Home > 전체기사
GDPR 컴플라이언스 위한 가장 시급한 일 6가지
  |  입력 : 2018-04-27 17:52
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR, 기업의 데이터 관련 행태 체질부터 바꾸라 요구
정책 변경하고 옵트 인 방식 활용하고 불필요 데이터 지우고


[보안뉴스 문가용 기자] 지금부터 한 달 뒤인 5월 25일에는 유럽연합의 새로운 개인정보보호법인 GDPR이 시행된다. 이제 유럽이라는 땅 덩어리 내의 모든 사이버 프라이버시 관련 규칙은 이 GDPR을 기준으로 만들어질 것이다. 만약 당신의 사업이 유럽인들의 개인정보를 필요로 한다면, GDPR을 반드시 염두에 두어야 할 것이다.

[이미지 = iclickart]


기억해야 할 것은 GDPR이 데이터 보안 관련 법이 아니라 프라이버시와 관련되어 있다는 것. 물론 둘이 완전 별개의 것은 아니지만, 동일한 것도 아니다. 그렇다면 GDPR을 준수하려면 구체적으로 뭘 어떻게 해야 하는 걸까? 방대한 GDPR 문건과 가이드라인 앞에 넋이 빠져버린 당신을 위해 여섯 가지 절차를 요약해본다. 물론 이 순서가 절대적이거나 모두가 동의하는 건 아니다.

1) 일반 대중들에게 노출되는 프라이버시 관련 정책을 변경하라. 프라이버시 정책은 GDPR 규제 기관이 가장 먼저 요구하고 확인하는 공식 문건이고, 당신 기업의 얼굴이다. 정책부터 GDPR과 맞지 않는다면, 더 들여다볼 것도 없이 위반이다. 또한 여기서부터 틀리면 GDPR 규제 기관이 더 꼼꼼하고 빡빡하게 점검을 시작할 것이다.

2) 데이터가 실제 어디에 위치해 있는지를 정확히 알고 있으라. GDPR은 결국 유럽인들의 개인식별정보를 어떻게 관리해야 하는지에 관한 규정이다. 이는 즉 그러한 민감 정보가 정확히 어디에 있는지, 기업이 얼마나 보관하고 있는지, 어떤 방식으로 보호되고 있는지, 누가 어떤 절차로 접근하는지를 알아야 한다는 소리다.

그런데 문제는 이 ‘위치 파악’이 말처럼 쉽지 않다는 것이다. 데이터의 흐름을 매핑한다는 건 대단히 큰 규모의 작업이다. 그런데 GDPR 체제 아래서는 꼭 해야만 한다. 만약 백업을 꼼꼼하게 하는 기업이라면, 오히려 수많은 하드드라이브에 개인식별정보가 널려 있을 수 있다. 그래서 전문가들에 따라서는 ‘데이터 매핑’ 작업이 5월 25일 이전에 끝낼 수 없다고도 한다.

3) 프라이버시 보호 정책을 시행하고 지키는 걸 습관화 및 문화화 하라. 유럽연합의 영토 내에서는 기업의 의도가 법의 정확한 명문보다 우선시 될 때가 많다. 즉 개인식별정보를 보호하고 유출을 막고자 한 올바른 정책과 기술, 절차를 가지고 있고, 그걸 따르고자 하는 의도를 충분히 가지고 있는 것이 무엇보다 중요하다는 것이다.

4) 그 다음은 데이터 보호 책임자인 DPO를 고용하는 것이다. 그런데 사실 모든 회사가 전부 DPO를 필요로 하는 건 아니다. 커피샵을 유럽에서 운영한다면, DPO가 필요하지 않을 가능성이 높다. 하지만 유럽시민의 개인정보를 수집하고 분석하는 일을 수행해야만 되는 사업을 운영한다면 DPO가 필요할 것이다.

그러나 현재 DPO 찾기란 매우 어려운 일이라고 알려져 있다. 하지만 이들을 찾을 수 있는 경로는 크게 세 가지로 좁혀진다. 외부 인재를 영입하거나, 내부 직원을 DPO로 육성하거나, DPO 서비스를 외주 업체에게 주는 것이다. 의외로 가능성들이 하나 둘 열리고 있으니, 처음부터 너무 완벽한 인재만을 바라지 않아도 될 것으로 보인다.

5) 데이터 수집 절차를 ‘옵트 인’으로 바꿔야 한다. 즉 수집 대상이 원할 때만 정보 수집이 이뤄지도록 해야 한다는 것이다. 현재 대부분 기업들은 사용자의 정보를 요구할 때 ‘옵트 아웃’ 방식을 활용한다. 수집하고 있다가 사용자가 원하지 않는다고 요청을 해야만 수집을 멈추는 방식이다. GDPR은 절대적으로 옵트 인 방식만을 지지한다. 수집 행위가 일어나기 전에 동의를 받아야 한다는 것이다.

여기에 더해 옵트 인을 해야만 서비스나 앱을 사용할 수 있도록 하는 업체들의 약관 행위도 GDPR은 허하지 않는다. 원하지 않는다 혹은 허용하지 않겠다는 소비자들도 해당 서비스나 앱을 사용할 수 있어야 한다고 GDPR은 규정하고 있으니 개인정보와 관련된 ‘꼼수’는 더 이상 부리지 말아야 한다.

6) 필요하지 않은 건 삭제하라. 대부분 기업들이 최대한 모으고 최대한 오래 저장하는 것을 습관처럼 행하고 있다. 그 정보가 필요하든 필요치 않든 상관없이 말이다. 그러나 이제는 이러한 행위에 커다란 책임이 따라붙게 되었다. 이제 어떤 사람의 정보를 가지고 있으려면 그 사람 개인의 허락을 얻어야만 한다.

그러므로 유럽인에 대한 정보를 사업적으로 불필요하게 가지고 있다면 삭제하라. 어디에 따로 백업해두지도 말라. 누군가 데이터를 유출시켰을 때 이런 불필요한 개인정보마저 유출되면, 피해가 두 배 세 배로 커진다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향