[디지털데일리 최민지기자] 오는 5월25일 유럽 일반개인정보보호법(GDPR)이 본격 시행된다. 이제 글로벌 기업은 주민등록번호, 사회보장번호, 이메일 주소, 생년월일 등 개인 식별 정보가 어디에 어떻게 저장되고 사용되는지 정확히 이해해야 한다.
SAS의 최근 조사에 따르면 45%의 기업만이 GDPR 준수를 위한 구조적인 계획을 수립했으며, 절반 이상인 58%는 불이행 때 초래되는 결과에 대해 완벽하게 인지하지 못했다. GDPR 위반 때 최대 2000만유로 또는 전 세계 연간 매출액의 4% 중 더 높은 금액을 과징금으로 부과한다.
이에 SAS는 글로벌 기업들의 GDPR 대응을 위해 솔루션을 제시하면서 기회를 엿보고 있다. ‘SAS 포 퍼스널 데이터 프로텍션(SAS for Personal Data Protection)’ 솔루션 기반으로 기업이 전체 데이터 라이프사이클에 걸쳐 개인정보 위치를 파악한다. 또, 개인정보로 취급되는 데이터, 해당 정보에 접근할 수 있는 사용자, 관련된 모든 사용자 활동을 기록하고 보호하도록 지원한다.
기업은 데이터 소유권과 데이터가 기업 내 다른 요인들과 어떻게 연관돼 있는지에 대한 개인정보 보호 규칙을 수립할 수 있다. SAS 솔루션을 이용해 개인정보 기록의 이력과 출처를 파악하고, 데이터를 특정 방식으로 사용할 때 유발되는 위험 노출을 진단·평가하고, 보안 침해 발생 때 이를 기록해 독립 기관에 통보하도록 한다.
실제 SAS는 GDPR에 대응하는 기업들을 대상으로 솔루션 공급에 성공한 사례도 확보했다. 100만명 이상의 개인·기업 고객을 보유한 그리스 민간보험사 인터아메리칸(Interamerican)은 ‘SAS 포 퍼스널 데이터 프로텍션(SAS for Personal Data Protection)’을 이용해 방대한 고객 정보를 보호하고, GDPR에 대처하고 있다. 양사는 정보와 데이터의 가용성, 완전성, 정확성 측면에서 기존 정책과 절차를 개선하고 있다.
인터아메리칸은 GDPR을 준수하기 위해 먼저 새로운 규제의 요건과 영향력을 분석하고, 구체적인 대응 계획 수립에 대한 고위 경영진의 승인을 받았다. 이후 데이터 거버넌스, 데이터 관리, 데이터 소유 등 기존 역할을 강화하고, 데이터 보호 책임자(DPO), 데이터 트래픽 관리자와 같은 새로운 프로젝트 직책을 만들었다. 또 명확한 GDPR 프로젝트를 위해 사전 예산을 할당했다.
기업의 현재 상태와 준비 정도를 파악하고, 필요한 조치의 우선순위를 정했다. 동시에 GDPR에 대한 전 직원의 인식을 높이기 위해 퀴즈 프로그램, CEO 메시지, 포스터 등 관련 활동을 시작했다.
또한, 데이터 침해와 외부 데이터 제공 요청에 대한 새로운 보안 정책을 구현해 명확한 리스크 평가 및 데이터 침해 관리 프레임워크를 구축했다. 기본적인 기업 프라이버시 원칙에 따라 모든 정책, 프로세스, 시스템도 설계했다.
SAS는 인터아메리칸이 새로운 GDPR 요건을 준수하기 위해 기존 데이터 거버넌스 프레임워크를 성공적으로 확장하고, 동시에 데이터 생태계에 투자함으로써 여러 개선의 기회를 얻었다고 평가했다.
이와 함께 유럽 5대 통신사인 텔리아컴퍼니 자회사인 텔리아덴마크는 ‘SAS 포 퍼스널 데이터 프로텍션(SAS for Personal Data Protection)’을 이용해 여러 레거시 데이터 소스에 저장된 개인 정보의 위치와 내용을 식별하고 GDPR에 대응하고 있다.
GDPR 규정에 따라 기업은 개인정보를 획득하고 저장하기 위한 프로세스는 물론 모든 개인 정보를 식별하고 추출할 수 있는 역량을 문서화해야 한다. GDPR 규정이 완전히 시행되면 EU 거주민은 누구나 기업에 개인 정보가 포함된 기록의 공개, 이전, 삭제 요청을 할 수 있다.
특히 통신사는 전화번호는 물론 SIM 카드 번호, IMEI 또는 IMSI 번호 등 기타 여러 가지 고유 방식을 통해 고객을 식별할 수 있기 때문에 데이터 탐색 작업이 매우 복잡하다. 이에 텔리아덴마크는 자사 시스템에서 모든 개인정보 위치와 내용을 식별할 수 있도록 데이터 탐색 프로세스와 일련의 규칙 파일을 구성했다.
기업은 GDPR을 준수하기 위해 자체 시스템 내에서 모든 개인정보 위치와 내용을 식별할 수 있어야 한다. 텔리아덴마크는 ‘SAS 페더레이션 서버(SAS Federation Server)’를 기반으로 SAS 포 퍼스널 데이터 프로텍션 솔루션을 활용해 개인 정보가 포함된 여러 개별 IT 시스템에서 데이터 탐색 프로세스를 수행한다.
SAS 페더레이션 서버를 기반으로 데이터를 저장하는 모든 시스템을 통합하기 위한 프로젝트를 시작, 알고리즘을 활용해 개인정보로 식별해야 하는 20여개의 연관된 데이터 카테고리를 정의했다. 이 기능으로 표준화된 보고서를 만들 수 있다. 즉, 고객이 파일 삭제 권한을 행사하면 모든 텔리아덴마크 시스템에서 삭제 명령어를 생성할 수 있다.
GDPR은 막대한 과징금 등과 같은 징벌적 규제로만 오해하기 쉬운데, 데이터를 올바르고 안전하게 활용할 수 있도록 하는 점도 있다. 이에 제대로 된 프로세스만 갖춘다면 긍정적 혜택을 경험할 수 있다.
텔리아덴마크는 이 프로세스를 통해 높은 데이터 품질을 달성하고 있다고 자평하고 있다. 해당 통신사에서 관광객의 데이터 로밍비용을 청구하려면 정확한 정보를 확보해야 하는 데이터 품질이 필요하다. 그렇지 못하면 관련 비용을 통신사에서 처리해야 하기 때문에 경제적 혜택도 누리고 있다는 것이다.
아울러, 기업은 GDPR에 따라 고객과 직원의 개인정보를 어떻게 취급하고 있는지에 대한 투명한 프로세스를 수립하고 내부 이해관계자들이 현 상태를 한눈에 파악할 수 있도록 해야 한다. 더 이상 유효하지 않거나 관련 없는 개인정보는 삭제해야 한다. 텔리아의 법무 부서는 ‘SAS 비주얼 어낼리틱스(SAS Visual Analytics)’의 대시보드 기능을 이용해 전체 기업 시스템의 개인정보 위치를 손쉽게 볼 수 있다.
아르투로 살라자르 SAS 수석 비즈니스 솔루션 매니저는 “성공적인 데이터 관리 프로그램의 첫 번째 단계는 데이터에 접근하고 위치를 파악하는 것”이라며 “SAS는 기업의 데이터 거버넌스, 보호, 감사에 대한 추가적인 요구사항을 적합한 사람이 데이터에 접근하고 보호할 수 있도록 보장한다”고 말했다.