SOAR를 활용하여 정보 주체의 기본권을 이해하고 데이터 개인정보 보호 프로그램을 구축하세요.

그만큼 세계 데이터 보호 규정(GDPR)이 최근 2주년을 맞았습니다.. 많은 조직들이 개인 식별 정보(PII)를 수집한 데이터 주체로부터 요청을 받기 시작하면서, 2년 전 시행된 GDPR을 어떻게 처리해야 할지 여전히 고심하고 있는 듯합니다. 이러한 요청에 대해 무엇을 알아야 할까요? 이 글에서는 GDPR에 명시된 데이터 주체의 8가지 "기본 권리"를 간략히 설명하고, 중소기업부터 대기업에 이르기까지 이러한 권리가 전 세계 조직에 미치는 영향에 대해 논의합니다. 또한 이러한 권리와 관련된 규제 및 준수 요건은 일반적으로 시간과 노력이 많이 드는 번거로운 작업을 수반하기 때문에, 조직이 보안 오케스트레이션, 자동화 및 대응(SOAR) 솔루션을 활용하여 효율성을 높이고 규제 준수를 강화하는 방법을 살펴보겠습니다.

정보 주체의 8가지 권리

1. 접근권(제15조): 이 권리는 삭제 또는 정정 권리와 같은 향후 데이터 관련 권리의 토대를 마련하지만, 몇 가지 중요한 고려 사항도 있습니다. 첫째, 데이터 관리자는 개인 데이터가 처리되고 있는지 여부를 명확히 밝히고 그 결과를 정보 주체에게 알려야 합니다. 둘째, 개인 데이터가 처리되는 경우 데이터 관리자는 정보 주체에게 다양한 정보를 제공해야 합니다. 또한, 관련될 수 있는 제3자 또는 데이터 처리자에 대해서도 고려해야 합니다.
2. 정정할 권리(제16조): 이 권리는 정보 주체가 부정확한 데이터의 정정을 요청하거나 불완전한 데이터의 보완을 요청할 수 있도록 보장합니다.
3. 삭제권 (제17조): 또한 다음과 같이 알려져 있습니다. 잊힐 권리, 이 권리는 정보 주체가 데이터 관리자에게 개인 데이터 삭제를 요청할 수 있도록 합니다. GDPR에는 데이터 관리자가 데이터 삭제를 지연할 수 있는 특정 사례가 명시되어 있지만, 법적 조사와 같은 사유로 인해 이 권리 행사가 제한될 수도 있습니다. 이는 조직이 가장 흔하게 접하게 될 요청 중 하나입니다.
4. 처리 제한에 대한 권리(제18조): 이 권리는 정보 주체가 데이터 처리자에게 특정 기준(예: 데이터 처리자가 더 이상 처리 목적을 위해 개인 데이터가 필요하지 않거나 데이터 처리가 불법적인 경우)에 따라 개인 데이터 처리를 제한하도록 요청할 수 있도록 합니다. 단, 정보 주체는 삭제 권리를 행사하지 않을 수 있습니다. 데이터 처리자는 처리 제한이 해제될 경우 정보 주체에게 이를 알려야 합니다.
5. 알 권리 (제19조): 이 권리는 데이터 관리자가 데이터 주체에게 데이터 사용 방식과 데이터 전송 대상을 알려야 하는 여러 상황을 명시합니다. 이는 데이터 주체가 정보를 충분히 숙지하고 적절한 결정을 내리거나 기타 권리를 행사할 수 있도록 보장합니다.
6. 데이터 이동권(제20조): 이 권리는 정보 주체가 기술적으로 가능한 경우, 개인 데이터를 한 데이터 관리자에서 다른 데이터 관리자로 읽기 쉬운 형식으로 이전해 줄 것을 요청할 수 있도록 보장합니다.
7. 이의를 제기할 권리(제21조): 데이터 주체가 자신의 데이터 처리 중단을 요청했으나 데이터 관리자가 이를 거부한 경우, 데이터 주체는 제18조에 따라 해당 거부에 이의를 제기할 권리가 있습니다.
8. 자동화된 의사결정에 관한 권리(제22조): 이 권리는 정보 주체가 프로파일링을 포함한 자동화된 결정에만 의존하지 않도록 보장하며, 이러한 결정은 정보 주체에게 법적 또는 이와 유사하게 중대한 영향을 미칠 수 있습니다. 제22조는 또한 계약 이행에 필요한 결정이나 법률에 의해 허용된 경우와 같이 이 권리에 대한 예외 사항을 명시하고 있습니다. 이는 특히 타겟 마케팅 캠페인을 진행하는 조직에게 어려운 과제가 될 수 있습니다.

기타 고려 사항

정보 주체의 8가지 기본 권리 외에도 조직이 알아두어야 할 여러 가지 권리 또는 고려 사항이 있습니다. 특히 “민감한 데이터”라고 불리는 개인 데이터 하위 범주에는 특별한 고려 사항이 적용됩니다. 여기에는 형사 유죄 판결 및 범죄 관련 개인 데이터(제10조)와 아동 관련 개인 데이터(제8조)가 포함됩니다.

소요 시간에 주의하세요

정보 주체의 요청에 응답할 때, 조직은 포함해야 하는 정보가 무엇인지 숙지하고, 요청 이행 여부를 확인하며, 모든 조치 과정을 설명할 수 있어야 합니다. 또한, GDPR은 정보 주체의 요청에 대한 응답(30일)과 감독 기관에 대한 데이터 침해 보고(72시간)에 대해 엄격한 기한을 두고 있으므로, 이 점을 유념해야 합니다.

SOAR 플랫폼에 규정 준수 프로세스를 통합한 조직은 이러한 일정을 쉽게 추적하고 SOAR의 지표, 보고서 및 대시보드를 활용하여 규정 준수 기한을 준수할 수 있습니다. 실시간으로 프로세스 일정을 확인할 수 있을 뿐만 아니라, SOAR 플랫폼을 통해 알림 및 보고서 제출과 같은 워크플로 기반 작업을 실행하여 프로세스가 정확하고 시기적절하게 진행되도록 보장할 수 있습니다.

핵심 자원을 확보하세요

데이터 개인정보 보호 프로그램을 수립할 때 가장 먼저 고려해야 할 핵심 요소 중 하나는 민감한 정보를 전체 수명 주기 동안 식별하고 매핑하는 데이터 검색 프로세스입니다. 여기에는 제3자와의 정보 교환도 포함됩니다. 문서화된 데이터 흐름과 데이터 분류는 향후 방향을 설정하는 데 필수적인 자료입니다.

조직의 중요 데이터를 식별하고 데이터 수명 주기를 파악했다면, 다음 단계는 관련 시스템을 분류하는 것입니다. 우선순위를 정할 때는 여러 요소를 고려할 수 있지만, 일반적으로 위험 요소와 비즈니스 중요도를 기준으로 시작할 수 있습니다. 이러한 과정을 통해 조직은 위험도가 높은 영역에 엄격한 통제와 보호 조치가 필요한 부분을 우선순위로 정할 수 있습니다. 통제 시스템을 구축하고 위험 감소를 위한 지원 기술을 구현하면서 얻은 교훈은 위험도가 중간 또는 낮은 비즈니스 프로세스에도 적용할 수 있습니다.

데이터 개인정보 보호에 대한 조직의 인식과 이해도를 확인하는 데 있어 문서화는 매우 중요합니다. 데이터 개인정보 보호가 더 이상 부차적인 고려 사항이 아니라 비즈니스 프로세스, 제3자 관계, 자동 의사 결정에 사용되는 데이터 변경 시 필수적으로 고려되는 사항이 될 때 비로소 문화적 변화가 일어납니다.

조직에서 데이터 개인정보 보호 및 보안 프로그램의 기반을 마련했다면, 비즈니스 파트너, 데이터 처리업체 또는 기타 제3자 공급업체를 선정할 때 해당 요구 사항을 반드시 논의에 포함시켜야 합니다. 비즈니스 프로세스는 외주할 수 있지만, 위험에 대한 책임까지 외주할 수는 없습니다. SOAR 플랫폼 선택은 규정 준수 성공에 매우 중요할 수 있습니다. SOAR 플랫폼을 사용하여 리소스를 식별하고 추적하고 있습니까? SOAR 플랫폼에서 통제 사항을 추적하고 모니터링하고 있습니까? 모든 규정 준수 문서가 SOAR 플랫폼에 완벽하게 통합되어 있습니까? SOAR 플랫폼이 필요한 모든 규정 준수 문서와 보고서를 자동으로 생성하고 제출하고 있습니까? 그렇지 않다면, "왜 안 되는가?"라는 질문을 스스로에게 던져봐야 할 것입니다.“

거버넌스 위험 관리 및 규정 준수를 뒷받침하는 정책 및 절차 또한 중요한 자원입니다. 자세한 설명은 생략하겠지만, 이러한 지원 문서는 감사자가 통제 설계 및 구현을 검증하는 데 있어 가장 먼저 참고하는 자료입니다. 정책 및 절차가 마련되어 있지 않으면 규정 미준수로 이어질 수 있습니다. 특히, 조직이 정보 주체의 요청을 접수, 처리, 응답 및 문서화하는 절차를 수립해야 합니다.

마지막으로, 이러한 요청을 처리하는 팀이나 담당자가 있습니까? 이 역할이 IT 운영 또는 보안 운영(SecOps) 담당자에게 주어지는 경우가 많다는 점을 고려할 때, 이 역할이 주요 업무에 비해 부차적인 것으로 간주될 경우 어떤 영향을 미칠지 신중하게 검토해야 합니다. 데이터 주체의 요청을 놓치지 않도록 요청을 접수하고 응답하는 중앙 집중식 채널을 마련하는 것이 중요합니다. SOAR(서비스 지향 액세스 및 응답)이 이러한 점에서 유용하게 활용될 수 있습니다.

IT 운영 및/또는 보안 운영 팀은 조직의 네트워크 안전 및 보안 유지 관리를 포함한 나머지 업무를 수행하는 데 필요한 소중한 시간을 빼앗는 번거롭고 수동적인 프로세스에 또 다른 부담을 지고 싶지 않습니다. SOAR 플랫폼을 사용하여 이러한 번거로운 작업을 자동화하면 IT 운영 및 보안 운영 팀의 효율성을 높일 수 있을 뿐 아니라, 추적 및 보고해야 하는 사고 건수를 줄이거나 없애 조직의 규정 준수를 향상시킬 수 있습니다. 이를 통해 조직은 통제 요건을 충족하고 있음을 입증할 수 있을 뿐 아니라, 요청을 처리하고 증빙 자료를 제공하는 표준화된 방법을 확보할 수 있습니다.

더 자세히 알고 싶으신가요?

이 글을 읽고 계시다면, 귀사는 끊임없이 변화하는 위협 환경으로부터 쏟아지는 경고에 압도당하고 있으며, 규제 및 준수 프로세스와 절차에 어려움을 느끼고 있을 가능성이 높습니다. 스윔레인이 도와드릴 수 있습니다! 지금 바로 이 온디맨드 웨비나를 시청하세요., “"규정 준수 관련 사고 대응 및 보고 요건 간소화"” SOAR가 규정 준수 보고 자동화에 어떻게 도움이 되는지 알아보세요.

웹 세미나: 규정 준수 관련 사고 대응 및 보고 요건 간소화

SOC 팀이 사이버 위협에 대응하고 이를 완화하기 위해 지속적으로 노력하는 가운데, 한 가지 변함없는 사실은 사고 대응에 있어 문서화 및 보고가 필수적이라는 점입니다. 에너지 산업에서 흔히 요구되는 규정 중 하나는 북미 전력 신뢰성 위원회(NERC)의 중요 인프라 보호(CIP)입니다. 이는 북미 대규모 전력 시스템 운영 및 안정화에 필요한 자산을 보호하기 위해 마련된 일련의 요구 사항입니다. 이번 웨비나 다시보기에서 규정 준수 연구 컨설턴트인 밥 스완슨과 SOAR 에반젤리스트인 제이 스팬은 SOAR가 규정 준수 보고 및 감사 패키지 작성 과정을 간소화하고 지원하는 방법에 대해 논의합니다. 지금 바로 시청하세요!

지금 시청하세요