데이터 프라이버시를 지킨다는 건 고객과의 신뢰를 형성하겠다는 제스처
데이터 프라이버시의 중요성에 대한 인식이 조직 차원에서 자리 잡는 게 중요

[보안뉴스 문가용 기자] 현대 기업들에 있어 데이터를 최대한으로 활용해 가치를 이끌어낸다는 건 나라와 지역을 불문하고 가장 높은 목표가 되었다. 하지만 데이터의 활용은 반드시 데이터 프라이버시의 보호와 균형을 맞추어야 한다. 그러나 뉴스 헤드라인을 보면 이 균형 맞추기에 대부분 조직들이 실패한다는 걸 어렵지 않게 알 수 있다.


물론 데이터 프라이버시를 지킨다는 게 쉬운 일은 아니다. 정보란 것의 꼬리가 너무나 길어 한 조직이 관할하는 영역 너머로 길게 뻗치기 때문이다. 그런 상황에서 한 조직이 데이터를 전부다 거둬서 정리하고 현황을 파악한다는 건 난이도가 높은 일일 수밖에 없다. 그러나 그것이 핑계가 되지 못하는 게 지금의 상황이기도 하다.

기업의 입장에서 데이터 프라이버시를 강화하기 위해 할 수 있는 일이 아주 없는 건 아니다. 일단 모든 기업들에 공통적으로 내려지는 권고 사항은, 데이터의 부분적이고 조직적인 면에서의 통제력을 높임으로써 기업의 통합 자료로서 관리할 수 있도록 하라는 건데, 이걸 제대로 실행하려면 사람, 프로세스, 기술이라는 세 가지 요소가 잘 맞물려야 한다. 무슨 말이냐면, 강력한 IT 리더십 육성 등에 투자하고, 하위 부서 내 관련자들을 아우를 수 있는 프로세스를 정립하며, 오래된 구성 요소들을 신기술로 서서히 대체해야만 한다는 것이다.

어려워 보이겠지만 어쩔 수 없다. 데이터를 활용하는 기업, 그 중에서도 고객의 데이터를 활용하는 기업이라면, 반드시 이걸 이뤄내야 한다. 왜냐면 유럽연합 내 기업들이라면 정보 보호 감독 기구들이 끊임없이 압박을 줄 것이기 때문이고, 유럽연합 외 기업들이라도 비슷한 압박들이 앞으로 예고되어 있기 때문이다.

게다가 정부들이 이 부분에 있어 더 엄격해지고 있다. 미국 연방거래위원회가 페이스북에 “고객 데이터 보호에 실패했다”는 이유로 내린 벌금 액수를 보라. 무려 50억 달러다. 데이터 프라이버시 보호를 위해 조치를 취하는 게 쉬울까, 50억 달러를 벌금으로 내는 게 쉬울까?

하지만 기업들이 데이터 프라이버시를 어렵다고 미뤄두거나 무시했을 때 감수해야 할 진짜 위험은 벌금이 아니라 고객이다. 따라서 벌금을 내지 않는 방법을 고민하기보다 GDPR이나 CCPA와 같은 법이 생겨나는 이유와, 그 규정들이 진정으로 이뤄내려고 하는 것들이 무엇인지를 이해해야 한다. 이런 법들을 준수할 수 있을 때 고객들이 브랜드에 신뢰를 주기 시작할 거라는 것을 말이다.

즉, 데이터 프라이버시를 지킨다는 건 고객과 신뢰 관계를 형성하겠다는 제스처다. 잘 지키고 있다는 메시지도 중요하고, 잘 지키지 못했을 때 투명하게 공개하는 것도 중요하다. 고객들이 개인정보를 잘 지킬 수 있도록 도와주는 것도 그런 맥락에서 - 다만 컴플라이언스만이 아니라 - 이해해야 한다.

데이터 프라이버시 보호에서 성공이라는 건 단지 운영진의 승인과 그에 따른 IT 부서의 적절한 지원으로만 이뤄지는 게 아니다. 조직 전체의 참여와 협조가 반드시 있어야 한다. 거기에 ‘데이터 프라이버시 보호의 중요성’을 모두가 한 마음으로 인정하는 것이 가장 중요하다. 이상하게 다들 소비자의 입장에서는 개인정보를 보호해야 한다는 것에 한 마음이 되면서, 직원의 입장이면 ‘그 정도는 다 이해하고 좋게 좋게 넘어갈 수 있는 거’라는 태도가 되는데, 이걸 바꿀 필요가 있다.

여기에는 가시적인 장치가 필요하다. 조직 구성원은 물론 외부 고객과 파트너사까지 볼 수 있는 행동 규범이나 정책을 정해 걸어두면 효과적이다. 데이터 프라이버시를 어떤 마음가짐으로 지키겠다는 조직 차원의 다짐을 글귀에 담아 눈에 띄는 곳에 두라. 이는 그 자체로 불문율로 굳어지게 될 것이다. 더 공개적인 장소에 내걸면 걸수록 고객과의 약속과 같은 역할을 하게 될 수도 있다. 필자의 조직을 사례로 들어보겠다. 우리 조직에서는 다음과 같은 행동 규범을 지키고 있다.

“사람에 관한 규범 :
1) 기업 데이터를 활용한 업무를 맡은 직원 및 모든 데이터 관련자들을 면담함으로써 완전한 투명성을 추구한다.
2) 프라이버시 관련 법과 규정, 표준이 바뀔 때 충분한 시간을 가지고 알리며, 적용될 내용을 교육한다.
3) 데이터와 관련된 외부인이나 내부인을 주기적으로 면담함으로써 작업이 이뤄지는 과정이 프라이버시 규정이나 표준, 법과 부합하도록 한다.

프로세스에 관한 규범 :
1) 기업 데이터를 추적할 수 있는 프로그램을 도입한다. 내부 소프트웨어 워크플로우를 통과할 때마다 접근점들에 대한 내용, 데이터의 변화와 배포 상태를 전부 문서화 할 수 있도록 기록한다.
2) 위 추적 프로그램을 사용해 공격 가능성이 잠재된 지점들을 위주로, 규정 준수가 바탕이 된 운영 방법을 수립한다. 외부 파트너십을 맺을 때를 위한 사내 정책들도 수립한다.

기술을 위한 규범 :
1) 데이터 항목화 툴에 투자한다. 기업 데이터 및 자산들을 식별할 수 있는 툴이어야 하며, 데이터 프라이버시 및 보호 컴플라이언스 프로그램을 구축하는 데 활용이 가능한 것이어야 한다.
2) 데이터 복구 및 분류 도구를 데이터 항목화 솔루션과 같이 사용해 데이터 태깅, 망분리, 데이터 파괴와 같은 작업을 자동으로 할 수 있도록 한다.
3) 데이터의 외곽선을 제어할 방안을 마련한다. 그럼으로써 개인 식별 정보 등의 민감 정보가 노출되지 않도록 한다.”

이것은 하나의 예시에 불과하다. 데이터 프라이버시 보호는 우리가 ‘좋은 것’이라고 인정하는 것과 달리 실제로 현장에서 적용해보려면 감도 오지 않는 낯선 개념이다. 그러나 피할 수 없는 현실이 된 것도 사실이다. 따라서 조직 차원에서 이를 이해 가능한 말로 바꾸고, 직접적인 업무 프로세스까지도 변경시키며, 기술에까지 투자해 떠먹여줘야 한다. 그렇지 않으면 고객의 신뢰가 어느 순간 다 사라진 걸 볼 수 있을 것이다.

글 : 브래드 쉼민(Brad Shimmin), Distinguished Analyst
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>