Home > 전체기사

갈수록 복잡해지는 데이터 프라이버시 규정에 대한 소고

  |  입력 : 2022-11-27 23:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
기업이 데이터를 다루기에 그 어느 때보다 불친절한 장애물들이 설치되고 있다. 하지만 되돌리기 힘든 현상이다. 기업들이 좀 더 능동적으로 규정 준수에 참여해야 한다. 그렇게 하지 않을 때 너무나 무서운 대가를 치러야 하기 때문이다.

[보안뉴스 문정후 기자] 전 세계 인구의 65%가 2023년까지는 현대화 된 프라이버시 보호법 아래서 사생활을 보호받을 것이라고 한다. 확실히 사람의 사생활이라는 것이 이렇게까지 강력하게 보호된 적도 없고, 그것이 이렇게까지 중요한 가치를 가지게 된 적도 없다. 미국의 경우 ‘미국데이터프라이버시보호법(ADPPA)’을 비롯해 각 주의 프라이버시 관련 법들이 통과되면서 상황이 매우 복잡해지고 있다. 이 때문에 데이터를 다루는 모든 기업들이 고려해야 할 것이 기하급수적으로 늘어났다.

[이미지 = utoimage]


항상 바뀌고, 지역마다 새롭게 생기는 프라이버시 관련 규정들을 파악하고, 그 규정들이 지금 우리 회사에 얼마나 어떻게 적용되는지를 이해한다는 건 상상을 초월할 정도로 어려운 일이다. 그래서 기업들은 그런 쪽의 동향을 상당히 면밀하게 지켜보는 편인데, 사실 지켜봐야 할 것이 더 있다. 그건 바로 소비자들과 직원들의 데이터다. 이 데이터들이 네트워크 어디에 저장이 되어 있고, 어떤 경로로, 어떤 상황에서 움직이며 활용되는지, 어떤 리스크를 떠안고 있는지를 파악해야 하는 것이다. 결국 데이터 보호 체계를 근본적으로 강화해야 어떤 법에도 걸리지 않을 수 있기 때문이다.

항상 염두에 두어야 할 것은, ‘어떻게 하다가 프라이버시가 이토록 중요한 가치가 되었는가?’이다. 제일 먼저는 소비자들과 개개인들이 자신의 개인 권리에 대해 더 많은 정보를 갖게 됐고, 그러면서 개인정보라는 개념에 점점 익숙해지고 있다는 게 크다. 이 지점을 이해하는 게 중요하다. 프라이버시라는 게 단순히 기업들 사이에서만 수근수근 논란이 되는 주제가 아니라, 일반 대중들 사이에서 널리 퍼지는 지식이 되어가고 있다는 뜻이다. 이 때문에 얕은 수로 무거운 법망을 빠져나가는 게 쉽지 않은 일이 되고 있다. 까딱 잘못했다가는 천문학적인 벌금을 물어야 할 상황에 놓이게 된다.

개인 식별 정보(PII)와 의료 건강 정보(PHI)를 결합했을 때에도 문제가 될 수 있다. 예를 들어 보험금 청구서를 통해 지불 정보가 노출된 상태에서, 이메일 등 또 다른 개인정보가 여러 다른 경로를 통해 공격자의 손에 들어가면 어떻게 될까? 이 두세 가지 조각난 정보들을 결합해 공격자는 신원 정보를 훔치거나 추가 데이터 침해 공격을 할 수 있게 된다. 정보를 보호한다고 했을 때 여기 저기 조각 단위로 흩어져 있는 정보들을 공격자들이 부지런히 모아 이어 맞춰 하나의 큰 그림을 완성시킬 수 있다는 것도 염두에 두어야 한다는 소리다.

또 하이브리드 근무 체제가 오랜 시간 지속되면서 생산성 독려 및 확인 차원에서 직원들에게 여러 가지 상세 보고서를 작성해 제출하라고 하는 기업들이 생기고 있기도 하다. 그런데 여기서 기업이 어떤 정보를 어느 정도의 수위까지 요구하느냐에 따라 프라이버시 침해가 발생할 수도 있다. 아무리 근무 시간이라고 하더라도 직원이 그 시간 동안 했던 모든 행위를 다 알려고 든다는 것이 꽤나 위험해질 수 있는 시대다.

혼란은 가중되고
데이터 프라이버시 보호 규정들은 너무나 많고, 종류가 다양하다. 미국에서만 하더라도 연방 차원의 규정이 있는가 하면, 주마다 각기 보호 규정을 마련해 통과시키고 있다. 그래서 조금만 거래 망을 넓혀도 50개 주의 상황을 다 공부하고 적용시켜야 한다. 게다가 유럽 고객들도 확보한 상황이라면, 유럽연합의 GDPR과 같은 규정도 이해하고 있어야 한다. 아시아 국가들도 점점 프라이버시 규정이 강화되는 추세다. 규정이라는 게 원래 하나도 제대로 이해하기 힘들 수 있는데, 이걸 수십 개 단위로 꿰뚫고 있어야 하니 머리가 안 아프면 그게 오히려 비정상처럼 보일 지경이다.

그렇다고 여러 지역에서 사업을 진행하고 있는 큰 기업들만 문제인 걸까? 동네에서 작은 사업을 소소하게 운영하고 있다면 괜찮을까? 사실 ‘프라이버시는 큰 기업들만의 문제'라는 선입견이 꽤나 여러 기업들을 곤란하게 만들고 있기도 하다. 많은 경영인들이 ‘우리 회사는 너무 작아서 데이터 프라이버시 법이 적용되지 않아’라고 생각하는데, 그러다가 철퇴를 맞고 후회하는 경우가 생각보다 많다. 물론 여러 프라이버시 규정들이 정말로 대형 기업들에 초점을 맞추고 있는 건 사실이다. 그러나 그 ‘대형’이라는 기준이 규정마다 달라서 단순히 직원 수만 세고 ‘우리 회사는 작아’라고 결론을 내리다가 큰 코 다치게 된다. 어떤 규정은 연간 수익을 기준으로, 어떤 규정은 고객 수를 기준으로 삼기 때문에 이 지점을 꼼꼼하게 확인하는 게 중요하다.

규정은 생각보다 자주 변한다는 속성을 가지고 있다. 그렇기 때문에 한 번 검토하고 ‘우리 회사에 적용되지 않으면' 치워버리고 잊어버려도 되는 게 아니다. 주기적으로 검토하고, 규정 변경 소식에 민감하게 귀를 기울여야 한다. 이전에는 적용되지 않던 법이, 하루아침에 반드시 지켜야 하는 법으로 변할 수도 있다. 예를 들어 최근 유럽연합과 영국의 데이터 프라이버시 프레임워크(Data Privacy Framework) 혹은 프라이버시 쉴드 2.0(Privacy Shield 2.0)에 첩보 수집 활동과 관련된 중대한 변화가 있기도 했다. 여러 사업자들이 검토해야 할 내용이다.

변화하는 규정을 어기지 않으려면 이른 바 ‘베스트 프랙티스’라고 하는 바람직한 실천 사항들을 꾸준히 지키는 게 중요하다. 이런 것들을 항상 지킨다는 게 기저에 깔리면 어떤 규정이 도래하더라도 여유롭게 검토하고, 사실상의 큰 변화 없이 준수할 수 있게 된다. 처음부터 모든 것을 완벽하게 예측하여 지킬 수는 없지만 프라이버시 보호 법들마다 공통으로 강조하는 것들을 찾아 미리 지켜내는 게 큰 도움이 된다. 법이라는 것도 얼마든지 능동적으로 지키는 게 가능하다.

소비자의 것이든 직원들의 것이든 기업으로서 타인의 데이터를 관리하고 활용한다는 것에 얼마나 큰 책임이 따르는지를 기업들은 천천히 익혀나가고 있다. 지금이 그런 시기다. 익혀나가는 중이기 때문에 미숙할 수 있고 실수할 수 있다. 다만 그런 성장통의 시간이 영구히 허락되는 건 아니다. 지금처럼 규정이 무서워지는 때에 데이터 관리의 책임감이라는 걸 더 빨리 익히는 기업은 그만큼 경쟁력을 갖게 되는 것이고, 언제까지나 배우느라 실수만 하는 회사는 그 만큼 경쟁력을 잃게 된다. 그게 지금 당장은 시장의 원리다.

글 : 크리스 라히리(Kris Lahiri), CSO, Egnyte
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야