실시간
뉴스

보안

D-22…‘GDPR’ 대응 위한 효율적인 데이터 관리 방안은?

[디지털데일리 백지영기자] 오는 25일 유럽연합(EU)의 개인정보보호법(GDPR)이 시행된다. 불과 22일 남았다. 하지만 글로벌 데이터분석업체 SAS에 따르면 우리나라 뿐만 아니라 전세계 93%의 기업이 GDPR을 완전히 대비하지 못한 것으로 분석됐다. 지난해 GDPR 준비 현황을 조사한 밴슨본은 약 61%의 국내 조사기업이 GDPR 시행 시점 이내에 대비를 마치지 못할 것이라는 결과를 발표한 바 있다.

GDPR은 EU에 사업장을 보유하거나 유럽 거주 시민의 개인정보를 처리하는 모든 기업을 대상으로 강화된 개인정보보호 규정이 적용된다. 위반 시 연간 전세계 매출액의 4% 또는 2000만유로(한화로 약 258억원) 중 더 높은 금액을 과징금으로 부과한다.

이에 따라 기업은 폭증하는 데이터를 보다 안전하게 보호하면서 비즈니스 성장을 위해 데이터 활용을 극대화해야 하는 과제를 안게 됐다. 엄격한 개인정보보호 규제가 적용되는 금융 및 의료 산업 분야에서도 컴플라이언스 준수와 더불어 효과적인 데이터 저장, 관리 및 통제 방법을 도입해 미래 시장에서도 지속 가능한 경쟁력을 확보해야 한다.

그러나 앞서 언급된대로 이에 대한 대응은 제대로 이뤄지지 않고 있다. 특히 기술적 준비가 미흡한 것으로 나타났다. 밴슨본에 따르면 당시 조사기업의 40%가 실시간 데이터베이스(DB) 모니터링 툴이 없어 데이터 관리가 불가능하며, 29%가 관련 데이터를 식별하고 정확한 위치를 파악하는 것이 어렵다고 밝힌 바 있다.

이에 따라 GDPR의 까다로운 요건을 충족시킬 수 있는 민첩하고도 유연한 데이터 관리 솔루션들이 주목 받고 있다. 업계 전문가들은 기업들의 기존의 데이터 거버넌스 전략과 스토리지 아키텍처로는 GDPR의 과제를 해결하기 어렵다고 말한다. GDPR은 신상정보 및 온라인 정보를 포함한 개인정보에 대한 보유기간, 처리, 정확성, 무결성 등의 원칙을 명시하면서 철저한 관리를 요구한다.

즉, 정보 주체의 개인정보 조회 요청 시 분산된 스토리지 시스템에서 개인정보 데이터를 검색하여 사용 내역을 공개해야 하며, 폐기 요청 시에는 관련된 모든 정보를 삭제할 수 있어야 한다. 또한, 데이터 침해가 발생해 개인정보가 손실 또는 파괴된 경우 72시간 안에 개인정보 기록 범위, 침해 성격, 담당자 연락처, 예상 결과 및 조치를 포함한 사항을 통보해야 한다.

효성인포메이션시스템의 히타치콘텐트플랫폼(HCP)
효성인포메이션시스템의 히타치콘텐트플랫폼(HCP)

스토리지 기업 효성인포메이션시스템 측은 “이러한 GDPR에 대비하기 위해서는 지능적이고 유연한 데이터 보호 시스템이 시급하다”며 “자동화된 툴을 사용해 온프레미스 및 클라우드 환경을 아우르는 기업의 모든 시스템에서 데이터의 양과 유형을 파악하고, 관련 데이터를 검색 및 분석하는 컨설팅을 제공하고 있다”고 설명했다. 기업 내외부의 데이터 보안 상황을 검토하며, 액세스 권한 및 보존기간 설정, 엔드-투-엔드 감시 기능으로 데이터의 무결성과 진본성을 입증도 중요하다.

이러한 솔루션들은 온프레미스(레거시) 시스템 뿐만 아니라 클라우드 환경의 방대한 규모의 데이터에 대한 컴플라이언스를 충족시킬 수 있도록 포괄적이고 체계적인 데이터 관리 프로세스의 수립을 목표로 하고 있다.

효과적인 GDPR 대응 전략은 낮은 수준의 프로세싱으로 인해 문제가 있는 데이터를 발견하기보다, 높은 수준의 프로세싱에 초점을 둔다. 이를 통해 데이터의 품질을 높이고 혁신적인 분석을 지원함으로써 비즈니스 경쟁력을 향상시킬 수 있다는 설명이다.

히타치 밴타라와 효성의 합작사인 효성인포메이션의 경우 GDPR을 비롯, 전 세계적으로 점차 강화되는 컴플라이언스 이슈에 대응하기 위해 오브젝트 스토리지인 ‘히타치 콘텐트 플랫폼(HCP)’과 빠른 정보 검색 및 분석이 가능한 ‘히타치 콘텐트 인텔리전스(HCI)’ 솔루션을 제안하고 있다. HCP는 데이터의 대부분을 차지하는 비정형 데이터를 안전하게 보관하고 활용하기 위한 전용 스토리지 플랫폼이다. HCI와 결합해 파일 보관 및 관리, 개인정보가 포함된 파일 검색 및 마스킹 등을 쉽게 구현할 수 있는 것이 특징이다.

또한, HCP는 데이터 뿐만 아니라 그 속성 정보를 담은 메타데이터를 생성해 함께 보관하고 관리한다. 이러한 오브젝트 스토리지 기술을 사용하면 검색과 분석이 쉽지 않은 비정형 데이터에 정형성을 부여하게 돼 DB 없이도 많은 양의 콘텐츠를 간편하게 저장, 활용할 수 있다.

데이터의 물리적 위치와 상관없이 강화된 데이터 가시성, 자동화 및 정책 기반 관리를 제공하는 것도 효율적이다. 여러 파일 서버에 데이터 자산을 분산시키는 대신, 하나의 스토리지 풀을 제공하므로 폭증하는 비정형 데이터의 검색 및 분석이 용이하다.

이와 함께 HCP의 WORM(Write Once Read Many) 기능은 데이터의 무단 변조를 금지하고 파일을 안전하게 보호해 데이터의 무결성을 보장해 준다. 데이터가 어떤 방식으로든 변경되면, 완전히 새로운 오브젝트가 생성 및 저장되므로 파일 원본과 함께 언제나 수정된 사항을 확인할 수 있다. 여기에 액세스 권한을 설정해 허가되지 않은 액세스로부터 데이터를 보호한다. HCP의 고급 암호화 기술은 파일마다 고유의 식별ID를 제공하는 해시 키(HASH Key)를 생성하여 함께 보관한다. 이는 파일의 진본성과 무결성을 입증하는 데 효과적이라는 설명이다.

메타데이터를 통해 컴플라이언스 요구사항에 부합하는 데이터 보존기간도 설정할 수 있다. 이를 통해 기업은 데이터의 중요도와 활용 가치에 따라 보존기간에 대한 정책을 유연하게 적용할 수 있게 된다. 컴플라이언스 모드를 설정하면 강력한 데이터 보호가 적용되며, 보존주기 내에서는 어떠한 파일 삭제 시도도 불가능하다. 엔터프라이즈 모드는 보다 유연하여 특별 권한을 가진 사용자에 의한 삭제나 보존기간 변경 등이 제한적으로 허용된다.

보존기간이 지나면 모든 시스템에서 파일 블록 전체에 특정 값과 무작위 값을 여러 번 덮어쓰기를 하여 데이터를 삭제하므로, 완벽한 논리적 디지털 파쇄를 구현할 수 있다. 데이터의 수명 주기 전반에 걸쳐 모니터링을 하기 때문에 데이터 삭제 작업은 모두 기록 및 관리된다고 효성 측은 밝혔다.

효성 이외에도 베리타스, 컴볼트 등의 기업이 데이터 위치 파악이나 현황분석 가시화 또는 통합 정보관리 아키텍처 등을 제공한다. 베리타스의 ‘360 데이터 관리 솔루션’은 ▲데이터 위치 파악을 위한 ‘인포메이션 맵’ ▲데이터 사용 현황 분석 및 가시화를 위한 ‘데이터 인사이트’ ▲데이터 수집 및 분석을 위한 ‘e디스커버리 플랫폼’ ▲데이터 백업 솔루션 ‘넷백업’ ▲클라우드를 위한 소프트웨어 정의 스토리지 ‘인포스케일’ ▲개인정보 위협 모니터링을 위한 ‘데이터 인사이트’ 등을 제공한다.

컴볼트는 GDPR 준수를 위한 통합 정보관리 아키텍처를 통해 온프레미스뿐 아니라 클라우드 환경에 집중화된 데이터 거버넌스를 적용한다. 데이터 관리, 검색, 백업, 복구, 아카이빙, 관리 거버넌스 등을 단일한 플랫폼에서 제공하는 것이 특징이다.

<백지영 기자>jyp@ddaily.co.kr

디지털데일리 네이버 메인추가
x