Home > 전체기사
GDPR과 CCPA로 열린 프라이버시의 시대, 어디서부터 준비할까
  |  입력 : 2020-09-02 18:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 시행 어느 덧 2주년 넘어...CCPA도 2개월 전부터 시행되고 있어
프라이버시 업무도 생소하고 개념도 어려워...ISO 27701로 갈피 잡아야


[보안뉴스 문가용 기자] 이제 프라이버시를 생각하지 않고는 어떤 사업도 할 수 없는 때가 됐다. 2020년 5월 25일은 유럽의 새로운 개인정보보호법인 GDPR이 시행된 지 2년이 된 날이었다. GDPR의 칼날 아래 이미 수많은 기업들이 벌금형을 받았다. 구글의 5천만 유로, 매리어트 그룹의 9900만 유로가 특히 유명하다. 물론 애초에 경고되었던 연간 수익 4%보다는 낮은 금액이지만 GDPR을 늘 염두에 두어야 한다는 메시지는 정확히 각인되고 있다.

[이미지 = utoimage]


미국에서는 2020년 7월 1일부터 캘리포니아 소비자프라이버시보호법(CCPA)이 시행되기 시작했다. 시행된 지 얼마 되지 않아 효력이 얼마나 될지, 형벌은 얼마나 무겁게 정해질지 아직은 아무도 모른다. 하지만 GDPR의 전철을 밟는다면(그럴 가능성이 다분하다), 코웃음 치고 넘길 정도의 벌금형이 내려지지는 않을 것이다. 또한 초기에는 선례를 남기기 위해 더 원칙에 입각해 엄중한 벌을 내릴 것으로 예상된다. 그런 의미에서 줌(Zoom)에 대한 집단 소송의 결과가 어떻게 나올지가 초유의 관심사가 되고 있다.

프라이버시는 이제 보안만큼이나 중요한 ‘신뢰의 구성 요소’가 되어가고 있다. 보안 시스템에 구멍이 뚫려 고객 정보가 털리는 것만큼, 회사 스스로가 고객과 파트너사, 내부 직원들의 프라이버시를 지켜주지 못한다면 신뢰를 잃게 된다.

하지만 프라이버시를 지켜준다는 게 생각만큼 간단한 일이 아니다. 보안과 마찬가지로 이 부분에도 고급 전담 요원이 필요하다. 오죽하면 GDPR도 37번 항을 통해 DPO라는 풀타임 전담인원이 필요하다고 했을까. 또한 FTI 컨설팅(FTI Consulting)에서 조사한 바에 따르면 2021년 데이터 프라이버시에 대한 투자 규모를 늘릴 조직이 97%라고 한다.

물론 프라이버시에 관한 규정이나 표준이 생전 처음 인류사에 등장하는 건 아니다. ISO 27701이 있고, 그 전신이라고 할 수 있는 ISO 27001도 있다. 이 표준에는 개인정보보호 관리체계(PIMS)라는 것이 포함되어 있다. 이 표준에 의하면 데이터 제어자(혹은 수집자)라고 인증을 받으려면 프라이버시 보호 관련 능력과 시스템 등을 인정받아야 한다. 데이터 처리자라고 인증을 받으려면 처리를 적절하게 제한하고 있다는 것을 증명해야 한다. 그리고 둘 다 다양한 정책 및 표준 절차들을 준수해야만 한다.

필자는 결국 모든 기업들이 최소 ISO 27701 인증을 받아야 할 것으로 본다. 크게 어렵지 않은 일이다. 이는 스스로가 데이터 제어자인지, 데이터 처리자인지 혹은 둘 다 인지 파악하는 것부터 시작해야 한다. 이미 ISO 27001을 보유하고 있다면 현 체제에서 크게 변하는 건 없다. 다만 몇 가지 프라이버시 관련 제어 장치들만 추가하면 된다. 하나 기억해야 할 건, ISO 27701을 전략적으로 준비해 사업성도 높일 수 있다는 것이다. 아니, 그런 방향으로 ISO 27701을 준비하는 게 가장 이상적이고 따라서 권장할 만하다.

전략적 ‘컴플라이언스’의 핵심은 감리 과정의 중앙화, 표준화 및 통합이라고 생각한다. 가트너의 ‘조직 보안 인증 서비스를 위한 시장 가이드(Market Guide for Organization Security Certification Services)’에 의하면 “보안 인증 기관에서 요구하는 항목의 상당 수가 겹치므로, 하나 이상의 표준을 준비하고 있다면 감사 과정을 통합적으로 진행하는 게 효율적일 것”이라고 한다.

ISO 27701을 준비한다는 것 자체가 이미 ‘전략적 컴플라이언스’를 위한 방향의 한 걸음이다. 여러 프라이버시 관련 규정들에 포함될 만한 다양한 내용들을 표준화 하기 때문이다. 데이터 프라이버시라는 혼란스러운 개념에 질서를 부여하는 것이 지금으로서는 ISO 27701이라고도 볼 수 있다.

이렇게 국제적으로 인정 받는 프라이버시 관련 인증서를 획득한다는 건 사업적으로도 대단한 ‘플러스’가 되는 일이다. 위에도 말했듯, 프라이버시가 신뢰의 중요한 구성 요소가 되는 시대이기 때문이다. 소비자들은 신뢰할 만한 곳을 향해 지갑을 연다. 또한 프라이버시 강화 체제를 갖춤으로써 운영의 효율을 ‘뜻밖에’ 높인 사례도 여럿 존재한다. 특히 감리를 통합한다는 면에서 이 부분은 보장되어 있다고 봐도 무방하다. 이를 통해 새로운 사업 기회가 열리기도 한다.

GDPR과 CCPA를 통해 본격적인 ‘프라이버시의 시대’가 열렸다. 몰랐다면, 무시무시한 벌금을 통해 배워야 한다. 더 알고 싶다면, ISO 27701에 대해 조사하라. 기업이 갖춰야 할 데이터 프라이버시 존중의 가치관이라는 것에 대해 가장 구체적이고 가시적인 가이드라인을 제시할 것이다. 프라이버시 철학 서적 몇 권을 읽는 것보다 뛰어난 즉효성을 경험해 보시라.

글 : 아티 랄와니(Ati Lalwani), A-LIGN
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상