EU GDPR은 개인정보의 국경 간 이동이 급증함에 따라 일관적인 규제 집행 및 법적 확실성 강화를 위해 등장했다. 매우 높은 수준의 개인정보 보호 수준을 요구하며, 위반 시 전 세계 연간 매출액의 4% 또는 2000만 유로 중 더 높은 금액이 과징금으로 부과된다. 이에 대비하기 위해 기업들은 종합적인 데이터 관리 시스템을 구축할 필요가 있다. <편집자>
유럽연합(EU)의 일반개인정보보호법(GDPR) 시행이 내년 5월 25일로 다가오면서 전 세계 정부 및 기업들의 대응 조치가 강화되고 있다. GDPR은 개인정보의 국경 간 이동이 급증함에 따라 일관적인 규제 집행 및 법적 확실성 강화를 위해 등장했다. 매우 높은 수준의 개인정보보호 원칙을 보다 구체적으로 기술하고 있으며, 유럽연합 회원국 전체에 법적 구속력을 지닌다.
적용 범위에는 유럽연합 국가에 사업장을 보유했거나, 유럽 거주 시민의 개인정보를 처리하는 모든 기업이 포함된다. 또한 심각한 위반 시 전 세계 연간 매출액의 4% 또는 2000만 유로(약 269억원) 중 더 높은 금액이 과징금으로 부과된다. 기업들에게 매우 큰 비즈니스 위험성을 초래할 수 있다.
디지털 세계에서 GDPR의 적용 범위가 점차 확대됨에 따라 유럽 지역 비즈니스를 고려하고 있는 세계 각국의 개인정보보호 규제가 상향평준화될 가능성이 높다. GDPR에 대한 정확한 이해와 효과적인 대응책 마련이 시급하다.
세계 각국의 개인정보 보호 현황
미국 행정부는 EU와 타결한 개인정보 국외 이전 협약인 프라이버시 실드(Privacy Shield)를 통해 GDPR에 대응하고 있다. 2016년 7월 체결된 프라이버시 실드는 기업들이 EU에서 미국으로 개인정보를 이동할 시 적절한 데이터 보호 수준을 보증할 것을 규정하는 협약이다. 미국 기업 2400곳이 프로그램에 참여하고 있다.
최근 유럽집행위는 트럼프 행정부가 들어서면서 프라이버시 보호 규칙이 퇴보할 것이라는 우려를 제기해 왔다. 이에 미국에 직접 방문해 프라이버시 실드가 잘 이행되고 있는지 검토할 계획이다.
일본은 지난 8월 기업들의 고객 정보 거래 중개를 담당할 회사를 도입하는 방안을 발표하며 개인정보 보호의 책임을 강화하고 있다. 일본의 기존 개인정보 보호 법안은 개인이 자신의 데이터 이동을 중지할 기회를 부여받고, 이에 대해 고지를 받거나 공인된 제3자를 통해 데이터를 이동시킨다는 조건 하에 개인정보의 국경 간 이동을 허용하고 있었다.
그러나 지난 5월 GDPR의 강화된 개인정보 보호 규제에 맞춰 모든 개인정보의 국경 간 이동은 사전에 개인 정보주체의 동의를 받아야 할 것을 명시하며 규제를 강화했다. 그 이후 기업들의 데이터 활용 어려움에 대한 불만을 수용해 특정 개인정보 중개 업체에 대한 인증 제도를 통해 개인 또는 해당 중개 업체가 지정한 기업 또는 업종에만 정보를 유통시키는 정책을 시행하기로 결정했다.
지난 6월 시행된 중국의 새로운 사이버보안법은 강화된 개인정보 보호 규제를 통한 인터넷 통제·검열이 핵심이다. 특히 중국 내에서 수집하거나 발생한 개인정보를 반드시 중국 내에 저장하며, 사업상 중국 밖으로 전송해야 할 때는 중국 정부가 제정하는 규정에 입각해 안정성 평가를 통과해야 한다. 개인정보를 수집 및 사용할 땐 목적과 방식, 범위를 명시하고 사용자의 동의를 얻어야 하며, 수집된 개인정보를 사용자 동의 없이 타인에게 제공할 수 없다. 이에 글로벌 기업들은 중국 내 데이터센터를 마련하는 등 규제 압력을 따르고 있다.
이에 비해 우리나라의 개인정보보호법은 개인정보를 안전하게 공개할 수 있는 법체계가 모호하며, 프라이버시 보호에 한계가 있다는 문제를 안고 있다. 예를 들어 지난해 6월 발표한 ‘개인정보 비식별화 조치 가이드라인’에 제시된 비식별화 및 익명화는 개인정보의 자기결정권에 대한 헌법상 기본권을 침해할 수 있다. 또한 비식별화된 정보는 개인정보 범위에서 제외하고 있어, 정보주체와 연결된 마케팅 목적으로 활용되는 것이 일반적임에도 불구하고 정보주체의 개인정보 자기결정권이 보호되지 않는다.
이러한 개인정보 보호 체계는 정보주체 중심의 실질적인 보호 체계를 요구하는 GDPR과 많은 차이가 있어 국내 대부분의 기업 및 업계가 난항을 겪고 있다. 특히 예외적으로 ‘적정성 평가’를 거쳐 승인을 받게 되면 EU 시민의 개인정보를 한국으로 자유롭게 전송하거나 처리할 수 있음에도 불구하고 GDPR에 대해 적극적인 준비의 움직임을 보이지 않고 있다.
그럼에도 기업들은 앞으로 남은 8개월 내에 GDPR을 준수하는 강력한 정보관리 체계를 구축해야 한다. 엄격한 GDPR의 준수를 위해서는 복잡하고 다양한 규제사항을 충족시킬 수 있는 지능적이고 유연한 데이터 관리 시스템이 시급하다.
GDPR 준수를 위한 여섯 가지 대응 방안
GDPR에서 정의하는 개인정보에는 기본적인 신상 정보 뿐 아니라 IP 주소, 위치 정보 같은 온라인 식별자(Online Identifier)와 유전 및 생체, 인종 및 민족, 정치적 의견 또는 성적 취향 등의 정보가 폭넓게 포함된다. GDPR은 이러한 개인정보가 적법하고 공정하며 투명하게 처리돼야 한다는 원칙과 보유기간, 처리, 정확성, 무결성 등 방법상의 원칙을 명시하면서 철저한 관리를 요구하고 있다.
엄격한 GDPR의 준수를 위해서는 개인정보의 수집, 활용, 보관, 폐기 등 관리 전 과정에 걸쳐 데이터에 대한 가시성을 부여하고, 데이터 보호 및 모니터링을 비롯한 일상적인 영역이 자동화되어 모든 조건에 정확하고 신속하게 대처할 수 있어야 한다.
이에 데이터 관리 전문 회사들은 GDPR을 비롯해 점차 강화되는 각종 컴플라이언스 이슈 대응에 도움을 줄 수 있도록 다양한 데이터 관리 솔루션을 제시하고 있다. 효성인포메이션시스템의 합작사인 히타치 밴타라(Hitachi Vantara)는 오브젝트 스토리지인 HCP(Hitachi Content Platform)와 보관된 데이터로부터 빠르게 정보를 검색하고 분석까지 수행하는 HCI(Hitachi Content Intelligence)를 제안하고 있다.
HCP는 기업의 데이터 중 90%에 달하는 비정형 데이터를 안전하게 보관하고 활용하기 위한 전용 스토리지 플랫폼으로, HCI와 결합해 파일 보관 및 관리, 그리고 개인정보가 포함된 파일 검색 및 마스킹 등을 쉽게 구현할 수 있다.
기업들이 충족시켜야 하는 GDPR의 핵심 요건과 이를 준수하는데 도움을 줄 수 있는 방안은 데이터 관리 차원에서 크게 여섯 가지를 들 수 있다.
■ 메타데이터 관리
개인정보를 광범위하게 수집하고 효율적으로 관리할 수 있어야 한다. GDPR이 요구하는 데이터 정확성, 사용자 동의, 보관 기간 문제를 해결하기 위해선 데이터 뿐 아니라 그 속성 정보를 담은 메타데이터를 함께 보관해야 한다.
이러한 메타데이터를 생성, 보관, 관리하는 오브젝트 스토리지 기술을 사용하면 검색과 분석이 쉽지 않은 비정형 데이터에 정형성을 부여하게 돼, 데이터베이스 없이도 많은 양의 콘텐츠와 메타데이터를 간편하게 저장하고 효율적으로 활용할 수 있다.
이와 관련해 클라우드 기반 오브젝트 스토리지인 HCP는 보안과 안정성이 강화된 엔터프라이즈용 오브젝트 스토리지다. 데이터의 물리적 위치와 상관없이 강화된 데이터 가시성, 자동화 및 정책 기반 관리를 제공한다. 빌트인 된 오브젝트 기반의 메타데이터 시스템은 최근 급증하고 있는 비정형 데이터에 대한 검색 및 분석이 용이하도록 지원한다. 또한 중앙 집중식 관리 기능으로 고객이 자신의 조건에 맞게 퍼블릭 클라우드 스토리지를 통합하는 하이브리드 클라우드를 적용할 수 있어, 민첩성을 향상시키고 비용을 최적화할 수 있게 한다.
■ 검색·분석
개인정보를 손쉽고 빠르게 검색할 수 있어야 한다. GDPR은 기업이 보유 중인 정보에 대해 액세스와 가용성을 보장하도록 요구한다. 정보주체가 자신의 정보 조회를 요청할 경우, 기업은 전 시스템에 걸쳐 사용된 내역을 모두 공개해야하기 때문에 신속하고 적절하게 응답할 수 있는 스토리지 시스템이 필요하다.
오브젝트 스토리지에서 메타데이터 쿼리 메커니즘, 콘텐츠 검색 및 인덱싱 옵션 기능을 제공하는 솔루션을 사용하면 빠른 검색이 가능하고, 다양한 업계 표준 프로토콜을 통해 저장된 데이터에 액세스할 수 있다.
특히 HCP 포트폴리오는 콘텐츠 인텔리전스 기능을 갖춘 오브젝트 스토리지 포트폴리오이다. 여기에 속하는 HCI는 데이터 활용 및 분석을 위한 콘텐츠 인텔리전스 솔루션으로 신속하고 정확한 검색 및 분석 기능을 갖추고 있다. 또한 HCI가 제공하는 인텔리전스 기능은 데이터의 활용에 대한 보고서를 생성함으로써 새로운 인사이트를 제공하고 데이터 가치를 확대할 수 있다. 유용한 정보를 제공해 컴플라이언스 요건의 충족을 지원할 수 있는 것이다.
■ 데이터 보호·보안
개인정보의 완벽한 보호와 보안이 가능해야 한다. GDPR은 기업이 개인정보의 보호를 위해 적절한 기술적, 조직적 조치를 취할 것을 요구한다. 홍콩 및 호주를 비롯한 아시아태평양 국가들도 오래 전부터 무단 액세스 방지 조치를 요구해 왔으며, 최근 중국이나 인도는 정보 보안을 위해 기술 차원에서 보다 엄격한 방식을 개발하고 있다.
오브젝트 스토리지는 강력한 접근 관리와 암호화 기능을 제공한다. 지정된 IP나 IP 대역을 화이트리스트 또는 블랙리스트 방식으로 지정해 시스템에 대한 접근 정책을 설정할 수 있으며, 데이터 읽기/쓰기/삭제/검색 등의 권한을 구분해서 부여해 데이터를 안전하게 보호한다.
또한 HCP는 모든 데이터 접근 기록을 별도로 보관하며, 이를 향후에도 지속적으로 모니터링 할 수 있도록 지원한다. 데이터 암호화 기능을 제공하며, 암호화 키는 내부에 분산 저장되므로 지정된 권한 없이는 데이터를 읽을 수 없고 디스크나 노드 도난 시에도 안전하다.
■ 수정 방지·복구
개인정보의 무결성과 진본성을 보장할 수 있어야 하며, 보유한 개인정보가 정확하고 변경되지 않았다는 사실을 입증할 수 있어야 한다. 특히 파일 데이터의 경우 파일시스템이나 운영체제 등의 논리적 오류로 인한 파일 손상이 발생하는 경우가 있는데, 오브젝트 스토리지는 이러한 논리적 데이터 훼손까지도 주기적으로 체크하고 이를 복구하는 기능을 제공해 파일 데이터의 무결성을 보장할 수 있다.
HCP는 실수나 고의로 인한 수정이나 훼손, 삭제로부터 데이터를 안전하게 보호할 수 있다. HCP는 WORM(Write Once Read Many) 기능을 제공해 데이터의 수정을 금지하고 안전하게 파일을 보호한다. 또한 일정 기간 동안 수정되기 전의 파일을 보관하는 버저닝(versioning) 기능을 이용해 변경되기 직전의 파일로 간편한 복구가 가능하다. 또한 파일마다 고유의 식별ID를 제공하는 해시 키(HASH Key)를 생성해 함께 보관하므로 파일에 대한 진본성과 무결성을 입증하는데 효과적이다.
■ 보존 기간 적용
효과적인 개인정보 보유 및 보존 시스템을 마련해야 한다. GDPR은 보유 기간의 제한을 규정하고 있으며, 이는 엄격한 규제 환경과 민감한 데이터의 증가로 모든 비즈니스에서 요구되는 사항이다.
이와 관련해 HCP는 데이터의 보존기간을 설정할 수 있는 기능을 제공하므로 기업이 데이터의 중요도와 활용 가치에 따라 보존기간 정책을 유연하게 적용할 수 있도록 지원한다. 컴플라이언스 모드는 강력한 데이터 보호를 위해 적용하며 보존주기 내에서는 어떤 파일 삭제 시도도 불가능하다. 엔터프라이즈 모드는 보다 유연한 정책 적용을 통해 특별 권한을 가진 사용자에 의한 삭제나 보존기간 변경 등이 제한적으로 허용된다.
■ 잊혀질 권리 보장
개인정보의 완벽한 삭제가 가능해야 한다. 정보주체가 정보 삭제를 요청하면 기업은 모든 시스템에서 정보를 영구적으로 삭제하고 이를 입증할 수 있어야 한다. HCP는 이를 삭제 시 파일 블록 전체에 특정 값과 무작위 값을 여러 번 덮어쓰는 방식으로 재처리해 미 국방성 등의 기준을 준수하는 완벽한 논리적 디지털 파쇄를 구현할 수 있다. 또한 데이터의 수명 주기 전반에 걸친 모니터링을 통해 일반적 삭제나 권한 삭제, 자동 삭제 등 데이터 삭제 작업이 모두 기록돼 관리된다.
GDPR은 기업의 자유로운 데이터 활용을 허용하되 정보주체의 개인정보 자기결정 권한을 대폭 확대했다. GDPR 대응을 위한 인식 및 기술적 준비가 미흡한 국내 기업을 포함한 전 세계 기업들이 GDPR 규정을 준수하기 위해서는 비즈니스 운영 방식, IT 환경, 데이터 활용 범위 및 분야, 보안 솔루션 및 데이터 거버넌스 등 다양한 요소를 고려해야 한다. GDPR의 핵심 요건에 대응하기 위해서는 종합적인 데이터 관리 시스템의 기반을 마련하는 것이 필수적이다.
