GDPR 전격 시행! 데이터 보안 관점에서 필요한 대비책은?

시행 전부터 수백억의 과징금으로 이슈가 되어 왔던 유럽연합(EU) 일반개인정보보호법 GDPR(General Data Protection Regulation)이 2년간의 유예 기간을 마치고 지난 5월 25일 전격 발효되었습니다. GDPR 시행 첫날부터 구글과 페이스북이 유럽의 한 개인정보보호단체로부터 제소를 당하는 일이 발생해 큰 화제가 되기도 했죠.

GDPR은 유럽 내 기업에만 적용되는 것이 아니라, EU 역내에 자회사를 두었거나 EU에 서비스를 제공하고 개인정보 처리에 대한 위탁을 받은 모든 기업들에게 적용되는 속지주의 법이기 때문에, 현재 EU 국가들과 거래 중인 많은 국내 기업들도 적용 대상이 될 수 있습니다.

GDPR은 상설 총 173개조, 본문 총 11장 및 99개조로 구성된 방대한 규정을 담은 법령입니다. 발효 1개월이 지난 현재, GDPR의 적용 대상 조건과 기존 EU지침 대비 달라진 점, 주요 조항의 내용과 그에 대한 해석 등은 이미 다수의 기관 리포트들을 통해 접해오셨으리라 생각됩니다. 앞서 알약 블로그에서도 GDPR의 기본 내용을 소개해 드린 바 있습니다.

국내외 보안동향 : '5월 25일, GDPR 정식 발효' 글 보러가기 > http://blog.alyac.co.kr/1705 

유럽연합 GDPR, 개인정보보호법과 어떻게 다른가? 

두 개의 다른 법령을 1대1로 비교하는 것은 자칫 다른 내용을 동일하게 해석하는 오류를 낳을 가능성이 있지만, 개인정보보호법의 내용에 익숙한 국내기업에는 GDPR을 조금 더 쉽게 이해할 수 있는 방법이 될 수 있을 것입니다.

먼저, 우리나라의 개인정보보호법과 EU GDPR은 법의 목적에서부터 차이가 있습니다. 국내법이 주로 개인정보를 ‘보호’하는 데 목적을 둔다면, GDPR은 개인정보의 ‘활용과 보호의 균형'에 무게를 두고 있습니다.

구 분	국내 개인정보보호법	유럽연합 GDPR
법의 목적	개인정보의 보호	개인정보의 활용과 보호의 균형
물적 허용 범위	개인을 식별할 수 있는 정보	자동화, 구조화된 개인정보
개인정보 주체의 권리	열람권, 정정권, 삭제권, 처리정지요구권	삭제권(잊혀질 권리), 열람권, 정정권, 처리제한권, 정보이전권, 반대할 권리 등
동의 목적 외 활용 조건	비식별화 시 활용 가능	가명화 시 활용 가능
‘프로파일링’ 규정	없음	자연인의 개인적인 특성을 평가할 수 있는 모든 형태의 ‘자동화된’ 개인정보 처리
위반시 과징금	매출의 최대 3%	글로벌 매출의 4% 또는 2000만 유로(한화 약 254억)
영향평가 적용	공공기관에만 영향평가 적용	공공기관 외 일반기업에도 적용
개인정보처리자	CPO는 사업주 또는 대표자, 임원 (임원이 없는 경우 부서장)	DPO 임명 기준은 직위 아닌 업무능력 및 실무 관련 전문지식
안전조치 의무주체	위탁자 & 수탁자 (국내 개보법의 ‘위탁자’는 통상 직접 수집한 개인정보를 ‘수탁자’에 제공하나 GDPR의 ‘컨트롤러’는 반드시 정보를 제공할 필요는 없음)	컨트롤러:  개인정보 처리의 목적과 수단을 결정하는 주체 프로세서:  컨트롤러를 대신하여 개인정보를 처리하는 주체
동의 요건	개인정보주체의 ‘동의’는 정보처리의 기본 원칙과 다름 없음	동의는 필요할 때만 받고, 개인정보주체는 기 동의한 내용을 언제든지 철회할 수 있음
정보의 역외 이적 요건	없음	적정성 평가, 보호장치 등 있음

GDPR은 기존 EU지침(EU Directive 95/46/EC)에 비해 개인정보 주체의 권한은 더 강화하고 개인정보를 처리하는 쪽의 활동에는 더 많은 규제를 설정하고 있습니다. 먼저 개인정보의 범위가 확장되었는데, 나이와 성별 같은 고객 정형 데이터에서 고객이 입력하는 전자메일, 사진, 영상, 인적자원 DB와 IP주소, MAC 주소, 온라인 쿠키 등의 비정형 데이터도 GDPR에서는 모두 개인정보에 포함됩니다.

GDPR에서는 기존 EU지침에 없던 ▲삭제권(잊혀질 권리), ▲처리제한권, ▲개인정보이동권 등이 새롭게 도입되어 개인정보 주체의 권리를 한층 더 강화하였습니다. 개인정보 처리 목적과 수단을 결정하는 ‘컨트롤러’와 정보처리 주체인 ‘프로세서’의 책임 강화를 위해 모든 개인정보 처리 활동을 문서화하여 관리하고 보관해야 함을 규정했습니다. 기업의 DPO(Data Protection Officer; 개인정보보호책임관) 임명과 영향평가 수행 등을 규정하여 기업의 책임성을 강화했고, 개인정보를 EU 역외로 이전 가능한 조건을 EU의 적정성 결정 승인 또는 기업이 적절한 보호조치를 갖춘 경우로 제한을 두었습니다.

그러나 앞서 언급한 바와 같이, GDPR은 그 목적 상 개인정보의 안전한 ‘활용’에도 중점을 두고 있는데, 예를 들면 상업적 목적이라 하더라도 가명처리, 암호화 등의 안전조치를 할 경우 ‘목적 외 처리’를 허용하여 빅데이터 시대에 필요한 유연성을 내포하고 있습니다. 공익을 위한 기록보존, 역사적 연구 목적 등의 경우도 정보주체의 동의 없이 목적 외 처리가 가능합니다. 국내법이 정보의 이동 등 활용 측면은 고려하고 있지 않다는 점에서, 오히려 GDPR이 데이터를 활용한 새로운 서비스 산업의 활성화를 촉진할 수 있을 것으로 기대되는 부분입니다. 

아래 그림은 GDPR의 주요 내용들을 담아 한눈에 보여주는 플로차트입니다. 차트 상에는 개인정보주체와 감독기관, 컨트롤러와 프로세서, DPO 등이 표시되어 있으며 각각의 주체들 간 데이터가 어떻게 흘러가고 GDPR이 규정하는 내용에 따라 어떤 대처들을 해야 하는지를 관련된 조항의 숫자와 함께 표시하였습니다.

[그림 1] GDPR Flowchart (출처: CLUSIF (CLUB DE LA SECURITE DE L’INFORMATION FRANÇAIS)) 

국문 번역된 GDPR 전문은 아래 링크에서 다운로드 받으실 수 있으며, 플로차트의 각 단계를 GDPR 전문에서 해당 조항을 찾아 함께 참고하시면 더욱 쉽게 포괄적인 법 내용을 이해하는데 도움이 되실 겁니다.

GDPR 전문 다운로드 (행정안전부, 방송통신위원회, KISA, 네이버 공동제공) 

기업은 GDPR에 어떻게 대응해야 하는가? 

GDPR이 '개인정보 활용과 보호의 균형’을 목적으로 탄생한 법인만큼 해당 기업들은 다음 두 가지 측면에서 GDPR 컴플라이언스를 준비해야 합니다.

첫째, 규정을 위반하지 않고 개인정보를 안전하게 ‘활용’하기 위해서는 기업의 ‘데이터 거버넌스’를 개선하는 것이 중요합니다. 

가장 우선적으로 관련 법률 지식과 전문성을 갖춘 데이터보호책임관(DPO)를 선임해야 하며, DPO를 중심으로 기업의 개인정보 보호와 관리를 위한 상세 실행 계획과 리스크 대응 시나리오를 수립해야 합니다. 앞서 보여드린 플로차트에서 붉은색 점선으로 표시된 영역 밖은 개인정보 수집과 처리, 활용의 영역으로 볼 수 있는데, 데이터의 수집과 처리 시에는 ▲적법성.공정성.투명성의 원칙, ▲목적 제한의 원칙, ▲개인정보처리 최소화의 원칙, ▲정확성 원칙, ▲보관 기간 제한의 원칙, ▲무결성.기밀성의 원칙 등의 6대 원칙을 준수하는 것이 기본입니다.

[그림 2] GDPR 개인정보처리의 6대 원칙

정보주체의 권리가 강화된만큼 기업들은 데이터의 활용에 앞서 해당 권리의 행사에 적절히 대응할 수 있도록 시나리오 기반의 꼼꼼한 실행 계획을 준비해야 합니다. 예를 들어, GDPR 시행에 따라 앞으로는 정보의 주체가 언제든지 개인 데이터와 상세 처리 내역의 제공을 요청할 수 있으며(‘열람권’), 개인정보 처리에 동의했다가도 언제든지 처리의 제한을 요구할 수 있습니다(‘처리제한권’). ‘잊혀질 권리’로 잘 알려진 ‘삭제권’에 따라 정보주체가 관련 데이터의 완전한 삭제를 요구할 수 있으며, ‘자동화된’ 개인정보 처리 즉 프로파일링에 대해 반대할 권리도 행사할 수 있습니다.

만약 개인정보를 활용하는 과정에서 정보 유출이 발생했을 때, ‘책임성 원칙’에 따라 해당 정보 유출이 개인의 권리와 자유에 위험을 초래할 가능성이 낮다고 입증해야 하며 이런 경우에는 예외로 인정받을 수 있기 때문에 입증을 어떤 방법으로 할 것인지에 대해서도 미리 준비하는 것 역시 중요합니다.

이 밖에도 GDPR이 규정하는 내용이 방대하다보니 해외 시장을 중심으로 기업의 데이터 거버넌스 향상을 도울 수 있는 다양한 툴과 어플리케이션들이 출시되고 있습니다. 이러한 툴들은 특히 중소/중견 규모 기업들에게 도움이 될 것으로 보이며, 기업 전체의 데이터 흐름 가시성 확보를 위한 DPO dashboard 중심으로, 사용자의 쉬운 업데이트와 검토, 검증, 삭제, 편집 기능, 확장된 거버넌스의 위험 및 성숙도 평가 및 워크플로우 트리거 기능 등 GDPR 준수 조건들을 모니터링 하기 위해 특화된 서비스들을 제공하고 있습니다. (참고 서비스: GDPR Data Mapper, Collibra Data Governance Platform 등) 

데이터 보안 측면의 GDPR, 솔루션 구축의 필요성은?

기업이 GDPR에 대응하는 두 번째 영역은 바로 데이터의 안전한 보호와 보관, 관리 측면의 영역입니다. 앞서 데이터의 활용에서도 언급되었지만, 개인정보의 데이터 가시성을 확보하고 자료의 유출과 유실, 파괴 등을 예방하는 것은 그 무엇보다 중요합니다.

GDPR은 기업이 보유하고 있는 개인정보를 반드시 문서화하고, 그 중 민감정보와 고위험 개인정보에 대해서는 위험수준 평가를 수행할 것을 규정하고 있습니다. 문서화된 개인정보와 개인정보 처리 상황이 유출되거나 유실되는 일을 막기 위해서는 우선적으로 데이터 접근 권한을 정책적으로 잘 설정하고 관리할 수 있어야 합니다.

많은 기업들이 클라우드 서비스를 사용하고 있는데, 클라우드 서비스 상에 개인정보를 저장할 경우 어떤 리스크를 예상하실 수 있나요? 외부 클라우드를 사용하면서 고객 정보를 저장시켰다가 그대로 둘 경우 GDPR 위반이 됩니다. 또, 섀도우 클라우드에서 사용된 개인정보를 누락시켜도 역시 GDPR 위반이 됩니다. EU와 거래 중인 기업이 개인정보 데이터가 정확히 어디에 위치하고 어떤 툴로 데이터를 안전하게 보호하고 있는지를 상세히 규정하고 시행하고 있지 않다면 GDPR을 위반하고 막대한 과징금을 내야 할 가능성을 안고 있다고 봐도 무방합니다.

GDPR은 특정 IT 솔루션 도입의 필요성을 명시하거나 의무화하고 있지는 않지만, 문서보안 제품의 도입이 기업 및 기관의 GDPR 준수에 큰 도움이 될 것은 확실합니다. 해외 칼럼과 기사들을 보면, 보통 방화벽과 로그 파일을 통한 모니터링, 이메일 내용 검사, 데이터보호솔루션(DLP) 등이 GDPR의 준수에 도움 될 것으로 언급하고 있습니다. 비정형 데이터의 보유 현황과 정보의 내용을 파악하고, 정책 변경 등을 실시간으로 파악할 수 있는 솔루션들은 개인정보의 모니터링과 관리를 수월하게 해 줍니다. 

데이터 보안 솔루션 중, 파일 단위의 DLP(Data Loss Prevention) 솔루션은 주요 문서에 대한 모니터링, 보호 및 리포트 기능을 제공하는 ‘콘텐츠 인지 방식’의 솔루션입니다. 매체 사용을 허용하면서 자료의 유출을 방지하고, 정책 위반에 대해 즉각적인 리포트를 받을 수 있어 GDPR을 대비하는 데 도움이 되는 솔루션으로서 자주 언급되고 있습니다. 

그러나 DLP 솔루션은 로컬 PC에 데이터가 저장되는 구조라서 보안 관리자가 보안 정책을 완벽하게 설정하는 것이 불가능합니다. 또, 내부 유출자가 하드디스크를 떼어 가지고 나갈 경우 물리적인 내부 자료 유출이 여전히 가능하다는 점에서 개인정보 유출 리스크가 여전히 존재한다고 말할 수 있습니다. 

문서중앙화로 데이터 유출 리스크 제로화, 관리 효율은 극대화!

그에 비해, 국내 문서보안 시장을 주도하고 있는 ‘문서중앙화’ 솔루션은 민감 데이터의 유출을 걱정하고 관리의 어려움을 고민하는 기업들에게 가장 확실한 도움을 줄 수 있습니다. 모든 문서와 데이터를 중앙화 하고 매체제어 기능을 통한 데이터 유출 원천 차단으로 개인정보를 안전하게 보호할 수 있습니다. 

‘중소기업 기술유출방지 시스템구축사업’에서 2년 연속 선정률 1위를 기록한 이스트시큐리티의 ‘시큐어디스크’의 경우, 데이터 서버에 저장되는 모든 파일들을 물리적으로 암호화하여 접근 권한이 없는 문서와 데이터에 대해 비인가자가 임의로 조회할 수 없도록 조치할 수 있습니다. 개인정보의 경우 별도 폴더를 지정하여 사용자의 접근 권한과 열람, 편집 등의 상세 권한 설정을 통해 문서화 된 개인정보와 프로세스 내역을 안전하고 편리하게 관리할 수 있습니다. 정책 설정, 접근권한 관리와 더불어 데이터 접근에 대한 지속적인 모니터링은 GDPR 준수에 반드시 필요한 과정인데, 시큐어시스크는 중앙 서버 내 데이터에의 접근과 작업 내역을 사용자 계정 별 로그로 제공하므로 관리자가 모든 히스토리를 확인할 수 있는 장점이 있습니다.

시큐어디스크의 네트워크 파일 시스템 드라이버는 이스트시큐리티가 자체 개발한 분산 파일 시스템이 올라간 서버와 통신이 가능하기 때문에, 로컬 영역에는 임시 파일이 전혀 생성되지 않아 더욱 안전합니다. 파일의 전송 구간과 서버에 저장된 문서를 암호화하기 때문에 해킹에 의한 데이터 유출 또는 물리적인 디스크 유출 이슈에도 대응할 수 있습니다. 매체제어 기술로 USB메모리, 외장하드, CD 등 오프라인 매체를 통한 유출을 차단하고, 웹 메일, 메신저, 클라우드 저장소, 아웃룩 등 온라인 매체를 통한 유출도 차단할 수 있습니다. 정책 설정을 통해 사내 메일에 한하여 파일 첨부를 허용할 수도 있습니다.

[그림 3] 문서중앙화 '시큐어디스크', 다양한 목적의 디스크 생성   

윈도우 탐색기를 사용하여 기존과 동일한 업무 환경을 제공하기 때문에 별도의 적응 과정이 불필요하다는 점, 그리고 높은 어플리케이션 호환성도 시큐어디스크의 큰 강점입니다. 강력한 파일보안 서버를 기반으로 한 문서중앙화는 관리자가 다양한 목적에 맞게 디스크를 생성할 수 있기 때문에 개인정보 관련 문서 및 데이터에 대한 높은 보안을 유지하면서, 협업과 공유 측면에서는 법 위반 대한 걱정 없이 모든 직원들이 안심하고 사용할 수 있는 이상적인 업무환경의 구축이 가능합니다. 

GDPR 대응과 관련하여 또 한가지 우려하지 않을 수 없는 것은 바로 랜섬웨어의 공격입니다. 신.변종이 끊임없이 속출하고 더욱 다양한 루트를 통해 공격을 감행하고 있는 랜섬웨어는, 알약의 행위기반 차단 건수로만 봐도 연간 179만 건에 이를 정도입니다.

GDPR 제32조: (...) 보안의 적정 수준을 평가할 때는 처리로 인해 발생하는 위험성, 특히 이전, 저장 또는 다른 방식으로 처리된 개인정보에 대한 우발적 또는 불법적 파기, 유실, 변경, 무단 제공, 무단 열람에 대해 고려해야 한다

다시 말해, 랜섬웨어 공격을 받은 경우 이는 명백히 GDPR 위반에 해당함을 의미합니다. 문서중앙화는 랜섬웨어에 의한 데이터 탈취를 예방하고 복구할 수 있다는 점에서도 꼭 필요한 솔루션입니다. 시큐어디스크는 백신 프로그램 외 중앙 서버 내 화이트리스트 기반으로 랜섬웨어를 포함한 비인가 악성 프로그램의 접근을 차단하고, 감염 시 데이터 복구를 위한 버전 관리 기능을 제공해 랜섬웨어에 안전하게 대비할 수 있습니다.

GDPR은 개인정보 처리 과정에서 발생 가능한 리스크 관리를 위해 '영향평가'를 시행할 것을 규정하고 있는데 개인정보와 관련하여 모든 단계별 문서화를 요구하고 있습니다. 영향평가 시에는 개인정보 보호와 GDPR 준수를 입증하기 위한 보안조치(security measures), 보호조치(safeguards) 및 메커니즘 등 위험을 처리할 것으로 예상되는 조치를 포함해야 하는데, 문서중앙화는 데이터의 유출과 유실을 막고 정보 탈취를 노리는 외부 위협으로부터 데이터를 안전하게 지켜주는 솔루션으로 기업과 DPO, 모든 직원들에게 가장 확실하고 안전한 조치가 될 것입니다.

GDPR, 규제 이상의 기회

GDPR이 발효된 지난 5월, 중국에서도 조용히 데이터 기밀보호법이 발효되었는데 그 내용이 GDPR 못지 않게 엄격하다고 합니다. 결과적으로 EU와 중국에서는 상호 대등한 수준의 데이터 관련 법이 시행되고 있는 상황입니다. 2017년 기준 650억 유로였던 EU 데이터 시장의 가치는 2025년까지 1,000억 유로 이상으로 증가할 것으로 예상되는데, 이 시점에서 중국 정부가 나서 자국 사용자들이 자신의 정보에 대해 더욱 강력한 통제권을 갖도록 조치를 취한 것이죠.

중국뿐 아니라 향후 광범위한 개인정보의 보호에 대한 글로벌 표준 법 정립에 GDPR이 많은 영향을 미치게 될 것으로 예상되고 있습니다. GDPR이 개인정보주체 권리를 강화하면서 빅데이터를 활용하는 마케팅 활동을 저해하고 비즈니스를 위축시킬 것이라는 일부 부정적인 시각도 있지만, 지금까지의 프라이버시와 개인정보에 대한 보안 수준을 개선하고 개인정보 주체의 권리를 침해하지 않는 기준을 명확히 한다면, 오히려 법의 테두리 안에서 더욱 유용한 인사이트와 데이터 가치를 발견하고 활용할 수 있는 기회가 될 것이라는 긍정적 의견들도 많이 있습니다. 

기업 입장에서도 기업 내부에 저장하고 관리하는 데이터를 거시적이고 포괄적으로 바라볼 수 있는 좋은 기회가 될 것입니다. 기업은 데이터 거버넌스를 개선해 나감으로써 적법한 개인정보 ‘활용’을 통해 성과를 만들어 나갈 수 있으며, 데이터 ‘보호’ 측면에서는 문서중앙화 솔루션 구축을 통해 개인정보 및 민감정보의 유출과 유실을 원천적으로 차단할 수 있습니다. 신뢰할만한 보안 솔루션을 구축하는 것은 관리자와 데이터를 다루는 모든 직원들, 그리고 개인정보의 주체인 고객 모두가 안심할 수 있는 환경을 만드는 데 핵심적인 역할을 할 것입니다. 비단 개인정보 뿐만 아니라 기업 내 여기저기 산재된 문서들을 한데 모아 안전하게 기업의 자산으로 정리하고 체계적 문서관리 프로세스를 수립한다면 분명 GDPR 대응 준비 그 이상의 가치를 얻을 수 있을 것입니다.