7월 11일은 2018년 ‘정보보호의 날’입니다. 2012년 정부 부처는 사이버 공격을 예방하고 정보보호를 생활화하기 위해 공동으로 법정 기념일을 제정했는데요. 최근 페이스북 정보 유출 사건이나 유럽 일반개인정보보호법(GDPR)의 시행 등 데이터 관련 이슈들이 이어지며 정보보호에 대한 대중의 관심도 점점 더 높아지고 있죠!
모바일, 사물인터넷(IoT), 클라우드 등 IT 기술의 발전과 함께 데이터는 빠르게 증가하고 있으며 동시에 범죄, 초과 사용, 중복 저장 등 관련 문제 또한 다양해지고 있습니다. 그렇다면 기업은 데이터와 개인정보를 보호하기 위해 어떤 조치를 취해야 할까요?
오늘은 애널리틱스 이코노미 시대에 데이터 보안과 개인정보보호(privacy)가 의미하는 바를 살펴보고, 기업이 데이터를 보호하기 위해 고려해야 할 활동과 업무에 대해 소개하고자 합니다.
데이터 보안 및 개인정보보호의 정의
데이터 보호(data privacy)는 개인정보보호 요건, 지침, 절차에 따라 모든 데이터에 대한 접근과 사용을 허용하는 행위입니다. 여기서 핵심 단어는 데이터 보호를 위한 요건(requirements)입니다. 데이터 보안은 데이터 보호 정책, 절차, 지침을 구현해 지속적으로 데이터를 보호하는 행위입니다. 또한 데이터 보안 및 개인정보보호에 대한 보고(reporting)도 중요합니다.
이렇게 정의를 내리는 것은 고객 또는 기업이 데이터 보호 정책을 만들거나 강화시키기 위해 해야 할 일이 무엇인지에 대해 소통하고 이해하는 데 도움이 됩니다.
데이터 보호 정책 만들기, 그 시작 방법은?
데이터 보호 정책, 절차, 지침 등을 만들려면 먼저 현재의 요건을 모두 파악해야 합니다. 이미 완료된 것, 강화해야 하는 것, 다음 단계에서 해야 할 것 등을 이해하려면 이 작업을 거쳐야 합니다. 이때 기업에 데이터 보호가 무엇을 의미하는지 정확히 정의 내릴 작업 그룹(task group)을 구성하는 것을 권장합니다.
그리고 다음의 질문이 도움이 됩니다:
- 현재 데이터를 보호하기 위해 사용하는 절차와 지침은 무엇입니까?
- 기업 내 개인 데이터는 어디에 저장되어 있습니까? 항상 데이터가 존재하는 곳을 식별하고 문서화해야 합니다.
- 데이터 저장소 사이의 인터페이스 또는 데이터 흐름을 평가, 문서화, 이해할 수 있습니까? 이는 데이터를 생성, 업데이트, 삭제한 애플리케이션과 시스템을 파악하는 데 중요합니다. 엔터프라이즈 데이터 모델과 애플리케이션 시스템의 데이터 모델을 사용해 데이터를 이해하는 것을 권장합니다.
- 데이터 저장소의 프로파일링 또는 샘플링에 기초했을 때 데이터 품질은 어떻습니까?
그 다음에는 향후 기업에게 데이터 보안과 개인정보보호가 무엇을 의미할지에 대한 개요를 수집합니다. 이때 개요는 변경 또는 개선할 수 있도록 유연해야 하는데요. 이후 다음과 같이 변경될 수 있기 때문입니다.
- 고객의 참여 또는 거부
- 고객이 데이터를 열람할 수 있는 다양하고 쉬운 방법들
- 개인 데이터를 읽었거나 접근한 사람들에 대한 고객용 보고서
- 고객이 누구도, 어떤 프로세스도 접근하는 것을 원치 않을 때 데이터를 삭제할 수 있는 방법
최상의 방법은 기업이 이해할 수 있는 체계적인 접근법으로 시작한 후 작업 목록을 만드는 것입니다. 기업이 이미 구현한 작업에서 좋은 부분을 찾아 염두에 두고 다음 단계로 넘어가는 것을 권장합니다. 앞으로 수많은 데이터 저장소에서 데이터에 접근하기 더욱 쉬워지면서 더 많은 정책이 요구될 것입니다. 미래에 일어날 수 있는 모든 일에 대해 최대한 준비해둬야 합니다.
다양한 데이터 플랫폼에서 데이터 보호하기
데이터 보안에는 GDPR과 같은 법률에 의해 요구되는 보고 및 다양한 감사 활동이 포함되는데요. 기업은 하둡(Hadoop), 클라우드, MongoDB 등 다양한 플랫폼 상에서 데이터를 분석해야 합니다. 이를 위해서는 환경 내의 데이터 흐름 그리고 그것이 어떻게 사용되는지를 고려해야 합니다. 플랫폼마다 고유한 유형의 보안 문제가 발생할 수 있기 떄문인데요.
예를 들어, 즉각적인 분석을 위해 온라인 애플리케이션의 실시간 데이터를 빅데이터 플랫폼으로 스트리밍한다고 가정해볼까요? 이 데이터는 애플리케이션 시스템을 지나 데이터 웨어하우스에 저장되게 됩니다. 이 경우 기업에는 소스 시스템 외에 추가로 보호해야 할 빅데이터 플랫폼과 데이터 웨어하우스가 생겼습니다. 이 서로 다른 모든 데이터베이스 관리 시스템의 데이터를 보호하기 위한 메커니즘은 동일하지 않을 수 있습니다.
빅데이터 플랫폼에서 데이터를 보호하려면 데이터에 대한 접근을 파악할 수 있어야 합니다. 그렇다면 빅데이터 플랫폼에서 데이터를 읽고 다른 플랫폼으로 데이터를 확산시키는 과정을 막을 수 있는 방법은 무엇일까요? 관계된 데이터베이스나 다른 데이터베이스에서도 동일한 문제가 발생할 수 있습니다. 바로 데이터를 언제, 어디서, 누가, 어떻게 사용했는지 파악하고 보고해야 하는 이유입니다.
이러한 플랫폼에서 데이터를 감시하는 데에 적용할 수 있는 자동화 기능이 있습니다. 누가 또는 어떤 프로세스가 데이터를 읽는지 식별하는 것은 가장 번거로운 일인데요. 하지만 기업은 이 자동화 과정의 효과를 극대화하기 위해 접근 패턴을 이해하고, 이슈를 보고할 권한을 가진 적절한 담당자를 지정해야 합니다.
데이터베이스 단에서 관리되는 데이터를 업데이트하고 보호하려면 어떻게 해야 할까요? 예를 들어, 소비자가 자신의 데이터를 직접 업데이트하거나 개인 데이터에 접근할 수 있는 사용자를 직접 결정할 수 있게 해달라고 요구한다면 어떻게 해야 할까요? 이러한 유형의 데이터 접근을 설계하는 것은 쉬운 작업이 아닙니다.
이런 경우 엔터프라이즈 데이터베이스를 직접 업데이트하지 않고 대신 대체 데이터베이스를 업데이트하는 방법이 있습니다. 이렇게 하면 유효성 검사와 규칙이 고객의 데이터 접근 요청에 적용된 이후에 엔터프라이즈 데이터베이스를 업데이트할 수 있습니다. 또 다른 옵션은 업데이트 프로세스가 발생하기 전에 업데이트할 데이터를 다른 데이터베이스로 복사해두는 것입니다. 어느 방법이든 언제, 어디서, 누가, 어떻게 데이터를 변경, 업데이트, 접근, 복사했는지, 보고할 수 있어야 합니다.
데이터 거버넌스 프로세스를 갖는 것은 매우 중요하며, 적절한 사람들이 관여되어 있는지도 확인해야 합니다. 또 이 관계자들은 데이터와 데이터의 흐름을 식별하고 보호하는 것의 중요성을 잘 알고 있어야 합니다. 현재와 미래의 요구 사항을 모두 이해할 수 있는 팀이 필요합니다. 빠르게 변화하는 세상에서 데이터 보안과 개인정보보호는 계속해서 이슈가 될 것이며, 기업은 데이터를 최대한 안전하게 보호해야 합니다.
효과적인 데이터 보호 방안
SAS는 ‘SAS 개인 정보 보호 솔루션(SAS for Personal Data Protection)’을 기반으로 기업이 개인 데이터에 대한 접근부터 식별, 거버넌스, 보호, 감사 보고까지 전체 데이터 라이프사이클을 효과적으로 관리하고 GDPR과 같은 규제를 준수하도록 지원합니다.
기업은 개인 정보가 저장된 위치를 파악하고, 관련 사용자 활동을 기록해 데이터를 보호할 수 있습니다. 또한 SAS 솔루션을 이용해 데이터를 특정 방식으로 사용할 때 유발되는 리스크를 진단하고, 보안 침해 발생 시 규제 당국에 보고하는 등 GDPR에 한층 더 능동적으로 대응할 수 있습니다. SAS 웹사이트에서 자세한 정보를 확인해보세요!
GDPR 준비 현황에 대한 SAS의 글로벌 조사 결과를 확인해보세요!.
해당 기사는 Joyce Norris-Montanari의 기사를 일부 편집한 내용입니다.