세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
GDPR의 DPO, AI와 머신 러닝으로 부담 덜 수 있다
  |  입력 : 2017-10-05 13:20
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR이 의무화한 직책 DPO, 노동집약적인 역할 맡을 것
방대한 정보 분석하려면 결국 AI와 머신 러닝 도움 받아야


[보안뉴스 오다인 기자] 2018년 5월 28일은 기업 정보보안의 분수령이 될 날이다. 유럽 일반 개인정보보호법(GDPR: General Data Protection Regulation)이 발효되는 날이기 때문이다. GDPR은 유럽연합(EU) 거주자의 개인정보 보호를 강력하고 통합적으로 추진하겠다는 의지를 담고 있다. EU 및 세계의 기업들은 GDPR을 준수할 수 있도록 미리 준비해야 한다. 고객 정보를 제대로 보호하지 못할 경우 엄청난 벌금을 물게 된다.

[이미지=iclickart]


정보보호를 감독하기 위해 GDPR은 개인정보를 대규모로 처리하는 기업에게 정보보호담당관(DPO: Data Protection Officer)이라는 독립적인 감독자를 고용하라고 요구한다. DPO는 본질적으로 기업 내 정보보호와 GDPR 준수에 대해 ‘목소리를 내는 사람’이라고 볼 수 있다.

DPO라는 요구사항은 GDPR과 관련된 질문 중에서도 가장 어려운 축에 속한다. 보안 경력자나 전문가 수가 업계 차원에서도 저조한데 누가 DPO 자리를 채울 수 있는가? 2016년 4월 국제프라이버시전문가협회(IAPP)가 진행한 연구에 따르면, 유럽 내 GDPR을 준수에는 최소 28,000명의 DPO가 필요할 것으로 보인다. 이 숫자는 최대 75,000명까지도 치솟을 수 있다. 자격을 충족하는 정보보호 전문가가 앞으로 얼마나 부족할 것인지 보여주는 대목이다.

기술 업계에선 현재 인공지능과 머신 러닝으로 DPO의 역할을 수행할 수 있으리라 보는 사람들이 나타나고 있다. 아직까지는 기계를 사용해 정보보호에 필요한 정보를 학습하게 하고 복잡한 프로세스를 처리하는 것은 이에 투입되는 민감한 정보를 고려해볼 때 논란이 일 것으로 보인다. 인공지능이나 머신 러닝의 가능성을 따지기 전에 우선 DPO의 역할과 그 직책의 기능부터 이해해보자.

GDPR에서 DPO는 EU 시민들의 정보가 적절하게 관리되고 사용되는지 독립적으로 감시하는 인물이다. DPO는 기업이 현행 정보보호 관련법을 준수하면서 정보보호 영향평가를 내부적으로 진행하는지, 그리고 정보보호와 관련된 모든 사안을 최신으로 업데이트하는지 확인한다. DPO가 하게 될 일은 정보 유지, 정보 익명화, 개인정보를 둘러싼 기업의 보안 위험 평가, 새 상품과 서비스에 대한 프라이버시 영향 평가, 업체 평가 및 감사, 사물인터넷, 침해 관리 등을 아우르며 이에 국한되지도 않는다.

DPO는 이처럼 노동집약적인 역할을 맡게 될 것이다. 그러나 보안 업체 임퍼바(Imperva)가 2017년 유럽 정보보안 콘퍼런스에서 진행한 IT 보안 전문가 설문조사(310명 응답)에 따르면, 보안 전문가 절반 이상(55%)이 인공지능과 머신 러닝 솔루션으로 DPO의 업무량을 상당 부분 덜 수 있을 것이라고 믿는 것으로 나타났다.

GDPR에 영향을 받을 기업 대부분이 방대한 데이터 세트를 다룰 것이기 때문에, 이런 데이터 세트는 자연스럽게 머신 러닝이나 인공지능 기반 솔루션으로 넘어가게 될 것이다. 머신 러닝 기술은 대규모 데이터 세트를 분석한 뒤 좋거나 나쁜 행동 패턴을 구축하는 데 놀라울 정도로 빠르게 적응하고 있다. 그러므로 정보의 흐름과 패턴을 분석할 전문가와 DPO 몇 명을 고용하는 것의 대척점에 이런 머신 러닝 솔루션이 있다. 머신 러닝 솔루션으로 같은 일을 훨씬 더 빠른 속도로, 더 철저하고 더 비용 효율적으로 처리할 수 있는 것이다.

머신 러닝을 통해 내부자 위협이라는 기업의 큰 골칫거리에 대해서도 자동화한 대응으로 방어할 수 있다. 내부자 위협의 동기는 다양하겠지만 그저 부주의해서 일어나는 경우도 많고, 정보를 팔아서 돈을 벌겠다는 목적을 가진 사람도 있다. 그 동기나 목적이 무엇이든 모든 내부자 위협은 정보에 부적절하게 접근했을 때 이상 징후를 보일 가능성이 높다.

자연어 처리와 같은 특정한 인공지능 기술은 추후 반드시 폐기돼야 할 정보들에 대해서도 솔루션을 제공한다. 법률 등의 산업에선 방대한 문서를 검토해 사건과 관련된 것들을 추려내기 위해 자연어 처리를 사용해왔다. 똑같은 기술을 통해 정보의 사용기간이 만료됐는지, 더 이상 관계없는 정보인지 등을 확인할 수 있다.

게다가 인공지능과 머신 러닝 솔루션은 DPO 역할에 큰 힘을 불어넣을 수 있다. 정해진 시간 안에 방대한 정보를 평가 및 분석하는 능력을 부여하기 때문이다. 최고라고 평가받는 보안 전문가도 이런 기술로 더 큰 능력을 발휘할 수 있을 것이다.

아직 인간 노동력 대 인공지능이라는 구도에서 논의되는 경우가 자주 있기 때문에 자동화된 DPO 시스템에서 인간이 어느 수준까지 개입할 것인지 결정하는 건 지금으로선 너무 복잡한 일이다. 그러나 여기에는 정보 침해 프로토콜과 같은 관리 업무나 GDPR 기준을 충족시키기 위해 권고사항을 제공하는 것, 그리고 기업 내 다른 사람과 정보와 관련된 요청을 주고받도록 해주는 것 등이 포함될 수 있다.

가장 실용적인 솔루션은 정보보안 업무에 익숙하면서 정보 관련법 준수에 대한 법적 구조에도 능통한 DPO를 채용하는 것이다. 그러나 인공지능이 약속하는 장점들에도 불구하고 유럽인의 정보를 처리하는 기업들은 아직까지 기계를 믿지 못하고 있다. 인공지능을 통해 DPO의 짐을 덜어주면서 GDPR의 요구사항을 만족시킬 수 있다는 점을 기억하길 바란다.

글 : 테리 레이(Terry Ray)
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)