마이크로소프트의 GDPR 대응 키포인트 4가지

입력 : 2018-05-11 10:58

GDPR 벤치마크 평가 도구, 컴플라이언스 매니저, 상황점검 로드맵 등 제시

[보안뉴스 김경애 기자] 글로벌 기업들은 시행이 초읽기에 들어간 유럽 개인정보보호법 GDPR 대응을 위해 다양한 솔루션과 툴을 개발하고, 향후 로드맵까지 제시하는 등 활발한 활동을 펼치고 있다. 마이크로소프트(MS)의 경우가 대표적인 예다.


한국인터넷진흥원이 발표한 해외 개인정보보호 동향 보고서에 따르면 MS는 △GDPR 벤치마크 평가 도구(GDPR Benchmark Assessment Tool) △GDPR 대응을 위한 MS 제공 서비스들(GDPR Readiness Assessment tool) △GDPR 컴플라이언스 매니저(Compliance Manager) △GDPR 대응 상황 점검을 위한 로드맵(GDPR Discovery and Maturity Assessment) 등을 제시했다.

①GDPR 벤치마크 평가 도구(GDPR Benchmark Assessment Tool)
GDPR 벤치마크 평가 도구는 모든 기업이나 조직에서 사용할 수 있는 무료 GDPR 벤치마크 평가 도구로 총 10단계의 질문을 통해 기업 및 조직에 소속된 개인에게 GDPR 준비사항들을 안내하고, GDPR 규정을 준수할 준비가 되었는지 평가하는 보고서를 생성해 다운로드할 수 있도록 지원하고 있다.

10단계의 질문은 (1)개인정보보호를 위한 충분한 기술 조치 및 프로세스를 갖추고 있는지 (2)데이터 수집·처리 및 지원 기술이 개인정보보호 원칙을 포함하도록 구축됐는지 (3)현재 사용중인 개인정보와 민감 데이터의 저장 및 전송 중에 암호화가 됐는지 (4)최종 사용자의 민감 데이터 분류와 레이블 지정을 위해 어떤 프로세스를 채택하고 있는지 (5)민감 데이터 분류와 레이블 지정에 어떤 보호 정책을 사용하는지 (6)개인정보와 민감 데이터 접근을 얼마나 통제하고 있는지 (7)어떤 유형의 데이터에 위와 같은 통제 정책을 적용하는지 (8)데이터 유출 발생 시 어떻게 대응할 수 있는지 (9)데이터 처리 보안 보장을 위한 기술적 조치 및 프로세스 효과를 얼마나 자주 테스트하는지 (10)개인정보와 민감 데이터 보호를 위한 충분한 기술적 조치를 취하고 있는지 등이다.

②GDPR 대응 위해 MS에서 제공하는 서비스(GDPR Readiness Assessment Tool)
MS는 파트너 네트워크를 통해 조직의 GDPR 준비에 도움이 되도록 △GDPR 준비를 지원할 수 있는 파트너 업체들의 목록을 소개, 고객 계층별로 MS 보안 솔루션 관련 정보 제공 △GDPR의 개요를 파악할 수 있는 오버뷰 시트 다운로드 서비스 △MS 부사장인 Rich Sauer의 블로그 △포스트와 관련 스토리 소개 △MS가 GDPR 준비를 위해 파트너들에게 제공할 수 있는 사항을 설명하는 홍보 자료 등을 제공하고 있다.


③ GDPR 컴플라이언스 매니저(Compliance Manager)(2017년 11월 21일)　
MS의 컴플라이언스 매니저는 규제준수 감사 프로세스를 관리하고, 기술 솔루션을 GDPR의 요구사항과 연계할 수 있도록 지원하는 솔루션이다. MS의 클라우드 서비스(Office 365와 Microsoft Azure 등) 유료 고객에겐 Compliacen Manager Public Preview가 제공되며, 오피스 365(Office 365)나 애저 액티브 디렉토리(Azure Active Directory) 계정을 통해 로그인한 후 이용이 가능하다.

특히, 오피스 365가 GDPR 및 기타 규정을 준수할 수 있도록 통제 실행 프로세스를 문서화한 대시보드로 구성돼 있다. 대시보드는 기업이 규정 준수를 위한 워크플로우(Workflow)를 간소화할 수 있도록 돕는 데이터를 제공하며, 기업이 감사(Auditing)에 대비해 리스크 평가를 쉽게 진행할 수 있도록 지원하고 있다.

④ GDPR 대응상황 점검을 위한 로드맵(GDPR Discovery and Maturity Assessment)
GDPR 대응상황 점검을 위한 로드맵은 글로벌 회계 컨설팅업체 KPMG의 개인정보보호 성숙도 모델(Privacy Maturity Model)과 마이크로소프트의 AIP 스캐너(Azure Information Protection Scanner) 솔루션을 결합했다.

개인정보보호 성숙도 평가 보고서(The Privacy Maturity Assessment Report)는 GDPR 시행을 앞둔 기업들의 준비현황과 성숙도를 점검하고, 목표치와 현 수준의 격차를 해소하기 위한 인력, 프로세스, 기술 등에 대한 권장사항과 보완방법을 제시하고 있다. 이와 함께 기업 내 전반적인 개인정보의 보유 및 처리 현황 등에 대한 실질적인 분석을 통해 정보주체의 권리를 보장하기 위한 요구사항에 보다 효율적으로 대응할 수 있는 해결책을 제공하고 있다.

이처럼 GDPR 대응을 위해 글로벌 기업들은 일찌감치 준비를 완료했다. 이러한 흐름 속에 국내 역시 발빠른 대응이 급선무라는 의견이 지배적이다.

해외 기업들의 GDPR 준비현황에 대해 법무법인 태평양 이상직 변호사는 “미국의 경우 전세계 기업들이 미국으로 진출하려고 하기 때문에 미국으로 다른 나라의 개인정보가 들어오는 구조에 가깝다. 이 때문에 기본적으로 보호보다는 활용에 초점을 맞추고 있는 반면, 유럽은 회원국마다 개인정보보호 수준이 각기 달라 단일체계인 GDPR로 개인정보보호 수준을 동일하게 맞춰 내실을 다지려는 추세다. 또한, 유럽에서 밖으로 나가는 정보에 대해서는 GDPR 수준에 맞춰야 정보 이전이 가능하도록 규제하고 있는 상황”이라고 설명했다.

이어 이상직 변호사는 “유럽에 진출한 국내 기업이 상당수여서 GDPR 대응이 급선무”라고 강조하며, “국내 기업들이 GDPR 기준에 맞춘다면 유럽내 여러 국가에 접근도 용이해질 수 있다”고 말했다.

이러한 가운데 시행이 얼마 남지 않은 유럽 개인정보보호법(GDPR)에 대한 집중적인 논의의 장이 마련된다. 행정안전부, 방송통신위원회, 개인정보보호위원회가 공동 주최하고, PIS FAIR 2018 조직위원회와 한국인터넷진흥원이 공동으로 주관하는 국내 최대의 개인정보보호 행사 개인정보보호페어(PIS FAIR 2018)가 5월 31일부터 6월 1일까지 코엑스 그랜드볼룸에서 개최될 예정이다. PIS FAIR 2018에서는 EU 사법총국 담당 베라 요로바 집행위원이 내한해 GDPR 관련해서 키노트 스피치를 진행하고, 국내 기업 CPO들과 간담회도 개최할 계획이다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김경애기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  [한 주를 관통하는 보안 소식] 2024년 ...

• 2

  [퀴즈 이·보·소] 연말 앞둔 온라인 사기,...

• 3

  업무 파일인 줄 알았더니... ‘SVG 포맷...

• 4

  사이버 공격자들, 실제로 인공지능을 어떻게 ...

• 5

  AI 기본법, 국회 과방위 법안소위 통과.....

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  사이버 공격자들, 실제로 인공지능을 어떻게 ...

• 2

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 3

  개인정보 유출 사고 대응방안 논의... 공공...

• 4

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 5

  깃허브에서 활동하는 개발자들을 노리는 고급 ...