Home > 전체기사

GDPR 4주년을 맞아 데이터 레이크에 종말을 고하다

  |  입력 : 2022-05-31 16:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
GDPR이 시행된 지 만 4년이 됐다. 그러면서 데이터 보호의 패러다임이 크게 바뀌기도 했고, 일반 대중들의 인식 역시 달라졌다. 그러면서 데이터 레이크라는 개념은 빠르게 화석화되고 있으며, 데이터에 대한 투명하고 정확한 제어 기술이 요구되고 있다. 변화에의 빠른 적응이 필요하다.

[보안뉴스 문정후 기자] 이번 달로서 세계는 유럽연합이 GDPR이라는 역사적 규정을 시행한 지 4주년을 맞게 됐다. 그 동안 개인의 프라이버시, 혹은 데이터의 프라이버시에 대한 우리의 관념은 계속해서 변해왔고, 그 변화의 중심에 GDPR이 있었음은 부인할 수 없는 사실이다. 싫든 좋든 GDPR 덕분에 많은 기업들의 데이터 보호 및 활용 전략은 이전과 완전히 달라졌다.

[이미지 = utoimage]


프라이버시 보호는 현재 많은 개인들에게 있어 가장 중요한 가치 중 하나다. 개인들이라면 기업들에 있어 소비자와 고객을 말한다. 그렇기에 기업들은 프라이버시를 보호하면서도 개인정보를 상업적으로 분석해 경제를 활성화시켜야 하는 ‘균형 잡기’의 어려움을 해결해야 한다. GDPR만이 아니라 CCPA 등 프라이버시 보호와 관련된 엄격한 규정들이 계속해서 생겨나면서 이러한 부분에서 기업의 할 일은 훨씬 더 복잡하고 많아졌다.

이게 특정 한 국가나 지역만의 문제인 것도 아니다. 데이터를 지구 한 편에서 다른 곳으로 이동시킬 때에도 이런 프라이버시 관련 규정들을 고려해야만 하는 것이 관행이 되었고, 많은 기업들이 국경을 넘나드는 사업을 준비할 때 가장 골치 아프게 생각하는 것 중 하나가 바로 이 프라이버시 보호 규정이 되었다. 무시할 경우 무시무시한 벌금이 기다리고 있어 예전처럼 사업 잘 키워서 벌금 좀 내고 만다는 전략이 통하지 않는다.

데이터 레이크의 멸종?
이렇게 GDPR로 촉발된 데이터 프라이버시 보호의 물결이 전 지구를 휩쓸기 시작하면서 멸종의 위기에 처하게 된 개념이 하나 생겨났다. 바로 데이터 레이크다. 가공되지 않은 데이터들을 중앙에 대량으로 모아두고 접근과 활용을 보다 편리하게 하는 개념 말이다. 이 가공할 만한 프라이버시 보호의 물결 앞에 데이터 레이크라는 개념은 곧 낡은 화석처럼 굳어져 어느 교과서에 텍스트로만 남게 될지도 모른다.

‘슈렘스 2 판결’ 이후 데이터를 한 지역에서 다른 지역에서 옮기는 일에는 크게 제한이 걸리게 되었다. 최근 오스트리아의 데이터보호국(DPA)이 구글 애널리틱스(Google Analytics)에 대해 내린 결정 등 각국의 DPA들이 내린 판결들을 보면 이 ‘슈렘즈 2 판결’ 이후 국경을 넘는 데이터 전송은 앞으로 더 엄격하게 관리될 것임을 예상할 수 있다. 적절한 기술적 조치 없이 양자 간 표준 계약에만 의거한 데이터 전송은 앞으로 불가능에 가까워질 것으로 보인다.

페이스북의 글로벌 데이터 레이크를 예로 들어 보자. 페이스북은 광고 플랫폼에 활용할 데이터를 운영하기 위해 글로벌 데이터 레이크를 운영했다. 최근 유출된 내부 문건에는(이 문건은 페이스북의 프라이버시 엔지니어가 직접 작성한 것이었다) 이미 데이터 레이크라는 형식의 아키텍처에는 오류들이 존재한다는 사실이 세부적으로 설명되어 있다. 페이스북 시스템에서 데이터가 어떻게, 어떤 절차로 활용되는지 제대로 설명하기가 어렵고, 그런 걸 밝혀낼 도구도 부족하다는 지적도 나왔었다. 그러므로 이런 저런 목적을 위해 이런 저런 데이터를 사용하지 않겠다고 분명히 발표할 근거가 없다는 것이 엔지니어의 설명이었다. “그러므로 현존하는 광고 플랫폼 개선을 위한 다년 간의 투자와 개선이 필요하다”는 게 결론이었고 말이다. 데이터에 대한 제어가 제대로 되지 않고 있다는 페이스북의 속사정이 고스란히 드러난 것이다.

그렇다는 건 데이터 보호 혹은 프라이버시 보호의 가장 기본적인 필수 항목도 페이스북은 갖추지 못하고 있다는 뜻이 된다. 자신들이 무슨 데이터를 어디에 보관하고 있으며, 그 데이터가 어디로 흘러가 어떻게 활용되는지도 모른다는데, 무슨 규정을 준수할 수 있을까? 이것은 데이터 레이크가 가진 단점 중 하나다. 목적성에 맞는 데이터를 보관한다거나 데이터를 현지화 한다거나 투명하게 데이터를 활용한다거나 데이터를 온전히 제어할 수 있다거나 하는 모든 항목이 데이터 레이크 시스템에서는 불가능하다.

전략적 최소화
데이터 레이크는 데이터 분석을 위한 기본 전제 조건이라든가 반드시 필요한 인프라가 아니다. 물론 GDPR이 작성되고 도입되는 과정에서 많은 로비스트들이 그런 식으로 데이터 레이크에 대해 말했지만, 우리는 더 좋은 데이터 관리 및 제어 구조들을 알고 있다. 데이터 레이크를 고집할 이유가 전혀 없고, 지금의 흐름을 봐서는 그래서도 안 된다. 데이터를 투명하게 제어할 수 없다면, GDPR과 같은 규정이 난무하는 시대에 글로벌 기업들로서 데이터 레이크를 운영할 만한 장점이 딱히 없다.

이처럼 데이터 레이크의 한계가 분명해지고 있는 때에 기업들이 취할 수 있는 가장 전략적인 방안은 데이터 요소와 데이터의 이동을 최소화 하는 것이다. 그리고 데이터 스토리지를 사업을 벌이는 장소에서 최대한 마련하여 활용하는 것이 유리하다. 국경을 가로질러 데이터를 전송해야 한다면, 데이터 재식별화의 위험을 기술적, 효과적으로 낮출 필요가 있다. 

그렇다면 데이터를 가지고 하는 사업은 이제 모두 중단해야 하는가, 라는 질문이 떠오른다. 좋은 소식이 있다면 최근 ‘연합 데이터 아키텍처(federated data architecture)’라는 개념이 대두되기 시작했다는 것이다. 또한 데이터 메시(data mesh)를 필두로 새로운 데이터 아키텍처와 패러다임도 등장하고 있다. 데이터 레이크로부터 벗어나기 위한 움직임들이 서서히 가시화되고 있다는 것인데, 너무 늦지 않게 상용화 될 것으로 예상된다.

데이터 메시는 2019년 자막 데가니(Zhamak Dehghani)라는 인물이 처음 만든 용어로, 데이터 아키텍처에 ‘목적성에 의거한 제한’을 적용한 것을 말한다. 데이터 저장소를 호수처럼 만들어 많은 데이터를 저장해 두는 것을 넘어, 그 데이터 저장소에 누구나 알맞은 목적에 맞게만 접근할 수 있게 되는 것이다. 그 외에도 데이터 레이크 등 기존 아키텍처가 가졌던 여러 가지 아쉬운 점들이 보완되어 있기도 하다.

물론 데이터 메시라고 해서 아직 완전한 건 아니다. 데이터와 프라이버시라는 궁극적 목표를 달성하기 위해 우리는 더 많은 개념과 방법론들을 고안해야 될 것이다. 중요한 건 패러다임이 계속해서 변하고 있다는 것이고, 그러므로 데이터 레이크와 같았던 개념들도 이제 대체되어야 할 때가 되었다는 것이다. 결국 앞으로의 기업 활동은 GDPR과 같은 규정은 물론 각종 데이터 아키텍처와 보호 개념에 대한 적응력도 필수적을 요구하게 될 것으로 보인다.

글 : 소피 스탈라부딜론(Sophie Stalla-Bourdillon), CPO, Immuta
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)