GDPR의 DPO, AI와 머신 러닝으로 부담 덜 수 있다

GDPR이 의무화한 직책 DPO, 노동집약적인 역할 맡을 것
방대한 정보 분석하려면 결국 AI와 머신 러닝 도움 받아야

[보안뉴스 오다인 기자] 2018년 5월 28일은 기업 정보보안의 분수령이 될 날이다. 유럽 일반 개인정보보호법(GDPR: General Data Protection Regulation)이 발효되는 날이기 때문이다. GDPR은 유럽연합(EU) 거주자의 개인정보 보호를 강력하고 통합적으로 추진하겠다는 의지를 담고 있다. EU 및 세계의 기업들은 GDPR을 준수할 수 있도록 미리 준비해야 한다. 고객 정보를 제대로 보호하지 못할 경우 엄청난 벌금을 물게 된다.

[이미지=iclickart]

정보보호를 감독하기 위해 GDPR은 개인정보를 대규모로 처리하는 기업에게 정보보호담당관(DPO: Data Protection Officer)이라는 독립적인 감독자를 고용하라고 요구한다. DPO는 본질적으로 기업 내 정보보호와 GDPR 준수에 대해 ‘목소리를 내는 사람’이라고 볼 수 있다.

DPO라는 요구사항은 GDPR과 관련된 질문 중에서도 가장 어려운 축에 속한다. 보안 경력자나 전문가 수가 업계 차원에서도 저조한데 누가 DPO 자리를 채울 수 있는가? 2016년 4월 국제프라이버시전문가협회(IAPP)가 진행한 연구에 따르면, 유럽 내 GDPR을 준수에는 최소 28,000명의 DPO가 필요할 것으로 보인다. 이 숫자는 최대 75,000명까지도 치솟을 수 있다. 자격을 충족하는 정보보호 전문가가 앞으로 얼마나 부족할 것인지 보여주는 대목이다.

기술 업계에선 현재 인공지능과 머신 러닝으로 DPO의 역할을 수행할 수 있으리라 보는 사람들이 나타나고 있다. 아직까지는 기계를 사용해 정보보호에 필요한 정보를 학습하게 하고 복잡한 프로세스를 처리하는 것은 이에 투입되는 민감한 정보를 고려해볼 때 논란이 일 것으로 보인다. 인공지능이나 머신 러닝의 가능성을 따지기 전에 우선 DPO의 역할과 그 직책의 기능부터 이해해보자.

GDPR에서 DPO는 EU 시민들의 정보가 적절하게 관리되고 사용되는지 독립적으로 감시하는 인물이다. DPO는 기업이 현행 정보보호 관련법을 준수하면서 정보보호 영향평가를 내부적으로 진행하는지, 그리고 정보보호와 관련된 모든 사안을 최신으로 업데이트하는지 확인한다. DPO가 하게 될 일은 정보 유지, 정보 익명화, 개인정보를 둘러싼 기업의 보안 위험 평가, 새 상품과 서비스에 대한 프라이버시 영향 평가, 업체 평가 및 감사, 사물인터넷, 침해 관리 등을 아우르며 이에 국한되지도 않는다.

DPO는 이처럼 노동집약적인 역할을 맡게 될 것이다. 그러나 보안 업체 임퍼바(Imperva)가 2017년 유럽 정보보안 콘퍼런스에서 진행한 IT 보안 전문가 설문조사(310명 응답)에 따르면, 보안 전문가 절반 이상(55%)이 인공지능과 머신 러닝 솔루션으로 DPO의 업무량을 상당 부분 덜 수 있을 것이라고 믿는 것으로 나타났다.

GDPR에 영향을 받을 기업 대부분이 방대한 데이터 세트를 다룰 것이기 때문에, 이런 데이터 세트는 자연스럽게 머신 러닝이나 인공지능 기반 솔루션으로 넘어가게 될 것이다. 머신 러닝 기술은 대규모 데이터 세트를 분석한 뒤 좋거나 나쁜 행동 패턴을 구축하는 데 놀라울 정도로 빠르게 적응하고 있다. 그러므로 정보의 흐름과 패턴을 분석할 전문가와 DPO 몇 명을 고용하는 것의 대척점에 이런 머신 러닝 솔루션이 있다. 머신 러닝 솔루션으로 같은 일을 훨씬 더 빠른 속도로, 더 철저하고 더 비용 효율적으로 처리할 수 있는 것이다.

머신 러닝을 통해 내부자 위협이라는 기업의 큰 골칫거리에 대해서도 자동화한 대응으로 방어할 수 있다. 내부자 위협의 동기는 다양하겠지만 그저 부주의해서 일어나는 경우도 많고, 정보를 팔아서 돈을 벌겠다는 목적을 가진 사람도 있다. 그 동기나 목적이 무엇이든 모든 내부자 위협은 정보에 부적절하게 접근했을 때 이상 징후를 보일 가능성이 높다.

자연어 처리와 같은 특정한 인공지능 기술은 추후 반드시 폐기돼야 할 정보들에 대해서도 솔루션을 제공한다. 법률 등의 산업에선 방대한 문서를 검토해 사건과 관련된 것들을 추려내기 위해 자연어 처리를 사용해왔다. 똑같은 기술을 통해 정보의 사용기간이 만료됐는지, 더 이상 관계없는 정보인지 등을 확인할 수 있다.

게다가 인공지능과 머신 러닝 솔루션은 DPO 역할에 큰 힘을 불어넣을 수 있다. 정해진 시간 안에 방대한 정보를 평가 및 분석하는 능력을 부여하기 때문이다. 최고라고 평가받는 보안 전문가도 이런 기술로 더 큰 능력을 발휘할 수 있을 것이다.

아직 인간 노동력 대 인공지능이라는 구도에서 논의되는 경우가 자주 있기 때문에 자동화된 DPO 시스템에서 인간이 어느 수준까지 개입할 것인지 결정하는 건 지금으로선 너무 복잡한 일이다. 그러나 여기에는 정보 침해 프로토콜과 같은 관리 업무나 GDPR 기준을 충족시키기 위해 권고사항을 제공하는 것, 그리고 기업 내 다른 사람과 정보와 관련된 요청을 주고받도록 해주는 것 등이 포함될 수 있다.

가장 실용적인 솔루션은 정보보안 업무에 익숙하면서 정보 관련법 준수에 대한 법적 구조에도 능통한 DPO를 채용하는 것이다. 그러나 인공지능이 약속하는 장점들에도 불구하고 유럽인의 정보를 처리하는 기업들은 아직까지 기계를 믿지 못하고 있다. 인공지능을 통해 DPO의 짐을 덜어주면서 GDPR의 요구사항을 만족시킬 수 있다는 점을 기억하길 바란다.

글 : 테리 레이(Terry Ray)
[국제부 오다인 기자(boan2@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)