연락처

EU 규정 준수: GDPR(General Data Protection Regulation)

EU 국기 배너 - GDPR 규정 준수

EU 규정 준수 발전 사항

유럽 위원회가 제안한 GDPR(General Data Protection Regulation)은 유럽연합(EU) 내의 개인 데이터 보호 기능을 강화하고 통합하는 한편, EU 외부로 개인 데이터를 반출하는 문제를 다룹니다.

2015년 12월, GDPR 최종 마무리를 위한 합의가 이루어졌다는 발표가 나왔고 유럽연합 의회 표결을 거쳐 GDPR에 대한 규정 준수 기한이 2018년 5월로 결정되었습니다. GDPR 요구 사항과 더불어 이를 충족하는 데 필요한 내부적 업무 조정에 시간이 소요되는 만큼 조직에서는 지금 바로 규정 준수를 위한 계획 수립에 착수해야 합니다.  

GDPR의 주된 목적은 시민들에게 개인 데이터에 대한 통제권을 되돌려주려는 것입니다.  GDPR이 시행되면 유럽연합 전체에서 이전의 데이터 보호 규정과 기타 규정들이 조화롭게 잘 정비될 것입니다.

GDPR 규정 준수를 위한 보안 기술 - GQM GRC 백서 이미지

데이터 규정 준수 전문가들이 GDPR로 제기되는 보안 요구 해결

백서 받기

GDPR 규정 준수 요구 사항

이 EU 규정 준수 규정은 전 세계에 걸쳐 조직에 광범위한 영향을 미치게 됩니다. 

세이프 하버 협정이 무효화되면서, 유럽 시민의 개인 데이터를 내보내고 취급하는 미국 회사도 동일한 결과를 가져오는 새로운 요구 사항을 준수해야 합니다.

조직이 데이터 침해로 어려움을 겪는 경우, 새로운 EU 규정 준수 표준 하에서 침해의 심각도에 따라 다음을 적용할 수 있습니다.

  • 조직은 현지 데이터 보호 기관과 잠재적 소유자에게 침해된 기록에 대해 알려야 합니다.

  • 조직에는 전 세계 매출의 4% 또는 2,000만 유로의 벌금이 부과될 수 있습니다.

EU Stars그러나 GDPR은 조직 내에 적합한 보안 제어 기능이 배포되어있는지 여부를 바탕으로 예외를 인정합니다.  예를 들어, 침해를 당한 조직이 데이터에 대한 액세스 권한이 없는 모든 사람에게 암호화를 통해 데이터를 읽을 수 없는 상태로 제공하는 조직이면 기록 소유자에게 알릴 의무가 없습니다. 

조직이 “안전한 침해”가 발생했음을 입증할 수 있는 경우에는 벌금이 부과될 가능성도 감소됩니다.

GDPR 규정 준수 요구 사항을 해결하기 위해, 조직은 온프레미스 및 클라우드 인프라 환경에서 하나 이상의 다른 암호화 방법을 사용해야 할 수 있습니다. 여기에는 다음과 같은 방법이 포함됩니다.

  • 서버(파일, 애플리케이션, 데이터베이스, 전체 디스크 가상 컴퓨터 암호화를 통한 방법 등)

  • 스토리지(네트워크 연결형 스토리지 및 스토리지 영역 네트워크 암호화를 통한 방법 등)

  • 미디어(디스크 암호화를 통한 방법).

  • 네트워크(예: 고속 네트워크 암호화를 통한 방법)

또한, 암호화된 데이터를 보호하기 위해서만이 아니라 파일을 확실히 삭제하고 잊혀지는 사용자의 권리를 지키기 위해서도 강력한 키 관리가 필요합니다. 

조직은 사용자 ID와 트랜잭션의 합법성을 확인하고 규정 준수를 증명할 수 있는 방법도 필요합니다. 입증과 감사가 가능한 보안 제어를 갖추는 것이 매우 중요합니다.

젬알토는 중요한 데이터의 지속적인 보호와 관리 기능을 제공하기 위해 함께 작동할 수 있는 완벽한 데이터 보호 포트폴리오만 제공하며, 이는 GDPR 프레임워크에 매핑될 수 있습니다.

하나의 솔루션만으로 GDPR 규정 준수를 실현할 수는 없습니다. 거버넌스부터 계약 의무까지 규정의 범위가 매우 넓습니다. 그러나 젬알토의 SafeNet 솔루션 포트폴리오는 조직에서 이러한 규정으로 인해 제기되는 데이터 보안 의무를 준수하도록 도움을 드릴 수 있습니다.

법률 문서 곳곳에 보안 요구 사항에 대한 내용이 들어가 있습니다. 이러한 내용은 다음 주제로 분류할 수 있습니다.

GDPR은 적합한 경우에 한해 권한이 있는 사용자가 데이터에 액세스하고 데이터를 처리하도록 보장하는 데이터 제어 수단을 운영할 것을 조직에 요구합니다. 제어 요구 사항은 5, 25 및 32항에 수록되어 있습니다.

GDPR에 따른 조직의 의무:

  • 허가된 목적으로만 데이터 처리
  • 데이터 정확성과 무결성 보장
  • 대상의 신원 노출 최소화
  • 데이터 보안 조치 구현

사용자나 프로세스가 적합한 키를 제시하지 않는 한 암호화는 데이터를 판독 불가능한 상태로 유지합니다. GDPR에 따르면 이러한 간단한 제어 방법으로 허가된 용도로만 데이터 처리를 제한하고 데이터로 개인을 식별할 수 있는 시간을 제한할 수 있습니다. 암호화는 허가되지 않은 데이터 조작도 방지합니다. 데이터 액세스를 권한이 있는 사용자로 제한하고 키 사용을 모니터링하면 데이터가 무단으로 교환될 수 있는 가능성이 크게 줄어듭니다. 암호화와 액세스 제어를 적합하게 사용하는 조직은 데이터 무결성을 보장할 수 있습니다.

다단계 인증은 어떤 상황에서든 조직을 보호하는 1차적인 보호 수단입니다. 강력한 인증은 네트워크와 네트워크 내의 리소스에 액세스할 수 있는 사용자를 제어합니다. 각 개인에게 자격 증명을 할당하는 조직은 리소스에 대한 액세스를 추적하여 내부 위험을 모니터링할 수 있습니다. 다단계 인증은 또한 권한이 없는 사용자가 중요한 리소스에 액세스하는 것을 더욱 어렵게 만듭니다. 알려진 위협은 물론이고 알려지지 않은 위협에 대해서도 다단계 인증은 데이터 액세스에 대한 장벽을 높이므로 조직은 데이터 제어를 보다 쉽게 유지할 수 있습니다.

 
 

GDPR은 개인 정보 보호 서비스를 위한 보안 규정을 명시합니다. 보안 의무는 6, 25, 28 및 32항에 수록되어 있습니다. 서비스 대상의 개인 정보를 보호하기 위해 조직에서는 다음 사항을 구현해야 합니다.

  • 계획에 따라 기본적으로 데이터 보호
  • 파트너 및 서비스 제공자와의 계약 요구 사항에 따른 보안
  • 암호화 또는 가명 처리
  • 위험 평가에 대응한 보안 조치
  • 추가 처리를 위해 데이터를 유지해야 하는 경우 보호 수단

GDPR은 보안 요구 사항의 하나로 암호화를 구체적으로 명시합니다. 또한 조직은 위험 평가를 실시하고 발견된 위험을 경감시키기 위한 조치를 마련해야 합니다. 데이터와 관련된 모든 위험을 찾아낸다는 것은 현실적으로 불가능하고 경계 보안 접근 방식에도 허점이 존재하기 때문에 조직은 데이터를 암호화해 '침해 발생 시 데이터를 보호'해야 합니다. 암호화를 구현하면 보안 침해가 발생하더라도 데이터가 보호됩니다.

다단계 인증은 데이터 처리에 사용되는 네트워크 리소스에 대한 액세스를 제어할 수 있습니다. 데이터의 무단 처리를 방지하기 위해 조직은 첫 인스턴스가 완료된 후 추가적인 데이터 처리를 제한하는 인증 설정을 지정하고 변경할 수 있습니다. 조직의 위험 평가에서 발견된 위험을 줄이거나 타사 파트너와 공유 시 데이터에 대한 액세스를 보호할 수도 있습니다.

 

데이터가 수집된 후에도 피사용자가 해당 데이터에 대해 특정한 수준의 제어권을 요구할 수 있습니다. ‘삭제 권한’은 17 및 28항에 수록되어 있습니다. GDPR은 다음과 같은 경우에 조직이 모든 리포지토리에서 데이터를 완전히 삭제하도록 요구합니다.

  • 데이터 수집 대상이 데이터 활용 동의를 취소한 경우('잊혀질 권리')
  • 파트너 조직에서 데이터 삭제를 요청한 경우
  • 서비스 또는 계약이 종료된 경우

개별 사용자가 데이터에 대한 활용 동의를 취소하거나, 데이터를 공유한 조직이 공유를 중단하거나, 서비스 기간이 만료되면 조직에서는 관련 데이터를 완전히 삭제해야 합니다. 단순히 데이터를 삭제하는 것으로는 디스크에서 데이터가 완전히 제거되지 않기 때문에 이 요구 사항은 간단히 해결되는 일이 아닙니다. 이 요구 사항을 완전하게 준수하려면 데이터를 암호화한 다음 키를 삭제해야 합니다. 이러한 방법으로 삭제된 데이터는 완전하고 영구적으로 판독할 수 없게 됩니다.

 
 

조직은 개인 정보와 보안에 대한 위험성을 평가하고 발견한 정보를 토대로 개인 정보를 안전하게 보호하기 위한 적합한 조치를 취하고 있음을 입증해야 합니다. 이러한 의무는 2, 24 및 28항에 명시되어 있습니다. 위험을 줄이고 실사를 수행하기 위해 조직에서는 다음 작업을 수행해야 합니다.

  • 완전한 위험 평가 수행
  • 규정을 준수 함을 보장 및 입증하기 위한 조치 이행
  • 파트너와 고객이 규정을 준수하도록 능동적으로 지원
  • 완전한 데이터 제어 입증

조직이 파트너 혹은 타사 서비스와 계약을 맺더라도 데이터 보안에 대한 책임은 사라지지 않습니다. 오히려 서로간에 보안 유지와 위험 경감을 위해 협조해야 하는 계약상의 책임을 지게 됩니다. 암호화는 데이터를 직접적으로 보호하기 때문에 데이터의 안전이 보장되고 데이터가 조직의 수중에서 벗어난 후에도 원래 조직이 계속해서 제어권을 유지할 수 있습니다.

 
 

보안 침해로 인해 데이터 수집 대상의 권리와 개인 정보가 위협을 받을 경우 조직은 고객과 그 감독 기관에 이 사실을 알려야 합니다. 침해 알림 의무는 33 및 34항에 명시되어 있습니다. GDPR에 따라 조직은 다음과 같은 의무를 집니다.

  • 72시간 내에 감독 기관에 알림
  • 데이터 침해의 결과 설명
  • 데이터 수집 대상에게 직접 침해 사실 알림

침해로 인해 보호되지 않은 데이터가 노출될 경우, 해당 기관 및 해당 고객의 감독 기관에 이러한 사실을 알려야 합니다. 하지만 데이터가 암호화되었고 키 관리를 모범 사례를 따랐다면 이러한 알림 의무를 면제 받을 수 있습니다. 알림 의무는 데이터 수집 대상의 권리와 자유가 위험에 처했을 때만 요구됩니다.

 
 

젬알토가 제공하는 GDPR 전자책을 다운로드하여 GDPR의 주요 측면을 알아보고 이러한 요구 사항을 충족하기 위해 취해야 할 조치는 무엇인지 알아보십시오.

GDPR(General Data Protection Regulation) 확장판 전자책 이미지

GDPR(General Data Protection Regulation)

확장판 전자책 다운로드

EU 규정에 대해 자세히 알아보기

GDPR, 개인 정보 보호 및 적합한 보안 제어 적용 시작하기 - 웨비나

GDPR, 개인 정보 보호 및 적합한 보안 제어 적용 시작하기 - 웨비나

이 주문형 웨비나에서 (ISC)² 및 젬알토와 함께 새로운 'GDPR(General Data Protection Regulation): 배경'에 대해 알아야 할 사항, 변화되는 내용, 적합하게 따르지 않았을 경우의 피해, 보안상의 문제 등 다양한 주제를 알아보십시오.

온디맨드 웨비나 보기
EU 국기 축소판 그림 - GDPR 규정 준수 CTA(Call To Action)

GDPR 대비

물리적 및 가상 데이터 센터에서 클라우드까지 젬알토는 조직이 보호되고 규정을 준수한 상태로 데이터에 대한 제어권을 확보할 수 있도록 돕습니다. 젬알토 암호화 및 암호화 키 관리 제품을 통해 조직은 데이터베이스, 애플리케이션, 스토리지 시스템, 가상화 플랫폼 및 클라우드 환경에 있는 중요 데이터를 안전한 방식으로 보호할 수 있습니다.

GDPR 준수 지원을 위한 당사 문의

요청 정보

 

당사의 제품에 관심을 보여주셔서 감사합니다. 해당 항목들을 기재해주시면 Gemalto 에 대한 상세 자료나 Gemalto 전문가가 연락드리겠습니다.

 

개인 정보

* 이메일 주소:  
* 이름:  
* 성:  
* 회사:  
* 전화:  
* 국가:  
* State (US Only):  
* Province (Canada/Australia Only):  
* 시:  
내용:  
 

우리의 개인정보 보호 준칙에 기술되는 있는 바와 같이 다운로드를 클릭함은 젬알토로부터 이메일 수신을 동의한 것으로 인정됩니다.