세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
드디어 GDPR 시행! 그러나 아직 끝나지 않았다
  |  입력 : 2018-05-25 16:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
GDPR 대비가 완료됐든 안 됐든, 계속 진행시켜야 할 것들이 있다
GDPR도 앞으로 계속 변할 것...적응하려면 미리 대처해야


[보안뉴스 문가용 기자] GDPR의 날이 도래했다. 길고 험난했던 준비 과정이 끝났다고 안심할 때가 아니다. 오히려 이제부터 진짜 긴 과정이 시작된다. 왜냐하면 GDPR은 아직도, 그리고 당분간 계속해서 변화할 것이고, 기업들 역시 이 변화를 제때 수용할 수 있어야 한다. 지금 상태의 GDPR을 도입할 준비가 되었다고? 잘했다. 그렇다면 내년의 GDPR과 그 이후의 GDPR도 도입할 수 있어야 한다. 이를 위한 네 가지 팁을 준비했다.

[이미지 = iclickart]


1) 5월 25일의 GDPR 이후도 생각해야 한다. 모든 조직들은 ‘프라이버시 중심 설계’ 개념을 도입하고, 아예 지금부터 GDPR이 요구하는 것보다 훨씬 더한 ‘프라이버시 지키기’를 시작하는 것이 좋다. 지금의 GDPR이 과하다고 생각하는가? 지금은 프라이버시 지키는 게 대세인 때다. 프라이버시를 보호하려는 노력은 앞으로 더 엄중하게 진행될 것이므로, 지금의 GDPR마저도 가볍게 보일 때가 올 것이다. 우리는 그런 방향으로 가고 있다. 그러니 미리 프라이버시 보호에 대한 강화를 꾀하는 게 현명하다.

어차피 GDPR 이전에도 고객과 직원의 개인정보를 보호하는 건 당연한 일이었다. 그리고 그 어떤 세상이 와도 이 가치가 부정당하는 일은 발생하지 않을 것이다. GDPR이 계기가 되어 이를 제대로 하자는 움직임이 새마을운동처럼 벌어졌을 뿐이다. 그러니 근본적인 프라이버시 보호 장치와 문화를 마련하고 지속시켜 나날 것을 권장한다.

아직 GDPR 준비를 다 마치지 않았는데 5월 25일의 시행을 맞았다고 해서 지나치게 조급해하지 않아도 된다. 위와 같은 이유로, 어차피 계속해야 할 일이고, 끝나지 않을 일이다. 그러니 포기하거나 조바심 느끼지 말고 계속해서 하던 대로 프라이버시 보호를 위한 노력을 진행시키는 것이 맞다.

2) 정보 주체 접근 요청(data subject access request, DSAR)에 대응할 준비를 시급히 갖춰야 한다. 아직 GDPR에 대해 우리가 아무 것도 모르는 것이 있다면 바로 이 DSAR이 얼마나 많이, 자주 기업들에 접수될 것인가, 이다. GDPR에 의하면 정보 주체자들은 자신과 관련된 정보가 어떤 식으로 저장 및 관리되고 있는지 요청할 수 있고, 기업은 이 요청 과정을 쉽게 만들어줘야 한다. 또한 정보 주체자들의 요청을 한 달 내에 들어줘야 한다. 요청이 너무 많거나 복잡하면 기간을 두 달로 연장 신청할 수도 있다.

여기서 한 가지 간과될 만한 사항이 하나 있는데, 두 달의 기간을 요청할 때 정보 주체에게도 시간이 더 필요하다는 사실을 알려야 한다는 것이다. 또한 이를 중재하거나 관리할 관리 기관이 무조건 사용자의 편만은 아니라는 것도 기억해야 한다. 한 사람이 지나치게 많은 요청을 반복적으로 할 경우, 그래서 기업에 피해가 발생한다고 판단이 될 경우 비용을 내게 할 수도 있다.

하지만 기관에서 기간 연장 요청을 거부할 경우, 기업은 정보 주체의 요청이 지나치게 많다거나 반복적으로 이뤄지고 있다는 걸 증명해야 한다. 이는 GDPR 12항에 기록된 바 있다. 중요한 건 ‘지나치게 많거나 반복적이라’는 개념에 대한 기준이 없다는 것이다. 이는 GDPR과 관련된 입법자 혹은 제정자들도 모르는 부분이다. 정착되려면 시간이 좀 걸릴 것으로 예상된다.

그렇기에 이 DSAR 부분이 미뤄질 수 있는데, 고객들은 기다려주지 않는다. 유럽인 고객들이 언제고 뭔가를 신청할 수 있다고 가정하고 소통의 창구를 마련해야 한다. 웹사이트 내에 DSAR 관련 창구가 눈에 쉽게 띄도록 만들고, 이를 요청하는 과정이 복잡하지 않도록 구성해야 한다. 그리고 DSAR이 GDPR의 뜨거운 이슈가 될 것이 분명하니 관심을 가지고 지켜보라.

3) 파트너사 관리 프로그램을 도입시키고 다듬어가라. 유럽인 고객을 보유하고 있다면, 그 고객들의 정보가 어떤 구조에서, 어떤 식으로 처리되고 있는지 철저하게 파악하고, 이를 다루는 데 필요한 파트너사들도 GDPR의 의무를 수행해야 한다는 걸 잊지 말아야 한다. 이는 데이터 처리에 필요한 소프트웨어 공급사들도 포함한다. 파트너사들이 알아서 하겠지, 하다가 자신이 큰 벌금형을 받게 되는 사태를 방지해야 한다. 또한 GDPR과 관련된 파트너사들의 관리 및 컴플라이언스 확인 작업의 모든 과정을 문서로 남겨두라.

이 파트너사 관리 역시 ‘어차피 했어야 할 일’ 중 하나다. 거대한 피해들 대부분 서드파티 관리 부실로 인해 발생했다. 사이버 공격 자체가 없어지지 않는 이상, 서드파티를 관리하는 건 현대의 기업 환경에서 필수불가결의 요소다. 프라이버시 보호와 마찬가지로 이 부분 역시 GDPR이 요구하는 것보다도 더 엄중하게 준비하고 기틀을 갖추는 것이 좋다.

4) 데이터 인벤토리를 주기적으로 업데이트 하라. 결국 GDPR은 데이터 관리 행태와 깊은 연관이 있는 규정이다. 평소 개인정보를 포함한 데이터를 어떤 식으로 관리하느냐에 따라 이 규정이 매우 귀찮은 것이 될 수도 있고 그저 조금 성가신 것이 될 수도 있다. 데이터가 실제로 어디에 저장되어 있고, 어떤 상황에서 어떤 계정과 경로를 거쳐 처리되는지를 환하게 알고 있으면 지금의 GDPR은 물론 이후에 더 엄격해질 GDPR에도 적응하는 게 수월해진다.

보기에 따라 4)번은 1)번과도 연관이 있는 항목이다. 프라이버시와 데이터의 보호라는 게 아예 문화적으로 기업 내에 박혀 있어야 한다. 이걸 한 번 정착시키면 그 어떤 규정과 표준이 생겨나도 크게 당황할 일이 없을 것이다. 이는 전 임직원에 대한 반복적인 GDPR 교육을 필요로 하는 일이다.

아직 GDPR은 끝나지 않았다. 지금까지 해오던 준비 과정 역시 앞으로 계속해야 할 일이라고 보는 게 오히려 속이 편할 것이다. 그 말은 아직 시간이 더 있다는 뜻이기도 하니, 5월 25일이 지났다고 해서 패닉에 빠질 필요는 전혀 없다.

글 : 젠 브라운(Jen Brown), Sumo Logic
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#GDPR   #유럽연합   #앞으로   #더    #문제   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
벌써 2018년 상반기가 마무리되는 시점입니다. 올해 상반기 가장 큰 보안이슈는 무엇이라고 보시나요?
유럽발 일반 개인정보보호법(GDPR) 시행 공포
스펙터와 멜트다운으로 촉발된 CPU 취약점
한반도 정세 급변에 따른 정보탈취 등 사이버전 격화
블록체인 열풍에 따른 스마트 계약 등 다양한 보안이슈 부상
최신 취약점 탑재한 랜섬웨어의 잇따른 귀환
국가기간시설 위험! ICS/SCADA 해킹 우려 증가
기타(댓글로)