세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
일찌감치 GDPR 준비한 구글, 어떻게 대응했나
  |  입력 : 2018-04-25 18:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
업데이트 약관, CMO 체크리스트, 파트너 웹사이트 등 GDPR 대응방안 11가지

[보안뉴스 김경애 기자] 오는 5월 25일부터 유럽 개인정보보호법(GDPR)이 본격 시행됨에 따라 기업들의 우려도 커지고 있다. 이러한 가운데 세계 최대 IT 기업인 구글의 준비상황에 대한 관심도 뜨거워지고 있다. 구글의 경우 데이터 보호 솔루션을 자체 개발해 운영하고 있으며, 파트너를 위한 웹사이트 지원 등 파트너들의 효과적인 대응을 돕는데도 만전을 기하고 있다. 이에 본지는 구글의 GDPR 대응사례에 대해 소개하고자 한다.

[이미지=구글코리아]


구글은 GDPR 준수를 위해 “수년 동안 많은 시간을 투자해 유럽의 데이터 보호 당국과 긴밀히 협력했으며, 이미 당국의 지침을 반영하는 개인정보보호를 구현했다”며 “새로운 법률 준수를 위해 파트너와 협력해 나갈 것”이라고 밝혔다.

1. 업데이트된 약관
개인 데이터를 처리하게 되는 경우, 구글은 애드워즈 고객 일치 타겟팅, 애드워즈 스토어 판매(직접 업로드) 등에 관해 2018년 5월까지 관리업체와 처리업체의 의무를 반영해 계약을 업데이트하고 요구되는 데이터 처리 계약을 제공할 것이라고 밝혔다. 또한, 구글과 고객이 개인 데이터를 독립적으로 관리하는 온라인 광고 제품의 경우, 계약을 업데이트하거나 관리 주체 간 데이터 보호 약관을 작성했다.

2. CMO 체크리스트
구글은 마케팅 담당자에게 조직 내의 규정 준수 계획을 확인해 보도록 권장한다는 계획이다. 조직에서 어떻게 사용자 투명성을 보장하고 데이터 사용을 제어하는지, 조직에서 GDPR의 요구에 따라 필요한 올바른 동의를 받았는지, 조직이 사용자 선호도와 동의를 기록하기 위한 시스템을 올바르게 갖추고 있는지, 조직이 GDPR의 원칙을 준수하며 책임 있는 조직이라는 것을 규제기관과 파트너에게 어떻게 보여줄 것인지에 대해 집중적으로 체크할 방침이다.

3. 보호 장치
보호 장치 측면에서 구글은 최신 기술 및 조직적인 보호장치 구현과 함께 전담 보안팀 및 개인정보보호팀의 지원을 받고 있다. 구글의 프로그램은 매년 제3자 감사기관의 심사를 받고 있는 것으로 알려졌다.

4. 사고 대응
사고 대응 측면에서는 향후 업데이트되는 계약의 데이터 사고 조항에 따라 고객 데이터와 관련된 사고를 즉시 통지할 것이라며, 첨단 위협 탐지 및 회피 기술과 엄격한 사고관리 프로그램을 연중무휴로 항상 유지하고 있다고 밝혔다. 또한, 사용자가 보안 또는 개인정보보호와 관련된 사건(GPDR에 따른 개인정보 침해 포함)을 식별하고, 이에 곧바로 대응할 수 있도록 관련 투자 확대와 정보 공유에도 만전을 기하고 있다.

5. 사용자 투명성
광고 제품과 관련해서는 데이터 이용에 관한 투명성을 지속적으로 강화하고, EU 사용자에게 광고 맞춤 설정을 위해 데이터를 이용할 수 있는 권한을 요청할 방침이다. 또한 ‘이 광고가 표시된 이유’를 통해 실시간으로 데이터 이용 현황을 투명하게 공개할 예정이다. 이에 대해 사용자는 광고 설정을 사용해 광고 개인 최적화와 구글에서 표시하는 모든 광고, DoubleClick 상품에 표시되는 광고에 이용되는 데이터를 제어할 수 있게 된다.

6. 국가간 데이터 전송
구글은 다양한 국제 데이터 전송 매커니즘을 제공하고, 인증된 조직이 유럽연합 데이터 보호법에 부합하는 수준의 보호장치를 제공하도록 보증하고 있다. 이에 대해서는 EEA 및 스위스에서 미국으로 개인 데이터를 전송하도록 허용하는 법적 매커니즘인 유럽연합과 미국 간, 스위스와 미국간 프라이버시 실드 프레임워크 인증을 획득했다. 2017년 9월 25일에는 미국 상무부로부터 유럽연합과 미국 간 프라이버시 실드 인증의 연례 갱신을 승인받았으며, 2017년 4월 18일에 스위스와 미국 간 프라이버시 실드 인증을 승인받았다. 또한, 구글은 서비스에 따라 EU에서 승인한 모델 계약 조항을 제시하고 있다. 이외에 GDPR에 따라 국제 데이터 전송 매커니즘을 지속적으로 모니터링할 예정이다.

7. 개인정보보호 관행
개인정보보호 관행과 관련해 구글은 “이미 초창기부터 제품에 개인정보보호 프로세스를 적용하고 있다”며 “‘설계 단계부터의 개인정보보호(Privacy by Design)’ 및 ‘기본적인 개인정보 보호(Privacy by Default)’에 관한 GDPR의 요구사항을 충족하기 위해 데이터 보호 영향평가와 같은 조항을 더욱 발전시키고 있다”고 밝혔다.

8. 파트너 퍼블리셔를 위한 솔루션 세트 지원
구글은 파트너를 위한 솔루션 세트도 지원할 계획이다. 예컨대 AdSense for Content, AdSense for Games, AdMob 등에 대한 새로운 통제 솔루션을 출시해 유럽 사용자를 대상으로 온라인 및 모바일 광고를 측정하고 퍼블리싱하는 서드파티 업체를 관리할 수 있도록 지원할 방침이다.

특히, 표적 광고를 위한 데이터 수집을 거부하는 소비자에게 개인화되지 않은 광고만 표시할 수 있는 솔루션을 출시할 계획이다. 이와 함께 구글 애널리틱스(Google Analytics) 사용자들이 데이터 보유 및 삭제 문제를 더욱 잘 관리할 수 있는 툴과 어린이의 PII 처리를 제한하기 위한 단계들을 제시하고, 5월 GDPR 시행에 앞서 솔루션 세트에 대한 상세사항을 공개할 예정이다.

9. 고객 및 파트너들을 위한 새로운 웹사이트 개설
지난해 8월 8일에는 고객 및 파트너들을 위한 웹사이트도 개설했다. 이를 통해 기업은 구글과 공유하고 있는 데이터, 구글의 인프라 보안, 구글이 제시하는 데이터보호 관련 법규 준수 계획, 구글이 제공하는 무료 리소스 및 교육 훈련에 대한 정보를 얻을 수 있다.

10. Google Cloud의 GDPR 준수 자료
또한, 구글은 자사의 G Suite와 Google Cloud Platform 서비스가 GDPR을 준수하고 있다는 점에 대해 Google Cloud 고객에게 자료를 제공하고 있다. 웹페이지를 통해 GDPR에 대한 전반적인 설명, G Suite와 Google Cloud Platform의 GDPR 준수 지원 기능 및 장점, 자주 묻는 질문(FAQs) 등을 게재하고 있다.

11. 구글-SAP, 데이터 보호 솔루션 공동 개발
이외에도 구글은 SAP과 함께 클라우드 활용 기업이 GDPR을 준수할 수 있도록 지원하는 데이터 보호 솔루션인 데이터 커스터디안(Data Custodian)을 SAP와 함께 2017년 공동개발했다.

[이미지=한국인터넷진흥원]


데이터 보호 솔루션인 데이터 커스터디안 솔루션은 클라우드 사용자(개인)가 자신의 데이터가 어떻게 보관되고 활용되는지 확인할 수 있도록 지원한다. 데이터 커스터디안은 데이터 관리자 또는 관리 솔루션을 가리키는 용어로 데이터의 저장·전송 및 활용(비즈니스 적용) 영역을 관리한다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)