데이터 보호에 대한 거시적 접근법이란?
Gartner®의 연구는 2024년까지 전 세계 인구 중 75%의 개인 데이터에 현대적인 개인정보 보호 규정이 적용될 것이라고 예측합니다.¹ 데이터 리더가 할 일은 중요한 데이터에 액세스하는 동시에 이를 보호하기 위해 점점 더 복잡해지는 정책과 기술에 대해 알아보는 것입니다. 데이터 보호는 개인정보 보호, 규정 준수, 데이터 보안, 데이터 윤리를 아우르는 포괄적인 용어입니다. 데이터 보호와 사이버 보안에 거시적인 접근법을 취하면 랜섬웨어를 포함한 사이버 공격을 방어하고, 규정을 준수하여 많은 비용을 초래하는 벌금을 피하고, 신뢰할 수 있는 AI를 제공하고, 탁월한 고객 경험을 제공할 수 있습니다.
2022년에 데이터 침해 비용은 평균 435만 USD에 도달하여 그 어느 때보다 높은 수치를 기록했습니다.² 이 비용에는 브랜드 평판과 고객 충성도와 관련된 숨겨진 비용이 포함되지 않습니다. 고객은 개인 데이터를 보호하기 원하므로 정책 입안자는 새로운 데이터 프라이버시 규정을 제정하여 대응해 왔습니다. 이러한 새로운 데이터 규정 준수의 시대에 대비하지 않은 조직은 큰 대가를 치를 수 있습니다. GDPR, CCPA, LGPD와 같은 규정들이 추가로 등장하면서 전반적인 데이터 전략에 거시적인 데이터 보호를 반영할 것을 전 세계가 조직들에게 기대하고 있습니다.
이러한 접근법은 단순히 데이터 수집 방식을 확인하고 규정을 준수하여 데이터를 기밀로 보호하는 것에만 관심을 두지 않습니다. 이 접근법은 현재 전 세계에서 중요한 데이터가 사용되는 방식도 이해하고자 합니다. 이에 따라 조직은 다음과 같은 질문을 해봐야 합니다. 이 데이터를 수집하는 것이 윤리적입니까? 이 정보로 무엇을 하려고 합니까? 수집되는 데이터의 소유자에게 우리의 의도를 알려주었습니까? 얼마 동안, 그리고 어디에 이 데이터를 보관할 계획입니까? 리스크 관리와 멀웨어의 발전 속도를 따라잡고 있습니까? 데이터 수집 업무를 수행하는 사람(특히 조직의 경영진)이라면 누구나 이와 관련된 대화에 능숙하게 대처할 수 있어야 합니다.
"그것은 상부에서부터 시작됩니다."라고 IBM의 신뢰할 수 있는 데이터 및 프라이버시 엔지니어링 전략 및 솔루션 부문 수석 엔지니어이자 CTO인 Neera Mathur는 말합니다. "IBM의 CEO인 Arvind Krishna는 '신뢰는 우리의 사업 운영을 허가해 준 면허증입니다.'라고 말한 것으로 유명합니다. 저는 이 말이 모든 것을 말해 준다고 생각합니다. 개인이 IBM에게 데이터를 제공하고 IBM이 이 데이터를 적절하고 윤리적으로 보호하여 적절하게 관리하면 우리와 협력하는 사람들로부터 더 큰 신뢰를 받을 수 있습니다. 제가 생각하기에 책임은 상부에서 시작되어 비즈니스의 모든 부문으로 확산된다고 생각합니다."
Gartner®의 연구는 2024년까지 전 세계 인구 중 75%의 개인 데이터에 현대적인 개인정보 보호 규정이 적용될 것이라고 예측합니다.¹
2022년에 데이터 침해 비용은 평균 435만 USD에 도달하여 그 어느 때보다 높은 수치를 기록했습니다.²
IBM의 CEO인 Arvind Krishna는 '신뢰는 우리의 사업 운영을 허가해 준 면허증입니다.'라고 말한 것으로 유명합니다. 저는 이 말이 모든 것을 말해 준다고 생각합니다. 개인이 IBM에게 데이터를 제공하고 IBM이 이 데이터를 적절하고 윤리적으로 보호하여 적절하게 관리하면 우리와 협력하는 사람들로부터 더 큰 신뢰를 받을 수 있습니다. 제가 생각하기에 책임은 상부에서 시작되어 비즈니스의 모든 부문으로 확산된다고 생각합니다.
Neera Mathur
신뢰할 수 있는 데이터 및 프라이버시 엔지니어링 전략 및 솔루션 부문 수석 엔지니어, CTO
IBM
데이터 보호의 구성 요소
데이터 윤리, 데이터 프라이버시, 데이터 보안이라는 세 가지 주요 구성 요소는 데이터 보호라는 공통 분모를 가지고 함께 작용하여 계속 변화하는 규정과 비즈니스에 대한 기대치를 충족하도록 설계된 유연한 프레임워크를 지원하고 사용자의 신뢰를 지속시킵니다.
구성 요소 #1
소개
데이터 윤리
데이터 보호를 보는 조직의 문화적 시각은 데이터 프라이버시 및 보안 정책의 제정 및 실행 방식을 결정합니다. Harvard Business School은 "데이터 윤리"를 개인 식별 정보의 수집, 보호, 사용과 관련된 도덕적 책임 그리고 이러한 행위가 끼치는 영향으로 정의합니다.³ 책임성 있는 방식으로 데이터 관련 결정을 내리고 신뢰할 수 있는 AI를 장려하려면 다음과 같은 데이터 윤리 원칙을 고려하십시오.
소유권
소유권
데이터 윤리를 올바르게 실천하려면 먼저 사용하려는 데이터의 소유자가 누구인지 알아야 합니다. 사용자가 여러분에게 데이터를 주었다고 해서 여러분이 데이터의 소유자가 되는 것은 아닙니다. 동의를 반드시 받아야 하며 데이터 보호와 데이터 존중을 반드시 실천해야 합니다. 데이터 무결성을 지키려면 데이터를 남용해서는 안 되며 데이터 사용을 마친 후에는 해당 데이터를 폐기해야 합니다.
투명성
투명성
데이터 보호에서 투명성이라는 용어는 고객에게 데이터 사용 방식을 분명히 밝히는 것을 뜻합니다. Pew Research Center에 따르면, 사람들 중 81%가 데이터 수집으로 인해 발생 가능한 리스크가 이득보다 더 크다고 말한다고 합니다.⁴ 이와 같이 과거부터 존재해온 불신을 극복하려면 조직이 데이터를 선의에 따라 적절하게 사용할 것이라고 안심할 수 있도록 사용자에게 고객 데이터의 목적과 라이프사이클을 이해시키십시오.
프라이버시
프라이버시
회사가 정보를 수집하여 저장하고 이를 분석하는 경우, 원래 목적 이외의 목적으로 이 정보를 사용, 저장, 공유, 관리, 보관 또는 폐기해서는 안 됩니다. 이 경우 데이터 윤리와 보안 정책을 강화하기 위해 데이터 프라이버시 전략이 다시 필요하게 됩니다.
의도
의도
여러분의 조직이 솔루션 제공업체든, 디지털 제공업체든, 데이터와 기계의 지능을 사용할 때는 목적을 항상 분명히 해야 합니다. 신뢰할 수 있는 AI는 데이터와 기술이 함께 작동하는 방식과 AI가 특정 결정을 내리는 이유를 사용자에게 이해시킵니다. 설명용 툴키트, AI 기법 분류 체계 및 AI 거버넌스 솔루션과 같이 AI에 대한 신뢰를 높여주는 툴은 사용자가 여러분의 의도를 이해하도록 도와줍니다. 이를 통해 사용자는 기술, 프로세스 그리고 데이터 사용의 결과를 신뢰할 수 있습니다.
예방
예방
데이터 침해, 랜섬웨어 공격, 오류는 고객에게 유해하며, 고객이 여러분의 조직에 대해 가진 인내심, 충성심 그리고 신뢰를 시험할 것입니다. 이러한 문제가 발생할 수 있으므로 리스크 관리 안전 장치를 마련하는 것이 필수적입니다. 한 IBM 연구에 따르면 보안 전략의 일환으로 AI와 자동화를 충분히 활용하는 기업은 그렇지 않은 기업에 비해 데이터 침해 비용을 평균 305만 USD를 절약하는 것으로 나타났습니다.
구성 요소 #2
소개
데이터 개인정보 보호
데이터 윤리는 데이터 관리를 위해 원칙에 기초하여 행동하고 관행을 따르는 기업 문화를 확립하고자 합니다. 이러한 윤리 및 데이터 리터러시의 문화가 조직 전반에서 채택되고 제품과 운영에 반영되는 것이 이상적입니다. 반면 데이터 프라이버시는 사람, 비즈니스 프로세스, 기술을 통해 이러한 원칙에 기초한 행위를 활성화하는 정책과 관행을 정의하고, 이들을 수집부터 저장까지 데이터 라이프사이클 전반에 걸쳐 작동시키고자 합니다. 이 방법은 데이터 패브릭 접근법의 일환으로 견고한 데이터 거버넌스 프레임워크를 생성하고 자동화하는 일의 핵심을 구성합니다.
데이터 거버넌스는 프라이버시를 위해 데이터에 대한 액세스를 제한하는 것과 분석 향상을 위해 데이터에 대한 액세스를 넓히는 것 사이의 균형을 유지하는 데 도움을 줍니다. 데이터를 원활하게 사용하도록 지원하는 동시에 무단 액세스로부터 보호하려면 데이터 액세스 제어와 같은 적절한 데이터 프라이버시 툴을 활용해야 합니다. 그리고 이러한 툴을 AI와 결합하십시오. 예를 들면, 중요한 데이터를 식별하지 않고 사용할 수 있도록 익명화하거나 데이터에 태그를 지정하여 정책 실행을 지원하십시오.
철저한 데이터 관리가 적용된 데이터 패브릭과 같이 올바른 데이터 아키텍처를 보유하면 개인 데이터를 비밀로 보호하면서 데이터 사용자가 이러한 데이터에서 인사이트를 얻을 수 있도록 지원하는 데 유용합니다.
"규정 변경, 타사 데이터, AI 규정을 비롯하여 향후 25가지 상황이 무엇이 되든 그와 관련된 알 수 없는 상황에 대처하려면 매우 탄력적이고 대응력이 뛰어난 데이터 보호 프레임워크를 갖추어야 합니다."라고 IBM의 서비스, 규정 준수 및 연구 부문 부사장이자 최고 프라이버시 책임자인 Lee Cox는 말합니다. "프라이버시, 윤리, 데이터 거버넌스의 시너지 효과는 예상한 것보다 훨씬 더 큽니다. 그러나 기술 덕분에 이제 우리는 그 어느 때보다 더 효율적으로 규모에 맞게 데이터에 확신을 갖고 의존할 수 있습니다."
데이터 개인정보 보호의 이점
데이터 개인정보 보호의 이점
데이터 프라이버시는 무엇보다도 고객 데이터를 보호하고 변화되는 규정 속에서 신뢰를 유지하는 것과 관련이 있습니다. 오늘날의 시장에서 데이터 프라이버시는 비즈니스 차별화 요소이기도 합니다. "프라이버시는 경쟁 우위를 구성하는 우리 회사 전반의 관행과 관련된 이야기의 일부이며, 수익에 직접적으로 기여합니다. 우리는 전 세계적으로 프라이버시 프로그램을 지원하는 기술을 개발하고 있습니다."라고 IBM 최고 프라이버시 책임자인 Christina Montgomery는 말합니다.
2018년 GDPR이 도입되면서 IBM을 비롯한 많은 조직에게 프라이버시 프로그램을 가속화해야 하는 과제가 주어졌습니다. 글로벌 기업이라면 밟아야 할 첫 번째 논리적 단계는 현지의 법적 요구 사항을 글로벌 프라이버시 준수 프레임워크에 조화롭게 통합하는 것입니다. 예를 들면, IBM은 기존 데이터 저장소 수천 개의 메타데이터를 분류하여 중앙 데이터 패브릭으로 통합했기 때문에 이제 전사적으로 누가 어떤 유형의 개인 정보를 처리하고 있고 데이터가 어디에 저장되고 있는지 신속하게 확인할 수 있습니다. 통합 프라이버시 프레임워크(PDF, 4.7MB)의 메타데이터 기반 접근법과 단일 정보 소스는 IBM의 규제 리스크에 대한 노출을 줄이는 데 중요한 역할을 수행했습니다.
계속 진화되는 데이터 프라이버시 규정에 선제적으로 대응하는 방법을 알아봅니다.
데이터 프라이버시의 요소
데이터 프라이버시의 요소
단순한 규제 준수를 넘어선 기업들은 고객들과의 신뢰를 구축하고 경쟁사들보다 앞서갈 수 있습니다. 데이터 프라이버시를 위해 이러한 유연한 거시적 접근법을 취하면 다른 보상도 따릅니다.
데이터 리스크 파악
고객 및 규제 책임과 비교하여 데이터 사용 및 리스크를 평가합니다.
안전하게 데이터 공유
사이버 보안 제어로 개인 데이터를 보호하여 신뢰할 수 있는 경험을 제공합니다.
인시던스 대응 자동화
리스크 및 규제 준수 문제를 해결하고 보다 쉽게 조정할 수 있도록 효율적으로 대응합니다.
구성 요소 #3
소개
데이터 보안
"기술이 발전하고 있지만, 위협이 기하급수적으로 증가하고 있습니다."라고 IBM의 데이터 플랫폼 서비스 부문 수석 엔지니어 겸 글로벌 CTO인 Mehdi Charafeddine은 말합니다. "다행스럽게도 데이터 보호를 적용하고 데이터 프라이버시를 지원할 수 있는 정교한 방법이 더 많아지고 있습니다."
Gartner에 따르면, 데이터 보안은 이동 중이거나 사용되지 않는 중요한 정보 자산을 보호하는 프로세스와 관련 방법론으로 구성됩니다. 그렇기 때문에 데이터 보안 유지에는 결국 암호화, 다단계 인증, 마스킹, 삭제 또는 데이터 복원력 등 데이터 프라이버시 보호에 사용되는 툴과 소프트웨어가 매우 중요한 역할을 수행합니다. 그러나 적절한 제어와 정책을 실행하려면 적절한 앱과 알고리즘을 활용하는 것만큼 조직의 문화를 적절하게 조성하는 것이 중요합니다.
기술적 관점에서 보면 데이터 패브릭 아키텍처로 데이터를 보호할 수 있습니다. 즉, 사용자가 애플리케이션이라는 지점에서 데이터와 상호작용하는 "프론트 도어"와 데이터가 생성 및 저장되는 소스, 즉 "백 도어", 그리고 그 사이의 모든 지점에서 데이터를 보호합니다. 이러한 프론트 도어 및 백 도어 접근법은 적절한 데이터 보안 정책과 제어를 시행하려면 반드시 필요합니다.
"많은 고객이 여러 지리적 위치에서 사업을 운영합니다."라고 IBM의 데이터 거버넌스, 데이터 프라이버시 및 데이터 사이언스 부문 제품 관리 디렉터인 Priya Krishnan은 말합니다. "그래서 이러한 고객의 데이터 사이언티스트들은 여러 지리적 위치에서 분석을 실행하려고 했습니다. 그러나 사일로 때문에 또는 중앙집중식 관리가 부재했기 때문에 데이터를 공유할 수 없는 경우가 많습니다. 이들이 기존에 택한 해결책은 '데이터를 상상하고 시뮬레이션하여 모델을 수립하는 것'이었습니다. 그러나, 데이터 패브릭을 활용하면 조직은 적절한 거버넌스 및 프라이버시 규칙이 적용된 상태에서 데이터 사이언티스트들에게 데이터를 제공할 수 있습니다. 그래서 이들은 정말로 전사적인 이니셔티브를 실행할 수 있습니다."
데이터 보안 조치를 엔드투엔드 데이터 관리에 적용하는 것은 특히 중요한 데이터의 보안과 프라이버시 모두를 지원하는 데 중요합니다. 예를 들면, 의료 연구를 수행하는 병원을 생각해 보십시오. 이 병원은 규제 정보 또는 개인 식별 정보를 확인할 수 없는 상태로 특정 데이터나 애플리케이션을 사용해야 하는 타사 전문가 또는 데이터 사이언티스트와 협력해야 할 수 있습니다. 자동화된 역할 기반 데이터 정책은 다양한 당사자와의 협력을 지원하는 동시에 애플리케이션 수준에서 프라이버시 및 규정 준수를 위해 데이터를 보호할 수 있습니다. 신뢰할 수 있는 AI를 구현하려면 이와 동시에 이러한 데이터를 소스에서 보호해야 합니다. 소스란 데이터가 저장되는 곳으로, 데이터가 처음 수집된 온프레미스 데이터베이스가 한 예입니다. 그러나 사이버 범죄자가 이러한 시스템에 침입하려고 한다면 환자 정보는 여전히 취약합니다.
데이터 보안을 올바르게 구현하려면 사람, 프로세스, 기술을 통합하고 AI에서 신뢰를 구축해야 합니다. 엔터프라이즈의 모든 영역에서 정보 보안을 우선시하려면 다음과 같은 모범 관행에 대해 알아보십시오.
데이터가 있는 곳과 액세스 권한이 있는 사람 파악
데이터가 있는 곳과 액세스 권한이 있는 사람 파악
중요한 데이터 보호의 주요 단계로는 가시성 자동화, 컨텍스트화, 액세스 정책 제어, 지속적 모니터링 수행 등이 있으며, 이를 통해 침해가 발생하기 전에 취약성과 리스크를 찾아낼 수 있습니다.
치명적 침해를 방지하기 위해 데이터 보호
치명적 침해를 방지하기 위해 데이터 보호
온프레미스 또는 하이브리드 클라우드 배포 환경에서 사이버 보안 허점을 메우는 자동으로 생성되고 안전하게 격리된 데이터 복제본을 포함하여 통합된 기능을 활용함으로써 데이터 관리에 제로 트러스트 접근법을 지원합니다.
준수 단순화
준수 단순화
증가하는 프라이버시 의무를 준수하는 것만으로도 충분히 어렵습니다. 보고 의무 준수는 팀에 또 다른 어려움을 안겨줄 수 있습니다. 자동화, 분석 및 활동 모니터링을 통해 프로세스를 간소화합니다.
데이터 보호는 어디서부터 시작될까요?
다음 여섯 단계에 따라 데이터 보호 전략을 시작하십시오.
1
최고 경영진 동원
올바른 데이터 보호 전략을 수립하려면 조직 전반에서 승인을 얻어야 하며, 이러한 승인을 얻으려면 조직 상부의 지원과 방향 제시가 먼저 필요합니다.
2
경영진 팀 구성
데이터 보호에 초점을 맞춘 전략적 위원회를 구성합니다. 이 단계에서는 최상위 임원의 노력을 보여줍니다. 예를 들면, IBM에서는 SVP 수준의 프라이버시 자문 위원회와 윤리 위원회가 데이터 보호 관련 정책을 추진하고 사명감을 심어줍니다. "이러한 위원회는 전략 검증을 지원하며, 비즈니스 전반에서 의사 결정과 영향력 행사를 가속화합니다."라고 Cox는 말합니다.
3
협업 촉발
전략적 위원회는 정기적으로 만나 데이터 보호 전략을 수립하고 검증해야 합니다. 이 프로세스를 통해 데이터 리터러시 이니셔티브를 데이터 보호 및 비즈니스 목표의 중심적 요소로 삼을 수 있습니다. 데이터 거버넌스 및 프라이버시를 담당하는 IBM의 데이터 패브릭 설계자인 Christopher Giardina는 가장 훌륭한 협업 모델 중 하나는 중앙 데이터실, CEO실, 중앙 프라이버시실 사이의 협업 모델이라고 말합니다.
4
서비스 라인 지원
조직 전체의 리더십 팀이 데이터 보호 운영 모델의 확장된 부문의 일부가 되도록 장려합니다. 적절한 전략적 위원회, 중앙집중식 데이터 보호 정책, 필요한 교육 서비스 및 기술이 있으면, 서비스 라인과 사업부는 함께 데이터 보호 전략 목표를 달성하기 위해 긴밀하게 협력할 수 있습니다.
5
전략 통합
성숙한 데이터 보호 프레임워크는 문화적 변화를 통해 조직의 변화를 이끌어내고 통합 데이터 전략으로 별개의 사업부와 부서를 통합합니다. CDO뿐만 아니라 CPO와 CIO도 데이터 보호가 가져다 주는 경쟁 우위를 지지할 수 있다면, 신뢰와 투명성을 통해 수익 성장을 도모하는 방법에 관한 비즈니스 케이스를 작성할 수 있습니다. "엔터프라이즈 수준에서 이는 기존에 존재했던 조직 내 사일로를 해소해야 함을 의미합니다."라고 Cox는 말합니다.
6
거버넌스 자동화
규모에 맞게 데이터 보호와 프라이버시를 제공하려면 데이터에 액세스하면서 이를 보호할 수 있도록 거버넌스 프레임워크를 수립해야 합니다. 데이터 패브릭 아키텍처가 있으면 데이터 거버넌스와 프라이버시를 자동화하고 미래에 어떤 상황이 들이닥치든 복원력을 유지하는 데 필요한 방법을 얻을 수 있습니다.
사례연구
신뢰의 문제
사람들이 기술의 작동 방식을 이해하고 기술이 안전하고 신뢰할 수 있다고 느끼면, 기술을 신뢰할 가능성이 훨씬 더 높아집니다. IBM이 개발한 워크플로우에 대해 알아봅니다. 이 워크플로우는 환자가 과민성 대장 증후군(irritable bowel disease, IBD) 약품에 어떻게(긍정적 또는 부정적으로) 반응할지를 95% 정확하게 예측했습니다. 약물 반응을 조사하기 위해 IBD 환자 데이터와 설명 가능한 AI 기법을 결합하여 얻은 알고리즘 세트는 IBD 데이터의 블랙박스를 열고 IBD 환자가 시중의 다양한 약품 및 개발 중인 신약에 어떻게 반응할지를 이해, 예측, 설명할 수 있다는 것을 보여주었습니다.
계속되는 반복적 여정
데이터 보호에 대한 거시적 접근법은 일회성 작업이 아닙니다. 변화하는 법규, 비즈니스 요구 사항, 고객의 기대와 함께 진화하는 계속적이고 반복적인 여정입니다. 여러분이 계속 기울이는 노력의 가치를 알아야 합니다. 여러분은 데이터 기반 조직의 핵심을 구성하는 경쟁에서의 차별화 요소로 데이터 전략을 수립하고 있습니다.궁극적으로 데이터 보호는 신뢰를 키우는 일입니다. 진화하는 데이터 환경에서 규정 준수와 보안을 위한 윤리적이고 지속 가능하며 유연한 데이터 전략을 가능하게 하면 조직을 시장 선도 기업으로 만들 수 있습니다.
다음 단계
어떻게 시작할 수 있습니까?
올바른 데이터 아키텍처를 구축하는 것은 반복적인 프로세스이며 시간이 지남에 따라 여러분의 비즈니스에 적용하고 확장할 수 있습니다. 저희가 도와드리겠습니다.
자세히 보기
각주
¹ Gartner Identifies Top Five Trends in Privacy Through 2024(ibm.com 외부 링크), 보도자료, Gartner, 2022년 5월 31일.
² Cost of a Data Breach Report 2022(PDF, 2.4MB), IBM Security®가 후원한 Ponemon Institute 보고서, 2022년 7월.
³ 5 Principles of Data Ethics for Business, Business Insights 블로그(ibm.com 외부 링크), Harvard Business School Online, 2021년 3월 16일.
⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information(ibm.com 외부 링크), Pew Research Center, 2019년 11월 15일.