발효까지 1년 남아...벌금 규모 무시무시해 기업들은 식은 땀
결국 ‘데이터’ 단위의 보안 장치 마련해야 할 것... CEO 설득이 관건
[보안뉴스 문가용 기자] 유럽연합의 일반정보보호규정(이하 GDPR)의 공식 발효일인 2018년 5월이 1년 앞으로 다가왔다. 유럽 대륙에서 사업을 활발하게 벌이고 있는 국제적인 대기업들이 슬슬 GDPR 대비에 박차를 가하고 있다. 특히 IT 사업부 및 보안 팀에게 GDPR 대비라는 특명이 떨어지고 있는데, 100페이지 남짓 법조계 전문용어가 빼곡히 들어선 GDPR 문건을 독해한다는 건 불가능에 가까워 다들 머리를 싸매고 있다.
.jpg)
ⓒ iclickart
하지만 GDPR에 막 입문한 사람이든 고수든 정확하게 아는 게 딱 한 가지가 있다. 바로 GDPR 위반 벌금이 220억 원이나 전년도 전체 수익의 4%나 된다는 것이다. 그것도 둘 중 높은 것을 기준으로 벌금이 책정된다고 하니 기업들이 ‘패닉’에 빠질 만하다. 이 끔찍한 사태에 직면하게 될 경우 도산까지도 우려되는 기업들이 없지 않을 것이다. 아무리 조 단위 예산을 확보하고 있는 글로벌 기업이라고 해도 이는 적지 않은 돈이다. 해독이 불가능한 GDPR이라고 하지만 해독을 해야만 하는 상황이라는 것이다. 이를 돕기 위해 몇 가지 주요 사안들을 정리해보았다. 물론 해독이 되어 있다.
16조 : 개정의 권리(Right to Rectification)
GDPR의 조항 중 가장 짧은 것 중 하나로 단 54개 단어로 명시되어 있다. 내용은 “시민들은 개정의 권리를 가지고 있다”는 것으로 사뭇 간단해 보인다. 그렇다면 이는 무슨 뜻일까? 고객들은 스스로에 대한 부정확한 정보를 시기적절하게 수정할 수 있다는 것이다. 너무나 간단한 내용으로 들리지만, 고객의 정보를 제3자에게 위탁하여 사업을 진행하는 경우 일이 복잡해진다. 이제부터 유럽 시민의 개인정보를 다른 업체에 위탁하는 경우, 해당 업체의 개인정보 활용을 통제할 추가적인 조치나 협약 내용이 필수라는 뜻이 된다.
25조 : 설계 시부터 자동으로 데이터 보호
GDPR 25조는 아주 길고 숨찬, 마라톤 같은 문장 하나와 함께 시작된다. “최첨단 기술, 구축의 비용, 처리의 목적과 전체 맥락, 범위, 성격뿐 아니라 자연인이 누릴 수 있는 자유와 권리의 엄중함과 다양한 가능성이 가진 위험들을 고려하여 통제자는 ‘처리’의 방법을 결정하는 시점과 ‘처리’가 실시되는 시점으로부터 데이터 최소화와 같은 데이터 보호 원칙을 도입하기 위해 설계된 익명화와 같은 적절한 기술적 및 운영적 조치들을 효율적으로 도입해야 하며, 필요한 보호조치를 처리 과정에 개입시켜 GDPR에 명시된 필수사항들을 지키고 데이터 주체들의 권리를 보호할 수 있어야 한다.”
이러니 해독이 불가능하다는 불평이 나오는 것이다. 이 문장의 뜻은 결국 “데이터는 저장 중, 전송 중, 활용 중에도 항시 보호되어야 한다”는 것이다. 예를 들어 개인식별정보처럼 굉장히 민감한 정보를 처리해야 할 때 기업은 당사자를 익명 처리함으로써 프라이버시를 반드시 지켜낼 수 있어야 한다는 뜻도 된다. 또한 데이터를 처리해야 할 때, 그 목적에 부합하는 부분만을 처리할 수 있으며, 그런 과정 중에 개인의 프라이버시 보호를 위한 기술적이고 정책적인 장치가 미리 마련되어 있어야 한다는 내용이다. 이런 모든 보호 장치는 ‘디폴트’로 마련되어 있어야 한다는 것까지 25조에 담겨 있다.
30조 : 정보 처리 활동의 기록
30조는 한 마디로 말해 ‘기록 남기기’에 대한 규정이다. 고객의 정보가 생성되고 활용되어 폐기되기까지 업체들이 어떤 식으로 그 생애주기를 기록해야 하는가를 상세히 알려주는 부분이라고 볼 수 있다. 업체들은 이 항목을 지키기 위해 실시간 데이터 감사 기능을 가진 솔루션을 도입해야 할 필요가 생겼다. 정보의 열람, 편집, 인쇄 등의 활동에 대한 구체적인 지침도 나와 있으며, 정보 처리의 시간과 장소(IP 주소)에 대한 내용도 등장하니 원문을 반드시 읽어볼 것을 권장한다.
이렇게 ‘기록 남기기’를 구체적으로 지시하는 이유는 ‘감독기구(supervisory authority)’가 불가피한 감사를 실시할 때 증거자료가 필요하기 때문이다. 이 감독기구란 GDPR 문건 내 또 다른 항목을 통해 명시됐다. 고정적인 특정 기구가 아니라 그때 그때 사건 별로 구성된다는 특성을 가지고 있다. 이는 ‘감사 기준’이 그때 그때 달라질 수 있음을 예고하는 부분이기도 하다. 때문에 GDPR로 인한 혼란이 가중될 전망이다. 개인적으로는 이 감독기구들 전부가 초반 수개월 동안에는 자신들의 기조를 강하게 밀어붙일 것으로 보고 있다.
46조 : 적절한 보호 체계로의 이동
이 기사를 통해 다룰 마지막 조항은 46조로 어쩌면 GDPR을 통틀어 가장 중요한 내용일지도 모른다. 바로 ‘정보를 어디로 전송하거나 저장하든 엄격한 데이터 보호 장치를 반드시 마련해야 한다’는 내용인데, 이 뻔해 보이는 것이 GDPR의 핵심이자 앙꼬이며, 가장 근간에 위치해 있는 철학이기 때문이다. 즉, 유럽연합의 시민 정보를 다른 지역으로 옮기더라도 프라이버시 침해할 생각을 하지 말라는 것이다.
실제적으로 무슨 뜻이냐면, 네트워크를 보호하는 걸 넘어 데이터 자체를 보호할 수 있는 장치를 마련하라는 것이다. 데이터가 어디에 있든지 보호받을 수 있도록 조치를 취하지 않으면 벌금이다. 즉 기존의 보안 개념인 ‘기기 보호’나 ‘네트워크 보호’, ‘IT 환경 보호’ 등으로 보안을 ‘퉁치지 말고’ 데이터 한땀 한땀 정성스레 보호해야 한다는 뜻이다. 데이터를 보호하면 자유롭게 공유할 수 있도록 해준다는 ‘당근’과 같은 내용도 여기엔 포함된다.
결국 유럽의 영토에서 사업을 하려는 기업은 위 네 가지 사항을 1년 안에 마련해야 한다. 1년은 길수도, 짧을 수도 있는 기간이니 알차게 활용하는 게 필수적이다. 하지만 이를 잘 이해하고 적극적인 지원을 할 CEO들이 얼마나 될까, 하는 의문이 들긴 한다. 예상컨대 위 네 가지 추가 보안 방안을 마련해야 하는 보안 담당자에게 가장 많은 ‘No’를 줄 사람이 바로 CEO들이 아닐까. 결국 ‘설득’의 어려움을 다시 겪게 될 것으로 보이는데, 1년 뒤 커다란 벌금 고지서 앞에서 ‘CEO가 하지 말랬어요’라는 변명은 통하지 않을 것이다.
글 : 비샬 굽타(Vishal Gupta)
[국제부 문가용 기자(globoan@boannews.com)]
결국 ‘데이터’ 단위의 보안 장치 마련해야 할 것... CEO 설득이 관건
[보안뉴스 문가용 기자] 유럽연합의 일반정보보호규정(이하 GDPR)의 공식 발효일인 2018년 5월이 1년 앞으로 다가왔다. 유럽 대륙에서 사업을 활발하게 벌이고 있는 국제적인 대기업들이 슬슬 GDPR 대비에 박차를 가하고 있다. 특히 IT 사업부 및 보안 팀에게 GDPR 대비라는 특명이 떨어지고 있는데, 100페이지 남짓 법조계 전문용어가 빼곡히 들어선 GDPR 문건을 독해한다는 건 불가능에 가까워 다들 머리를 싸매고 있다.
ⓒ iclickart
하지만 GDPR에 막 입문한 사람이든 고수든 정확하게 아는 게 딱 한 가지가 있다. 바로 GDPR 위반 벌금이 220억 원이나 전년도 전체 수익의 4%나 된다는 것이다. 그것도 둘 중 높은 것을 기준으로 벌금이 책정된다고 하니 기업들이 ‘패닉’에 빠질 만하다. 이 끔찍한 사태에 직면하게 될 경우 도산까지도 우려되는 기업들이 없지 않을 것이다. 아무리 조 단위 예산을 확보하고 있는 글로벌 기업이라고 해도 이는 적지 않은 돈이다. 해독이 불가능한 GDPR이라고 하지만 해독을 해야만 하는 상황이라는 것이다. 이를 돕기 위해 몇 가지 주요 사안들을 정리해보았다. 물론 해독이 되어 있다.
16조 : 개정의 권리(Right to Rectification)
GDPR의 조항 중 가장 짧은 것 중 하나로 단 54개 단어로 명시되어 있다. 내용은 “시민들은 개정의 권리를 가지고 있다”는 것으로 사뭇 간단해 보인다. 그렇다면 이는 무슨 뜻일까? 고객들은 스스로에 대한 부정확한 정보를 시기적절하게 수정할 수 있다는 것이다. 너무나 간단한 내용으로 들리지만, 고객의 정보를 제3자에게 위탁하여 사업을 진행하는 경우 일이 복잡해진다. 이제부터 유럽 시민의 개인정보를 다른 업체에 위탁하는 경우, 해당 업체의 개인정보 활용을 통제할 추가적인 조치나 협약 내용이 필수라는 뜻이 된다.
25조 : 설계 시부터 자동으로 데이터 보호
GDPR 25조는 아주 길고 숨찬, 마라톤 같은 문장 하나와 함께 시작된다. “최첨단 기술, 구축의 비용, 처리의 목적과 전체 맥락, 범위, 성격뿐 아니라 자연인이 누릴 수 있는 자유와 권리의 엄중함과 다양한 가능성이 가진 위험들을 고려하여 통제자는 ‘처리’의 방법을 결정하는 시점과 ‘처리’가 실시되는 시점으로부터 데이터 최소화와 같은 데이터 보호 원칙을 도입하기 위해 설계된 익명화와 같은 적절한 기술적 및 운영적 조치들을 효율적으로 도입해야 하며, 필요한 보호조치를 처리 과정에 개입시켜 GDPR에 명시된 필수사항들을 지키고 데이터 주체들의 권리를 보호할 수 있어야 한다.”
이러니 해독이 불가능하다는 불평이 나오는 것이다. 이 문장의 뜻은 결국 “데이터는 저장 중, 전송 중, 활용 중에도 항시 보호되어야 한다”는 것이다. 예를 들어 개인식별정보처럼 굉장히 민감한 정보를 처리해야 할 때 기업은 당사자를 익명 처리함으로써 프라이버시를 반드시 지켜낼 수 있어야 한다는 뜻도 된다. 또한 데이터를 처리해야 할 때, 그 목적에 부합하는 부분만을 처리할 수 있으며, 그런 과정 중에 개인의 프라이버시 보호를 위한 기술적이고 정책적인 장치가 미리 마련되어 있어야 한다는 내용이다. 이런 모든 보호 장치는 ‘디폴트’로 마련되어 있어야 한다는 것까지 25조에 담겨 있다.
30조 : 정보 처리 활동의 기록
30조는 한 마디로 말해 ‘기록 남기기’에 대한 규정이다. 고객의 정보가 생성되고 활용되어 폐기되기까지 업체들이 어떤 식으로 그 생애주기를 기록해야 하는가를 상세히 알려주는 부분이라고 볼 수 있다. 업체들은 이 항목을 지키기 위해 실시간 데이터 감사 기능을 가진 솔루션을 도입해야 할 필요가 생겼다. 정보의 열람, 편집, 인쇄 등의 활동에 대한 구체적인 지침도 나와 있으며, 정보 처리의 시간과 장소(IP 주소)에 대한 내용도 등장하니 원문을 반드시 읽어볼 것을 권장한다.
이렇게 ‘기록 남기기’를 구체적으로 지시하는 이유는 ‘감독기구(supervisory authority)’가 불가피한 감사를 실시할 때 증거자료가 필요하기 때문이다. 이 감독기구란 GDPR 문건 내 또 다른 항목을 통해 명시됐다. 고정적인 특정 기구가 아니라 그때 그때 사건 별로 구성된다는 특성을 가지고 있다. 이는 ‘감사 기준’이 그때 그때 달라질 수 있음을 예고하는 부분이기도 하다. 때문에 GDPR로 인한 혼란이 가중될 전망이다. 개인적으로는 이 감독기구들 전부가 초반 수개월 동안에는 자신들의 기조를 강하게 밀어붙일 것으로 보고 있다.
46조 : 적절한 보호 체계로의 이동
이 기사를 통해 다룰 마지막 조항은 46조로 어쩌면 GDPR을 통틀어 가장 중요한 내용일지도 모른다. 바로 ‘정보를 어디로 전송하거나 저장하든 엄격한 데이터 보호 장치를 반드시 마련해야 한다’는 내용인데, 이 뻔해 보이는 것이 GDPR의 핵심이자 앙꼬이며, 가장 근간에 위치해 있는 철학이기 때문이다. 즉, 유럽연합의 시민 정보를 다른 지역으로 옮기더라도 프라이버시 침해할 생각을 하지 말라는 것이다.
실제적으로 무슨 뜻이냐면, 네트워크를 보호하는 걸 넘어 데이터 자체를 보호할 수 있는 장치를 마련하라는 것이다. 데이터가 어디에 있든지 보호받을 수 있도록 조치를 취하지 않으면 벌금이다. 즉 기존의 보안 개념인 ‘기기 보호’나 ‘네트워크 보호’, ‘IT 환경 보호’ 등으로 보안을 ‘퉁치지 말고’ 데이터 한땀 한땀 정성스레 보호해야 한다는 뜻이다. 데이터를 보호하면 자유롭게 공유할 수 있도록 해준다는 ‘당근’과 같은 내용도 여기엔 포함된다.
결국 유럽의 영토에서 사업을 하려는 기업은 위 네 가지 사항을 1년 안에 마련해야 한다. 1년은 길수도, 짧을 수도 있는 기간이니 알차게 활용하는 게 필수적이다. 하지만 이를 잘 이해하고 적극적인 지원을 할 CEO들이 얼마나 될까, 하는 의문이 들긴 한다. 예상컨대 위 네 가지 추가 보안 방안을 마련해야 하는 보안 담당자에게 가장 많은 ‘No’를 줄 사람이 바로 CEO들이 아닐까. 결국 ‘설득’의 어려움을 다시 겪게 될 것으로 보이는데, 1년 뒤 커다란 벌금 고지서 앞에서 ‘CEO가 하지 말랬어요’라는 변명은 통하지 않을 것이다.
글 : 비샬 굽타(Vishal Gupta)
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
 th.jpg)
.jpg)
 TH.png)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
