[EU의 데이터 보호]13. GDPR의 개인 데이터 보안(2)

지난 기사에 이어 GDPR의 개인 데이터 보안에 대해 설명하고자 한다.

GDPR의 개인 데이터 보안(1)(바로가기)

보안 이행

이미 GDPR 프로그램을 진행 중인 조직은 대규모 사업 전환이 성공하기 위해 뒷받침 되어야 하는 프로그램 설계 원칙을 잘 알고 있을 것이다. 성공적인 프로그램은 이사회가 승인한 비전에 의해 통합되고 이끌어지며, 이는 조직의 이사진이 전략 및 필요한 조직 구조를 통해 비즈니스 운영에 통합하여 기술적 및 조직적 통제가 적용되도록 보장한다. 이러한 구조에는 프로그램 설계 및 관리, 거버넌스 구조, 정책 프레임워크, 기술 제어, 프레임워크 등이 포함된다. 프로그램 조정 기능의 구성원은 핵심 경영진과 비즈니스의 주요 기능 영역에서 끌어와 종합적 접근을 보장하기 위해 함께 노력할 것이다.

조직이 이러한 방식으로 운영되면 보안 전문가와 데이터 보호 및 법률 전문가를 연결하게 된다. 이를 통해 보안 원칙 및 위반 공개 요구 사항을 충족시키기 위해 마련해야 하는 기술적 및 조직적 조치의 성격에 대해 정보에 입각한 균형 잡힌 시각을 확보할 수 있다. 보안 전문가는 운영 보안을 제공하기 위해 수행해야 할 작업에 대한 전문적인 견해와 권장 사항을 제시하는데, 이는 조직이 책임성과 privacy by design 목적으로 마련한 위험 평가 프로세스의 일부를 구성한다.

강력한 보안 프로그램은 데이터 보호 규정 준수에 대한 고려 사항일 뿐만 아니라 재무, 운영, 평판 및 법적 이익을 보호하기 위한 표준 조직 관리 프로세스의 일부여야 한다. 따라서 데이터 보호 전문가가 조직 내의 보안 전문가와 적절하게 연결되어 있는지 확인해야 한다.

넓은 의미에서 보안 전문가는 조직이 직면한 위험, 물리적 및 기술적 환경, 직원 및 데이터와 관련하여 보안을 관리하는 데 사용되는 위협 환경, 전반적인 보안 성숙도 및 제어를 비롯한 상황 인식에 대해 조직에 조언한다. 이를 통해 효과적인 대화를 통해 조직의 잠재적인 보안 노출을 이해할 수 있으며, 이는 개인정보 보호와 관련하여 능력, 자원 및 우선순위를 고려한 결정을 가능하게 한다. 사고 준비 및 사고 대응을 가능하게 하기 위해 조직의 역량과 필요한 시나리오 계획에 대한 독립적인 검토 및 테스트가 있어야 한다.

아래의 논의는 컨트롤러와 프로세서가 보안 원칙을 준수하고 위험을 줄이기 위한 대책을 설명한다.

위협 요소, 실패 원인 및 위험 평가

이미 지적했듯이, 보안 실패의 원인은 의도하지 않은 사고에서 고의적 행동에 이르기까지 여러 가지이지만, 컨트롤러와 프로세서는 실패에 대한 대응을 설계할 때 다음 요소를 다루어야 한다.

물론 조직이 포괄적인 위험 평가를 수행할 수 있으려면 전체 정보 수명 주기를 식별하고 이해해야 한다(제30조 참조). 컨트롤러는 데이터가 최종적으로 삭제되거나 파괴될 때, 데이터 캡처 및 데이터 입력의 모든 지점을 정확히 나타낼 수 있도록 데이터 매핑 및 조사를 수행해야 하며 중복이 되는 순간까지, 조직의 데이터 흐름을 그릴 수 있어야 한다.

그러나 이는 세분화된 의미에서든 훨씬 더 높은 수준에서든, 자신의 모든 데이터를 식별하는 데 어려움을 겪고 있는 많은 조직에게 상당한 과제를 안겨준다. 실제로 전체 데이터 분류 작업조차도 대부분(특히 데이터의 민감도와 같이) 간과되어 왔고, ‘개인적’인지 여부조차도 맥락 및 관련이 있는 다른 데이터에 의존할 수 있다.

이 문제는 클라우드 컴퓨팅의 성장과 BYOD 전략으로 인해 복잡해지며, 조직에서 의미 있게 데이터를 쉽게 제어할 수 없게 된다. 또한 아웃소싱의 성장으로 전문 데이터 프로세서의 기술과 전문 지식이 집중되어 많은 조직의 내부 전문 기술이 해마다 침식되었다. 따라서, 매우 큰 비율로 조직들은 제32~34조, 제25조, 제30조 및 제35조 등의 규정 준수 의무를 모두 충족시키기에 불충분하다.

적절한 이해 지원

그렇다면 데이터 보호 전문가는 조직의 입장에서 가능한 최고의 상황이 되기 위해 무엇을 할 수 있을지 궁금할 수 있다. ‘적절한 기술적 및 조직적 조치’의 의미를 이해하기 위해 그들이 무엇을 참조해야 하는지 의문이 생길 수 있다. 보안 위협 및 위험의 성격과 대응 전략의 성격에 대해 내부 보안 전문가와 상의하는 것뿐만 아니라, 즉시 이용할 수 있는 다음의 주요 부분을 검토하면 도움이 될 것이다.

이 목록만으로는 완벽하지는 않겠지만 적절한 수준의 보안을 결정할 때 사용 가능한 첫 리소스로서는 부족하지는 않을 것이다.

효과적인 관리

보안을 위한 적절한 조직적 조치에 대한 요구 사항은 적절한 관리 구조를 필요로 한다. 마찬가지로, 이는 운영 보안에 대한 전문적 의견의 합의 안에서 가장 중요한 핵심으로 인식된다. 핵심 주장은 경영진이 관여되지 않은 조직은 피할 수 있는 결함이 발생하고 실패 위험이 증가한다는 것이다.

참여한 경영진을 보면 속성이 드러난다. 예를 들어, 보안은 이사회 차원의 문제로 취급된다. 이사회는 위험 인식 및 개인 데이터 존중의 문화를 육성한다. 보안, 법률, 준법, 인사, 재무, 감사, 회사 사무국 등과 같은 고위 경영진으로 구성된 위험 관리를 위한 ‘종합 팀’이 구성될 것이다. 충분한 자원이 할당될 것이고, 조직은 정책 및 기타 관련 사건으로부터 벗어날 것이다. 물론 경영팀은 시뮬레이션 및 역할극과 같은 기획 연습에 참여해야 한다.

이 문제를 보는 또 다른 방법은 심각한 보안 침해의 결과를 고려하는 것이다. 이러한 사건은 언론, 규제 당국, 계약 파트너, 소송 대리인, 고객 등으로부터 불리한 제3자 조사를 유도하게 될 수 있다. 데이터 보호 전문가가 집중해야 할 질문은 기업의 진정한 책임자는 보안에 대한 경영진의 의지와 조직의 보안 조치에 대한 이해에 대해 명확하고 진실하게 말할 수 있는지이다.

이것을 더 깊이 파고들면, 관여한 경영진은 누가 무엇을, 언제, 왜 책임져야 하는지 알 수 있다. 그리고 경영진은 명확한 경영 구조를 만들어 낼 것이다.

조직 내 문화와 ‘내부자 위협’으로서의 근로자

전체 매니지먼트 바이인(회사 외의 경영자 팀에 의한 기업매수) 조직은 리스크 인식 및 개인 데이터를 존중하는 문화로 전체 조직을 만들어 갈 것이다. 적절한 조직적 조치는 올바른 문화와 행동을 퍼뜨리고 시행하도록 요구한다. 올바른 문화를 성취하는 데 핵심적인 것은, 유능하고 신뢰할 수 있으며 믿을 수 있는 근로자를 선택하는 것이다. 보안을 위한 훌륭한 문화의 주요 구성 요소에는 다음과 같은 것이 있다.

또한 조직의 문화를 심각한 방식으로 거부하는 근로자에 ​​대한 해고를 포함할 수 있는 징계 조치를 포함하여 실패를 처리할 적절한 프로세스가 있어야 한다.

이 마지막 사항은 해고, 은퇴, 정리 해고 또는 다른 사유든, 취업 주기의 마지막 단계에서 문화적 문제를 고려해야 할 필요성을 말하는 것이다. 고용이 끝나면 물리적 자산을 반환해야 한다(예: 랩톱, 전화 및 서류 파일). 근로자의 개인 장비에서 조직 데이터, 액세스 권한 및 종료되어야 하는 특권을 삭제해야 하며, 적절한 경우, 보안성과 기밀성을 보장하기 위해서, 종료 후에도 제한이 충분히 지속되어야 할 필요가 있다. 이러한 문제가 고용 관계 초기에 이해되고 근로자가 정책 및 관련 교육을 통해 고용 전반에 걸쳐 정기적인 알림을 받으면 좋을 것이다.

정책 프레임워크, 통제 및 프로세스 – 보안 서류 작업

보안 서류의 중요성은 아무리 강조해도 지나치지 않다. 데이터 보호 전문가는 부적절하거나 존재하지 않는 정책, 통제 및 프로세스 프레임워크가 규제 기관에 제출된다는 점을 고려해야 한다. 이는 물론, 조사의 집행 과정에서 감독자가 고려해야 할 사항 중 하나가 서류 작업의 적절성이기 때문이다. 데이터 보호 전문가는 또한 소송의 역학을 고려해야 한다. 대부분의 관할 지역에서는 문서화에 초점을 맞춘 소송에서 공개 또는 발견 프로세스가 진행된다. 따라서 공개 프로세스가 부적절한 서류 작업(정책 및 기록 보관)을 드러내는 경우, 이는 또한 나쁜 인상을 줄 수 있다. 다음으로, 데이터 보호 전문가는 비즈니스 간의 계약 프로세스를 고려해야 한다. 계약상의 주의 의무로 보안 서류를 작성하도록 요구되는 것은 흔한 일이다.

부적절한 서류 작업으로 인해 컨트롤러의 이익에 직접적인 손해가 발생할 수 있다는 것은 보안 위반 및 데이터 손실에 대한 규제 당국의 조사 및 절차의 맥락 내에 있다. 이러한 부적절함은 규제 기관이 규정을 준수하지 않는 것으로 판단할 수 있는 충분한 근거를 제공할 수 있기 때문이다. 고려할 가치가 있는 많은 역학 관계들이 있다.

데이터 보호법의 집행과 감독이 예상에 따라 운영될 수 있다는 것은 매우 중요하다. 규제 당국은 장래에 법이 위반될 위험이 있는 경우, 이에 대한 조치를 취할 수 있다. 조직이 서류 작업을 제대로 수행할 수 없다면, 개인 데이터를 운영상의 보안으로 유지하는 것이 신뢰받기 어려울 것이다. 사실, 모범 사례, 감사 모델 및 이 분야의 전문 의견의 일치를 강조하는 이론과 철학에 의해 규제 당국이 지지받을 것이다. 이는 운영 보안을 달성하기 위한 첫 번째 단계 중 하나가 견실한 서류 작성이라는 것이다. 문서 업무가 교육, 모니터링 및 기타 도구 사용도 포함하면, 법률 준수가 업무에서 일상 운영으로 이어진다.

최근에는 정책에 기반한 규제에 대한 선호가 나타났다. 규제 기관에는 2가지 옵션이 있다. 하나는 조직의 서류 작업을 검토하는 것이고, 또 다른 하나는 조직의 운영을 검토하는 것이다. 운영-기반 규제의 문제는 조직의 일상적인 활동에 있어 훨씬 더 파괴적일 뿐만 아니라, 정책-기반의 규제보다 훨씬 더 많은 시간과 비용이 소요된다는 것이다. 기본적으로, 운영-기반 규제의 모델은 규제 당국이 결과의 확실성 없이 해당 직원을 컨트롤러 조직 내에 투입해야 한다. 정책-기반 규제는 완전히 다른 역학 관계를 가지고 있다. 운영-기반 규정보다 저렴하고 빠르고 효율적이다. 서류 작업의 적절성은 대부분 체크 박스를 채우는 것이기 때문에, 그것은 더 확실한 결과가 나올 확률로 규제 기관의 책상에서 수행될 수 있다.

따라서 GDPR이 법적 및 규제적 의제에 가장 먼저 서류 작업을 언급하게 된 것은 놀랄 일이 아니다. 설계에 의한 데이터 보호, 데이터 보호 영향 평가 및 책임성 원칙과 같은 개념은, 적절한 경우, 기록 작성 및 배포를 전제로 한다.

강력한 기록 관리 방법을 만드는 것은 시간이 소모되는 작업이 될 수 있다. 그러나 조직이 이 분야의 이론과 철학에서 두드러진 개념인 ‘계층화’된 접근법을 서류 작성에 채택할 것이고 본다. 계층적 접근 방식에서는 최상위 계층에 컨트롤러의 정책문을 포함하는 상위 수준의 문서가 있다. 다음 계층은 정책문을 구현하기 위해 구현되는 제어를 설정하는 보다 상세한 문서이다. 세 번째 계층은 가장 자세하고 운영 과정과 절차를 포함하고 있으며 정책문이 실제로 어떻게 이루어질 것인지를 설명한다.

아래 표에는 정책문이 어떻게 제어와 운영 프로세스에 반영되는지의 예와, 보안 데이터 전송을 달성하는 데 도움이 되는 절차가 나와 있다.

기술 스택

물론 데이터 보호법의 주요 초점이 전자적 정보이기 때문에 조직은 기술 스택이 이러한 목적을 위해 강력하고 적합하도록 보장해야 한다. 암호화 외에도 안티 바이러스, 스팸 차단, 방화벽, ID 및 액세스 관리, 사고 탐지, 데이터 손실 방지, 이중 인증 및 IP 로그 관리와 같은 사실상 필수적인 보안 강화 기술이 많이 있다.

보안 기술의 주요 초점은 전자 통신 필터링과 IT 및 통신 시스템 사용 모니터링이다. 직장에서 이러한 기술을 사용하는 것은 종종 복잡한 사생활 및 고용법 문제를 포함한다. 독일과 같은 일부 관할 구역에서는 그러한 기술이 배치되기 전에 노동협의회에 참여할 법적 요건이 있다. 직장 모니터링과 관련된 개인정보 보호 법률 문제에 대한 개요는 Halford 대 United Kingdom 및 Copland 대 United Kingdom과 같은 판례를 참고하면 좋다.

물론 사이버 공격 및 오용을 견딜 수 있는 기술 스택의 능력을 완전히 테스트해야 한다. 소위 ‘윤리적인 해커’에 의한 침투 테스트는 주요 조직에 의해 정기적으로 수행되며, 영국정보위원회(ICO)는 최근의 시행 조치에서 펜 테스트의 부족을 구체적으로 언급했다. 코딩 보안 테스트는 또 다른 측면이다.

물리적 환경

실제 환경의 보안은 실무자가 고려해야 할 또 다른 중요한 요소이다. 정교한 진입 통제 시스템, CCTV(폐쇄회로 TV), 잠금 및 키 및 클린 데스크 정책은 비즈니스 연속성 및 재해 복구와 같이 그림의 큰 부분이며 다른 모니터링 제어와 동일한 제한 사항이 적용된다.

프로세서 및 서비스 제공 업체 위험 관리

적어도 이론적으로는, 데이터 프로세서의 참여에 대한 GDPR의 요구 사항은 간단하다. 컨트롤러는 첫 번째, 신뢰할 수 있는 프로세서를 선택해야 하고, 두 번째, 계약 기간 동안 품질 관리 및 준수를 유지해야 하며, 마지막으로 프로세서가 적절한 보안 조치를 구현하고 유지하도록 요구하는 조항을 포함하는 계약(또는 증서와 같은 기타 법적 구속력 있는 행위)에서 관계를 정립해야 한다. 그 계약에는, 컨트롤러의 지시에만 따라 행동하고, 적절한 보안 조치를 구현하고 유지하고, 유출 시 공개를 포함하여 규정 준수에 대해 컨트롤러와 협력하며, 그리고 이러한 요구조건을 공급망을 통해 단계적으로 전파하기 위해, 적절한 보안 조치를 프로세서가 구현하고 유지하는 것을 요구하는 필요 규정이 포함된다.

법의 요구 사항을 실용적인 실천 사항으로 해석하면, 컨트롤러가 자신의 신뢰성을 증명하고 모니터링하기 위해 프로세서에 의존할 수 있는 범위 또는 컨트롤러가 계약 전후에 감사를 포함하여 제3자를 평가할 필요의 정도와 같은, 해결되지 않은 문제가 많이 발생한다.

계약 프레임워크에 도입해야 하는 계약 조항의 성격은 제28조가 제시하는 것보다 훨씬 복잡하고 어렵다. 예기치 않은 어려운 영역으로는 불평등한 협상력 또는 EU 및 비EU 관할권 간의 양 당사자 간의 계약 협상에 관한 것이다.

특정 기술은 계약 프로세스를 복잡하게 만든다. 주어진 순간에 데이터 처리 작업의 정확한 특성을 알기가 어렵기 때문에 클라우드 컴퓨팅과 관련된 상황이 특히 까다로울 수 있다.

컨트롤러가 제28조를 준수했다고 주장하기 위해, 사전 계약상의 실사 단계에서 고려해야 할 사항 점검표를 작성하여 필요한 단계를 거쳤다는 증거를 제시할 수 있다. 예를 들어, 다음 단계가 포함될 수 있다.

확실히, 그 이상은 아웃소싱으로 인한 위협과 도전을 이해하는 위험 평가의 일부가 될 것이다.

시장에서 대안 서비스 제공 업체의 범위를 파악하는 것도 중요하다. 교섭 위치에서 불평등이 있거나 프로세서가 그 조건 이외의 운영을 거부하는 경우, 시장에서 더 좋은 대안이 없다는 증거가 있으면, 사업을 다른 곳에 배치해야 한다는 반대의 논쟁을 컨트롤러가 할 수 있도록 도움을 준다는 의미해서 컨트롤러의 의사결정에 도움을 줄 수 있다.

계약의 일부에는 지속적인 보증을 위한 적절한 프레임워크가 포함되어야 한다. 이러한 조치는 현장 감사, 검사 및 테스트의 수행에서 지속적인 준수의 정기 평가 제공에 이르기까지 다양하다.

특정 최소 보안 조치와 같이, 보다 세부적인 요구 사항을 지정하기 위해 제28조의 단순한 문구를 뛰어넘는 계약 프레임워크를 작성하는 것은 다음을 포함한다. 보안 계획을 고수할 필요성, 정기적인 시스템 테스트를 받아야 할 필요성, 위협, 취약성 및 성숙도 평가를 수행할 필요성, 처리를 위해 허가된 장소와 허용되지 않는 장소, 허용 및 비허용 하도급, 비즈니스 참여가 끝났을 때 데이터에 어떤 일이 일어날지 계획, 희생자에게 제공되는 통지 또는 서비스와 같이 위반과 관련된 기타 비용과 함께, 규제 제재 및 벌칙에 대한 면책.

사고 대응

사고 탐지 및 대응을 위한 적절한 기술적 및 조직적 조치를 취할 필요성은 보안 원칙과 침해 공개 규칙에 내포된 명백한 요구 사항이다. 아래 분석은 이 분야의 주요 산업 학습을 바탕으로 한다.

사고 대응 계획의 범위

사고 대응은 탐지에서 즉각적인 사후 탐지 활동까지, 그리고 장기간에 걸쳐서 매우 긴 연속적인 작업이다. 컨트롤러 및 프로세서는 계획에 의해 처리되는 연속적인 사고 대응을 정밀하게 정의해야 한다.

좋은 사고 대응 계획의 핵심 요구 사항

우수한 사고 대응 계획의 핵심 요구 사항은 다음과 같다.

사고 대응 기능 결정

조직에서는 사고 대응 팀이 수행할 사고 대응 기능의 특성에 대한 결정을 내려야 한다. 능력의 성취는 조직이 능력에 대한 목표(범위 문제이기도 함)를 명확히 하고 현재 능력을 측정할 것을 요구한다. 예시적인 고려 사항은 아래와 같다.

사고 대응의 발전

사고 대응을 발전시키려면 조직은 사고 감지 기능이 있는지 확인하고 이러한 기능을 적절하게 모니터하고 문서화해야 한다. 물론 일반적인 보안 목적으로 수행되는 위협 및 취약성 평가 및 성숙도 평가는, 침입 탐지(이미 훼손되었음을 조직이 이해하는)와 같은 필요한 사고 탐지 기술 설치는 물론, 조직을 올바른 방향으로 인도할 것이다. 사이버 보안과 관련된 가장 큰 문제점 중 하나는 범인과 해커가 인내심 있게 자신의 궤적을 감추고 있다는 것이다. 사이버 공격이 수년 동안 네트워크에 눈에 띄지 않는 것은 흔한 일이다. 따라서 고급 포렌식 기법을 사용하여 절충 테스트를 수행해야 한다.

제 아무리 좋은 제어를 가진 좋은 프로그램조차도 해킹 당한다. 침입이 감지되면 허둥댈 필요가 없다. 어둠 속에 있는 것보다 분석하고 대응하는 것이 낫다.

성공을 위한 또 다른 중요 요소는 분류 및 분류 체계이며, 모든 사람이 유출 시 데이터의 민감성과 개인적 성질을 알게 한다. 오분류, false positive 등은 해결해야 할 매우 심각한 문제이다. 조직에서 사건을 잘못 분류하면 치료 및 공개 위반에 대한 잘못된 결론에 도달할 수 있다. 법적 정의에 따라 사건이 위반 수준까지 올라갔을 때 가능한 한 빨리 알아야 한다.

잘 연습된 좋은 사고 대응 계획에는 발생할 가능성이 가장 높은 사고 범주를 처리하기 위한 지침 또는 절차가 포함된다. 처리해야 할 분류 및 치유 단계는 사고가 발생하기 전에 확인되어야 하며 이로 인해 조직 손상의 위험을 최소화하는 데 도움이 된다.

결과 처리

사고 대응 계획은 또한 위반 공개를 처리하기 위해 제3자(예: 법 집행 기관, 보험사 등)를 다루는 것을 포함하여 사건의 여파를 광범위하게 처리한다. 개인정보 유출 사고가 발생하면 규제 당국에 공개함으로써 규제 조사가 시작될 수 있다. 사고의 영향을 받은 사람들에게 정보가 공개되면 조직은 인바운드 쿼리 및 클레임에 대비해야 한다.

이러한 상황에서, 조직은 규제 집행 조치 또는 소송과 같은 논쟁적인 법적 비즈니스를 마주하게 된다. 따라서 조직은 사고 대응 계획이나 각본에 반영되어야 하는 ‘소송 입장’을 개발해야 한다. 예를 들어, 사고 대응 각본은 내외부 법률 고문이 수행해야 할 역할과 법적 전문적 권한의 역할을 설명한다. 또한 커뮤니케이션 계획이 있어야 하며 누가 미디어와 얘기할 수 있는지, 그리고 어떤 유형의 정보를 공개적으로 설명할 것인지 자세하게 설명해야 한다.

맺음말

보안은 항상 좋은 개인정보 보호 프로그램의 한 축인 반면, GDPR이라는 새로운 규제 도입으로 인한 위험이 생길 수 있다. 그러므로 모든 조직의 개인정보 보호 및 보안 프로그램이 발을 맞추어 지속적인 커뮤니케이션을 유지하는 것이 매우 중요하다.

보안 팀은 기술 구현을 담당하겠지만, 보안 팀에 규제 의무를 조언하고 대응 역량을 처리하며 보안 사고가 가능한 한 위반 수준까지 올라가지 않도록 보장하는 것은 개인정보 보호의 역할이다.

데이터 최소화와 같은 원칙을 통합하고 데이터 보존을 위한 좋은 계획을 수립하면 보안 사고의 영향을 줄일 수 있다. 결국 당신이 가지고 있지 않은 것을 잃을 수는 없는 것이며, 필자가 수행하고 있는 마이데이터 플랫폼의 기본 취지도 결국, 기업은 개인정보를 보유하지 않는 것이 최선이라는 것이다.