새로운 EU 일반 데이터 보호 규정(GDPR)이 2018년 5월 25일에 발효됩니다. 이에 따라 모든 규모의 기업은 GDPR에 따른 변경 사항을 검토하고 자사에 해당하는 조직적 및 기술적 영향을 파악해야 합니다. 시행 마감일이 한 달도 채 남지 않은 상황에서 많은 기업이 여전히 “GDPR 준비 완료” 상태가 아닌 것으로 간주됩니다. 이들 중 상당수는 적절한 IT 보안 및 개인정보 보호 정책을 도입하기 위해 분주히 움직이고 있습니다. 클라우드 컴퓨팅과 한층 강화된 데이터 보호 수준은 병행되어야 합니다. 초기에는 다소 혼선이 있을 수 있지만, 새로운 규제 문제는 클라우드 제공업체와 클라우드 사용자 모두에게 잠재적으로 새로운 기회를 열어줄 수 있습니다.
요약이 필요하신가요? 건너뛰기 6가지 핵심 기준으로…
소개
디지털화가 진행됨에 따라 데이터 보호와 데이터 보안이 점점 더 주목받고 있습니다. 이는 디지털 전환의 길을 성공적으로 추진하기 위한 핵심 역량으로 간주됩니다.
GDPR의 배경과 목적은 EU 회원국 간의 조화를 도모하여 EU 지역에 통일된 데이터 보호법을 적용하는 동시에 관련 당사자들의 법적 지위를 향상시키는 것입니다. GDPR 관점에서 본 가장 중요한 변화 몇 가지는 다음과 같습니다:
- 위반에 대한 벌금이 크게 인상됩니다 – 위반의 심각성에 따라 연간 매출액의 최대 2% 또는 4%에 달합니다.
- 투명성 및 정보 제공 요구 사항을 통해 영향을 받는 개인의 권리가 크게 강화됩니다.
- 기존에 잘 알려진 데이터 보호 의무 외에도, 전자기기의 개인정보 친화적인 기본 설정 등 새로운 의무가 도입됩니다.
- 새로운 규정은 EU에 본사를 두고 있지 않더라도 EU 시민의 데이터를 수집하는 기업에도 적용됩니다.
도전 과제
기업의 의사 결정권자와 보안 전문가들은 이제 새로운 GDPR 규정이 어떤 모습일지 자문하고 있습니다. 그리고 GDPR 도입을 어떻게 준비하고 실행해야 할지 고민하고 있습니다. 또한, “GDPR 준비 완료” 여부에 대한 질문은 정보보호최고책임자(CISO)들의 깊은 공감을 불러일으키고 있습니다.
많은 비즈니스 의사 결정권자들은 이것이 “아무도 신경 쓰지 않을 브뤼셀의 또 다른 새로운 규제”일 뿐이라고 생각할 것입니다. 하지만 GDPR을 반드시 고려해야 하는 타당한 이유가 있습니다. 무엇보다도, 규정 변경을 통해 모든 관련 당사자의 권리가 강화될 것입니다. 이는 향후 EU 시민에게 영향을 미치는 데이터 유출이 발생할 경우 심각한 재정적 제재로 이어질 수 있습니다.
잠재적인 물질적 피해 외에도 기업 평판에 미칠 수 있는 잠재적 타격 또한 매우 중요합니다. 언론 매체들은 개인정보 보호 문제를 대대적으로 보도하고 있습니다. 이는 새로운 요구 사항을 준수하는 데 필요한 전문성을 아직 갖추지 못한 모든 기업에 경종을 울리는 일입니다. 2018년 5월 GDPR이 발효됨에 따라 벌금이 대폭 인상되기 때문입니다. 최대 2,000만 유로 또는 연간 매출액의 최대 4%에 달하는 벌금으로 인해, GDPR 문제는 모든 규모의 기업 경영진 수준에서 주목받고 있습니다.
클라우드 컴퓨팅 맥락에서의 GDPR
데이터 보호에 관한 새로운 규정”은 도전이자 기회입니다. “GDPR 준비 완료”의 핵심 지표는 기업 내부의 데이터 보호 마인드셋과 제공되는 데이터 보호 수준이며, 이는 비즈니스에 중요한 워크로드가 클라우드 인프라에서 무엇을, 어디서, 어떻게 운영하는지를 의미합니다.
많은 기업에게 GDPR은 복잡한 프로젝트입니다. GDPR로 인해 발생하는 법적, 기술적, 조직적 과제는 지금까지 부분적으로만 해결되었습니다. 특히 클라우드 컴퓨팅 환경, IoT 환경 또는 빅데이터 시나리오에서의 대규모 마이그레이션 프로젝트의 경우, 일상적인 업무로 인해 GDPR 구현에 신경 쓸 시간이 거의 없습니다. 그러나 수많은 구현 과제 외에도 GDPR은 특히 클라우드 컴퓨팅 맥락에서 새로운 데이터 보호 및 IT 보안 전략을 재정의하고 구현함으로써 두각을 나타낼 수 있는 기회도 제공합니다.
결과적으로 클라우드 컴퓨팅이라는 주제는 GDPR의 맥락에서 많은 질문을 제기합니다. 기술적인 관점에서 클라우드 컴퓨팅은 데이터 처리 계약입니다. 따라서 클라우드 사용자는 제공업체가 자신의 데이터를 처리하는 방식을 항상 완전히 파악하고 있어야 합니다. 클라우드 제공업체와 리소스 제공업체는 자체 기능만 지원하며 책임 있는 기관의 법적 요구 사항에 의존합니다. 즉, 클라우드 제공업체와 기업 모두 GDPR에 따라 각 클라우드 서비스에 대한 최소한의 법적 요구 사항을 충족해야 합니다.
GDPR 이면에 숨겨진 잠재적인 과제를 어떻게 활용할 수 있을까요? 두 가지 주요 질문이 있습니다. 한편으로 기업은 어떤 클라우드 제공업체를 신뢰할 수 있는지 알아야 합니다. 다른 한편으로 기업은 “GDPR을 준수”하기 위해 어떤 기술적, 조직적 조치를 취해야 하는지 알아야 합니다.
CISO를 위한 기회와 의무 – 올바른 클라우드 파트너
올바른 클라우드 파트너는 GDPR 관점에서 가치 있는 스파링 파트너가 될 수 있습니다. 규정 준수 및 보안에 대한 전문 지식을 바탕으로 귀사가 “GDPR에 대비”할 수 있도록 도울 수 있기 때문입니다.
멀티 클라우드 전략을 적용하는 경우 각 클라우드 제공업체의 데이터 보호 정책을 평가해야 합니다. 하이브리드 및 멀티 클라우드 접근 방식은 조정하기가 훨씬 더 복잡하므로 데이터 보호 위험이 더 높을 수 있습니다. 특히 퍼블릭 클라우드 환경에서 다양한 클라우드 제공업체가 존재하기 때문에 CISO가 GDPR 준수를 보장하기 어렵습니다. GDPR 준수는 가장 취약한 연결 고리만큼만 강력합니다. 예를 들어, 멀티 클라우드 배포 내에서 단일 클라우드 제공업체의 위반 또는 비준수는 성공적인 GDPR 준수를 위한 모든 노력을 무력화할 수 있습니다.
6가지 핵심 기준
아래에 잠재적인 클라우드 파트너를 평가하는 데 사용할 수 있는 몇 가지 기준을 간단히 정리했습니다(GDPR 준수 관점):
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″ ] [vc_column width=”1/2″ style=”text-align: left;”]보안 및 개인정보 보호
첫 번째 단계는 제공업체가 귀사의 IT 보안 요구 사항을 어느 정도 준수할 수 있는지 평가하는 것입니다. 클라우드 제공업체가 보안 및 “Privacy by Design” 준수를 입증할 수 있는 한 가지 쉬운 방법은 ISO 27001 또는 ISO 27018 인증을 획득하는 것입니다. 그렇지 않은 경우, 수행된 데이터 보호 영향 평가(DPIA) 및/또는 보안 평가를 통해 이를 입증할 수 있습니다.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 규정 준수
CloudSigma는 ISO 27001 인증을 획득하여, 귀하의 클라우드를 제공하고 관리하는 데 사용되는 당사 인프라 및 서비스의 모든 측면이 보안 및 데이터 개인정보 보호와 관련된 최고 수준의 ISO 인증 표준을 준수하도록 보장합니다.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
위험 관리
광범위한 중요 데이터를 다루는 기업은 (GDPR 규정 제28조에 따라) 충분한 보증을 제공해야 합니다. 이러한 보증은 데이터 컨트롤러가 다음을 사용함을 증명해야 합니다:
“적절한 기술적 및 조직적 조치를 이행하기 위해 충분한 보증을 제공하는 처리자만 해당됩니다. 또한 처리가 본 규정의 요구 사항을 충족하고 정보 주체의 권리 보호를 보장하는 방식으로 이루어져야 합니다.”
따라서 클라우드 제공업체가 검토를 위해 정기적인 감사를 수행하고 있는지 확인해야 합니다. 또한, 처리의 보안을 보장하기 위한 기술적 및 조직적 조치의 점수 평가 및 평가가 이루어지는지 확인해야 합니다. 아울러, 클라우드 파트너가 고객에게 감사 권한을 부여하는지 확인해야 합니다.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 컴플라이언스
CloudSigma 클라우드 플랫폼의 고객으로서 귀하는 공식적으로 권한을 부여받아 당사가 귀하에게 제공하는 서비스와 관련하여 보안, 운영 및 프로세스 감사를 수행할 수 있습니다.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
데이터 위치
귀하는 항상 데이터의 대략적인 위치를 알고 있어야 합니다. 하지만 모든 클라우드 파트너가 클라우드 위치와 관련하여 필요한 투명성을 제공하는 것은 아닙니다. 클라우드 제공업체의 본사가 반드시 귀하의 데이터가 호스팅되는 위치는 아닐 수 있음에 유의하십시오. 또한 일부 기업은 귀하에게 알리지 않고 백그라운드에서 서로 다른 클라우드 위치 간에 데이터를 이동할 수 있습니다. 이는 클라우드 파트너의 서비스 약관의 일부일 수 있습니다. 마지막으로, 클라우드 서비스 제공업체는 여러 위치에 데이터를 저장할 수 있습니다. 그리고 이 중 일부는 EEA 외부에 있을 수 있습니다. 데이터 컨트롤러(개인정보처리자)로서 귀하는 적정성 요구 사항과 데이터 현지화 법률을 준수하기 위해 다국적 클라우드 전략을 정의해야 합니다.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 컴플라이언스
당사 서비스 약관의 일부로서, CloudSigma는 국가별로 클라우드 위치를 법적으로 분리하도록 구성되어 있습니다. 그 결과, 각 위치는 해당 지역의 법적 프레임워크의 적용만 받습니다. 이 모든 과정에서 최종 고객에게 100% 로컬 클라우드 솔루션을 제공합니다.
또한 각 위치는 기술적으로 상호 연결되어 있지 않으며, CloudSigma는 정확한 데이터 위치에 대해 최고의 투명성을 보장하며, 데이터는 절대 클라우드 위치 간에 전송되지 않습니다..
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
보안 기능
GDPR은 저장 및 전송 중 암호화부터 액세스 제어, 데이터 가명화 및 익명화에 이르기까지 수많은 데이터 보호 안전 조치를 요구합니다. 이를 달성하려면 선택할 수 있는 보안 기능이 충분한 클라우드 파트너를 선택하십시오. 예를 들어 – 백업, 암호화, 액세스 제어 정책 등이 있습니다. 클라우드 파트너에게 이러한 정책이 없다면 귀하가 직접 보안 기능을 관리해야 합니다.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 컴플라이언스
CloudSigma는 고객이 컴퓨팅의 다양한 측면을 안전하게 보호할 수 있도록 지원하는 다양한 기능과 도구를 통해 높은 수준의 보안 및 개인정보 보호를 제공하기 위해 노력하고 있습니다.. 당사 블로그에서 고객은 다음과 같은 다양한 보안 기능을 소개하는 여러 기사를 찾을 수 있습니다. 예: 부팅 수준 암호화, , 액세스 제어 정책, 2단계 인증, SSH 키 등.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
Mi
데이터 소유권
클라우드 제공업체의 고객으로서 귀하는 데이터 컨트롤러(Data Controller)입니다. 이는 귀하가 자체 데이터에 대한 통제권과 소유권을 유지해야 함을 의미합니다. 클라우드 파트너와 데이터 처리 합의서(DPA)를 체결하여 파트너가 GDPR에 따른 개인정보 보호 요구사항을 준수하고 있음을 보장함으로써 이를 달성할 수 있습니다. 자체적으로 초안을 작성하거나, 클라우드 파트너가 서비스 약관의 표준 부분으로 DPA를 작성했는지 확인할 수 있습니다. 자체 DPA를 사용하는 것의 장점은 수집되는 개인 데이터 및 “특별” 데이터의 유형을 지정할 수 있다는 것입니다. 파트너의 DPA를 사용하든 자체 DPA를 사용하든 관계없이, 데이터 컨트롤러(즉, 귀하)가 데이터를 소유하고 데이터 프로세서(즉, 클라우드 파트너)가 제3자와 데이터를 공유하지 않는다는 점이 약관에 명확히 명시되어 있는지 확인하십시오.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 규정 준수
CloudSigma는 데이터 처리 합의서(DPA)를 마련하여 고객이 GDPR 의무를 준수할 수 있도록 지원합니다. 당사는 DPA를 참조하고 GDPR을 준수하기 위해 서비스 약관 및 개인정보 처리방침 문서의 관련 부분을 업데이트했습니다.
또한, 당사의 표준 개인정보 처리방침은 클라우드 내 고객 데이터의 모든 수집, 저장 및 사용을 설명하는 매우 투명한 문서입니다.
고객은 파일 시스템 수준에서 자신의 데이터에 대한 완전하고 독점적인 액세스 권한을 유지합니다. CloudSigma 시스템은 VM 또는 드라이브 내부를 액세스하거나 볼 수 없습니다. CloudSigma 클라우드 관리 시스템은 직원 권한 및 액세스를 제한하고 시스템에서 수행된 작업을 기록하는 액세스 제어 프레임워크를 구현합니다.
[/vc_column]
[/vc_row]
[vc_row class=”x center-text” no_margin=”true” inner_container=”true” padding_top=”0″ padding_bottom=”0″] [vc_column width=”1/2″ style=”text-align: left;”]
데이터 삭제
클라우드 파트너와의 계약이 종료되면 데이터를 다운로드하거나 삭제할 수 있는지 확인해야 합니다. 또한 서비스를 해지한 후 클라우드 파트너가 데이터를 삭제하는지도 확인해야 합니다. 일부 클라우드 제공업체(특히 ISO 인증을 받은 경우)는 계약 만료 후 데이터 삭제를 위해 표준화된 정책을 사용합니다. 클라우드 제공업체가 데이터를 삭제하는 데 시간이 얼마나 걸리는지 확인해 보십시오.
[/vc_column]
[vc_column width=”1/2″ style=”text-align: left;”]
CloudSigma 규정 준수
CloudSigma에서는 시스템이 모든 고객 데이터를 자동으로 처리합니다. 여기에는 드라이브 삭제, 비활성 계정에 대한 예약 삭제 등이 포함됩니다.
CloudSigma는 클라이언트 드라이브 데이터의 복사본을 보관하지 않습니다. 고객이 드라이브를 다른 스토리지 시스템으로 복제하도록 선택하지 않는 한, 유일한 복사본은 당사의 클라우드에 존재합니다.
또한, 당사의 데이터 처리 합의서의 일부로서, 귀하는 서비스 이용 중 또는 종료 후에 데이터의 정정, 삭제, 차단 및/또는 제공을 요구할 수 있습니다.
[/vc_column]
[/vc_row]
그렇다면 오늘날 귀사는 얼마나 “GDPR 대비”되어 있습니까?
CloudSigma 및 GDPR에 대한 자세한 정보는 언제든지 dpo (at) cloudsigma.com으로 문의해 주시기 바랍니다.
출처:
댓글
아직 댓글이 없습니다. 첫 번째로 작성해 보세요.