[보안칼럼]광범위한 데이터 보안 규제, 기업이 갖춰야 할 여섯 가지 요건

올해 5월 25일 발효된 유럽연합(EU) 개인정보 보호 규정(GDPR)은 글로벌 비즈니스를 하는 모든 기업, 조직에 중요한 의미가 있다. 회사나 사무실이 EU에 위치하고 있지 않더라도 EU 시민에게 재화나 서비스를 제공하는 모든 기업에 해당 규정이 적용되기 때문이다. 해당 법 위반 시 최대 2000만유로 또는 위반 기업 전년 회계연도 세계 매출액의 4% 가운데 더 많은 금액을 벌금으로 부과한다. 개인정보에 IP주소, 쿠키, 시리얼 넘버 등 온라인 식별자까지 포함됨으로써 범위가 이전에 비해 크게 확대됐다.

기업 움직임도 분주하다. GDPR와 같이 방대한 영역을 아우르는 규제를 준수하는 것은 쉽지 않다. 규제 자체를 온전히 이해하고 필수 사항을 파악하는 데도 많은 노력이 필요하다. 많은 기업이 전사 차원에서 개인정보에 대한 프로세스를 GDPR에 맞춰 재정립하려는 움직임이 일고 있다. 나아가 GDPR가 개인정보에 관한 세계 표준이 될 것이라는 전망도 나온다.

2011년에 제정해 2012년부터 시행한 우리나라 '개인정보보호법'은 개인정보에 관해 전 세계에서 가장 앞선 국가 차원 규제다. 우리나라 개인정보보호법은 GDPR와 유사하게 개인정보 형태를 단순히 데이터베이스에만 한정하지 않는다. 개인정보가 담긴 영상, 로그, 음성, 이미지 등 다양한 파일로 규정, 개인정보를 포괄 보호한다는 평가를 받고 있다.

한국 개인정보보호법은 주민등록번호만 암호화하도록 규정한다. 이름, 전화번호, 주소, 위치 정보 등 개인 신원 소재 파악이 가능해 다른 정보도 주민등록번호와 유사한 레벨로 보호받아야 한다는 업계 목소리가 크다.

개인정보 규제 효과가 나도록 준수하게 하는 방법은 없는 것일까. 규제 준수 효율화와 프로세스 정립을 위해 명심해야만 하는 여섯 가지 요소를 갖춘다면 그리 어렵지 않다.

먼저 강력한 내·외부 인증 프로세스 구축이다. GDPR 요건을 충족하고 보안을 최대로 구현하기 위해 각 조직 보안 팀이 민감 데이터 접근 권한을 강력하게 통제해야 한다. 이는 직원뿐만 아니라 제3업체, 파트너사, 고객까지 아우르는 강력한 인증 메커니즘을 필요로 한다.

두 번째 간결한 접근 통제다. GDPR 여러 항목은 민감 데이터 접근 통제 필요성을 세세히 나열한다. 적법하게 허가 받은 인원만 데이터에 접근하고 수정하도록 하기 위해서다. 사용자 역할과 책임 기반으로 접근 통제 과정을 간소화해야 한다. 여러 클라우드와 데이터 센터에 일괄 적용해야 한다.

세 번째 저장 데이터 암호화다. 암호화는 기밀 데이터에 대한 비허가 접근을 막기 위한 핵심 요소다. 특정 데이터 셋을 암호화해 기업은 데이터 이동, 복제 여부와 상관없이 견고한 정책 아래 꾸준히 데이터를 보호한다.

네 번째 강력한 암호화 키 관리다. 최고 보안 수준 실현을 위해 'FIPS 140-2 인증'이나 'CC 인증' 등 국제표준에 의해 인증 받은 기기에 암호화 키를 보관해야 한다. 온프레미스, 하이브리드 . 멀티 클라우드 환경 모두에 적용되는 통합 키 관리 전략을 세우는 것이 중요하다.

다섯 번째 간편한 데이터 삭제다. 많은 조직에 불필요한 민감 데이터를 영구 삭제하는 것은 쉽지 않다. 데이터 삭제 통제를 효율화하고 이에 대한 일정 조율 능력을 갖추고 있어야 한다.

마지막으로 데이터 주권과 자율성 획득이다. GDPR 제56조는 관리 기관으로 하여금 조직이 해외에서 처리하는 데이터를 감시하도록 한다. 하이브리드나 멀티 클라우드 환경에서 데이터가 불명확한 곳으로 전송되는 것을 방지하는 것이 중요하다.

대한민국의 개인정보보호법, 온라인 식별자까지를 포함한 GDPR 등 세계 개인정보 범위가 점차 확대된다. 개인정보 관련 규정을 준수하기 위해 법 자체 이해는 물론 전사 차원의 노력을 필요로 한다. 제시한 여섯 가지 요소를 명심해서 개인정보보호 프로세스를 정립함으로써 기업, 기관이 개인정보보호 규정 준수를 효율화하고 이를 통해 글로벌 기업 경쟁력을 강화할 수 있길 기대한다.

김기태 탈레스 이시큐리티 한국지사장 KeeTae.kim@thales-esecurity.com