출처 : http://www.boannews.com/media/view.asp?idx=54199&page=1&kind=4
혹시 사업상 유럽 기업들과 거래를 진행하고 있는가? 보다 정확히 묻자면, 유럽연합 내 시민들의 개인정보를 다룰 일이 있는가? 그렇다면 시행을 곧 앞둔 GDPR에 대한 촉각을 곤두세워야 할 것이다.
일단 많은 업체들에게 GDPR 검토와 사업에의 적용이라는 문제는 굉장히 따분하고 지겨우며 복잡한 일로 다가올 것이다. GDPR 수준에 맞춘 정책과 기술을 도입했더라도 말이다. 어떤 상황에서 어떤 구실로 떨어질지 모르는 벌금형을 피해가려면 헤쳐 나가야 할 것들이 많다. 현재 GDPR에 대한 가장 큰 공포심은 그 무시무시한 벌금에서 오는 것이라는 걸 계속해서 기억해야 한다.
GDPR이 정식으로 시행되기 시작하는 날은 2018년 5월 25일로, 이 시점부터는 유럽연합과 관계된 모든 기업들이 벌금형의 잠정적 대상이 된다. 아직 1년이나 남았다고 생각하는가? 오히려 1년밖에 남지 않았다는 것에 가깝다. 게다가 각종 뉴스나 칼럼을 읽다보면, 많은 기업들이 제대로 준비를 하고 있지 않다는 걸 알 수 있다. 왜 아직도 GDPR이 무섭기만 하고 준비는 하고 있지 않은 걸까?
일단 법, 위험 관리, 컴플라이언스, IT 테크놀로지, 보안 등이 전부 합쳐진 문제이기 때문이다. GDPR 규정을 달달 암기한다고 해서 해결되는 게 아니다. 기업에 따라 새로운 직책을 마련하거나 기존 직급들에 새로운 책임을 부여해야 할 수도 있다. 예를 든다면, 데이터 보호 책임자 정도? GDPR이 데이터 보호에 굉장히 많은 신경을 쓰고 있으니 데이터 보호를 기존 IT 담당자나 CISO 등에 그대로 맡겼다가는 아마 호된 수업료를 물게 될 것이다.
그렇다면 정확히 뭘해야 한다는 것일까? 제일 먼저는 GDPR이 무엇인지 직원들을 대상으로 하는 교육 프로그래부터 진행하라. 교육과 훈련을 함으로써 1) 직원이 실수할 확률을 낮출 수 있고 2) 회사 차원에서도 GDPR에 대해서도 더 공부할 기회가 된다. 가르치는 것만큼 학습효과가 높은 행위도 드물다.
또한 현재 유럽연합 시민 고객들의 개인정보가 물리적으로 어느 위치에 저장되어 있는지도 파악해야 하고, ‘개인정보’라고 수집하는 정보들이 어떤 항목들로 구성되어 있으며 누가 어떤 항목에 어떤 이유로 접근할 수 있는지, 어떤 식으로 보호받고 있는지도 이번 기회에 먼저 현황 파악을 해야 한다. 뿐만 아니라 사건 발생시 어떤 식으로 대응이 이뤄지는지도 이번 기회에 검토하면 좋다. 이 과정을 10가지로 요약 정리해보면 다음과 같다.
1) 저장된 데이터든 송수신 중 데이터든, 암호화를 적용하라. GDPR에 따르면 데이터가 유출되었다고 하더라도 공격자가 그 데이터를 읽어낼 수 없다면 고객에게 개인정보 유출 사실을 알릴 필요가 없기 때문이다.
2) 접근을 철저히 통제하라. 고객의 개인정보에 누가 접근권을 가지고 있는지, 그 권한은 어떤 이유로 부여되었는지를 ‘전부’ 알아내어서 필요에 맞게 조정해야 한다. 개인정보 처리 동의를 얻으려면, 그 이유를 명확히 밝혀야 하고, 해당 데이터에 접근이 가능한 사람이 누구인지도 알려야 하기 때문이다. GDPR 규정상 관리자 계정을 공유하고 사용자 권한이 지나치게 높은 건 벌금감이다.
3) 취약점 관리 프로세스를 광범위하게 적용하라. 네트워크에 있는 모든 기기들은 하나도 빠짐없이 스캐닝 대상이다. 그 목적은 인프라 내 존재하는 약점들의 가시성을 확보하기 위함이다. 회사 밖에서 근무하는 자들이 있다면, 그 사람들 역시 빼놓을 수 없다. 재택근무자나 외근자들 모두 사이버 보안에 있어 위협적인 존재들이기 때문이다. 이는 GDPR에서도 강조하는 것이다.
4) 백업은 아무리 강조해도 지나치지 않다. GDPR 대비책 중 가장 쉽고 간편하면서 가장 간과되는 것 중 하나가 백업일지도 모른다. 랜섬웨어? 그 때문만이 아니다. 전력 공급이 중단되었을 때, 뭔가를 분실했을 때, 자연재해가 데이터 센터를 덮쳤을 때, 커피를 중요 하드웨어 부품 위에 쏟았을 때 등 백업이 필요한 경우는 부지기수다. 어떤 경우에라도 백업이 가능해지도록 방법을 마련하라.
5) 웹 애플리케이션 보안을 강화하라. 애플리케이션 개발에 있어 GDPR이 가장 강조하는 건 ‘프라이버시 바이 디자인(privacy-by-design)’ 원칙이다. 즉, 설계 때부터 프라이버시를 보호할 수 있도록 방법을 마련하라는 것인데, 예를 들어 웹 앱을 통해 개인정보나 비밀번호를 수집할 때 평문으로 저장하는 방식이라면, GDPR의 회초리가 무척 아플 것이다.
6) 침투 테스트를 친구 삼아라. 네트워크 내 존재하는 시스템들의 취약점을 최대한 많이 파악하기 위함이다. 물론 파악만 하는 것으로는 불충분하다. 고쳐야 한다. GDPR은 ‘지속적인 취약점 점검’을 강조하고 있다. 1년에 한두 번 대대적인 검사하는 것으로는 GDPR을 만족시키기 힘들 가능성이 높다. 내부적으로 해도 되고 외부 전문가들을 초대해도 된다. 그건 당신 마음.
7) 공격자들을 최대한 신속하게 탐지해내야 한다. 잡아내라는 게 아니다. 침투당한 사실을 최대한 빨리 알아낼 수 있는 시스템을 마련해 이미 개인정보가 2억 건이나 유출된 후에 ‘아차’하는 일이 없도록 하라는 것이다. 최근 버라이즌의 데이터 유출 사고 보고서를 보면, 크리덴셜이 해커들에게 가장 선호 받는 정보이지만, 도난당한 크리덴셜이 어느 시점에 해커들에게 사용되는지는 파악하는 걸 많은 기업들이 어려워하고 있다. 이를 해결하기 위해 최근 등장하기 시작한 것이 바로 사용자 행동 분석 기법이다. 해커들을 속이는 하니팟 기술을 접목한 하니 크리덴셜(honey credential) 역시 최근 떠오르고 있는 전략이다.
8) 은둔의 IT를 무시하지 말라. 클라우드의 인기가 갈수록 높아져가면서 회사 내 직원들이 별 희한한 앱들을 허락도 없이 마구 사용하게 된다. 이 앱들에서 종종 사고들이 터진다. GDPR이 적용되기 시작하면 해커가 이런 앱들을 먼저 찾아낼지, GDPR 벌금이 먼저 찾아낼지, 흥미로울 것이다.
9) 사용 중에 있는 보안 솔루션들에서 발생하는 경보에 최대한 귀를 기울여야 한다. 물론 경보가 너무 많아 제한된 자원으로 다 검토할 순 없고, 이를 이용해 공격자들이 잘못된 경보를 마구 발생시키기도 한다. 하지만 ‘저희 사람이 부족해서...’라는 이유를 댄다고 해서 GDPR이 벌금을 깎아줄 리는 없다. SIEM을 도입해 24시간 대응할 수 있는 체제를 갖추는 게 가장 간편한 해결책이다. 하지만 SIEM 도입이 어렵다면, 지속적인 모니터링과 보호를 가능하게 해주는 다른 장비나 솔루션을 고려해보라.
10) GDPR의 72시간 규정을 반드시 염두에 두라. 개인정보가 유출되었다면 72시간 내에 상급기관에 알려야 하는 것이다. 그런데 72시간 안에 알렸다고 모든 책임에서 면제되는 것이 아니다. 최대한의 조치를 취해 공격자를 한 데 가두고 피해를 최소화시키는 데에도 충분한 성공을 거두어야 한다. 그러니 사건 대응 팀을 항시 대기시켜두어야 하고, 여의치 않다면 이런 부분에 강점을 가진 파트너사를 물색해야 한다. 단지 광고 전단지나 어디서 들어본 것 같은 기억을 믿고 파트너사를 정하지 말고, 시간을 두고 천천히 검증해보는 게 중요하다.
출처 : http://www.boannews.com/media/view.asp?idx=54321&page=1&kind=2
포럼의 첫 번째 강연은 한국인터넷진흥원(KISA) 개인정보 비식별조치지원센터의 소대웅 변호사가 ‘주요국 개인정보 비식별 관련법 및 동향’을 주제로 진행했다. 소 변호사는 현재 빅데이터와 IoT 등의 발달로 정보활용 측면이 부각되면서 개인정보 보호와 활용 측면을 조화시킬 수 있는 법제가 필요하다고 말했다.
우선 EU 등 국가별로 법안이 이제 막 마련되고 있는 상황에서 개인정보 비식별과 관련해 논점이 되고 있는 ‘익명처리(Anonymisation)’와 ‘비식별조치(De-Identification)’, 그리고 ‘가명처리(Pseudonymisation)’ 등 용어에 대한 정의가 명확하지 않아 문제가 많다고 소 변호사는 설명했다.
“유럽에서 주로 쓰이는 익명처리와 우리나라와 미국에서 쓰는 비식별조치는 정확하게 말해서 같은 용어라고 하기는 어렵습니다. 하지만 이해하기 쉽게 두 용어를 같이 쓰자면, 익명처리와 비식별조치는 식별되었거나 식별될 수 있는 자연인과 관련 없는 정보 혹은 정보주체가 식별될 수 없도록 처리된 정보를 말하며, 이는 개인정보에 해당하지 않습니다. 그리고 가명처리는 추가 정보의 사용 없이 더 이상 특정 정보주체를 식별할 수 없는 방식으로 수행된 개인정보의 처리를 말하며, 이는 개인정보에 해당됩니다.”
또한, 소 변호사는 GDPR의 중요성을 설명하려면, 먼저 EU의 법체계를 이해해야 한다고 말했다. “EU는 회원 국가들이 무조건 적용해야 하는 Regulation 법과 회원국들에게 목표를 지정해주되 각 국가에서 자체 법률을 만들어 목표를 달성하도록 하는 Directive 법, 그리고 법적 구속력이 없는 의견서인 Opinion이 있습니다. 그동안 EU의 비식별조치 법제는 1995년 Directive 95/46/EC와 2014년 Opinion만이 있었는데, 2016년 GDPR Regulation 법을 다시 발의했습니다. 즉, 법안을 강화했다는 의미입니다.”
최근 일본도 개인정보보호에 관한 법률을 개정(2015년)하고, 개인정보보호 법률에 대한 가이드라인(2016년)을 제시하면서 변화된 모습을 보이고 있다. 다만 EU가 익명 처리된 정보를 개인정보가 아니라고 명확하게 규정했다면, 일본은 애매모호하게 처리했다고 소 변호사는 설명했다.
이에 비해 우리나라는 개인정보보호법에서 ‘동의 없는 제3자 가공, 제공’이 가능한 것은 ‘통계작성’이나 ‘학술연구’ 등을 목적으로만 할 수 있다고 정의했다. 이는 법률상 목적 외 처리를 허용하되, 개인정보 관련 법제를 적용받도록 한 것이다. 또한, 2016년 관계기관 합동 개인정보 비식별조치 가이드라인을 통해 비식별조치 후, 적정성 평가를 받는 경우 개인정보가 아닌 것으로 추정했다. 소 변호사는 가이드라인의 비식별조치 수준은 주요국들에 비해 매우 높은 수준이라고 강조했다.
소 변호사는 “정보 활용을 위한 법제도 재정비는 세계적 추세이며, 한국의 법제 역시 주요 국가들의 입법동향과 비슷한 추세”라며, “주요국들의 비식별조치 법제 분석을 토대로 우리 환경에 맞는 법제 추진이 필요하다”고 설명했다.
출처 : http://www.boannews.com/media/view.asp?idx=54671&page=1&kind=4
GDPR에 막 입문한 사람이든 고수든 정확하게 아는 게 딱 한 가지가 있다. 바로 GDPR 위반 벌금이 220억 원이나 전년도 전체 수익의 4%나 된다는 것이다. 그것도 둘 중 높은 것을 기준으로 벌금이 책정된다고 하니 기업들이 ‘패닉’에 빠질 만하다. 이 끔찍한 사태에 직면하게 될 경우 도산까지도 우려되는 기업들이 없지 않을 것이다. 아무리 조 단위 예산을 확보하고 있는 글로벌 기업이라고 해도 이는 적지 않은 돈이다. 해독이 불가능한 GDPR이라고 하지만 해독을 해야만 하는 상황이라는 것이다. 이를 돕기 위해 몇 가지 주요 사안들을 정리해보았다. 물론 해독이 되어 있다.
16조 : 개정의 권리(Right to Rectification)
GDPR의 조항 중 가장 짧은 것 중 하나로 단 54개 단어로 명시되어 있다. 내용은 “시민들은 개정의 권리를 가지고 있다”는 것으로 사뭇 간단해 보인다. 그렇다면 이는 무슨 뜻일까? 고객들은 스스로에 대한 부정확한 정보를 시기적절하게 수정할 수 있다는 것이다. 너무나 간단한 내용으로 들리지만, 고객의 정보를 제3자에게 위탁하여 사업을 진행하는 경우 일이 복잡해진다. 이제부터 유럽 시민의 개인정보를 다른 업체에 위탁하는 경우, 해당 업체의 개인정보 활용을 통제할 추가적인 조치나 협약 내용이 필수라는 뜻이 된다.
25조 : 설계 시부터 자동으로 데이터 보호
GDPR 25조는 아주 길고 숨찬, 마라톤 같은 문장 하나와 함께 시작된다. “최첨단 기술, 구축의 비용, 처리의 목적과 전체 맥락, 범위, 성격뿐 아니라 자연인이 누릴 수 있는 자유와 권리의 엄중함과 다양한 가능성이 가진 위험들을 고려하여 통제자는 ‘처리’의 방법을 결정하는 시점과 ‘처리’가 실시되는 시점으로부터 데이터 최소화와 같은 데이터 보호 원칙을 도입하기 위해 설계된 익명화와 같은 적절한 기술적 및 운영적 조치들을 효율적으로 도입해야 하며, 필요한 보호조치를 처리 과정에 개입시켜 GDPR에 명시된 필수사항들을 지키고 데이터 주체들의 권리를 보호할 수 있어야 한다.”
이러니 해독이 불가능하다는 불평이 나오는 것이다. 이 문장의 뜻은 결국 “데이터는 저장 중, 전송 중, 활용 중에도 항시 보호되어야 한다”는 것이다. 예를 들어 개인식별정보처럼 굉장히 민감한 정보를 처리해야 할 때 기업은 당사자를 익명 처리함으로써 프라이버시를 반드시 지켜낼 수 있어야 한다는 뜻도 된다. 또한 데이터를 처리해야 할 때, 그 목적에 부합하는 부분만을 처리할 수 있으며, 그런 과정 중에 개인의 프라이버시 보호를 위한 기술적이고 정책적인 장치가 미리 마련되어 있어야 한다는 내용이다. 이런 모든 보호 장치는 ‘디폴트’로 마련되어 있어야 한다는 것까지 25조에 담겨 있다.
30조 : 정보 처리 활동의 기록
30조는 한 마디로 말해 ‘기록 남기기’에 대한 규정이다. 고객의 정보가 생성되고 활용되어 폐기되기까지 업체들이 어떤 식으로 그 생애주기를 기록해야 하는가를 상세히 알려주는 부분이라고 볼 수 있다. 업체들은 이 항목을 지키기 위해 실시간 데이터 감사 기능을 가진 솔루션을 도입해야 할 필요가 생겼다. 정보의 열람, 편집, 인쇄 등의 활동에 대한 구체적인 지침도 나와 있으며, 정보 처리의 시간과 장소(IP 주소)에 대한 내용도 등장하니 원문을 반드시 읽어볼 것을 권장한다.
이렇게 ‘기록 남기기’를 구체적으로 지시하는 이유는 ‘감독기구(supervisory authority)’가 불가피한 감사를 실시할 때 증거자료가 필요하기 때문이다. 이 감독기구란 GDPR 문건 내 또 다른 항목을 통해 명시됐다. 고정적인 특정 기구가 아니라 그때 그때 사건 별로 구성된다는 특성을 가지고 있다. 이는 ‘감사 기준’이 그때 그때 달라질 수 있음을 예고하는 부분이기도 하다. 때문에 GDPR로 인한 혼란이 가중될 전망이다. 개인적으로는 이 감독기구들 전부가 초반 수개월 동안에는 자신들의 기조를 강하게 밀어붙일 것으로 보고 있다.
46조 : 적절한 보호 체계로의 이동
이 기사를 통해 다룰 마지막 조항은 46조로 어쩌면 GDPR을 통틀어 가장 중요한 내용일지도 모른다. 바로 ‘정보를 어디로 전송하거나 저장하든 엄격한 데이터 보호 장치를 반드시 마련해야 한다’는 내용인데, 이 뻔해 보이는 것이 GDPR의 핵심이자 앙꼬이며, 가장 근간에 위치해 있는 철학이기 때문이다. 즉, 유럽연합의 시민 정보를 다른 지역으로 옮기더라도 프라이버시 침해할 생각을 하지 말라는 것이다.
실제적으로 무슨 뜻이냐면, 네트워크를 보호하는 걸 넘어 데이터 자체를 보호할 수 있는 장치를 마련하라는 것이다. 데이터가 어디에 있든지 보호받을 수 있도록 조치를 취하지 않으면 벌금이다. 즉 기존의 보안 개념인 ‘기기 보호’나 ‘네트워크 보호’, ‘IT 환경 보호’ 등으로 보안을 ‘퉁치지 말고’ 데이터 한땀 한땀 정성스레 보호해야 한다는 뜻이다. 데이터를 보호하면 자유롭게 공유할 수 있도록 해준다는 ‘당근’과 같은 내용도 여기엔 포함된다.
출처 : http://www.boannews.com/media/view.asp?idx=58538&page=2&kind=2
GDPR의 지리적·내용적 접근 범위
브뤼셀에서 KISA와 한국기업들이 문의한 항목 중 첫 번째는 ‘GDPR의 지리적·내용적 접근 범위’였다. 우선 GDPR을 적용받는 ‘사람’들은 ‘EU에 살고 있는 사람’으로만 한정된다. EU 국민이라 할지라도 현재 EU 지역에 살고 있지 않는다면 GDPR에 저촉되지 않으며, 반대로 우리나라 국민이라 할지라도 현재 EU에서 살고 있으면 GDPR에 적용된다. 즉, 그 사람의 ‘위치’가 중요하며, 시민권이나 국적과는 무관하다는 말이다.
또한, GDPR은 명백히 ‘EU 시장’을 염두에 두고 있을 때 적용되며, 때문에 서비스를 유로화로 유통하거나 프랑스어나 독일어 등으로 홈페이지를 구성했을 경우에만 적용된다. 달러나 영어를 기본을 서비스를 제공할 경우에는 GDPR 규제대상이 아니다.
개인정보를 수집하지만 보관만할 뿐 이를 처리하지 않는다면 GDPR 적용대상이 아니지만, 만에 하나 유출될 경우에는 해당 정보의 EU 역내 처리 여부에 따라 GDPR 적용 가능성이 생긴다. 인프라망과 소프트웨어 운용에 관해서는 ‘e-Privacy Regulation’을 참고하면 된다.
GDPR의 개인정보 정의
개인정보 정의에 대한 논의도 있었다. 예를 들면, 교통수단에 부착된 GPS를 통해 수집되는 정보가 개인정보인지 아닌지에 대한 질문에 대해, 이동수단에 탑승한 사람을 특정할 수 있다면, 해당 기기가 수집하는 지리적 정보는 해당인의 신원을 파악할 수 있는 개인정보로 GDPR의 적용대상이 된다는 답변을 얻었다.
같은 이유로 고정 IP는 개인정보에 해당하지만, 매번 변경되는 유동 IP는 사용자 개인으로 연결 짓기 어려운 만큼 개인정보에 해당하지 않는다. 단, 해당 정보를 통해 개인의 신원을 식별할 수 있는 수단과 방법을 갖고 있다면 GDPR이 적용되며, 개인에 대한 파악 가능성은 현 시점의 기술적 수준으로 판단한다.
명시적 동의
그렇다면 개인정보 주체의 동의는 어떤 방식으로 얻어야 하는가? 사실 우리나라는 ‘명시적 동의’를 인정하는 부분이 많은데, EU에서는 어떻게 처리할 것인지가 궁금했던 것. 이에 대해 EU는 자필 문서나 전자문서 서명, 스캔 파일 전송 등을 명시적 동의 수단으로 인정했다. 구두상 동의는 입증하기가 어렵기 때문에 녹화나 녹음, 혹은 문자 인증번호 회신 등도 사용할 수 있다고 봤다. 또한, 기존에 받았던 동의가 GDPR에서 요구하는 사항들을 다 만족한다면 해당 동의는 인정되지만, 미리 동의에 체크된 안내문이나 암묵적 동의에 의한 의사표현은 모두 무효가 된다.
DPO 임명 조건
기업들이 가장 신경 쓰는 부분 중 하나인 개인정보보호 책임자, ‘DPO(Data Protection Officer)’의 임명에 대해서는 기업의 ‘핵심 활동’에서 개인정보를 수집하지 않는다면 꼭 DPO를 임명할 필요가 없다는 답변이 나왔다. 예를 들면, 일반 제조사의 경우 제품을 생산하고 판매하는 것이 핵심 활동인데, 이 과정에서 대규모 개인정보 수집이나 프로파일링을 할 이유가 없기 때문에 굳이 DPO를 채용할 필요가 없다.
이와 반대로 병원의 경우 핵심 활동이 의료 서비스이고, 이 의료 서비스는 반드시 개인 건강과 관련된 정보를 수집해야 하기 때문에 DPO를 임명해야 한다. 즉, 단순히 처리해야 하는 정보가 많을 경우 꼭 DPO를 임명할 필요가 없지만, 개인정보를 대량으로 취급할 경우 DPO가 필요하다는 것.
과징금 부과
마지막으로 기업들이 가장 두려워하는 ‘과징금’의 경우, 우선 그 규모는 법규를 어긴 단일 지사나 법인의 매출액이 아닌, 기업사 전체 매출액을 기준으로 한다. 이는 과징금의 징벌적 성격을 확보하기 위한 조치로, 유령회사나 자매회사를 설립해 규제를 우회하는 편법을 사전에 예방하기 위함이다.
단, GDPR의 과징금 산정에는 11가지 기준이 있으며, 이 기준의 침해 수준에 비례해 과징금이 부과된다. 매출액의 4% 과징금은 11가지 기준을 심각하기 위배한 경우 부과되는 최대치로, 장기간 의도적으로 발생한 침해 사례에만 적용된다. 즉, 대놓고 불법을 저지르지 않는다면 최대치의 과징금이 부과될 일이 없다는 설명이다.
'old > 관리적 보안' 카테고리의 다른 글
| [자료] 국제 개인정보 법령 확인 (0) | 2017.05.12 |
|---|---|
| [자료] GDPR 관련 자료 (0) | 2017.04.29 |
| [자료] 각종 가이드라인 마인드맵 (0) | 2017.04.05 |
| [자료] 금융ISMS(F-ISMS) 인증제도 개선 내용과 대응 방안 (0) | 2017.03.20 |
| [기사] 금융권 ISMS 인증 의무화 폐지 (0) | 2016.06.02 |
