EU의 GDPR(General Data Protection Regulation)로 인해 쟁점이 과거에 얼마나 많은 기업이 데이터 보호에 접근했는
GDPR 발효일인 5월 25일까지 한 달도 채 남지 않은 현재 기업 및 기관들은 여전히 온프레미스 및 클라우드에 있는 여러 이기종 시스템의 쿠키(Cookie) 데이터부터 장비 식별자와 IP주소까지 엄청난 양의 PII(Personally Identifiable Information)를 보유하고 있을 가능성이 꽤 높다. 당신의 조직이 데이터 관리자인지 아니면 처리자인지 파악하려면 이런 문제가 선결돼야 한다.
PII란 무엇이며 어떻게 활용할 수 있는가?
GDPR는 기존의 자국 내 데이터 보호 법률보다 개인정보 처리가 더욱 광범위하다. GDPR의 2항에 해당 규정이 “자동화된 수단을 이용한 개인정보 전부 또는 일부의 처리와 기록 시스템의 일부를 구성하거나 기록 시스템의 일부를 구성하도록 하는 개인정보에 대한 자동화된 수단에 의하지 않은 처리”에 적용된다고 밝히고 있다.
그렇다면 개인정보를 어떻게 정의할 수 있을까?
4항에 따르면 개인정보는 “식별되거나 식별 가능한 자연인(데이터 대상)에 관련된 정보며, 식별 가능한 자연인은 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자나 해당 자연인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 신원에 대한 1개 이상의 인자를 참조하여 직간접적으로 식별할 수 있는 사람을 의미한다.”
여기에는 IP주소와 쿠키 데이터가 포함될 수 있으며 GDPR이 SAR(Subject Access Request), 잊힐 권리/삭제 권리, 데이터 확률 등의 더 새로운 개념을 도입하면서 EU 주민들은 이제 자신에 대해 어떤 데이터가 수집되는지 알 권리가 있고, 이메일과 소셜 플랫폼부터 HR, HCM, CRM 시스템까지 모든 곳에 PII가 존재할 수 있을 때 기업들에 영향을 끼친다.
범위 설정 활동이 첫걸음이다
데이터 위치에 대한 인식의 부재도 문제가 되고 있다. 영국의 술집 체인인 웨더스푼스(Wetherspoon)의 경우 갱신된 동의를 바로 확보할 수 없고 해당 개인정보를 적절히 관리 및 보호할 수 없다는 생각에 50만 개 이상의 이메일 마케팅 데이터베이스를 삭제하고 다시 시작했다.
당시 해당 기업은 와이어드(Wired)에 “우리는 모든 것을 감안할 때 고객들의 이메일 주소조차도 보관하지 않는 것이 낫다고 생각했다. 보유하고 있는 고객 정보가 적을수록(현재는 거의 없다.) 데이터와 관련된 위험이 감소한다”고 밝혔다.
영국에 위치한 건축 기업 랫클리프 그로브스(Ratcliffe Groves)의 IT책임자 닉 아이오아노우에 따르면, 조직은 우선 자신의 정체성이 데이터 처리자 또는 관리자인지뿐 아니라 이미 어떤 데이터를 보관하고 있는지 파악해야 한다. 아이오아노우는 “우선 누가 PII 데이터에 대한 접근권한이 있고 자신이 관리자인지, 아니면 처리자인지를 확인해야 한다. 이는 클라우드 기반 이메일 시스템 등 데이터의 위치와도 관련되어 있다. 다음으로 데이터에 대한 위험과 보안을 살펴보고 자동화된 처리를 식별해야 한다. 기업에 영향을 끼치고 GDPR보다 중요한 법률을 이해하는 것도 GDPR 의무를 올바르게 충족하는 데 중요하다”고 설명했다.
예상치 못한 PII를 찾았을 때의 조치
GDPR은 동의, 계약, 법적 의무, 사활적 이익, 공공 업무, 합리적인 이해 등 개인정보를 처리하기 위한 6가지 합법적인 근거를 나열했다. 이것이 중요한 이유는 보유하고 있는 PII와 그 위치가 확인되면 이를 확보할 합법적인 근거를 확인하거나 프로세스를 변경하여 불필요한 PII를 더 이상 요구하지 않아야 한다.
우선, 어떻게 찾을까? 핵심 운영 체제 외의 위치에 PII가 존재할 수 있는 몇 가지 예가 있다.
• 클라우드 앱, 조직이 승인하지 않은 것 제외
• 온라인 파일 공유 서비스
• 이동식 디스크
• 물리적인 저장소(파일 캐비닛)
• 제 3자/공급망 제공자
• 임시 파일
• 샌드박스(Sandbox)/테스트 시스템
• 백업 시스템
• 직원이 사용하는 기기
아이오아노우는 “GDPR은 진정한 (아날로그 및 디지털) 데이터 보호 규정이기 때문에 우선 한 걸음 물러서서 서류, 인쇄물, 스캔 또는 창작물, 디지털 콘텐츠로 저장된 모든 것을 살펴보아야 한다. 섀도우 IT뿐만이 아니라 이동식 USB 메모리 및 드라이브와 백업 등에 예상치 못한 많은 개인정보가 있을 수 있다”고 말했다.
스튜어트는 말 그대로 모든 곳을 살펴보아야 한다고 주장했다. 그는 “서류 캐비닛, 제 3자 저장소, 파일 서버 등 모든 곳이다. 우선은 개인정보가 무엇인지 파악해야 하며, 정보 분류를 전제 조건으로 하여 개인정보를 파악할 수 있어야 한다. 많은 조직이 찾는 대상을 명확히 하지 않았기 때문에 개인정보를 다시 처음부터 찾아야 한다는 이야기를 들었다”고 이야기했다.
케임브리지 애널리티카 스캔들 이후로 그는 공급망도 곧 그 영향을 느낄 것이라고 언급했다. 그는 “공급망도 분명 중요한 곳이기 때문에 살펴보아야 한다. 또한 백업과 저장소 리소스도 살펴보아야 한다. 또한 GDPR이 역사상 가장 거대한 인간 지식 이동의 중심에 있다는 사실을 기억해야 한다”고 덧붙였다.
스튜어트는 현장 저장 장치에서 클라우드로의 신속한 이행을 언급하고 있다. 스튜어트는 “그 자체가 나쁜 것은 아니지만 동기 유인은 일반적으로 저장 비용 감소 또는 디스크 공간 부족 전에 이동이다. 따라서 대부분 조직은 완전히 이해하지 못하는 콘텐츠의 대규모 이동을 수행하고 있다. 모든 종류의 민감한 개인정보가 이를 인식하지 못한 채 클라우드로 이동할 것이다”고 설명했다.
유럽 헤지펀드 관리기업인 브레반 하워드(Brevan Howard)의 CISO였으나 현재는 가상 CISO로 활동하는 닉 밀러도 테스트 시스템에서 실제 데이터가 너무 많이 사용되고 있다고 생각한다. 그는 비정형 데이터가 여러 조직에 맹점이 될 것으로 보고 있다. 밀러는 “공유 폴더, 임시 드라이브 등 개인정보를 찾는 단순한 방법은 없다. 개인정보는 더욱 잘 파악한 PII보다 더 광범위하다”고 말했다.
밀러는 “많은 기업들이 여러 인력 서비스, 급여, 연금, 보험 등에 제 3자 서비스를 사용할 것이다. 이 모든 기업들은 대부분 인원에 대한 많은 양의 민감한 데이터를 보존할 것이다”고 이야기했다. “하지만 상당한 주의를 기준으로 생각해서는 안 된다. 해당 정보를 공유하는 방식을 고려한다. 암호화된 첨부파일이 있는 이메일을 교환하는 경우 이메일이 잘못된 주소로 전송되었을 때 사고가 발생하며 이메일 저장 등을 통해 내부적으로 이 데이터가 확산되면 문제가 더 커진다”고 덧붙였다.
앞으로의 향방은?
밀러는 프로세스가 중요하다고 언급했다. “우리가 적절한 조치를 마련했으며 IT인프라와 프로세스를 문서로 정리하고 위험을 평가해야 한다는 것을 입증하기 위해 ‘위험에 적합한 보안 수준을 확보하기 위한 적절한 기술 및 조직적 조치’ 이행에 관한 것이 바로 GDPR이다. 섀도우IT, 보유, 권리, 공유, 접근 관리와 함께 모든 비즈니스 프로세스와 GDPR 의무가 이런 프로세스에 영향을 끼치는 곳을 살펴보아야 한다”고 밀러는 전했다.
스튜어트는 “2가지 핵심 활동이 우선순위가 되어야 한다”고 강조했다. “우선, 프로젝트 위험을 관리하고 ‘디자인을 통한 보안’을 이행하는 프로세스를 마련한다. 둘째, 개인정보를 정의하고 발견 프로세스를 실행하여 BAU에서 찾은 후 개인정보에 필요한 안전의 80%를 제공한다고 생각되는 핵심 관리사항의 분류 프로세스를 사용해 높은 수준의 위험 평가를 수행한다. 예를 들어, 접근 관리 검토, 로깅(Logging) 및 모니터링, 취약성 관리 등이 ‘상위 10대 항목’에 포함될 수 있다.
스튜어트는 계속해서 암호화 및 익명화 기술이 “훌륭하지만 꽤 달성하기 어렵다”고 말했다. 런던에 있는 사이버보안 업체 파나시어(Panaseer)의 설립자 겸 CEO인 닉 위트필드도 스튜어트의 말에 동의하면서 “데이터 보호에 적합하며 올바르게 사용하지 않는 경우 보호에 대해 착각할 수 있다”고 밝혔다.
스튜어트는 “많은 조직이 여전히 기존문제 때문에 고군분투하고 있다”며 한 국제은행을 예로 들었다. “그들은 얼마나 많은 서비스를 보유하고 있으며 어디에 활용하고 있는지 모르고 있다. 그들이 GDPR 준수성을 ‘확보’하고 있다는 말을 믿기 어렵다. 개인정보를 전체적으로 살펴보아야 하며 기술적인 통제보다 위험이 우선순위가 되어야 한다. ICO는 위험 기반 접근방식에 대해 알렸다. 이를 신뢰성 있게 이행하려면 전체적으로 살펴보아야 한다.”
위트필드는 업체 솔루션에 얽매이는 것과 암호화에 대해 경고했다. “업체 벤더가 전략을 주도하도록 허용하는 것을 경계해야 한다. ‘GDPR 준수성’을 제공하는 제품은 문제의 특정 부분에 대한 해결책만 제공할 뿐이다.”
dl-ciokorea@foundryco.com
