컴플라이언스를 경쟁 우위로 전환하는 10가지 방법

유럽연합(EU)의 디지털 운영 복원력 법(Digital Operational Resilience Act, DORA, 영문자료)이 오는 1월부터 시행됩니다. 또한, 기업에게 데이터 보호 방식을 변경하도록 요구하고 규칙 위반 시 막대한 벌금을 부과하는 HIPAA, GDPR, CCPA, 통신(서비스) 법(영문자료)도 잊지 마세요.

그리고 미국 국립표준기술연구소(NIST)의 사이버 보안 프레임워크(CSF, 영문자료)도 있습니다. 올해 초 NIST는 2014년 이후 CSF에 대한 첫 번째 주요 업데이트 내용을 담은 버전을 발표했습니다.

이러한 규정과 프레임워크는 데이터 모니터링 개선과 데이터 및 개인정보 보호와 같은 안전장치를 통해 기업과 고객 모두를 위해 모든 것을 더 안전하게 만들기 위한 것입니다. 하지만 많은 기업이 이러한 새로운 규정과 프레임워크를 기회와 도약의 발판이 아닌 부담이나 장애물로 인식하고 있습니다.

퓨어스토리지 금융 서비스 부문 글로벌 전략 제휴 수석 아키텍트인 롭 글랜즈먼(Rob Glanzman)은 최근 웨비나 ‘촉매제로서의 컴플라이언스: 규제 도전 과제를 기회로 전환하기(영문자료)’에서 “우리가 무언가를 해야 한다면, 유용하게 만들어야 합니다.”라고 말했습니다.

컴플라이언스를 경쟁 우위로 전환하는 것에 대해 논의할 내용은 많습니다. DORA, GDPR, HIPAA와 같은 규제는 변화하는 사이버 위험을 반영하여 유동적으로 진화합니다. 따라서 이러한 규정은 사이버 및 데이터 복원력의 게이트키퍼와 같은 역할을 하며, 가장 복원력이 뛰어난 기업만이 사이버 복원력을 달성하여 생존하고 번영할 수 있도록 지원합니다.

컴플라이언스를 복원력 및 수익 보호로 전환하여 기업의 필수 요소로 만드는 것이 무엇을 의미하는지 알아보세요.

컴플라이언스 위반으로 인한 비용

먼저, 컴플라이언스는 보안을 보장하지 않습니다(영문자료). 모든 최고 정보 보안 책임자(CISO)가 말하듯(영문자료), 사이버 범죄자들은 기업이 컴플라이언스를 달성하는 방법에 대해 신경 쓰지 않습니다. 하지만 많은 사이버 범죄자들이 간과하는 점은, 만약 기업이 컴플라이언스에 전혀 신경을 쓰지 않고 DORA 및 NIST CSF 2.0과 같은 기준이 존재하지 않았다면, 그들의 일이 얼마나 더 수월하고 쉬웠을 지 모른다는 것입니다.

예를 들어, CSF 2.0에는 첫 번째 버전에서 몇 가지 사항이 추가되어 조직 문제, 리스크 관리 및 정책, 기업이 컴플라이언스 수준을 측정하는 데 도움이 되는 가이드라인, 다른 사이버 보안 표준에 대한 추가 매핑 및 레퍼런스, 구현에 도움이 되는 새로운 지침 등이 포함되어 있습니다. 이는 중요한 인프라를 넘어 안전한 공급망 구축을 촉진합니다.

컴플라이언스를 달성하는 기업은 보안 측면뿐만 아니라 수익 측면에서도 유리합니다. 전 세계 1,300명 이상의 비즈니스 리더와 3,000명의 고객을 대상으로 한 McKinsey 설문조사(영문자료)에서 다음과 같은 결과를 확인할 수 있었습니다:

• 전체 응답자의 40%가 데이터 침해 이후 더 이상 기업과 협력하지 않았습니다.
• 전체 비즈니스 응답자의 52%가 데이터 침해 이후 해당 기업과의 협력을 중단했습니다.
• 전체 응답자의 10%는 지난 12개월 동안 데이터 침해가 발생한 회사와의 협력을 중단했습니다.

컴플라이언스 위반으로 인한 대가는 무엇일까요?

보안, 수익, 평판, 고객 손실입니다.

대응 태세를 갖추는 방법

이제 컴플라이언스 위반은 선택 사항이 아니라는 사실을 확인했으니, 규모나 산업에 관계없이 컴플라이언스를 최우선 순위로 삼고 비즈니스의 필수 요소가 되도록 하기 위해 지금 바로 시작할 수 있는 변화를 살펴봐야 합니다.

1. 데이터 클린룸

‘데이터 클린룸(영문자료)’에 대한 이야기가 점점 더 많이 들리고 있습니다. 데이터 클린룸은 여러 당사자가 민감한 정보나 개인 식별 정보(Personally Identifiable Information, PII)를 직접 노출하거나 공유하지 않고도 데이터 세트를 공유하고 분석할 수 있는 안전하고 통제된 환경입니다. 이를 통해 광고주, 퍼블리셔 또는 브랜드와 같은 조직은 엄격한 개인정보 보호 및 보안 제어를 유지하면서 결합된 데이터 세트에서 협업하고 인사이트를 얻을 수 있습니다. 클린룸은 개인정보의 노출을 제한하는 방식으로 데이터를 처리하기 때문에 조직이 GDPR 또는 CCPA와 같은 데이터 보호법을 준수하는 데 도움이 됩니다.

2. 데이터 최소화

데이터를 최소화하면, 침해 발생 시 조직의 리스크가 줄어들고 GDPR의 ‘데이터 최소화’ 원칙에 부합합니다. 특정 목적에 필요한 데이터만 수집하고 개인정보를 익명화 또는 가명화하여 노출을 줄이세요.

3. 데이터 주체 권한 관리

GDPR은 개인이 이러한 권리를 행사할 수 있는 능력과 컴플라이언스를 신속하게 달성할 수 있도록 준비를 갖출 것을 요구합니다. 개인정보의 액세스, 수정, 삭제 및 이동 등의 데이터 주체 요청 관리 프로세스를 개발하세요.

4. 정기 데이터 검사 및 기록 보관

GDPR과 같은 규정은 개인정보가 처리되는 위치와 방법에 대한 명확한 기록을 의무화하고 있으며, CSF 2.0 지침은 보안 인시던트의 로깅과 보고를 강조합니다. 데이터 인벤토리 또는 매핑 툴을 도입하여 조직 내 모든 데이터 흐름에 대한 실시간 오버뷰를 유지합니다. 데이터 처리 작업에 대한 정기적인 내부 검사를 실행하고 상세한 기록을 유지하세요.

5. 데이터 암호화 및 다단계 인증(MFA)

다양한 산업, 국가, 지역에서 요구하는 데이터 보호 및 컴플라이언스 규제가 강화됨에 따라 기업은 높은 수준의 기본 보안 및 암호화 기능을 갖춰야 합니다. 전송 중이거나 저장 중인 민감한 데이터를 암호화하고, MFA를 포함한 강력한 액세스 제어 정책을 시행하세요. 플래시어레이(FlashArray)가 복잡하지 않게 높은 수준의 기본 보안 및 암호화를 달성할 수 있도록 지원하는 방법(영문자료)을 알아보세요. 암호화가 비용 효율적인 DORA 컴플라이언스의 핵심인 이유(영문자료)에 대해 자세히 확인해 보세요.

6. 인시던트 대응 및 침해 알림 계획

퓨어스토리지 금융 서비스 부문 글로벌 전략 제휴 수석 이사 마이클 루소(Michael Russo)는 최근 ‘촉매제로서의 컴플라이언스’ 웹 세미나에서 “점점 더 많은 기업들이 얼마나 많은 시스템을 보유하고 있는지, 그 중 얼마나 많은 시스템이 중요한지, 그리고 경우에 따라서는 일이 치명적으로 잘못되었을 때 해당 시스템에 대한 액세스 권한이 얼마나 많거나 적은지에 대한 현실을 심각하게 인식하고 있다고 생각합니다.”라고 전했습니다.

GDPR은 엄격한 기한(예: GDPR에 따라 72시간) 내에 침해 통보를 하도록 요구하고 있으며(NIST CSF 2.0에서는 권장), DORA는 인시던트 발생 시 운영 복원력에 중점을 두고 있습니다. 신속하게 대응하고 피해를 완화할 수 있도록 준비하는 것이 핵심입니다. 자세한 침해 보고 일정과 절차가 포함된 명확한 사고 대응 계획(IRP)을 구현하세요.

7. 데이터 보호 책임자(DPO) 임명하기

데이터 보호법 컴플라이언스를 감독할 책임이 있는 DPO를 임명하거나 부서 간 데이터 거버넌스 팀을 구성하세요. DPO는 규제 기관의 연락 창구 역할을 하며 조직의 데이터 정책이 법적 요건에 부합하는지 확인합니다. 또한 이 팀은 여러 부서에서 데이터가 올바르게 처리되는지 확인할 수 있습니다.

8. 직원 교육 및 인식 제고

인적 오류는 데이터 유출의 주요 원인 중 하나입니다. 정기적인 교육은 직원들이 피싱 위협, 비밀번호 보안, 데이터 개인정보 보호법의 중요성을 인식하는 데 도움이 됩니다.

9. 데이터 수명 주기 관리

GDPR 및 기타 규정에 따라 조직은 수집 목적에 필요한 기간 동안만 데이터를 보관해야 합니다. 적절한 폐기 절차는 리스크를 최소화합니다. 더 이상 필요하지 않은 데이터에 대한 안전한 삭제 정책을 포함하여 전체 수명 주기 동안 데이터를 관리하는 절차를 수립하세요.

10. 팀 간 협업

부서 간 커뮤니케이션은 조직 전반의 데이터 보안을 위한 핵심 요소입니다. 데이터는 모든 곳에서 유입되고 CISO는 모든 진행 중인 상황을 파악해야 합니다. 이는 협업을 통해서만 가능합니다. 팀 간 협업을 통해 사이버 복원력을 갖춘 미래를 구축하는 방법(영문자료)에 대해 자세히 알아보세요. 

퓨어스토리지와 사이버 복원력의 이점

퓨어스토리지는 기업이 컴플라이언스 뿐만 아니라 사이버 복원력을 확보하여 장애 발생 시 신속하게 복구하고, 사이버 공격으로 인한 피해를 최소화 또는 제거할 수 있도록 지원하는 데 중점을 두고 있습니다.

글랜즈먼은 “이제는 정전이나 허리케인 같은 재해를 대비하는 것처럼 그렇게 간단하지 않습니다”라고 말하며, “이제 우리는 중요한 체인의 일부는 영향을 받았고 다른 일부는 영향을 받지 않은 시점으로 돌아가고 있기 때문에, 언제 이를 복구할지, 그리고 언제 CISO 또는 규제 기관에서 안전한 것으로 지정할지 상황을 살펴야 합니다.”라고 전했습니다.

데이터 보호에 대해 자세히 알아보세요. ‘데이터 보호를 위한 확실한 가이드’를 다운로드하세요.