데이터 보존 및 삭제 정책이란?

많은 조직들이 컴플라이언스와 관련된 문제를 간과하고 있습니다. 컴플라이언스, 즉 데이터 보존 및 삭제 정책을 준수하는 것은 데이터를 사용하는 방법만큼이나 중요합니다.

data retention and deletion policies

많은 조직들이 컴플라이언스와 관련된 문제를 간과하고 있습니다. 컴플라이언스, 즉 데이터 보존 및 삭제 정책을 준수하는 것은 데이터를 사용하는 방법만큼이나 중요합니다.

최근 GDPR의 데이터 보존 규정을 위반하는 경우 1,450만 유로의 과징금(영문자료)이 부과될 것이라는 발표가 있었습니다. 리서치 회사 451 Research의 최신 보고서에 따르면, 설문조사 응답자의 31%가 데이터 삭제 및 보존 정책을 항상 따르지는 않거나 보존 정책이 아예 없는 것으로 나타났습니다.¹

이는 작년 조사 결과에 비해 약간 개선된 수치이지만, 데이터 관리 정책과 절차를 강화할 필요가 있는 조직이 여전히 너무 많다는 사실은 분명합니다. 데이터 보존 및 삭제 규정이 존재하는 경우, 규정을 준수하는 것이 중요합니다. 그렇지 않은 경우, 기억해야 할 사항은 다음과 같습니다. 이는 법률적 조언이 아니므로, 자세한 내용은 변호사 또는 법무팀과 상의하시기 바랍니다.

데이터 보존 규정이란?

데이터 보존 및 삭제 규정은 데이터를 얼마나 오래 보관하고 어떻게 폐기를 해야 하는지를 다룹니다. 데이터를 오용하지 않고 적절한 보안을 유지하더라도, 정해진 기간을 넘겨 보관하는 것은 위반 행위입니다.

데이터 보존 규정은 컴플라이언스 측면에서 매우 중요할 수 있습니다. 보존 및 삭제 정책에는 다음이 포함됩니다.

  • 저장 중인 데이터 유형 및 장소 – 삭제할 때 쉽게 찾을 수 있어야 합니다. 여기에는 백업, 파일 서버 등 모든 것에 대한 추적이 포함됩니다.
  • 보존되는 모든 데이터에 대한 권한 기반 프레임워크
  • 익명화 및 사용할 암호화 정책
  • 처리 방식과 이유
  • 감사 또는 세무, 기록 또는 연구 목적 같은 법적 또는 규제적인 사유의 존재 여부와 저장 이유
  • 삭제(또는 이동) 시기 및 삭제 또는 영구 삭제를 위한 프로토콜
  • 문서 삭제 또는 익명화 방법
  • 컴플라이언스 및 보존을 모니터링하는 담당자의 역할 및 책임

다양한 데이터 세트를 저장할 때 가장 유용한 방법 중 하나는 계층화된 백업 아키텍처를 사용하는 것입니다. 이러한 아키텍처는 핫, 웜 또는 콜드 데이터의 스냅샷을 분리할 수 있도록 해줍니다. 데이터 전용 벙커는 즉시 사용할 필요가 없는 대용량 데이터를 안전하게 저장할 수 있습니다. 이 게시물에서 퓨어스토리지를 사용해 생성할 수 있는 계층화된 벙커 아키텍처의 예(영문자료)를 확인해 보세요.

참고: 데이터 보존 및 삭제에 대한 규정을 수립할 수는 있지만, 이러한 규정은 정당화되어야 합니다. 규정에 대한 적절한 이유와 이를 따르고 있다는 증거를 제시해야 합니다.

데이터 보존 정책이 있어야 하는 이유

컴플라이언스와 관련해 기업들이 자주하는 실수는 너무 많은 데이터를 너무 오래 보관하는 것입니다. 대부분의 경우, 너무 많은 데이터를 너무 오래 보관하면 조직이 불필요한 위험에 노출될 수 있습니다. 이는 악의적 행위자와 준법 감시인 모두에게 좋은 표적이 될 것입니다. 조직이 엄청난 법적 위험에 노출될 수 있다는 사실은 두말할 여지가 없습니다.

유럽연합의 일반 개인정보 보호법(GDPR)에서는 이를 “잊혀질 권리”라고 부릅니다. 본질적으로, 기업이 데이터를 처리할 필요가 없어지면 데이터를 보관해서는 안 된다는 것을 의미합니다.² 그러나 HIPAA와 ISO 같은 기타 규정이 정책에 포함될 수도 있으므로, GDPR을 준수하는 데에만 그치지 말고 개인정보 보호 전문가(영문자료)와 상의를 해야 합니다.

그 이유는 아카이브나 그레이브야드에서 저장된 데이터는 보안 침해 위험이 더 크기 때문입니다. 필요하지 않고 제거할 수 있으면, 위험을 크게 줄일 수 있습니다.

보존 규정을 생성(또는 개선)하는 방법

첫째, 보존 정책이 전체적인 데이터 보안 전략의 필수 요소가 되어야 한다는 점을 기억해야 합니다. 두 가지는 불가분의 관계에 있습니다. 전략과 정책을 정렬할 수 있도록, 보안 검토부터 시작합니다. 그런 다음, 조직의 데이터 플로우 맵을 만듭니다. 보존 전략은 플로우 맵을 따라 데이터를 처리하고 정확하게 다음과 같은 사항을 문서화해야 합니다.

  • 저장 중인 데이터 유형 및 장소 – 삭제할 때 쉽게 찾을 수 있어야 합니다. 여기에는 백업, 파일 서버 등 모든 것에 대한 추적이 포함됩니다.
  • 보존되는 모든 데이터에 대한 권한 기반 프레임워크
  • 익명화 및 사용할 암호화 정책
  • 처리 방식과 이유
  • 감사 또는 세무, 이력 또는 연구 목적 같은 법적 또는 규제적 사유의 존재 여부와 저장 이유
  • 삭제(또는 이동) 시기 및 삭제 또는 영구 삭제를 위한 프로토콜
  • 문서 삭제 또는 익명화 방법
  • 컴플라이언스 및 보존을 모니터링하는 담당자의 역할 및 책임

참고: 민감한 개인정보는 익명으로 처리될 수 있으며, 이로 인해 특정 데이터 세트의 보존 또는 삭제가 불가능해질 수 있습니다. 그러나 이 데이터가 다른 데이터 세트와 결합되어 식별이 가능해질 경우 삭제해야 합니다.

퓨어스토리지가 보존 전략을 지원하는 방법

퓨어스토리지는 포괄적인 전사적 보안 수단을 결합해 복잡성을 가중시키지 않으면서 GDPR과 기타 보안 요구사항은 물론 전 세계 데이터 컴플라이언스 요건을 충족할 수 있도록 지원합니다.

  • 안전한 데이터 전용 벙커를 사용해 계층화된 보존 데이터를 생성합니다.벙커 내부로는 통신이 가능하지만 벙커 외부로는 불가능하기 때문에, 벙커는 매우 안전한 위치가 될 수 있습니다.
  • 클라우드로 지원되는 원활한 데이터 이동성:더 이상 처리할 가치가 없는 데이터 세트를 포함해, 변화하는 비즈니스 요구사항을 지원할 수 있도록 워크로드를 원활하게 이동할 수 있습니다.
  • 데이터와 백업은 암호화나 삭제로부터 안전합니다.세이프모드 스냅샷(영문자료)은 우발적인 삭제, 크리덴셜 침해 또는 공격 중의 암호화로부터 데이터, 특히 중요한 백업을 보호해줍니다.
  • 현대적인 데이터 보호:퓨어스토리지는 랜섬웨어 위협에 대한 보안 및 신속한 복구 기능을 갖춘 현대적인 데이터 보호 솔루션을 제공합니다.
  • 가시성을 제공하는 단일 제어 창: 가장 중요한 데이터가 어디에 있는지 언제든 명확하게 파악할 수 있는 것이 중요합니다. 퓨어스토리지는 간단한 설정, 손쉬운 운영, 통합 제어 창을 통해 워크로드의 위치를 쉽게 확인할 수 있으므로 데이터 세트를 이동해 삭제할 수 있습니다.

가장 먼저 해야 할 일은 준법 감시인을 만나고, CISO를 포함해 모든 직원이 같은 방향을 바라볼 수 있도록 만드는 것입니다.

자세한 내용 “플래시어레이(FlashArray) 데이터 보안 컴플라이언스 백서(영문자료)에서 확인하실 있습니다.


[footnotes]
451 Research: 2021 Voice of the Enterprise: Storage Survey.
https://gdpr-info.eu/art-17-gdpr/
[/footnotes]