보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[주말판] 데이터를 수집하기 전에 물어야 하는 다섯 가지 질문들

입력 : 2023-08-26 11:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
보안 침해 사고들이 계속해서 발생하는 때이므로 기업들은 데이터를 가지고 풍족함만 추구해서는 안 된다. 데이터를 가지고 배를 불렸다면 그러한 데이터들에 대한 책임도 질 수 있어야 한다. 실제 규정들이 도입되고 변하는 흐름에서 이러한 시대의 부름이 느껴진다.

[보안뉴스 문정후 기자] 현대의 기업들은 방대한 양의 데이터를 매일처럼 수집한다. 여기에는 이름, IP 주소, 연령, 인종 등 개인정보로 분류될 만한 것들도 다수 포함되어 있다. 뿐만 아니라 신용카드 정보나 은행 계좌 번호, 디지털 지갑 ID 등 금융과 관련된 정보들도 적잖이 수집된다. 사용자의 브라우저에서 방문 히스토리, 체류 시간 등을 수집하기도 한다. 이런 모든 데이터들에는 가치라는 게 존재하고, 따라서 일반 기업들만이 아니라 사이버 범죄자들도 꾸준히 노린다.

[이미지 = gettyimagesbank]


그러면서 데이터 침해 사고로 인한 피해가 심각한 수준으로 누적되는 중이다. 공격자들은 어떻게 해서든 데이터를 가져가려 하고 있고, 그 데이터를 가지고 가치를 창출하려 하고 있다. 무슨 뜻일까? 사업을 위해 데이터를 수집한 기업들이라면 데이터 보호에 더 큰 책임감을 가져야 한다는 것이다. 아예 수집을 하지 않을 수는 없고, 보관과 간수에 그 어느 때보다 집중해야 하는 때다. 그렇기 위해 기업들은 다음과 같은 질문들을 통해 데이터 수집과 관련된 현황을 점검할 수 있을 것이다.

Q1 : 우리는 지금 어떤 데이터를 수집하고 있는가?
간단한 질문 같은가? 그럴 수 있다. 하지만 실제 수집되고 있는 데이터를 파악해보면 그 동안 알고 있었던 것과 차이가 상당히 있음을 깨닫게 될 것이다. 즉 이 질문 속에 숨어 있는 진짜 질문은 ‘지금 회사에서 실제로 수집하고 있는 데이터가, 원래 수집해야 할 데이터와 일치하고 있는가’이다. 원래 수집해야 할 데이터들이 무엇인지 알아두어야 하는 것도 이 질문에 답하기 위한 필수 배경 지식이다.

원래 수집해야 할 데이터는 사업적 필요에 의해서도 결정되지만, 여러 규제에 의해서도 결정된다. 데이터의 유형별로 특별한 수집 규칙이 적용될 수도 있고, 수집 시 지켜야 하는 조건이 따로 마련된 경우들도 있다. 이런 것들을 제대로 파악하지 않고 수집만 하게 될 경우 막대한 벌금을 내야 할 수도 있으니, 제일 먼저 ‘우리 회사가 실제로 수집하고 있는 데이터’에 대해 파악하는 것은 반드시 있어야 할 절차다.

Q2 : 이 데이터는 꼭 수집해야 하는가?
데이터 수집 현황을 파악하다 보면 자연스럽게 이 두 번째 질문이 떠오르게 된다. ‘이 데이터를 정말 수집해야만 하는가?’이다. 물론 데이터를 많이 가지고 있으면 있을수록 좋은 건 맞다. 언제 그 데이터를 어떻게 활용하게 될지 아무도 모른다. 하지만 이런 식으로 데이터를 저금해 두는 것은 사업적 관점에서만 데이터를 바라보는 것이다. 이제는 ‘보안’의 관점에서도 데이터를 바라봐야 하는 시대다.

데이터를 많이 가지고 있다는 건 보안의 관점에서 불필요한 리스크를 짊어지는 것과 같다. 특별한 목적으로 저장된 것이 아닌 데이터는 일종의 시한폭탄이라고 해도 과언이 아니다. 많으면 많을수록 폭발력이 거대해진다. 물론 이 폭발력을 제어할 자신이 있다면 데이터를 수집해도 무방하다. 하지만 굳이 데이터 탈취와 벌금이라는 리스크를 떠안고 가지 않아도 된다면 그렇게 하는 게 낫지 않을까.

Q3 : 수집한 데이터들은 어디로 가는가?
데이터가 어디에 저장되고, 누가 그 저장소와 데이터에 접근할 수 있는지 파악해 두는 것은 데이터 관리자의 필수 덕목이다. 회사 네트워크 즉 로컬에 저장되어 있는지, 혹은 다른 지역의 클라우드 데이터센터에 저장되어 있는지 파악해야 한다. 그리고 내부 직원들 중 누구, 혹은 외부 서드파티 업체들 중 누가 어떤 이유로 그 데이터에 접근하는지도 알아야 한다. 그런 후에 한 발 더 나아가 데이터 접근 권한을 가진 사람이나 단체가 데이터 보안 실천 사항을 잘 지키고 있는지, 충분히 안전한 시스템을 갖추고 있는지 점검하는 것도 좋은 방법이다.

Q4 : 데이터 소유자나 주체의 허락을 구해야 하는가?
전 세계 곳곳에서 발효되고 있는 데이터 관련 규정들 대부분이 가지고 있는 공통점이 하나 있다. 데이터를 수집할 때, 그 데이터의 주체가 되는 사람이나 단체의 허락을 먼저 구하고 수집 현황을 알려야 한다는 것이다. 다만 데이터라는 것이 워낙 방대하고, 국경도 초월한 채 돌아다니는 것이라, 언제 어느 시점에 허락을 득해야 하는 규정이 적용되는지가 애매해질 수 있다. 그렇다고 허락을 구하려는 노력을 하지도 않는다면 벌금의 철퇴를 맞게 된다. 데이터를 수집해야만 한다면 반드시 허락과 관련된 규정을 꼼꼼하게 살핀 후에 하자.

Q5 : 이 데이터를 어느 기간 동안 보관할 수 있는가?
데이터 프라이버시가 중요한 개념이 되면서 ‘보관 기관’이라는 것도 중시되고 있다. 저장한 데이터를 언제까지나 가지고 있을 수 없으며 시간이 지나면 폐기처분 해야 한다는 것이다. 이 규정도 점점 복잡해지고 있어서 데이터의 유형 등 여러 가지 속성에 따라 보관 기관이 달라진다. 예를 들어 의료 기관이라면 환자의 질병과 관련된 정보를 꽤나 오랜 기간 보관해도 되는 게 보통이다. 하지만 그 외 다른 조직들이라면 특별한 사정이 있지 않은 이상 의료 기록과 같은 민감한 개인정보는 정해진 기간 내에 삭제해야 한다. 이런 규정도 미리미리 확인해두지 않는다면 원치 않는 결과를 맞닥트릴 수 있다.

데이터 수집은 사업을 진행하는 주체라면 반드시 해야 하는 일이다. 데이터 없이 사업을 할 수 있는 기업은 없다. 다만 아무렇게나 긁어 모아도 되는 때가 아닌 것이다. ‘데이터를 모은다’는 개념 아래 생각해야 할 것들이 점점 많아지고 있다. 결국 ‘데이터로 사업을 하려면 책임도 같이 져야 한다’는 것이 강조되고 있다는 뜻이다. 데이터를 사용해 이윤을 남기는 것에만 치중하다 보면 새로운 시대에 적응하기 힘들다. 데이터에는 책임이 뒤따른다는 걸 인지해야 한다.

글 : 트로이 파인(Troy Fine), 보안 및 리스크 총괄, Drata
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)