Gartner®의 연구에 따르면 2024년까지 전 세계 인구 75%의 개인 데이터에 현대적 개인 정보 보호 규정이 적용될 것으로 예측됩니다.¹ 데이터 리더가 할 일은 갈수록 복잡해지는 정책과 기술 속에서 민감한 데이터의 액세스와 보호를 보장할 방법을 찾는 것입니다. 데이터 보호는 개인 정보 보호, 규정 준수, 데이터 보안, 데이터 윤리를 아우르는 포괄적 개념입니다. 종합적인 데이터 보호 및 사이버 보안 방식은 랜섬웨어 등의 사이버 공격으로부터 보호하고, 규정 준수를 유지하여 막대한 벌금을 예방하고, 책임감 있는 AI를 제공하며, 탁월한 고객 경험을 창출할 수 있습니다.
2022년에 데이터 유출 비용은 평균 435만 달러에 달해 사상 최고치를 기록했습니다.² 이는 브랜드 평판 및 고객 충성도 손상 같은 숨겨진 비용은 고려하지 않은 것입니다. 소비자들은 자신의 개인 데이터를 보호하려 하며, 정책 입안자들은 새로운 개인 정보 보호 규정으로 이에 부응해 왔습니다. 이처럼 새로운 데이터 규정 준수 요구가 대두하는 시대에 대비하지 못한 조직은 큰 대가를 치를 수 있습니다. GDPR, CCPA, LGPD 등 더 많은 규정이 등장하면서 기업의 전체 데이터 전략에 종합적 데이터 보호가 포함될 것이라는 전 세계적 기대가 커지고 있습니다.
이런 접근 방식에서는 데이터 수집 방식을 검토한 다음 규정을 준수하는 비공개 데이터로 유지하는 데 그치는 것이 아니라 오늘날의 세계에서 민감한 데이터가 사용되는 방식까지 이해해야 합니다. 이는 조직으로 하여금 다음과 같은 질문을 하도록 합니다. 이 데이터를 수집하는 것이 윤리적인가? 우리는 이 정보로 무엇을 하고 있는가? 우리 의도를 데이터 수집 대상 개인들과 공유했는가? 이 데이터는 어디에 얼마나 오래 보존되는가? 위험 관리와 멀웨어의 발전에 대한 최신 정보를 파악하고 있는가? 데이터 수집 업무에 종사하는 사람, 특히 조직의 리더는 이러한 담화를 훤히 꿰고 있어야 합니다.
Gartner®의 연구에 따르면 2024년까지 전 세계 인구 75%의 개인 데이터에 현대적 개인 정보 보호 규정이 적용될 것으로 예측됩니다.¹
2022년에 데이터 유출 비용은 평균 435만 달러에 달해 사상 최고치를 기록했습니다.²
데이터 윤리, 데이터 개인 정보 보호, 데이터 보안이라는 세 가지 핵심 요소는 데이터 보호라는 포괄적 개념 하에서 함께 작동하여 끊임없이 변하는 규제와 비즈니스 기대치에 맞게 구축된 유연한 프레임워크를 지원하고 AI를 책임감 있게 확장하며 사용자 신뢰를 유지합니다.
핵심 요소 #1
데이터 보호를 바라보는 조직의 문화적 관점은 데이터 개인 정보 보호 및 보안 정책이 제정되고 실행되는 방식에 영향을 미칩니다. 하버드 경영대학원은 "데이터 윤리"를 개인 식별 정보의 수집, 보호, 사용에 관련된 도덕적 의무와 이러한 행동이 미치는 영향으로 정의합니다.³ 건전한 데이터 관련 결정을 내리고 책임감 있는 AI를 증진하려면 다음과 같은 데이터 윤리 원칙을 고려하세요.
올바른 데이터 윤리는 사용 중인 데이터가 누구의 소유인지 아는 것에서 시작됩니다. 사용자가 제공한 데이터가 IBM의 소유가 되는 것은 아닙니다. 동의는 필수이며, 데이터 보호와 데이터 존중도 마찬가지입니다. 데이터 무결성을 유지한다는 것은 절대로 데이터를 악용하지 않으며, 사용이 끝난 데이터는 즉시 폐기하는 것을 말합니다.
데이터 보호 관점에서 투명성이란 고객의 데이터가 어떻게 사용되는지에 대해 고객에게 명확하게 알리는 것을 뜻합니다. Pew Research Center에 따르면 데이터 수집의 잠재적 위험이 편익보다 크다고 답한 사람은 81%에 달합니다.⁴ 이 뿌리깊은 불신을 극복하려면 사용자가 고객 데이터의 목적과 수명 주기를 이해할 수 있어야 합니다. 그래야 고객이 자신의 데이터가 적절하고 좋은 의도로 사용될 것이라고 안심할 수 있습니다.
회사가 수집하고 저장하고 분석하는 정보는 원래 획득할 때 합의된 목적을 벗어나 사용, 공유, 유지, 보유 또는 폐기해서는 안 됩니다. 데이터 윤리 및 보안 정책 강화에 도움이 되는 데이터 개인 정보 보호 전략이 이 대목에서 다시 중요해집니다.
솔루션 제공업체이건 디지털 제공업체이건 데이터와 기계 인텔리전스를 사용할 때는 항상 목적을 명확히 밝혀야 합니다. 책임감 있는 AI는 데이터와 기술이 어떻게 연동하고 AI가 왜 그런 결정을 내리는지 사용자가 이해할 수 있도록 합니다. 설명자 툴킷, AI 기법 분류, AI 거버넌스 솔루션 등 AI에 대한 신뢰를 높이는 도구는 사용자가 의도를 파악하도록 도움으로써 기술, 프로세스, 데이터 사용 결과에 대한 사용자의 신뢰를 높일 수 있습니다.
데이터 유출, 랜섬웨어 공격, 실수는 고객에게 해로우며, 조직에 대한 고객의 인내심, 충성도, 믿음을 시험합니다. 이런 문제는 발생할 수 있고 발생하기 마련이므로 위험 관리 보호 장치를 마련하는 것이 중요합니다. IBM 연구에 따르면 보안 전략의 일환으로 AI와 자동화를 전면 배포한 기업은 아직 배포하지 않은 기업에 비해 데이터 유출 비용이 평균 305만 달러 절감됩니다.
핵심 요소 #2
데이터 윤리란 원칙에 입각한 데이터 관리 행동과 관행을 기업 문화 차원에서 확립하는 것을 말합니다. 이러한 윤리와 데이터 활용 능력 문화는 조직 전체에서 채택되어 제품과 운영에 반영되는 것이 이상적입니다. 반면, 데이터 개인 정보 보호는 사람, 비즈니스 프로세스, 기술을 통해 이 원칙에 입각한 행동을 활성화하는 정책과 관행을 정의하고, 수집부터 데이터 저장까지 데이터 수명 주기 전반에 걸쳐 이를 운영하는 것을 말합니다. 이 방법은 데이터 패브릭 접근 방식의 일환인 견고한 데이터 거버넌스 프레임워크 생성 및 자동화의 핵심입니다.
데이터 거버넌스는 개인 정보 보호를 위한 데이터 액세스 제한과 향상된 분석을 위한 보다 광범위한 데이터 액세스 허용 사이에서 균형을 유지하는 데 도움이 됩니다. 데이터를 보다 원활하게 사용하는 동시에 무단 액세스로부터 데이터를 보호하려면 데이터 액세스 제어 등 적절한 데이터 개인 정보 보호 도구를 구현해야 합니다. 이를 AI와 결합하여 민감한 데이터를 식별 불가능하게 익명화하거나 정책 집행이 가능하도록 데이터에 태그를 지정할 수 있습니다.
올바른 데이터 아키텍처(엄격한 데이터 관리와 결합된 데이터 패브릭 등)는 비공개 데이터를 안전한 비공개 상태로 유지하면서 데이터 사용자가 이 데이터로부터 인사이트를 획득할 수 있도록 하는 데 효과적입니다.
“규제 변화, 타사 데이터, AI 규제, 어떻게 될지 모르는 향후 불확실성에 대처하기 위해서는 엄청나게 탄력적이고 대단히 반응성이 뛰어난 데이터 보호 프레임워크가 필요합니다." IBM의 서비스, 컴플라이언스 및 리서치, 최고 개인 정보 보호국 담당 부사장인 Lee Cox의 말입니다. "개인 정보 보호와 윤리, 데이터 거버넌스 사이에는 예상했던 것보다 훨씬 큰 시너지 효과가 있습니다. 하지만 지금 보유한 기술 덕에 우리는 그 어느 때보다 훨씬 효율적으로 대규모 데이터에 자신 있게 의존할 수 있습니다."
규제가 변화하는 가운데 고객 데이터를 보호하고 신뢰를 유지하려면 데이터 개인 정보 보호가 무엇보다 중요합니다. 하지만 오늘날의 시장에서 개인 정보 보호는 비즈니스 차별화 요소이기도 합니다. "개인 정보 보호는 우리 회사 전체의 관행에 영향을 미칠 뿐 아니라 전 세계적으로 개인 정보 보호 프로그램을 지원하는 기술을 구축할 경우 수익에도 직접적으로 기여하는 경쟁 우위의 일부입니다"라고 IBM 최고 개인 정보 보호 책임자인 Christina Mongomery는 말합니다.
2018년 유럽연합이 도입한 일반 데이터 보호 규정(GDPR)은 IBM을 비롯한 많은 조직에게 개인 정보 보호 프로그램 개발 속도를 높여야 한다는 과제를 안겨주었습니다. 글로벌 기업으로서 IBM의 첫 단계는 현지의 법적 요구 사항을 글로벌 개인 정보 보호 규정 준수 프레임워크와 조화시키고 통합하는 것입니다. 예를 들어 IBM은 수천 개의 기존 데이터 저장소의 메타데이터를 분류하고 중앙 데이터 패브릭으로 통합함으로써 회사 전체에서 어떤 유형의 개인 정보가 누구에 의해 처리되고 어디에 저장되는지 신속하게 확인할 수 있습니다. 통합 개인 정보 보호(PDF)는 메타데이터 기반 접근 방식과 IBM의 규제 위험 노출 감소의 기반인 단일 정보 소스를 제공합니다.
끊임없이 진화하는 데이터 개인 정보 보호 규제에 한발 앞서 대처하는 방법을 알아보세요.
기업은 단순한 규정 준수를 뛰어넘는 노력을 통해 고객의 신뢰를 쌓고 경쟁사보다 앞서갈 수 있습니다. 이 종합적이고 적응적인 데이터 개인 정보 보호 방식에는 그 밖의 보상도 따릅니다.
데이터 위험 이해
고객 및 규제 책임을 기준으로 데이터 사용과 위험을 평가합니다.
안전한 데이터 공유
사이버 보안 제어로 개인 데이터를 보호하여 신뢰할 수 있는 경험을 제공합니다.
인시던트 대응 자동화
효율적 대응을 통해 위험 및 규정 준수 문제를 해결하고 보다 쉽게 확장합니다.
핵심 요소 #3
"기술은 진화하고 있지만 위협도 기하급수적으로 증가하고 있습니다"라고 IBM의 데이터 플랫폼 서비스 부문 DE(Distinguished Engineer) 겸 글로벌 CTO인 Mehdi Charafeddine은 말합니다. "다행히도 데이터 보호를 적용하고 데이터 개인 정보 보호를 지원할 수 있는 정교한 방법이 점점 많아지고 있습니다."
Gartner에 따르면 데이터 보안은 전송 중이거나 저장 중인 민감한 정보 자산을 보호하는 프로세스와 관련 방법론으로 구성됩니다. 따라서 암호화, 다단계 인증, 마스킹, 삭제, 데이터 복원력 등 데이터 개인 정보 보호에 사용되는 도구와 소프트웨어는 어느 하나 데이터 보안에 중요하지 않은 것이 없습니다. 하지만 적절한 통제와 정책의 수립은 올바른 앱과 알고리즘 배포 못지않게 조직 문화의 문제이기도 합니다.
기술적 관점에서 보면 사용자가 애플리케이션 지점에서 데이터와 상호 작용하는 "프론트 도어"와 데이터가 생성되고 저장되는 소스 또는 "백 도어"뿐 아니라 그 사이의 모든 곳에서 데이터를 보호하는 데이터 패브릭 아키텍처로 데이터를 보호할 수 있습니다. 이 프론트 도어-백 도어 접근 방식은 적절한 데이터 보안 정책과 제어를 마련하는 데 매우 중요합니다.
또 다른 고려 사항은 여러 지역에서의 운영입니다. 데이터 사일로와 중앙 거버넌스의 부재로 인해 데이터 과학자가 여러 지역에 걸친 분석을 실행하기가 현실적으로 어려운 경우가 많습니다. 데이터 패브릭을 사용하면 "데이터를 상상하고 시뮬레이션하고 모델을 실행"할 필요가 없습니다." 이 최신 데이터 아키텍처를 갖춘 조직은 적절한 거버넌스 및 개인 정보 규칙을 사용하여 데이터 과학자에게 데이터를 제공할 수 있으므로 데이터 과학자는 정말로 조직 간 이니셔티브를 실행하고 있다고 느끼게 됩니다.
데이터 보안 조치를 엔드 투 엔드 데이터 관리에 통합하는 것은 특히 민감한 데이터의 보안과 개인 정보 보호를 지원하는 데 중요합니다. 병원에서의 의학 연구를 예로 들어보겠습니다. 병원은 규제 대상 정보나 개인 식별 정보를 볼 수 없는 상태에서 특정 데이터 또는 애플리케이션 작업을 해야 하는 제3자 전문가 또는 데이터 과학자와 협업할 수 있습니다. 자동화된 역할 기반 데이터 정책은 다양한 당사자와의 협업을 가능하게 하는 동시에 애플리케이션 수준의 개인 정보 보호 및 규정 준수 관점에서 데이터를 보호할 수 있습니다. 이와 동시에 책임감 있는 AI의 경우, 해당 데이터는 데이터가 저장된 소스, 예를 들어 데이터가 처음 수집된 온프레미스 데이터베이스에서 보호되어야 합니다. 그러지 않으면 사이버 범죄자가 이러한 시스템에 침투할 경우, 환자 정보는 여전히 취약할 수 밖에 없습니다.
올바르게 구현된 데이터 보안은 사람, 프로세스, 기술을 통합하고 AI에 대한 신뢰를 구축합니다. 기업의 모든 영역에서 정보 보안을 우선 순위로 만드는 다음 모범 사례를 살펴보세요.
민감한 데이터를 보호하는 핵심 단계에는 가시성 자동화, 컨텍스트화, 액세스 정책 제어, 지속적 모니터링 구현을 통한 취약성 및 위험 사전 식별이 포함됩니다.
자동으로 생성되고 안전하게 격리된 데이터 복사본을 포함하여 온프레미스 또는 하이브리드 클라우드 배포의 사이버 보안 취약점을 해결할 수 있는 통합 기능 제품군으로 데이터 관리에 대한 제로 트러스트 접근 방식을 지원합니다.
계속해서 늘어나는 개인 정보 보호 규정을 준수하는 것은 그 자체만으로도 어려운 일입니다. 여기에 보고 작업까지 더해지면 팀에게는 또 다른 부담이 됩니다. 자동화, 분석, 활동 모니터링으로 이 과정을 단순화하세요.
사람들은 기술의 원리를 이해하고 기술이 안전하며 믿을 수 있다고 느낄 때 기술을 한층 더 신뢰하는 경향이 있습니다. 과민대장증후군(IBD) 약물에 대한 환자 반응(긍정적 또는 부정적)을 95%의 정확도로 예측한 IBM이 개발한 워크플로우를 생각해 보세요. 약물 반응을 조사하기 위해 IBD 환자 데이터와 설명 가능한 AI 기술을 결합함으로써 결과 알고리즘 세트는 IBD 데이터 블랙박스를 열어 시중에 나와 있는 다양한 약물과 개발 중인 약물에 대한 IBD 환자의 반응을 파악, 예측, 설명할 수 있음을 보여 주었습니다.
종합적 데이터 보호 방식은 일회성이 아닙니다. 변화하는 법률과 규정, 비즈니스 요구, 고객 기대치에 따라 진화하는 지속적이고 반복적인 여정입니다. 지속적인 노력의 가치를 인정해야 합니다. 데이터 기반 조직의 핵심에 자리한 경쟁력 차별화 요소로 데이터 전략을 부각해야 합니다.
데이터 보호는 결국 신뢰 형성의 문제입니다. 진화하는 데이터 환경에서 규정 준수와 보안을 보장하는 윤리적이고 지속 가능하며 적응력이 뛰어난 데이터 전략을 지원하면 조직을 시장 리더로 만들 수 있습니다.
각주
¹ Gartner Identifies Top Five Trends in Privacy Through 2024(ibm.com 외부 링크), 보도 자료, Gartner, 2022년 5월 31일.
² Cost of a Data Breach Report 2022 (PDF) IBM Security®가 후원한 Ponemon Institute 보고서, 2022년 7월.
³ 5 Principles of Data Ethics for Business, Business Insights 블로그(ibm.com 외부 링크), Harvard Business School Online, 2021년 3월 16일.
⁴ Americans and Privacy: Concerned, Confused and Feeling Lack of Control Over Their Personal Information(ibm.com 외부 링크), Pew Research Center, 2019년 11월 15일.