데이터를 여기 저기서 긁어 모아 분석가들에게 넘겨주는 게 데이터 엔지니어들의 역할이었다면, 이제는 여기에 추가되는 것들이 있다. 각 지역에서 무섭게 제정되고 있는 데이터 프라이버시 규정들이다. 데이터 엔지니어들도 무시할 수 없는 사회적 장치들이다.

[보안뉴스 문정후 기자] 과거에는 ‘데이터 엔지니어’라는 말과 ‘규정 준수’라는 말이 서로 몇 십 광년은 떨어져 있었다. 사업적 맥락에서 둘이 겹치는 사례가 거의 없었다는 뜻이다. 데이터 엔지니어들은 데이터를 수집할 방법들을 열심히 구축해서 데이터를 분석가들에게 가져다주면 되었고, 규정 준수는 법무 팀이나 보안 팀에서나 고민할 일이었으니까 말이다. 


하지만 데이터 프라이버시라는 개념이 등장하고, 그것이 여러 지역과 나라에서 정식 규정으로서 자리를 잡기 시작하니 상황이 급변했다. 데이터 엔지니어만이 아니라 회사 구성원 거의 모두가 데이터를 어떻게 다루어야 규정을 위반하지 않게 되는 것인지를 이해하고 있어야만 하게 됐다. 미국에서만 해도 캘리포니아, 콜로라도, 코네티컷, 유타, 버지니아에서 GDPR과 비슷한 데이터 프라이버시 법이 제정되었고, 2022~2023년부터 시행될 예정이니 데이터 프라이버시를 이해한다는 건 코앞으로 다가온 현실이다.

참고로 위 다섯 개 주 데이터 프라이버시 법의 이름과 시행일자를 정리하면 다음과 같다.
1) 캘리포니아의 CCPA : 2023년 1월 1일부터 CPRA를 대체하며 시행됨.
2) 콜로라도의 CPA : 2023년 7월 1일부터 시행됨.
3) 코네티컷의 CDPA : 2023년 7월 1일부터 시행됨.
4) 유타의 UCPA : 2022년 12월 31일부터 시행됨.
5) 버지니아의 VCDPA : 2023년 1월 1일부터 시행됨.

이 규정들을 어겼을 때 기업이 내야할 벌금은 꽤나 크다. 최근 도소매 업체 세포라(Sephora)는 고객들의 데이터를 고객들에게 알리지 않고 제3자에게 판매했다가 120만 달러의 벌금형을 받았다. 위의 규정들이 시행되기 시작하면 벌금은 더 커질 전망이다. 그렇기에 기업들은 지역들마다 내세우고 있는 데이터 프라이버시 규정들을 지키기 위한 노력에 박차를 가할 것이 분명하다. 몰라서 못했어요, 라고 하기에는 벌금이 너무 큰 것이다. 이 규정 준수라는 게 얼마나 어렵고 복잡하냐면, 68%의 기업들이 규정 준수 여부가 시장에서의 차별화 요소로서 작용할 것이라고 보고 있기도 하다.

규정 준수의 가치가 기업들 사이에서 끝없이 높아져가기 때문에 반대로 데이터를 활용하는 행위에 대한 리스크는 높아져가고 있다. 클라우드로 데이터를 옮기고, 이리 저리 데이터를 공유하는 것이 기존 온프레미스 IT 구조를 완전히 대체해가고 있는 지금 시점에 골칫거리가 생긴 것이다. 그래서 데이터 보호라는 개념은 더 복잡하고 엄격해지고 있다. 그리고 더 어려워지고 있다.

자연스럽게 데이터 엔지니어들에게도 데이터 프라이버시를 이해하고, 데이터를 좀 더 안전하게, 합법적으로 다룰 필요가 생겼다. 자신들이 일반적으로 하던 일이 회사 전체의 ‘규정 준수’ 노력에 영향을 미칠 수 있다는 걸 인지하고, 그에 맞출줄 아는 것이 새로운 데이터 엔지니어링 스킬이 된 것이다. 이를 좀 더 상세히 살피면 다음과 같다.

1. 데이터 민감도
조직이 어떤 식으로 데이터를 보호하느냐는 데이터 프라이버시라는 개념에 얼마나 민감하냐에 따라 달라진다. 또한 데이터 엔지니어가 민감한 데이터와 민감하지 않은 데이터를 얼마나 잘 이해하고 구분하느냐에 따라서도 달라진다. 까다롭게도 각 데이터 프라이버시 규정들마다 민감한 데이터라는 걸 상이하게 정의한다. 사실 데이터 보호가 어려운 개념이 되는 것에는 이 차이가 크게 작용한다. 

이제 곧 대체될 캘리포니아의 CPRA의 경우 민감한 데이터에 대해 방대하게 정의를 내리고 있는데, 심지어 개인정보까지도 민감 개인정보와 비민감 개인정보로 나눈다. CPA의 경우 개인의 성생활과 정신 건강, 생물학적 건강과 관련된 정보를 민감한 정보로 규정하고 있다. VCDPA는 위치정보까지도 민감한 정보로 분류한다. 그러니 어떤 데이터가 민감한 것인지부터 알아두는 게 데이터 엔지니어로서 안전하게 활동할 수 있는 첫 걸음이 된다.

2. 데이터 활용
데이터의 민감도를 파악했다면, 이제 그 데이터를 어떻게 처리할 것인지를 결정해야 한다. 이 과정은 그리 어렵지 않다. 다만 계획했던 데이터의 활용도가 민감도와 상충한다면 문제가 복잡해질 수 있다. 하지만 그 어떤 데이터에도 공통점이 있는데, 데이터는 항상 돌아다닌다는 것이다. 조직 안에서 바깥으로, 바깥에서 안으로, 클라우드에서 온프레미스로, 혹은 그 반대 방향으로 말이다. 보안이 좋은 환경으로도 들어갈 수 있고 불량한 곳으로도 갈 수 있다. 그러니 각 데이터별로 안전 장치를 마련해야 한다.

예를 들어 민감한 데이터 하나가 식별되지 않은 채 데이터 엔지니어의 손에 흘러 들어갔다가 재식별되어야 하는 상황에 놓일 수 있다. 이럴 때 재식별 되더라도 데이터의 민감한 내용이 노출되지 않도록 해야 한다. 그런 상태에서 데이터를 활용할 수 있도록 만드는 게 데이터 엔지니어의 일이어야 되지, 예전처럼 데이터 내용을 전부 알아내 분석가에게 넘겨서는 안 된다. 이 부분에 있어서는 정해진 답이 존재하지 않는다. 데이터마다 다른 방법이 적용되어야 한다.

3. 보안 제어
클라우드가 크게 유행하기 전에 데이터 보안 제어 장치들은 그리 복잡하지 않았다. 네트워크의 외곽선을 모니터링 하다가 비승인 접근 시도만 막아내면 되었기 때문이다. 하지만 클라우드가 이 외곽선 혹은 네트워크의 경계선이라는 개념을 없이면서 문제는 복잡하게 되었다. 경계선도 없어졌는데, 데이터마저 이전보다 더 활발하게 돌아다니게 되었다. 기업들은 이전과 다른 개념의 보안 장치들이 필요하게 됐다. 그것도 데이터의 유형과 활용도에 따라 다른 것들이 말이다.

데이터 엔지니어들은 이러한 신규 보안 장치들에 대한 이해도도 높여야 한다. 마스킹이 무엇인지, 토큰화와 암호화는 어떤 차이가 있는지, 이런 각종 기술들은 언제 활용해야 하며, 데이터의 가치를 가장 잘 살릴 수 있는 방법은 무엇인지 꿰고 있어야 한다. 물론 데이터 보호까지 엔지니어들의 책임은 아니다. 하지만 각종 보호 장치들을 이해함으로써 데이터를 분류하거나 어디론가 보낼 때 안전한 거름장치의 역할을 할 수 있게 된다.

데이터 프라이버시 관련 규정은 이미 복잡해질 대로 복잡해진 상황이지만, 앞으로는 더할 것이다. 데이터 보호 장치의 효과에 대한 기대감 역시 갈수록 높아질 것이다. 데이터 엔지니어들의 역할이 커질 수밖에 없다. 민감한 데이터가 무엇인지 최신 규정에 따라 구분할 수 있고, 데이터를 안전하게 활용할 수 있으며, 그러한 안전 장치들에 대한 이해도를 높일 때, 데이터 엔지니어들의 가치는 더더욱 높아질 것이다. 그게 데이터 엔지니어링 분야의 발전 방향이다.

글 : 아미시 디바샤(Ameesh Divatia), CEO, Baffle
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>