민들의 개인정보를 다룰 일이 있는가? 그렇다면 시행을 곧 앞둔 GDPR에 대한 촉각을 곤두세워야 할 것이다.
일단 많은 업체들에게 GDPR 검토와 사업에의 적용이라는 문제는 굉장히 따분하고 지겨우며 복잡한 일로 다가올 것이다. GDPR 수준에 맞춘 정책과 기술을 도입했더라도 말이다. 어떤 상황에서 어떤 구실로 떨어질지 모르는 벌금형을 피해가려면 헤쳐 나가야 할 것들이 많다. 현재 GDPR에 대한 가장 큰 공포심은 그 무시무시한 벌금에서 오는 것이라는 걸 계속해서 기억해야 한다.
GDPR이 정식으로 시행되기 시작하는 날은 2018년 5월 25일로, 이 시점부터는 유럽연합과 관계된 모든 기업들이 벌금형의 잠정적 대상이 된다. 아직 1년이나 남았다고 생각하는가? 오히려 1년밖에 남지 않았다는 것에 가깝다. 게다가 각종 뉴스나 칼럼을 읽다보면, 많은 기업들이 제대로 준비를 하고 있지 않다는 걸 알 수 있다. 왜 아직도 GDPR이 무섭기만 하고 준비는 하고 있지 않은 걸까?
일단 법, 위험 관리, 컴플라이언스, IT 테크놀로지, 보안 등이 전부 합쳐진 문제이기 때문이다. GDPR 규정을 달달 암기한다고 해서 해결되는 게 아니다. 기업에 따라 새로운 직책을 마련하거나 기존 직급들에 새로운 책임을 부여해야 할 수도 있다. 예를 든다면, 데이터 보호 책임자 정도? GDPR이 데이터 보호에 굉장히 많은 신경을 쓰고 있으니 데이터 보호를 기존 IT 담당자나 CISO 등에 그대로 맡겼다가는 아마 호된 수업료를 물게 될 것이다.
그렇다면 정확히 뭘해야 한다는 것일까? 제일 먼저는 GDPR이 무엇인지 직원들을 대상으로 하는 교육 프로그래부터 진행하라. 교육과 훈련을 함으로써 1) 직원이 실수할 확률을 낮출 수 있고 2) 회사 차원에서도 GDPR에 대해서도 더 공부할 기회가 된다. 가르치는 것만큼 학습효과가 높은 행위도 드물다.
또한 현재 유럽연합 시민 고객들의 개인정보가 물리적으로 어느 위치에 저장되어 있는지도 파악해야 하고, ‘개인정보’라고 수집하는 정보들이 어떤 항목들로 구성되어 있으며 누가 어떤 항목에 어떤 이유로 접근할 수 있는지, 어떤 식으로 보호받고 있는지도 이번 기회에 먼저 현황 파악을 해야 한다. 뿐만 아니라 사건 발생시 어떤 식으로 대응이 이뤄지는지도 이번 기회에 검토하면 좋다. 이 과정을 10가지로 요약 정리해보면 다음과 같다.
1) 저장된 데이터든 송수신 중 데이터든, 암호화를 적용하라. GDPR에 따르면 데이터가 유출되었다고 하더라도 공격자가 그 데이터를 읽어낼 수 없다면 고객에게 개인정보 유출 사실을 알릴 필요가 없기 때문이다.
2) 접근을 철저히 통제하라. 고객의 개인정보에 누가 접근권을 가지고 있는지, 그 권한은 어떤 이유로 부여되었는지를 ‘전부’ 알아내어서 필요에 맞게 조정해야 한다. 개인정보 처리 동의를 얻으려면, 그 이유를 명확히 밝혀야 하고, 해당 데이터에 접근이 가능한 사람이 누구인지도 알려야 하기 때문이다. GDPR 규정상 관리자 계정을 공유하고 사용자 권한이 지나치게 높은 건 벌금감이다.
3) 취약점 관리 프로세스를 광범위하게 적용하라. 네트워크에 있는 모든 기기들은 하나도 빠짐없이 스캐닝 대상이다. 그 목적은 인프라 내 존재하는 약점들의 가시성을 확보하기 위함이다. 회사 밖에서 근무하는 자들이 있다면, 그 사람들 역시 빼놓을 수 없다. 재택근무자나 외근자들 모두 사이버 보안에 있어 위협적인 존재들이기 때문이다. 이는 GDPR에서도 강조하는 것이다.
4) 백업은 아무리 강조해도 지나치지 않다. GDPR 대비책 중 가장 쉽고 간편하면서 가장 간과되는 것 중 하나가 백업일지도 모른다. 랜섬웨어? 그 때문만이 아니다. 전력 공급이 중단되었을 때, 뭔가를 분실했을 때, 자연재해가 데이터 센터를 덮쳤을 때, 커피를 중요 하드웨어 부품 위에 쏟았을 때 등 백업이 필요한 경우는 부지기수다. 어떤 경우에라도 백업이 가능해지도록 방법을 마련하라.
5) 웹 애플리케이션 보안을 강화하라. 애플리케이션 개발에 있어 GDPR이 가장 강조하는 건 ‘프라이버시 바이 디자인(privacy-by-design)’ 원칙이다. 즉, 설계 때부터 프라이버시를 보호할 수 있도록 방법을 마련하라는 것인데, 예를 들어 웹 앱을 통해 개인정보나 비밀번호를 수집할 때 평문으로 저장하는 방식이라면, GDPR의 회초리가 무척 아플 것이다.
6) 침투 테스트를 친구 삼아라. 네트워크 내 존재하는 시스템들의 취약점을 최대한 많이 파악하기 위함이다. 물론 파악만 하는 것으로는 불충분하다. 고쳐야 한다. GDPR은 ‘지속적인 취약점 점검’을 강조하고 있다. 1년에 한두 번 대대적인 검사하는 것으로는 GDPR을 만족시키기 힘들 가능성이 높다. 내부적으로 해도 되고 외부 전문가들을 초대해도 된다. 그건 당신 마음.
7) 공격자들을 최대한 신속하게 탐지해내야 한다. 잡아내라는 게 아니다. 침투당한 사실을 최대한 빨리 알아낼 수 있는 시스템을 마련해 이미 개인정보가 2억 건이나 유출된 후에 ‘아차’하는 일이 없도록 하라는 것이다. 최근 버라이즌의 데이터 유출 사고 보고서를 보면, 크리덴셜이 해커들에게 가장 선호 받는 정보이지만, 도난당한 크리덴셜이 어느 시점에 해커들에게 사용되는지는 파악하는 걸 많은 기업들이 어려워하고 있다. 이를 해결하기 위해 최근 등장하기 시작한 것이 바로 사용자 행동 분석 기법이다. 해커들을 속이는 하니팟 기술을 접목한 하니 크리덴셜(honey credential) 역시 최근 떠오르고 있는 전략이다.
8) 은둔의 IT를 무시하지 말라. 클라우드의 인기가 갈수록 높아져가면서 회사 내 직원들이 별 희한한 앱들을 허락도 없이 마구 사용하게 된다. 이 앱들에서 종종 사고들이 터진다. GDPR이 적용되기 시작하면 해커가 이런 앱들을 먼저 찾아낼지, GDPR 벌금이 먼저 찾아낼지, 흥미로울 것이다.
9) 사용 중에 있는 보안 솔루션들에서 발생하는 경보에 최대한 귀를 기울여야 한다. 물론 경보가 너무 많아 제한된 자원으로 다 검토할 순 없고, 이를 이용해 공격자들이 잘못된 경보를 마구 발생시키기도 한다. 하지만 ‘저희 사람이 부족해서...’라는 이유를 댄다고 해서 GDPR이 벌금을 깎아줄 리는 없다. SIEM을 도입해 24시간 대응할 수 있는 체제를 갖추는 게 가장 간편한 해결책이다. 하지만 SIEM 도입이 어렵다면, 지속적인 모니터링과 보호를 가능하게 해주는 다른 장비나 솔루션을 고려해보라.
10) GDPR의 72시간 규정을 반드시 염두에 두라. 개인정보가 유출되었다면 72시간 내에 상급기관에 알려야 하는 것이다. 그런데 72시간 안에 알렸다고 모든 책임에서 면제되는 것이 아니다. 최대한의 조치를 취해 공격자를 한 데 가두고 피해를 최소화시키는 데에도 충분한 성공을 거두어야 한다. 그러니 사건 대응 팀을 항시 대기시켜두어야 하고, 여의치 않다면 이런 부분에 강점을 가진 파트너사를 물색해야 한다. 단지 광고 전단지나 어디서 들어본 것 같은 기억을 믿고 파트너사를 정하지 말고, 시간을 두고 천천히 검증해보는 게 중요하다.
글 : 사만다 험프리즈(Samantha Humphries)
[국제부 문가용 기자(globoan@boannews.com)]
GDPR 직원 교육이 가장 좋은 시작...1년 남은 준비 기간
[보안뉴스 문가용 기자] 혹시 사업상 유럽 기업들과 거래를 진행하고 있는가? 보다 정확히 묻자면, 유럽연합 내 시민들의 개인정보를 다룰 일이 있는가? 그렇다면 시행을 곧 앞둔 GDPR에 대한 촉각을 곤두세워야 할 것이다.
일단 많은 업체들에게 GDPR 검토와 사업에의 적용이라는 문제는 굉장히 따분하고 지겨우며 복잡한 일로 다가올 것이다. GDPR 수준에 맞춘 정책과 기술을 도입했더라도 말이다. 어떤 상황에서 어떤 구실로 떨어질지 모르는 벌금형을 피해가려면 헤쳐 나가야 할 것들이 많다. 현재 GDPR에 대한 가장 큰 공포심은 그 무시무시한 벌금에서 오는 것이라는 걸 계속해서 기억해야 한다.
GDPR이 정식으로 시행되기 시작하는 날은 2018년 5월 25일로, 이 시점부터는 유럽연합과 관계된 모든 기업들이 벌금형의 잠정적 대상이 된다. 아직 1년이나 남았다고 생각하는가? 오히려 1년밖에 남지 않았다는 것에 가깝다. 게다가 각종 뉴스나 칼럼을 읽다보면, 많은 기업들이 제대로 준비를 하고 있지 않다는 걸 알 수 있다. 왜 아직도 GDPR이 무섭기만 하고 준비는 하고 있지 않은 걸까?
일단 법, 위험 관리, 컴플라이언스, IT 테크놀로지, 보안 등이 전부 합쳐진 문제이기 때문이다. GDPR 규정을 달달 암기한다고 해서 해결되는 게 아니다. 기업에 따라 새로운 직책을 마련하거나 기존 직급들에 새로운 책임을 부여해야 할 수도 있다. 예를 든다면, 데이터 보호 책임자 정도? GDPR이 데이터 보호에 굉장히 많은 신경을 쓰고 있으니 데이터 보호를 기존 IT 담당자나 CISO 등에 그대로 맡겼다가는 아마 호된 수업료를 물게 될 것이다.
그렇다면 정확히 뭘해야 한다는 것일까? 제일 먼저는 GDPR이 무엇인지 직원들을 대상으로 하는 교육 프로그래부터 진행하라. 교육과 훈련을 함으로써 1) 직원이 실수할 확률을 낮출 수 있고 2) 회사 차원에서도 GDPR에 대해서도 더 공부할 기회가 된다. 가르치는 것만큼 학습효과가 높은 행위도 드물다.
또한 현재 유럽연합 시민 고객들의 개인정보가 물리적으로 어느 위치에 저장되어 있는지도 파악해야 하고, ‘개인정보’라고 수집하는 정보들이 어떤 항목들로 구성되어 있으며 누가 어떤 항목에 어떤 이유로 접근할 수 있는지, 어떤 식으로 보호받고 있는지도 이번 기회에 먼저 현황 파악을 해야 한다. 뿐만 아니라 사건 발생시 어떤 식으로 대응이 이뤄지는지도 이번 기회에 검토하면 좋다. 이 과정을 10가지로 요약 정리해보면 다음과 같다.
1) 저장된 데이터든 송수신 중 데이터든, 암호화를 적용하라. GDPR에 따르면 데이터가 유출되었다고 하더라도 공격자가 그 데이터를 읽어낼 수 없다면 고객에게 개인정보 유출 사실을 알릴 필요가 없기 때문이다.
2) 접근을 철저히 통제하라. 고객의 개인정보에 누가 접근권을 가지고 있는지, 그 권한은 어떤 이유로 부여되었는지를 ‘전부’ 알아내어서 필요에 맞게 조정해야 한다. 개인정보 처리 동의를 얻으려면, 그 이유를 명확히 밝혀야 하고, 해당 데이터에 접근이 가능한 사람이 누구인지도 알려야 하기 때문이다. GDPR 규정상 관리자 계정을 공유하고 사용자 권한이 지나치게 높은 건 벌금감이다.
3) 취약점 관리 프로세스를 광범위하게 적용하라. 네트워크에 있는 모든 기기들은 하나도 빠짐없이 스캐닝 대상이다. 그 목적은 인프라 내 존재하는 약점들의 가시성을 확보하기 위함이다. 회사 밖에서 근무하는 자들이 있다면, 그 사람들 역시 빼놓을 수 없다. 재택근무자나 외근자들 모두 사이버 보안에 있어 위협적인 존재들이기 때문이다. 이는 GDPR에서도 강조하는 것이다.
4) 백업은 아무리 강조해도 지나치지 않다. GDPR 대비책 중 가장 쉽고 간편하면서 가장 간과되는 것 중 하나가 백업일지도 모른다. 랜섬웨어? 그 때문만이 아니다. 전력 공급이 중단되었을 때, 뭔가를 분실했을 때, 자연재해가 데이터 센터를 덮쳤을 때, 커피를 중요 하드웨어 부품 위에 쏟았을 때 등 백업이 필요한 경우는 부지기수다. 어떤 경우에라도 백업이 가능해지도록 방법을 마련하라.
5) 웹 애플리케이션 보안을 강화하라. 애플리케이션 개발에 있어 GDPR이 가장 강조하는 건 ‘프라이버시 바이 디자인(privacy-by-design)’ 원칙이다. 즉, 설계 때부터 프라이버시를 보호할 수 있도록 방법을 마련하라는 것인데, 예를 들어 웹 앱을 통해 개인정보나 비밀번호를 수집할 때 평문으로 저장하는 방식이라면, GDPR의 회초리가 무척 아플 것이다.
6) 침투 테스트를 친구 삼아라. 네트워크 내 존재하는 시스템들의 취약점을 최대한 많이 파악하기 위함이다. 물론 파악만 하는 것으로는 불충분하다. 고쳐야 한다. GDPR은 ‘지속적인 취약점 점검’을 강조하고 있다. 1년에 한두 번 대대적인 검사하는 것으로는 GDPR을 만족시키기 힘들 가능성이 높다. 내부적으로 해도 되고 외부 전문가들을 초대해도 된다. 그건 당신 마음.
7) 공격자들을 최대한 신속하게 탐지해내야 한다. 잡아내라는 게 아니다. 침투당한 사실을 최대한 빨리 알아낼 수 있는 시스템을 마련해 이미 개인정보가 2억 건이나 유출된 후에 ‘아차’하는 일이 없도록 하라는 것이다. 최근 버라이즌의 데이터 유출 사고 보고서를 보면, 크리덴셜이 해커들에게 가장 선호 받는 정보이지만, 도난당한 크리덴셜이 어느 시점에 해커들에게 사용되는지는 파악하는 걸 많은 기업들이 어려워하고 있다. 이를 해결하기 위해 최근 등장하기 시작한 것이 바로 사용자 행동 분석 기법이다. 해커들을 속이는 하니팟 기술을 접목한 하니 크리덴셜(honey credential) 역시 최근 떠오르고 있는 전략이다.
8) 은둔의 IT를 무시하지 말라. 클라우드의 인기가 갈수록 높아져가면서 회사 내 직원들이 별 희한한 앱들을 허락도 없이 마구 사용하게 된다. 이 앱들에서 종종 사고들이 터진다. GDPR이 적용되기 시작하면 해커가 이런 앱들을 먼저 찾아낼지, GDPR 벌금이 먼저 찾아낼지, 흥미로울 것이다.
9) 사용 중에 있는 보안 솔루션들에서 발생하는 경보에 최대한 귀를 기울여야 한다. 물론 경보가 너무 많아 제한된 자원으로 다 검토할 순 없고, 이를 이용해 공격자들이 잘못된 경보를 마구 발생시키기도 한다. 하지만 ‘저희 사람이 부족해서...’라는 이유를 댄다고 해서 GDPR이 벌금을 깎아줄 리는 없다. SIEM을 도입해 24시간 대응할 수 있는 체제를 갖추는 게 가장 간편한 해결책이다. 하지만 SIEM 도입이 어렵다면, 지속적인 모니터링과 보호를 가능하게 해주는 다른 장비나 솔루션을 고려해보라.
10) GDPR의 72시간 규정을 반드시 염두에 두라. 개인정보가 유출되었다면 72시간 내에 상급기관에 알려야 하는 것이다. 그런데 72시간 안에 알렸다고 모든 책임에서 면제되는 것이 아니다. 최대한의 조치를 취해 공격자를 한 데 가두고 피해를 최소화시키는 데에도 충분한 성공을 거두어야 한다. 그러니 사건 대응 팀을 항시 대기시켜두어야 하고, 여의치 않다면 이런 부분에 강점을 가진 파트너사를 물색해야 한다. 단지 광고 전단지나 어디서 들어본 것 같은 기억을 믿고 파트너사를 정하지 말고, 시간을 두고 천천히 검증해보는 게 중요하다.
글 : 사만다 험프리즈(Samantha Humphries)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
