데이터 보안 컴플라이언스 정책이 부실한 경우 랜섬웨어 공격자가 데이터를 더 쉽게 장악할 수 있습니다. 최근 보안 기업 Sophos에서 보고한 바에 따르면, 일부 공격자들은 갈취 스타일의 공격으로 전환하고 있습니다. 이들은 단순히 파일을 암호화하는 대신, 몸값을 지불하지 않으면 데이터를 게시하겠다고 위협합니다. 따라서 공격을 받은 조직은 브랜드가 손상되는 것은 물론 규제 위반 벌금까지 부과 받게 될 수 있습니다.
이와 같은 이유로 컴플라이언스와 정보 보안은 서로 밀접하게 연관되어 있으며, 따라서 데이터 개인정보 보호 컴플라이언스는 모든 보안 전략의 핵심 축으로서 더욱 중요한 의미를 갖게 됩니다.
다음은 기업이 컴플라이언스를 준수하고 랜섬웨어 공격에서 벗어나는 데 도움이 되는 몇 가지 모범 사례입니다.
1. 컴플라이언스 프레임워크를 구축합니다. 보안 또는 인시던트 대응 프레임워크는 인시던트를 감지, 대응 및 복구하는 방법을 설명합니다. 마찬가지로, 컴플라이언스 프레임워크는 조직과 관련된 모든 규제를 다루기 위한 구조, 예를 들어 내부 컴플라이언스 및 개인정보 보호 관리에 대한 평가 방식 등을 제공합니다. 또한, 이 프레임워크는 보다 엄격한 보안 프로토콜이 필요한 개인정보 또는 민감한 데이터 등을 식별하는 데 도움이 됩니다.
2. 수집되는 데이터 종류 및 수집 이유에 대한 정책을 정의합니다. 이 단계는 프레임워크 구축에 포함되는 단계입니다. 데이터 수집 대상 및 이유를 문서화하는 데는 여러 가지 이유가 있습니다. 예를 들어, 규제 기관은 그러한 정책을 명시하도록 요구할 수 있습니다. 데이터가 소비자로부터 전달되는 경우, 훨씬 더 엄격한 요건에 따라 수집 정책을 상세하게 기술해야 할 수도 있습니다(아래 #4 참조).
3. 개인정보 보호 정책을 만듭니다. 어떤 데이터를 수집하는지, 데이터를 어떤 목적으로 사용하는지, 그리고 어떤 방식으로 얼마나 오래 저장하는지 고객에게 명확하게 설명해야 합니다. 또한 고객이 자신의 개인 데이터에 대한 액세스를 요청하거나 “잊혀질 권리”를 요청하는 방법, 그리고 시스템에서 자신의 데이터를 삭제하는 방법 등을 명확하게 설명해야 합니다.
4. 정책 공시를 강화합니다. 공개적으로 제공되는 개인정보 보호 정책을 공유, 게시 및 유지 관리합니다. 참고로 퓨어스토리지의 사례를 확인하실 수 있습니다. 퓨어스토리지는 데이터를 수집하는 위치와 해당 데이터로 수행하는 작업에 대해 자세히 설명하고 있습니다.
5. 컴플라이언스에 영향을 미치는 최신 정부 규제를 파악합니다. “개인정보 보호 설계” 운영 모델은 지속적으로 변화하는 규제에 뒤처지지 않고 적응하는 데 도움이 될 수 있습니다. 이는 개인정보 보호를 IT 시스템, 인프라 및 비즈니스 관행의 설계 및 운영에 나중에 끼워 넣는 것이 아니라 처음부터 통합해 포함하는 것을 의미합니다. 퓨어스토리지 솔루션은 바로 이러한 방식으로 구축(영문자료)됩니다.
더 읽어보기: 더 스마트한 스토리지로 데이터 컴플라이언스를 개선하는 방법(영문자료) >>
6. 데이터 보존 및 삭제 정책을 강화합니다. 매우 중요한 단계입니다. 보존 일정은 데이터를 삭제할 때까지 시스템에 저장하는 기간을 의미하며, 구체적인 일정은 업종에 따라 다를 수 있습니다. 견고한 데이터 보존 및 삭제 정책을 개발하고 이를 지속적으로 검토하는 기업은 규정을 준수하고 성숙하며 안전한 기업이라고 말할 수 있습니다.
7. 데이터 암호화 프로토콜을 선택합니다. 온프레미스, 클라우드 등 어디에 어떤 종류의 데이터 암호화를 사용할 것인지 명확히 정의합니다. 데이터가 상주하는 위치에 따라 다르게 결정할 수 있습니다. 퓨어스토리지와 IDC가 작성한 백서(영문자료)에서는 GDPR과 관련된 데이터 암호화에 대해 자세하게 설명합니다.
8. 네트워크 제어에 대해 CISO(최고정보보호책임자)와 논의합니다. 컴플라이언스는 보안과 밀접하게 연관되어 있으므로 네트워크 어플라이언스 구성, 최소 권한 액세스 제어, 이벤트 로깅 및 다단계 인증에 관한 논의에 CISO가 참여해야 합니다.
9. 민감한 데이터는 익명화합니다. 필요한 경우 마스킹, 토큰화, 해싱 또는 익명화 처리를 통해 데이터를 익명화하여 개인 식별 정보를 제거해야 합니다.
10. 보안 침해의 영향을 받는 모든 당사자에게 침해 사실을 알리는 방법을 문서화합니다. GDPR에 따르면, 이러한 알림은 의무 사항이며 알림 프로세스는 차질 없이 진행되는 것이 좋습니다.¹ 이를 위해서는 알림을 전송하는 책임자, 문제를 해결하는 방법, 보안 침해의 재발을 방지하는 방법 등을 결정해야 합니다.
데이터를 활용하면 많은 기회를 포착할 수 있지만 거기에는 책임도 따릅니다. “데이터는 새로운 석유”라는 사실을 믿는다면, 그에 따른 규정도 준수해야 합니다. 컴플라이언스 없이는 데이터를 오랫동안 충분히 활용할 수 없기 때문입니다.
‘CISO 또는 개인정보 보호 책임자에게 물어야 할 10가지 질문(영문자료)’를 다운로드하여 귀사의 데이터 보안 정책을 다각도로 검토해 보시기 바랍니다.
- https://gdpr-info.eu/art-33-gdpr/
