백서

GDPR(General Data Protection Regulation) 기본 대처 방안 : 5 가지 대비 방법

백서

2

대격변을 몰고올 수 있는 GDPR(General Data Protection Regulation) 의 시행이 임박

함에 따라 전 세계의 조직들은 우려의 눈빛으로 지켜보고 있습니다 . 개인 정보 데이터의 수집 , 저장 , 보호 방식에 대한 이 엄청난 변화에 대비하는 것을 우선 순위에 두지 않은 조직 (PwC 설문조사에 따르면 미국 다국적 기업의 절반에 이름 1) 은 2018 년 5 월 25 일에 GDPR 이 발효되면 상당한 타격을 입을 위험이 있습니다 . 불이행에 따른 벌금이 수백만 유로에 달해 재정적 타격만으로도 일부 조직은 도산 위기에 처할 수 있습니다 . 여전히 대비할

시간이 있지만 불과 몇 개월 남지 않았기 때문에 서둘러야 합니다 . 이 백서에서는 조직이

GDPR 위험 관리 프레임워크를 설정하기 위해 고려할 5 가지 기본 단계를 제시합니다 .

1. 규정 내용 파악당연한 얘기겠지만 GDPR 에 대비하는 첫 단계는 이 규정과 규정 요건들을 명확하게 파악하

고 이해하는 것입니다 . 특히 요건들이 각자의 조직에 어떻게 적용되는지를 확인해야 합니

다 . 한마디로 , GDPR 은 1) 기업의 소재지가 EU 인지 여부에 관계없이 EU 시민의 개인 정

보 데이터를 처리하는 모든 기업에 적용되며 , 2) 데이터 수집 , 저장 및 보호 프로세스에 개

인 정보 보호 조치를 구현하도록 요구합니다 . 정확하게 무엇을 의미하는지는 간단히 요약할

수 없고 , 조직에 미치는 영향을 완전히 이해하기 위해서는 규정 자체 (99 개 조항 모두 ) 를

자세히 검토하는 방법밖에 없습니다 . 가급적 법률 및 규정 전문가의 자문을 받는 것이 좋습

니다 .

2. 현재 상태 파악 개인 정보 데이터를 처리하는 방법에 대한 GDPR 요건을 준수하려고 노력하기 전에 먼저 조직의 어떤 데이터에 GDPR 의 개인 정보 보호 의무가 적용되는지 , 그리고 해당 데이터가 어디에 저장되어 있고 어떻게 사용되고 있는지를 파악해야 합니다 . 추적해야 할 사항이 많은 것처럼 들릴 텐데 실제로 그렇습니다 . 게다가 오늘날 데이터는 운영 환경 내부의 데이터 센터뿐 아니라 클라우드에도 있기 때문에 프로세스가 더욱 복잡해집니다 . 자동화된 툴을 사용하면 IT 인프라스트럭처에 있는 데이터의 양과 유형을 정확하게 식별하는 당면 과제를 해결하는 데 도움이 되지만 , 이 당면 과제의 대부분은 데이터가 운영 환경 내부에 있든 클라

우드에 있든 관계없이 조직에서 구현한 데이터 거버넌스 프로세스에 좌우됩니다 .

3. 준비 상태 확인조직 내 / 외부로 전송되는 데이터의 인벤토리를 작성했으면 기존에 데이터 보안이 어떻게

이루어지고 있는지를 검토해야 합니다 . 대부분의 조직은 암호화 프로세스와 같은 데이터

보호 조치를 갖추었을 가능성이 크며 , 이러한 조치는 조직에서 수집하고 저장하는 데이터

의 개인 정보 보호와 관련한 일부 GDPR 요건을 준수하는 데 중요한 역할을 할 수 있습니다 .

이 밖에도 조직에서는 데이터 보호와 관련하여 개인 정보 보호 영향 진단 , 공식 데이터 거버

넌스 정책 , 데이터 백업 및 보존 정책과 툴 등의 조치를 마련했을 가능성이 큽니다 .

1 PwC GDPR preparedness pulse survey, 2016 년 12 월

백서

3

4. 타사 위험 관리퍼블릭 클라우드에서 일부 또는 전체 환경을 운영하는 조직이나 공급업체 및 계약업체와 데이터 공유가 수반된 관계를 맺고 있는 조직은 타사로 인해 GDPR 위험이 더욱 가중됩니다 .

타사와의 계약을 문서화하고 , 타사로 인해 발생할 수 있는 위험 수준을 진단하며 , 타사 거버

넌스를 최적화하는 것은 모두 GDPR 위험을 관리하는 데 중요하고 필요한 사항입니다 .

5. 빠른 대응 준비중요한 GDPR 요건 중 하나는 72 시간 이내의 보안 침해 보고 규칙입니다 . 즉 , 조직에서 보안 침해 사실을 파악한 이후 72 시간 이내로 데이터 보안 침해 사실을 보고해야 합니다 . 이 법률이 시행되고 나서 이처럼 빠르게 대응하기 위해서는 지금부터 계획을 시작해야 합니다 . 다시 말해서 , 72 시간 내에 보안 침해의 범위와 영향을 파악하기 위해 갖추어야 할 기능을 생각해봐야 합니다 . 보안 침해가 일어나는 데는 몇 분밖에 안 걸리지만 보안 침해를 발견하

기까지 수개월이 걸릴 수 있다는 사실을 감안할 때 이는 특히 중요합니다 . 2

GDPR 이 시행되기까지 몇 개월 남아 있기 때문에 조직에서는 운영에 미치는 영향을 최소화

하도록 충분히 계획하고 대비할 수 있습니다 . 조직에 GDPR GRC(Governance, Risk and Compliance) 솔루션을 구현하는 데 도움을 주는 RSA Archer 에 대한 자세한 내용은 rsa.com/gdpr 을 참조하십시오 .

RSA 소개RSA 는 보안 인시던트와 비즈니스 컨텍스트의 상관 관계를 파악하는 독보적인 Business-Driven Security™ 솔루션을 제공하여 조직이 위험을 관리하고 가장 중요한 자산을 보호할 수 있도록 지원합니다 . RSA 솔루션을 기반으로 지능형 공격을 효과적으로 탐지 및 대응하고 , 사용자 ID 와 액세스 권한을 관리하고 , 비즈니스 위험 요소 , 부정행위 및 사이버 범죄를 최소

화할 수 있습니다 . RSA 는 전 세계 수백만 명의 사용자를 보호하고 있으며 , Fortune 지 선정 500 대 기업의 90% 이상이 오늘날과 같이 불확실하고 위험도가 높은 환경에서 성공을 거둘 수 있도록 돕고 있습니다 . 자세한 내용은 rsa.com 을 참조하십시오 .

2 Verizon Data Breach Investigations Report 2017

백서

4

컨텐츠 및 책임 부인

이 백서는 일반적인 정보 제공 용도로만 작성되었으며 전문가의 자문을 대체하는 자료로 사용해서는 안 됩니다 . RSA 제품 또는 서비스는 정보 제공 용도로만 언급된 것입니다 . RSA Security LLC, EMC Corporation, Dell, Inc. 및 해당 계열사 ( 통칭하여 “RSA”) 는 이 백서에 포함된 정보의 정확성이나 완전성

과 관련하여 어떠한 명시적 또는 묵시적인 보증도 부인합니다 . RSA 는 이 백서에 포함된 오류나 누락에 대해 책임지지 않으며 언제든지 예고 없이 이 백서를 변경할 권리가 있습니다 . 이 백서에 의해 직접적으로든 간접적으로든 어떠한 계약상의 의무도 성립되지 않습니다 . 이 백서에 포함된 모든 RSA 및 타사 정보는 "있는 그대로 " 제공됩니다 . RSA 는 상품성 , 특정 목적에 대한 적합성 및 비침해에 대한 묵시적 보증을 포함

하여 이 백서에 포함된 정보와 관련하여 명시적이거나 묵시적인 모든 보증을 부인합니다 . 일부 관할지에

서는 묵시적 보증의 제외를 허용하지 않으므로 , 위에서 언급한 제외 사항이 귀하에게 적용되지 않을 수 있습니다 . 어떤 경우에도 RSA 는 RSA 웹 사이트 , RSA 제품 또는 서비스를 사용하거나 사용하지 못함으로 인해 또는 그와 관련하여 발생하는 직접적 , 간접적 , 특수적 , 결과적 또는 우발적 손해나 이익 손실 , 매출 손실 , 사용 중단 , 교체품 비용 , 데이터 손실 또는 손상을 포함한 일체의 손해에 대해 책임을 지지 않습니다 . 여기에는 이 백서에 나온 문서 또는 정보를 사용하거나 의존하여 발생하는 손해도 포함되며 , 이는 RSA 가 그와 같은 손해의 가능성을 사전에 알고 있었던 경우에도 마찬가지입니다 . 이 백서는 RSA 의 사전 서면 동의 없이 복제할 수 없습니다 .

Copyright © 2017 Dell Inc. or its subsidiaries. All Rights Reserved. Dell, EMC, RSA 및 기타 상표

는 Dell Inc. 또는 해당 자회사의 상표입니다 . 기타 모든 상표는 해당 소유주의 자산일 수 있습니다 . Published in the USA. 2017 년 7 월 H16472.

EMC2, EMC, EMC 로고 , RSA, Archer, FraudAction, NetWitness 및 RSA 로고는 미국 및 기타 국가에서

EMC Corporation 의 등록 상표 또는 상표입니다 . 본 발행물에 언급된 기타 모든 제품 및 서비스는 해당 회

사의 상표입니다 .