에밀리 핸콕(Emily Hancock) 클라우드플레어 최고프라이버시책임자(CPO) [ⓒ클라우드플레어]

[에밀리 핸콕 클라우드플레어 최고프라이버시책임자] 흔히 보안과 개인정보 보호는 상충하는 개념으로 여겨진다. 효과적인 보안 구현을 위해서는 잠재 위협 식별이 필요한데, 민감한 개인 데이터를 검사하는 과정에는 개인정보 침해 우려가 존재하기 때문이다.

데이터 프라이버시를 달성할 수 있는 실질적인 방법은 데이터 보안을 효과적으로 구현하는 것이다. 잘 설계된 프라이버시 퍼스트(privacy-first) 보안 프로그램은 잠재적인 개인 정보 보호 침해를 최소화하고 조직에 이점을 제공한다.

'보안-개인정보 보호' 관계성에 대한 오해

보안과 개인정보 보호가 상충한다는 오해는 두 개념을 극단적으로 해석하는 데서 비롯된다. 이러한 사고방식에서 민감한 데이터에 대한 접근은 개인 정보 보호를 침해하는 행위이자 반드시 지양해야 하는 것으로 여겨진다. 그 결과, 보안 프로그램은 잠재 위협을 식별하고 이를 해결하는 역량에 심각한 제약을 받게 된다.

네트워크 트래픽 분석이 대표적인 예다. 패킷 검사는 기업의 사이버 보안 프로그램에서 중요한 도구다. 방화벽은 패킷 검사 형태를 취하는데, 방화벽을 설치하지 않는 것은 전 세계 각국의 법률과 규정이 요구하는 합리적인 보안 조치를 위반하는 것으로 간주되기도 한다. 네트워크 패킷의 페이로드(payload) 내부를 살펴보면 멀웨어 감염 시도, 데이터 유출, 계정 탈취 및 기타 위협을 식별할 수 있다.

개인정보 보호 관점에서 본다면, 개인 식별 정보(PII)나 여타 민감한 데이터가 포함되어 있는 패킷을 검사하는 것은 우려스러운 일이다. 특히 프라이버시 절대주의자(privary absolutist)라면 패킷 검사를 사용하지 않는 엔드-투-엔드 암호화를 선호할 수도 있다.

이처럼 표면적으로는 필수 보안 제공과 개인정보 보호에 중점을 두는 두 개의 관점이 서로 양립할 수 없는 것처럼 보인다. 그러나 수많은 규제 기관이 데이터 프라이버시를 보호하기 위해 합리적인 수준의 보안을 제공할 필요가 있다는 점을 강조해 왔다. 이는 보안 침해 이슈를 겪은 기업을 대상으로 시행된 개인정보 보호 규제 집행 조치만 살펴봐도 알 수 있다. 보안과 개인정보 보호 절대주의 사이의 간극은 좁혀질 수 있다. 하지만, 이를 위해서는 먼저 데이터 프라이버시와 보안을 바라보는 새로운 관점이 필요하다.

리스크 관리

리스크 관리는 데이터 보안과 데이터 프라이버시 프로그램의 핵심 원칙이다. 두 프로그램의 목표를 통합하려면 먼저 조직 데이터의 잠재적 리스크 요소를 파악해야 한다. 개인정보를 처리하는 조직에 있어 데이터 보호는 최우선 사항이다. 데이터 보안 프로그램과 연관된 조직의 가장 큰 우려는 보안 솔루션이 악성 콘텐츠의 신호를 찾기 위해 이메일, 네트워크 패킷 또는 파일을 검사하면서 PII나 기타 민감한 데이터를 들여다볼 가능성이 있다는 것이다.

또 다른 리스크 요소는 사이버 범죄자가 기업이나 고객의 데이터에 접근할 수 있다는 점이다. 예를 들어, 오늘날 랜섬웨어는 기업이 대가를 지불하지 않을 경우 민감한 데이터를 훔쳐서 외부로 유출한다. 또 대가를 지불하더라도 데이터가 삭제되거나 유출되지 않는다는 보장은 없다.

앞서 살펴본 두 가지 리스크를 모두 피하기란 현실적으로 불가능하다. 효과적인 보안 프로그램은 데이터에 대한 접근을 필요로 하며, 비효율적인 보안은 데이터 유출로 이어질 수밖에 없다.

프라이버시 퍼스트 보안 접근방식

처음부터 개인정보 보호를 고려해 설계된 보안 솔루션을 사용하면 고객과 직원의 개인 데이터를 보호하면서도 강력한 보안 체계를 구현할 수 있다. 이러한 프라이버시 퍼스트 보안 접근 방식은 조직이 비용 대비 편익을 분석할 때도 큰 잠재적 이점을 제공한다.

예를 들어 멀웨어가 조직 시스템에 도달하기 전에 미리 차단한다면 데이터 유출을 방지할 수 있다. 2023년 데이터 유출 평균 피해액은 445만 달러(한화 약 59억 원)에 달했다. 데이터 유출이 브랜드 평판에 미치는 영향이나 법적인 여파는 말할 것도 없이, 기업 입장에서는 단 한 건의 데이터 유출이라도 방지하는 것이 중요하다. 이를 위해 업계 최고 수준의 보안 조치가 필요하다는 데에는 의심의 여지가 없다. 또 신뢰할 만한 보안 기업이라면 민감한 데이터에 대한 접근을 최소화하면서도 개인정보를 보호할 수 있는 솔루션을 제공해야 한다.

프라이버시 퍼스트 보안 프로그램 설계

개인정보 보호와 보안이 반드시 상충할 필요는 없다. 프라이버시 퍼스트 보안 프로그램은 보안을 구현하는 것과 구현하지 않는 경우의 리스크를 평가한다. 이때 이메일 스캐닝과 같은 보안 솔루션을 구현해서 얻을 수 있는 이점이 더 크다면, 조직은 이 기능을 신중히 고려해 배포해야 한다. 특정 보안 도구가 데이터 보안과 개인정보 보호에 적합한지 평가할 때 고려해야 할 질문은 아래와 같다

▲ 명확한 이점을 제공하는가?

보안 솔루션이 가질 수 있는 프라이버시 위험은 해당 솔루션이 데이터 유출의 위험을 절감하는 경우에만 허용된다.

▲개인정보에 대한 접근을 최소화하는가?

보안 솔루션이 민감한 데이터에 잠재적으로 접근하거나 이러한 데이터를 처리하는 양을 최소화해야 한다.

▲회사가 보안을 우선시하는가?

솔루션 제공업체가 과거 보안 사고를 어떻게 처리했으며, 보안 부문에 우선적으로 투자했는지 확인해야 한다.

▲규제 요건을 충족하는가?

해당 업체가 ISO 27701 및 ISO 27018과 같은 개인정보 보호 관련 인증, 유럽연합(EU)-미국 데이터 프라이버시 프레임워크 인증, 또는 EU 클라우드 행동 강령 인증을 취득했는지 확인해 보아야 한다. PCI DSS, ISO 27001, SOC 2 Type II와 같은 표준 보안 인증과 더불어 이러한 인증까지 보유하고 있다면, 해당 업체가 개인정보 보호 및 보안에 충분한 노력을 기울이고 있다는 좋은 신호다.

다만, 일반적인 조직은 평균 60개 이상의 보안 도구를 사용하는데, 모든 도구를 위의 기준으로 평가하기는 어렵다. 보안 통합이 필요한 이유가 바로 이 때문인데, 다양한 기능을 갖춘 단일 제공 업체를 대상으로 심층 실사를 수행하는 것이 여러 개의 보안 제품을 표면적으로 평가하는 것보다 쉽다.

<에밀리 핸콕 최고프라이버시책임자(CPO)> 클라우드플레어

<기고와 칼럼은 본지 편집방향과 무관합니다.>