게시: 2023년 12월 19일
기고자 Matthew Kosinski, Amber Forrest
'정보 프라이버시'라고도 불리는 데이터 프라이버시는 개인이 자신의 개인 데이터를 통제할 수 있어야 한다는 원칙입니다. 여기에는 조직에서 개인의 데이터를 수집, 저장 및 사용하는 방법을 결정할 수 있는 권한도 포함됩니다.
기업은 이메일 주소, 생체 인식, 신용 카드 번호와 같은 사용자 데이터를 정기적으로 수집합니다. 이러한 데이터 경제에서 조직이 데이터 프라이버시를 지원한다는 것은 데이터를 처리하기 전에 사용자 동의를 얻고 데이터가 오용되지 않도록 보호하며 사용자가 자신의 데이터를 능동적으로 관리할 수 있도록 하는 등의 조치를 취하는 것을 의미합니다.
많은 조직에는 일반 데이터 보호 규정(GDPR)과 같은 법률에 따라 데이터 프라이버시 권리를 준수할 법적 의무가 있습니다. 공식적인 데이터 프라이버시 보호법이 없더라도 기업은 개인정보 보호 조치를 도입함으로써 이점을 얻을 수 있습니다. 사용자 개인정보를 보호하는 동일한 관행과 도구는 민감한 데이터와 시스템을 악성 해커로부터 보호할 수 있습니다.
데이터 프라이버시와 데이터 보안은 별개의 분야이지만 서로 연관된 분야입니다. 두 가지 모두 기업의 광범위한 데이터 거버넌스 전략의 핵심 구성 요소입니다.
데이터 프라이버시는 데이터 주체, 즉 데이터를 소유한 사용자의 개별 권리에 초점을 맞춥니다. 조직의 데이터 프라이버시 관행은 관련 데이터 프라이버시 규정에 따라 사용자가 자신의 데이터를 제어할 수 있는 정책과 프로세스를 구현하는 문제입니다.
데이터 보안은 무단 액세스 및 오용으로부터 데이터를 보호하는 데 중점을 둡니다. 조직에서 데이터 보안은 주로 해커와 내부자 위협이 데이터를 변조하는 것을 방지하기 위한 제어 기능을 배포하는 문제입니다.
데이터 보안은 적합한 사용자만이 적합한 이유로 개인 데이터에 액세스할 수 있도록 보장하여 데이터 프라이버시를 강화합니다. 데이터 프라이버시는 모든 데이터 집합에 대해 '적합한 사용자' 및 '적합한 이유'를 정의하여 데이터 보안을 강화합니다.
IBM 뉴스레터 구독하기
많은 조직에서 데이터 프라이버시는 법률, 규정 준수, IT 및 사이버 보안 부서의 담당자로 구성된 부서 간 팀에 의해 감독됩니다. 이러한 팀은 사용자의 개인정보 보호 권리를 고려하여 조직이 개인 데이터를 수집, 사용 및 보호하는 방법을 관리하는 데이터 관리 정책을 수립합니다. 또한 사용자가 권리를 행사할 수 있는 프로세스를 설계하고 데이터 보안을 위한 기술적 제어를 구현합니다.
조직은 NIST 데이터 프라이버시 프레임워크1 및 공정 정보 규정을 비롯한 다양한 데이터 프라이버시 프레임워크를 사용하여 데이터 정책을 안내할 수 있습니다.2 또한 조직의 데이터 거버넌스 전략의 세부 사항은 회사가 준수해야 하는 개인 정보 보호법(적용 되는 경우)에 따라 크게 달라집니다.
즉, 대부분의 프레임워크와 규정에는 몇 가지 일반적인 데이터 프라이버시 원칙이 있습니다. 이러한 원칙은 많은 조직의 데이터 프라이버시 정책, 프로세스 및 제어에 영향을 미칩니다.
사용자는 회사가 어떤 데이터를 보유하고 있는지 알 권리가 있습니다. 사용자는 필요에 따라 자신의 개인 데이터에 액세스할 수 있어야 합니다. 필요에 따라 해당 데이터를 업데이트하거나 수정할 수 있어야 합니다.
사용자는 누가 자신의 데이터를 가지고 있고 그 데이터로 무엇을 하는지 알 권리가 있습니다. 데이터 수집 시점에 조직은 수집하는 내용과 이를 어떻게 사용할 것인지 명확하게 전달해야 합니다. 데이터를 수집한 후 조직은 데이터 사용 방법의 변경 사항과 데이터가 공유되는 제3자를 포함하여 주요 데이터 처리 세부 정보를 사용자에게 알려야 합니다.
내부적으로 조직은 보유하고 있는 모든 데이터의 인벤토리를 최신 상태로 유지해야 합니다. 데이터는 유형, 민감도 수준, 규정 준수 요구 사항 및 기타 관련 요소에 따라 분류되어야 합니다. 이러한 분류를 기반으로 액세스 제어 및 사용 정책을 시행해야 합니다.
조직은 가능한 한 데이터 저장, 수집, 공유 또는 처리에 대해 사용자 동의를 얻어야 합니다. 조직이 주체의 동의 없이 개인 데이터를 보관하거나 사용하려면 공익적 사용 또는 법적 의무와 같은 강력한 사유가 있어야 합니다.
데이터 주체는 자신의 데이터 처리에 대해 우려를 제기하거나 이의를 제기할 방법이 있어야 합니다. 사용자는 언제든지 동의를 철회할 수 있어야 합니다.
조직은 수집하고 보관하는 데이터가 정확한지 확인하기 위해 노력해야 합니다. 부정확한 정보는 개인정보 침해로 이어질 수 있습니다. 예를 들어 회사의 파일에 이전 주소가 있는 경우 실수로 중요한 문서를 잘못된 사람에게 발송할 수 있습니다.
조직은 수집하는 모든 데이터에 대해 명확한 목적을 가지고 있어야 합니다. 이러한 목적을 사용자에게 알리고 데이터를 이 목적으로만 사용해야 합니다. 조직은 명시된 목적에 필요한 최소한의 데이터만 수집해야 하며 해당 목적이 달성될 때까지만 데이터를 보관해야 합니다.
프라이버시는 조직의 모든 시스템과 프로세스의 기본 상태여야 합니다. 조직이 설계하거나 구현하는 모든 제품은 사용자 프라이버시를 핵심 기능이자 주요 관심사로 취급해야 합니다. 데이터 수집 및 처리는 옵트아웃이 아닌 옵트인 방식으로 이루어져야 합니다. 사용자는 모든 단계에서 자신의 데이터에 대한 통제권을 유지해야 합니다.
조직은 사용자 데이터의 기밀성과 무결성을 보호하기 위한 프로세스와 제어를 구현해야 합니다.
프로세스 수준에서 조직은 직원에게 규정 준수 요건을 교육하고 사용자 개인정보를 존중하는 공급업체 및 서비스 제공업체와만 협력하는 등의 조치를 취할 수 있습니다.
기술 통제 수준에서 조직은 다양한 도구를 사용하여 데이터를 보호할 수 있습니다. ID 및 액세스 관리(IAM) 솔루션은 역할 기반 액세스 제어 정책을 적용하여 승인된 사용자만 중요한 데이터에 액세스할 수 있도록 합니다. Single Sign On(SSO) 및 다단계 인증(MFA)과 같은 엄격한 인증 조치를 통해 해커가 합법적인 사용자의 계정을 탈취하는 것을 방지할 수 있습니다.
데이터 손실 방지(DLP) 도구는 데이터를 검색 및 분류하고 사용량을 모니터링합니다. 또한 사용자가 데이터를 부적절하게 변경, 공유 또는 삭제하지 못하도록 방지할 수 있습니다. 데이터 백업 및 아카이빙 솔루션은 조직이 손실되거나 손상된 데이터를 복구하는 데 도움이 될 수 있습니다.
조직에서는 규정 준수를 위해 특별히 설계된 데이터 보안 도구를 사용할 수도 있습니다. 이러한 도구에는 암호화, 자동화된 정책 시행 및 모든 관련 데이터 활동을 추적하는 감사 추적과 같은 기능이 포함되어 있는 경우가 많습니다.
오늘날 대부분의 조직은 방대한 양의 소비자 데이터를 수집합니다. 이러한 추세는 앞으로 몇 년 동안 더욱 심화될 것으로 예상됩니다. IDC의 2023년 데이터 프라이버시 및 보호 설문조사3에 따르면 조직의 약 70%가 향후 3년 동안 처리하는 데이터의 양이 증가할 것으로 예상하고 있습니다.
조직은 데이터의 프라이버시를 보장할 책임이 있습니다. 이는 선의로 인한 것이 아니라 규정 준수, 보안 상태 및 경쟁 우위의 문제이기 때문입니다.
UN4과 같은 기관은 개인 정보 보호를 기본적인 인권으로 인정하고 있으며 많은 국가에서 이 권리를 법으로 보장하는 프라이버시 규정을 채택하고 있습니다. 이러한 규정의 대부분은 위반 시 엄중한 벌칙이 부과됩니다.
유럽 연합의 일반 데이터 보호 규정(GDPR)은 세계에서 가장 포괄적인 데이터 프라이버시 보호법 중 하나로 간주됩니다. 이 규정은 유럽 내외에 있는 모든 기업이 EU 거주자의 데이터를 처리할 때 준수해야 하는 엄격한 규칙을 정하고 있습니다. 위반자에게는 최대 2,000만 유로 또는 해당 기업의 전 세계 매출의 4%에 해당하는 벌금이 부과될 수 있습니다.
EU 이외의 국가에서도 영국의 GDPR, 캐나다의 개인정보 보호 및 전자문서법(PIPEDA), 인도의 디지털 개인정보 보호법 등 유사한 규제 요건을 적용하고 있습니다.
미국에는 GDPR만큼 포괄적인 연방 데이터 보호법이 없지만 좀 더 구체적인 법률이 몇 가지 있습니다. 아동 온라인 개인정보 보호법(COPPA)은 13세 미만 아동의 개인 데이터 수집 및 처리에 관한 규칙을 정하고 있습니다. 건강 보험 이동성 및 책임법(HIPAA)은 의료 기관 및 관련 기관이 개인 건강 정보를 처리하는 방법을 다루고 있습니다.
이러한 법률의 처벌은 매우 엄중할 수 있습니다. 2022년에 COPPA를 위반한 Epic Games에 사상 최대인 2억 7,500만 달러의 벌금이 부과된 것이 한 예입니다.5
또한 미국에는 캘리포니아 소비자 개인 정보 보호법(CCPA)과 같은 주 차원의 개인 정보 보호 규정이 있습니다. 이 규정은 캘리포니아 소비자에게 데이터가 처리되는 방법과 시기에 대한 더 많은 통제권을 부여합니다. CCPA는 가장 잘 알려진 주 차원의 개인정보 보호법이긴 하나 버지니아 소비자 데이터 보호법(VCDPA) 및 콜로라도 개인정보 보호법(CPA)과 같은 다른 주의 개인정보 보호법에도 영향을 미쳤습니다.
오늘날 조직은 사용자의 주민등록번호, 은행 정보 등 수많은 개인 식별 정보(PII)를 수집합니다. 이러한 데이터는 해커의 표적이 되어 신원 도용, 금전 탈취 또는 다크 웹에서 판매에 사용될 수 있습니다.
또한 기업은 지적 재산이나 금융 데이터와 같이 해커가 노릴 수 있는 고유한 민감한 데이터를 보유하고 있습니다.
IBM의 2023년 데이터 유출 비용 보고서에 따르면 데이터 유출로 인한 기업의 평균 유출 비용은 미화 445만 달러에 달합니다. 시스템 가동 중지 시간으로 인한 비즈니스 손실, 위반 감지 및 해결 비용 등 많은 요인이 이러한 비용에 영향을 미칩니다.
데이터 프라이버시를 지원하는 동일한 도구 중 다수는 보안 침해 위협을 줄이고 전반적인 사이버 보안 태세를 강화할 수도 있습니다. 예를 들어 무단 액세스를 방지하는 IAM 솔루션은 개인 정보 보호 정책을 시행하는 동시에 해커를 차단하는 데 도움이 될 수 있습니다. 데이터 보안 도구는 종종 진행 중인 사이버 공격의 신호일 수 있는 의심스러운 활동을 감지하여 사고 대응 팀이 더 빠르게 대응할 수 있도록 합니다.
마찬가지로 직원과 소비자는 데이터 프라이버시 모범 사례를 채택하여 가장 피해가 큰 소셜 엔지니어링 공격을 방어할 수 있습니다. 사기꾼들은 종종 소셜 미디어 앱을 샅샅이 뒤져 그럴듯한 비즈니스 이메일 침해(BEC)와 스피어 피싱 수법에 사용할 수 있는 개인 데이터를 찾습니다. 사용자가 정보를 덜 공유하고 계정을 잠그면 사용자는 귀중한 데이터부터 사기꾼을 원천 차단할 수 있습니다.
사용자의 개인 정보 보호 권리를 존중하는 것은 조직에 경쟁 우위를 부여할 수 있는 경우가 있습니다.
소비자는 자신의 개인 데이터를 적절하게 보호하지 않는 기업에 대한 신뢰를 잃을 수 있습니다. 예를 들어 Facebook의 명성은 Cambridge Analytica 스캔들로 인해 큰 타격을 입었습니다.6 소비자들은 과거에 개인정보 보호에 소홀했던 기업과 자신의 소중한 데이터를 공유하지 않으려는 경우가 많습니다.
반대로 데이터 프라이버시 보호에 대한 평판이 좋은 기업은 사용자 데이터를 더 쉽게 확보하고 활용할 수 있습니다.
또한, 상호 연결된 글로벌 경제에서 데이터는 조직 간에 이동하는 경우가 많습니다. 회사는 수집한 개인 데이터를 클라우드 데이터베이스에 저장하거나 컨설팅 회사에 전송하여 처리할 수 있습니다. 데이터 프라이버시 원칙과 관행을 채택하면 조직은 데이터가 제3자와 공유되는 경우에도 사용자 데이터의 오용을 방지할 수 있습니다. GDPR과 같은 일부 규정에 따라 조직은 공급업체와 서비스 제공업체가 데이터를 안전하게 보호하도록 보장할 법적 책임이 있습니다.
마지막으로, 새로운 생성형 인공 지능 기술은 데이터 프라이버시에 심각한 문제를 야기할 수 있습니다. AI에 제공되는 모든 민감한 데이터는 도구의 학습 데이터의 일부가 될 수 있으며 조직은 이러한 데이터가 어떻게 사용되는지 통제하지 못할 수 있습니다. 삼성의 엔지니어가 ChatGPT에 코드를 입력하여 최적화하는 과정에서 의도치 않게 독점 소스 코드가 유출되는 사고가 발생한 것이 그 예입니다.7
또한 조직에 사용자의 데이터를 생성형 AI에 사용할 수 있는 사용자의 허가가 없는 경우 이는 특정 규정에 따라 개인정보 침해에 해당할 수 있습니다.
공식 데이터 프라이버시 정책 및 제어 기능을 사용하면 조직은 법을 위반하거나 사용자 신뢰를 잃거나 실수로 민감한 정보를 유출하지 않고도 AI 도구 및 기타 새로운 기술을 채택할 수 있습니다.
IBM Security Guardium은 IBM Security 포트폴리오의 데이터 보안 소프트웨어 제품군으로, 취약점을 발견하고 민감한 온프레미스 및 클라우드 데이터를 보호합니다.
IBM Security 솔루션은 제로 트러스트 원칙과 검증된 데이터 프라이버시를 기반으로 하는 데이터 프라이버시에 대한 종합적인 접근 방식을 제공합니다. 이를 통해 조직에 신뢰할 수 있는 고객 경험을 제공하고 비즈니스 성장을 지원합니다.
IBM Security Verify는 데이터 사용 목적 전반에 걸쳐 동의 결정 규칙을 자동화 하는 데 도움이 되는 중앙 집중식 의사 결정 엔진을 제공합니다.
각주
모든 링크는 ibm.com 외부에 있습니다.
1 NIST Privacy Framework, NIST
2 Fair Information Practice Principles, Federal Privacy Council
3 2023 Data Privacy and Data Protection Survey, IDC, 2023년 2월
4 Universal Declaration of Human Rights, United Nations
5 Fortnite Video Game Maker Epic Games to Pay More Than Half a Billion Dollars over FTC Allegations of Privacy Violations and Unwanted Charges, Federal Trade Commission, 2022년 12월 19일
6 The Cambridge Analytica Files, The Guardian
7 Whoops, Samsung workers accidentally leaked trade secrets via ChatGPT, Mashable, 2023년 4월 6일