미국의 데이터 개인정보 보호 규정 이해 및 SOAR의 지원 방법

반면에 유럽연합(EU) 전역에서 개인정보보호법(GDPR)이 시행되고 있습니다., 미국의 데이터 개인정보 보호 규정은 주마다 다릅니다. 하지만 이러한 상황은 앞으로 바뀔 수도 있습니다. 2020년 소비자 데이터 개인정보 보호 및 보안법(CDPSA), 현재 입법 과정을 거치고 있습니다. 그동안, 캘리포니아 소비자 개인정보 보호법(CCPA) 개인정보 보호 규제 분야에서 전국을 선도하고 있습니다.

GDPR과 CCPA의 유사점은 접근권, 잊힐 권리, 그리고 거부권에 대한 공통된 목표입니다. CCPA는 웹사이트에 개인정보 보호 고지를 의무화한다는 점에서 차이가 있습니다. 반면 GDPR은 부정확한 데이터를 수정할 권리를 보장하고 명시적인 동의를 요구합니다. 두 법률 모두 데이터 유출 알림에 관한 유사한 목표를 공유하지만, 알림 시기, 보고 기관, 그리고 정보 주체에 대한 알림 시점 등에서 미묘한 차이를 보입니다.

캘리포니아 소비자 개인정보보호법(CCPA)은 국내에서 여전히 기준을 제시하고 있지만, 이 법규조차도 업데이트되거나 완전히 개편될 가능성이 있습니다. 캘리포니아 개인정보보호법(CPRA)이 2020년 11월 주민투표에 부쳐질 예정인 만큼, 향후 몇 년 안에 이러한 변화가 일어날 가능성이 높습니다. 또한 현재 약 15개의 주 및 연방 법률이 제정 절차를 밟고 있습니다. 요컨대, 데이터 개인정보보호에 대한 변화와 확장이 가속화되고 있다는 것입니다.

더욱이 미국은 HIPAA나 GLBA처럼 특정 산업을 대상으로 하는 데이터 프라이버시 규정이나, COPPA처럼 특정 인구 집단을 대상으로 하는 규정도 포함하고 있습니다. 이러한 복잡한 데이터 프라이버시 규정을 성공적으로 헤쳐나가는 조직은 GRC, 법무, IoT, 사이버 보안 그룹 간의 협업을 통해 이를 달성합니다. 이러한 공동의 노력은 기업 문화와 사고방식의 변화를 촉진하기도 합니다.

데이터 개인정보 보호는 비즈니스 운영 및 기술 전환 로드맵을 수립할 때 더 이상 부차적인 고려 사항이 되어서는 안 됩니다.

GDPR과 마찬가지로 미국은 각 주에서 제정 및 시행하는 파편화된 규정으로 인한 문제점을 인식하기 시작했습니다. 바로 이 지점에서 앞서 언급한 CDPSA가 중요한 역할을 합니다. CDPSA는 중앙 집중화된 연방 차원의 규제를 통해 이러한 문제점을 해결하고자 할 뿐만 아니라, 세 가지 기업 특성에 따른 기준을 제시합니다. CDPSA에 따르면 소기업은 직원 수가 500명 미만이고, 3년간 평균 총매출액이 14억 5천만 달러 미만인 기업이며, 처리되는 데이터 기록 수에는 기준이 없습니다.

이는 GDPR과는 약간 다르지만, 매출, 직원 수, 사업 운영 규모에 따라 명확하게 정의된 기준을 제시한다는 점에서 CCPA와 유사합니다. 미국은 규정 준수 비용과 소비자 데이터 보호의 이점 사이에서 균형을 맞추고자 합니다. 과거 사례를 보면, 미국의 법률은 상업적 이익을 우선시할 가능성이 높습니다. 미국 법률이 주(州) 데이터 보호법을 대체할지 여부를 예측할 수 있다면 얼마나 좋을까요. 또한 연방 법률이 CCPA가 설정한 기준을 충족하거나 능가할 수 있을까요? 현재로서는 최고의 모범 사례를 기반으로 데이터 프라이버시 프로그램을 구축하는 것이 중요합니다.

도전

규모가 크든 작든 대부분의 조직, 아니 거의 모든 조직이 국내외에서 끊임없이 변화하는 규정을 따라잡는 데 어려움을 겪고 있습니다. 이러한 데이터 개인정보 보호 규정의 변화를 모두 파악하는 것은 모든 조직에게 어려운 과제입니다.

조직 내 데이터 개인정보 보호 규정 준수를 확립하고 유지하는 데 필요한 노력은 한 개인이나 팀에 맡겨서는 안 되며, 조직 전체가 함께 문제를 논의하고 해결 방안을 모색해야 합니다. 성공적인 시작을 위한 핵심은 데이터의 전체 수명 주기, 데이터와 상호 작용하는 환경의 시스템 분류, 관련된 제3자, 그리고 문서화입니다. 네, 바로 그 오래된 정책 및 절차 말입니다. 정책과 절차라는 개념이 마음에 드실 수도 있겠지만, 이 부분은 다음에 자세히 다루도록 하겠습니다. 다만, 데이터와 시스템에 대한 문서화된 이해가 없다면 감사 기관이나 규제 당국으로부터 우려를 불러일으키는 지름길이라는 점을 명심하십시오.

데이터 수명주기를 매핑할 때는 모든 가능한 유입 및 유출 경로와 자동화된 처리를 고려해야 합니다. 특히 마케팅을 외주하거나 이메일 배포 및 캠페인을 운영하는 경우 이 부분이 어려울 수 있습니다. 다음 사항들을 고려하십시오. 잊힐 권리 이 경우, 귀사가 이메일을 포함한 모든 개인 데이터 삭제를 요청하는 EU 시민의 요청을 이행할 수 있다면, 자동 이메일 캠페인과 같은 부차적 또는 아웃소싱된 비즈니스 프로세스가 규정 미준수 위험이 더 커질 수 있습니다.

SOAR 솔루션

데이터 개인정보 보호 규제가 조직에 지속적인 과제를 안겨주는 가운데, 기술, 인력 및 규정 준수를 조화롭게 이끌어낼 수 있는 희망과 전략이 있습니다. 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션. SOAR 플랫폼을 관련 시스템에 통합함으로써 기업은 보안 운영 센터(SOC), IT, 규정 준수 및 기타 프로세스 전반에 걸쳐 데이터를 동기화하고 활용할 수 있습니다.

보안 운영 센터(SOC)와 IT 부서는 이미 많은 업무에 시달리고 있습니다. 여기에 규정 준수 책임까지 더해지면 이미 소중한 시간과 관심이 더욱 부족해질 수 있습니다. 바로 이럴 때 자동화가 도움이 될 수 있습니다.

SOAR는 조직이 기존의 인력, 프로세스 및 기술을 활용할 수 있도록 지원하며, 이는 팀에 새로운 규정 준수 기능을 추가해야 할 때 특히 유용합니다. 데이터 주체의 신원 확인과 같이 규정 준수의 특정 요소는 사람의 개입이 필요하기 때문에 SOAR 솔루션은 지정된 워크플로 프로세스를 자동으로 실행하고 수동 작업이 필요할 때 담당자에게 알림을 보낼 수 있습니다. 더욱이 SOAR 프로세스는 수동 평가 및 결정 외의 모든 작업을 처리하여 사람이 불필요한 작업을 수행할 필요성을 없애줍니다. 사람의 결정이 내려지고 적절한 조치가 지정되면 SOAR 자동화 및 오케스트레이션 기능이 작동하여 나머지 프로세스를 완료합니다.

앞서 언급한 규정 준수 관련 정보와 자동화된 워크플로를 활용하면, 팀은 조직의 핵심 보안 태세를 유지하면서 데이터 주체의 요청에 신속하게 대응할 수 있습니다. SOAR 솔루션의 자동화를 활용하는 조직은 워크플로를 구축하여 이러한 프로세스의 대부분 또는 전부를 사람의 개입 없이 처리함으로써 SOC 및 IT 팀에 과도한 부담을 주지 않을 수 있습니다.

더 자세히 알고 싶으신가요?

이 글을 읽고 계시다면, 귀사는 끊임없이 변화하는 위협 환경으로부터 쏟아지는 경고에 압도당하고 있으며, 규제 및 준수 프로세스와 절차에 어려움을 느끼고 있을 가능성이 높습니다. 스윔레인이 도와드릴 수 있습니다! 지금 바로 이 온디맨드 웨비나를 시청하세요., 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션 SOAR가 규정 준수 보고 자동화에 어떻게 도움이 되는지 알아보세요.

웹 세미나: 규정 준수 관련 사고 대응 및 보고 요건 간소화

SOC 팀이 사이버 위협에 대응하고 이를 완화하기 위해 지속적으로 노력하는 가운데, 한 가지 변함없는 사실은 사고 대응에 있어 문서화 및 보고가 필수적이라는 점입니다. 에너지 산업에서 흔히 요구되는 규정 중 하나는 북미 전력 신뢰성 위원회(NERC)의 중요 인프라 보호(CIP)입니다. 이는 북미 대규모 전력 시스템 운영 및 안정화에 필요한 자산을 보호하기 위해 마련된 일련의 요구 사항입니다. 이번 웨비나 다시보기에서 규정 준수 연구 컨설턴트인 밥 스완슨과 SOAR 에반젤리스트인 제이 스팬은 SOAR가 규정 준수 보고 및 감사 패키지 작성 과정을 간소화하고 지원하는 방법에 대해 논의합니다. 지금 바로 시청하세요!

지금 시청하세요