민감한 정보 다루는 조직에겐 앞으로 필수 기능, DPO
보안의 종합적인 능력 갖추고 있어야...지금부터 훈련 시작해도 빠듯
[보안뉴스 문가용 기자] 유럽연합의 개인정보보호법인 GDPR이 2018년 5월 25일부터 발효되기 시작하면 앞으로 많은 기업들이 DPO에 목말라할 것으로 예상된다. DPO란 데이터 보호 책임자 혹은 데이터 보호 관리자를 뜻하는 직책으로 Data Protection Officer의 준말이다. GDPR이 요구하는 다양한 데이터 보호 조치와 관련된 컴플라이언스를 담당하는 임무를 주로 맡은 사람들이다.
[이미지 = iclickart]
따라서 DPO는 컴플라이언스와 관련하여 임직원들을 교육시키는 일을 진행하고, 데이터 처리를 맡고 있는 직원들의 훈련에 개입할 것이 예상된다. GDPR과 관련된 보안 감사도 DPO가 진행할 확률이 높고, 국가 기관이나 기업 등의 단체가 일반 기업에 연락을 취할 때, DPO로 전화나 메일을 보낼 것이다. 그렇기에 지금 GDPR과 직접 상관이 있는 기업들은 다음과 같은 질문들을 하며 2018년 5월 25일을 기다리고 있다.
우리 조직도 DPO가 필요할까?
GDPR 아래 정부 기관들 및 공공 조직은 반드시 DPO를 선임해야 한다. 대규모로 특정 주체를 모니터링해야 하는 시스템을 반드시 갖추고 그 데이터를 처리해야 하는 조직들 역시 마찬가지다. 건강, 종교, 인종, 성적 취향, 범죄 기록 등 민감할 수 있는 특정 정보를 수집, 처리해야 하는 조직도 DPO가 필수다. 은행, 의료보험사, 신용 관련 업체들이 좋은 예다. 그러나 HR 자료만 취급하는 곳은 DPO가 딱히 필요하지 않다.
필수건 아니건 DPO가 있으면 좋지 않을까?
조직 내에 DPO라는 직책을 신설해놓으면 법적 필수요소든 아니든 좋은 측면이 많다. 데이터를 보호하는 전담요원이 있다는 건 굉장히 든든한 일이기 때문이다. 외부 전문가를 파트너로 두고 데이터 보호와 관련된 일을 맡긴다고 해도, 내부 조직원의 자격을 가지고 있는 사람과 그렇지 않은 사람은 운신의 폭에서 차이를 보이기 마련이다. GDPR을 떠나, DPO라는 기능에 대해서 진지한 고민을 해볼 필요는 어느 조직에게나 존재한다.
DPO 적임자는 어떤 기술을 가지고 있어야 하나?
아마 DPO와 관련된 고민 중 이 부분이 가장 힘든 것이 될 전망이 높다. 민감한 데이터를 가장 잘 관리하고, 법도 잘 준수하며, 임직원 훈련과 교육도 잘 시킬 수 있는 사람은 도대체 어떤 사람일까? 그런 사람이 있을까? 어디서 그런 사람을 구해야 할까? 풋볼을 알고 있다면 프리 세이프티(free safety) 포지션에 가장 가까운 게 DPO가 아닐까 한다. 프리 세이프티는 특정한 역할이 아니라 아무 공격수나 저지하는 역할을 맞는 포지션이다.
DPO는 컴플라이언스 최고 책임자, CISO, CTO를 다 합한 기능을 수행해야 할 것이다. 그러니 이러한 인재를 찾는 데에는 분명히 시간이 많이 걸릴 것이다. 2018년 5월이 되기 전에 DPO를 정착시키려면 지금부터 찾기 시작해야 한다. 완벽한 사람은 아마 없을 것이다. 가장 근접한 인재를 찾아 훈련을 시키는 게 더 효과적일 것으로 생각된다.
사람을 어디서부터 찾아야 할까?
주위에 좋은 전문가가 딱 떠오르지 않는다면 조직 내에서 찾는 것이 순서일 것이다. DPO가 무엇인지, GDPR이 무엇인지 완벽하게 이해하지 못한다고 하더라도 조직의 사업 모델이나 특수한 상황에 대해서는 잘 알고 있는 사람이니까 말이다. DPO가 한 조직을 움직여, GDPR을 준수하도록 하기 위해선 GDPR을 기계적으로 달달 암송할 수 있는 것보다, 그 조직 상황에 맞게 GDPR을 적용시키는 게 중요하다. 그러려면 조직의 사정에도 훤해야 한다. 데이터가 어디에 저장되어 있는지, 누가 그 데이터들에 접근 권한을 가지고 있는지, 정책과 현장에서의 괴리는 어떤지를 알아야 GDPR도 적용시킬 수 있다.
GDPR은 일부로 방대하고 덜 상세하게 만들어졌다. 유럽의 모든 나라들마다 상황이 달라 획일화되고 구체적인 정책을 일괄적으로 적용할 수 없기 때문이다. 또 데이터를 보호한다는 게 특정 기술로만 되는 것도 아니며, 한 가지 방법으로만 할 수 있는 것도 아니다. 그래서 GDPR은 유연하고 융통성 있다. 대원칙을 수립하고 있고, 현장에서의 세세한 부분까지 간섭하지 않는다. 심지어 클라우드나 사물인터넷 등 신기술도 아우를 수 있을 만큼 열려 있다. GDPR 적용이 어렵다면, 어쩌면 그 동안 기본을 잘 안 지켰다는 뜻일 수도 있다.
2018년 5월은 DPO를 도입시킨다는 측면에서 보면 그리 멀지 않다. GDPR에 대해 알아보자, 라고 주제를 크게 잡으면 GDPR은 당신에게 불친절하게 다가갈 것이다. 하지만 DPO와 같이 한 지점부터 파고들어 준비를 시작하면 GDPR은 얼마든지 친절해질 수 있다. 새로운 변화를 마냥 기다리는 게 아니라 ‘나와 무슨 상관이 있을까’를 적극 생각해보자.
글 : 토마스 피셔(Thomas Fischer), Digital Guardian
[국제부 문가용 기자(globoan@boannews.com)]
보안의 종합적인 능력 갖추고 있어야...지금부터 훈련 시작해도 빠듯
[보안뉴스 문가용 기자] 유럽연합의 개인정보보호법인 GDPR이 2018년 5월 25일부터 발효되기 시작하면 앞으로 많은 기업들이 DPO에 목말라할 것으로 예상된다. DPO란 데이터 보호 책임자 혹은 데이터 보호 관리자를 뜻하는 직책으로 Data Protection Officer의 준말이다. GDPR이 요구하는 다양한 데이터 보호 조치와 관련된 컴플라이언스를 담당하는 임무를 주로 맡은 사람들이다.
[이미지 = iclickart]
따라서 DPO는 컴플라이언스와 관련하여 임직원들을 교육시키는 일을 진행하고, 데이터 처리를 맡고 있는 직원들의 훈련에 개입할 것이 예상된다. GDPR과 관련된 보안 감사도 DPO가 진행할 확률이 높고, 국가 기관이나 기업 등의 단체가 일반 기업에 연락을 취할 때, DPO로 전화나 메일을 보낼 것이다. 그렇기에 지금 GDPR과 직접 상관이 있는 기업들은 다음과 같은 질문들을 하며 2018년 5월 25일을 기다리고 있다.
우리 조직도 DPO가 필요할까?
GDPR 아래 정부 기관들 및 공공 조직은 반드시 DPO를 선임해야 한다. 대규모로 특정 주체를 모니터링해야 하는 시스템을 반드시 갖추고 그 데이터를 처리해야 하는 조직들 역시 마찬가지다. 건강, 종교, 인종, 성적 취향, 범죄 기록 등 민감할 수 있는 특정 정보를 수집, 처리해야 하는 조직도 DPO가 필수다. 은행, 의료보험사, 신용 관련 업체들이 좋은 예다. 그러나 HR 자료만 취급하는 곳은 DPO가 딱히 필요하지 않다.
필수건 아니건 DPO가 있으면 좋지 않을까?
조직 내에 DPO라는 직책을 신설해놓으면 법적 필수요소든 아니든 좋은 측면이 많다. 데이터를 보호하는 전담요원이 있다는 건 굉장히 든든한 일이기 때문이다. 외부 전문가를 파트너로 두고 데이터 보호와 관련된 일을 맡긴다고 해도, 내부 조직원의 자격을 가지고 있는 사람과 그렇지 않은 사람은 운신의 폭에서 차이를 보이기 마련이다. GDPR을 떠나, DPO라는 기능에 대해서 진지한 고민을 해볼 필요는 어느 조직에게나 존재한다.
DPO 적임자는 어떤 기술을 가지고 있어야 하나?
아마 DPO와 관련된 고민 중 이 부분이 가장 힘든 것이 될 전망이 높다. 민감한 데이터를 가장 잘 관리하고, 법도 잘 준수하며, 임직원 훈련과 교육도 잘 시킬 수 있는 사람은 도대체 어떤 사람일까? 그런 사람이 있을까? 어디서 그런 사람을 구해야 할까? 풋볼을 알고 있다면 프리 세이프티(free safety) 포지션에 가장 가까운 게 DPO가 아닐까 한다. 프리 세이프티는 특정한 역할이 아니라 아무 공격수나 저지하는 역할을 맞는 포지션이다.
DPO는 컴플라이언스 최고 책임자, CISO, CTO를 다 합한 기능을 수행해야 할 것이다. 그러니 이러한 인재를 찾는 데에는 분명히 시간이 많이 걸릴 것이다. 2018년 5월이 되기 전에 DPO를 정착시키려면 지금부터 찾기 시작해야 한다. 완벽한 사람은 아마 없을 것이다. 가장 근접한 인재를 찾아 훈련을 시키는 게 더 효과적일 것으로 생각된다.
사람을 어디서부터 찾아야 할까?
주위에 좋은 전문가가 딱 떠오르지 않는다면 조직 내에서 찾는 것이 순서일 것이다. DPO가 무엇인지, GDPR이 무엇인지 완벽하게 이해하지 못한다고 하더라도 조직의 사업 모델이나 특수한 상황에 대해서는 잘 알고 있는 사람이니까 말이다. DPO가 한 조직을 움직여, GDPR을 준수하도록 하기 위해선 GDPR을 기계적으로 달달 암송할 수 있는 것보다, 그 조직 상황에 맞게 GDPR을 적용시키는 게 중요하다. 그러려면 조직의 사정에도 훤해야 한다. 데이터가 어디에 저장되어 있는지, 누가 그 데이터들에 접근 권한을 가지고 있는지, 정책과 현장에서의 괴리는 어떤지를 알아야 GDPR도 적용시킬 수 있다.
GDPR은 일부로 방대하고 덜 상세하게 만들어졌다. 유럽의 모든 나라들마다 상황이 달라 획일화되고 구체적인 정책을 일괄적으로 적용할 수 없기 때문이다. 또 데이터를 보호한다는 게 특정 기술로만 되는 것도 아니며, 한 가지 방법으로만 할 수 있는 것도 아니다. 그래서 GDPR은 유연하고 융통성 있다. 대원칙을 수립하고 있고, 현장에서의 세세한 부분까지 간섭하지 않는다. 심지어 클라우드나 사물인터넷 등 신기술도 아우를 수 있을 만큼 열려 있다. GDPR 적용이 어렵다면, 어쩌면 그 동안 기본을 잘 안 지켰다는 뜻일 수도 있다.
2018년 5월은 DPO를 도입시킨다는 측면에서 보면 그리 멀지 않다. GDPR에 대해 알아보자, 라고 주제를 크게 잡으면 GDPR은 당신에게 불친절하게 다가갈 것이다. 하지만 DPO와 같이 한 지점부터 파고들어 준비를 시작하면 GDPR은 얼마든지 친절해질 수 있다. 새로운 변화를 마냥 기다리는 게 아니라 ‘나와 무슨 상관이 있을까’를 적극 생각해보자.
글 : 토마스 피셔(Thomas Fischer), Digital Guardian
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
