[전문가기고]EU GDPR, 종합 데이터 관리 전략으로 대응해야

데이터 관리는 기업의 자유로운 데이터 활용과 고객 정보 보호 사이에서 균형을 추구하는 방향으로 발전한다. 각국의 개인 정보 보호 규제 수준은 점차 강화되는 추세를 보이고 있다. 기업은 복잡하고 다양한 규제를 충족시키면서도 비즈니스 성장을 위해 데이터 활용을 확대해야 한다.

[전문가기고]EU GDPR, 종합 데이터 관리 전략으로 대응해야

내년 5월에 시행되는 유럽연합(EU) 개인정보보호법(GDPR)은 매우 높은 수준의 개인 정보 보호 관련 규제가 특징이다. GDPR의 핵심은 정보 주체 중심의 자유로운 데이터 이동과 데이터 보호다. GDPR는 EU에 사업장을 보유하거나 유럽 거주 시민들의 개인 정보를 처리하는 모든 기업에 적용한다. 규정을 위반하면 연간 글로벌 매출액의 4%, 2000만유로(약 269억원) 가운데 더 높은 금액을 과징금으로 내야 한다. 비즈니스에 상당한 위험으로 작용한다. GDPR로 인해 국내 기업의 개인 정보 보호·활용 중요성에 관한 인식이 더욱 높아질 것으로 예상된다.

GDPR는 기업이 개인 정보를 무단 변경할 수 없고 권한이 있는 사용자만 변경할 수 있게 했다. 일정 시간 동안만 보관할 것을 규정한다. 개인이 정보 조회를 요청하면 모든 시스템에서 데이터가 사용된 내역을 공개해야 한다. 개인 정보는 완벽하게 보호돼야 한다. 개인 정보의 정확성을 기록으로 입증해야 한다. 개인 정보는 보존 기한이 지나면 영구 삭제돼야 한다. 이에 따라서 많은 양의 개인 정보 관리 효과를 보면서 검색·활용하는 데이터 인프라 환경 구축은 필수다. 산업별 특성, 기업 상황, 정책 변화 등 다양한 요소를 고려해서 유연하게 대응하는 데이터 관리 종합 지능 시스템도 마련해야 한다.

데이터 관리 시스템 구축 때 반드시 고려해야 할 점과 대응책은 무엇인가.

첫째 다양한 형태의 개인 정보를 광범위하게 수집·분석해야 한다. 데이터의 속성 정보를 담는 메타 데이터를 활용해 개인 정보의 정확성, 사용자 동의, 보존 기간 등 문제를 해결해야 한다. 이러한 메타 데이터를 생성, 보관, 관리하는 오브젝트 스토리지 기술을 사용하면 비정형 데이터의 저장·관리를 효율화할 수 있다. 대량 데이터를 정확하고 간편하게 검색·분석할 수 있기 때문에 전체 스토리지 시스템에 걸쳐 개인 정보가 사용된 내역을 빠르게 찾아 공개할 수 있다.

둘째 개인 정보 보호를 위해 완벽한 보안 정책을 설정해야 한다. 개인 정보는 암호화, 권한이 없는 사용자의 접근을 허용하지 않도록 해야 한다. 오브젝트 스토리지는 데이터 읽기, 쓰기, 삭제, 검색을 수행하는 사용자를 별도로 지정해서 관리한다. 개인 정보 접근 기록은 따로 보관, 지속 감시된다. 수정, 훼손, 삭제로부터 데이터를 완벽하게 보호한다. 수정 허용 때도 수정 직전 상태로의 복구가 가능하다. 이를 통해 개인 정보의 무결함, 진본을 입증한다.

마지막으로 정확한 개인 정보 관리 효율 시스템을 마련해야 한다. 개인 정보의 중요도와 활용 가치에 따라 데이터 보존 기간을 유연하게 설정하는 기능이 필요하다. 오브젝트 스토리지 환경에서는 기업이 설정한 기준에 따라 데이터에 보존 기간을 신속하게 부여한다. 모든 파일의 삭제는 차단한다. 보존 기간이 경과하거나 정보 주체의 삭제 요청이 있으면 모든 시스템에서 개인 정보를 삭제한다. 이 모든 과정 기록을 관리한다.

GDPR는 정보 주체의 데이터 권리를 확대하면서 데이터를 통제하는 기업의 책임을 강화한다. 기업은 자사 비즈니스와 기존 정보기술(IT) 환경을 고려한 새 보호 정책을 수립하고, 이에 적합한 데이터 관리 시스템을 도입한다.

데이터 인프라는 기업의 4차 산업혁명 대비 시작이다. 전 세계를 대상으로 하는 디지털 비즈니스에 맞는 데이터 관리 전략·체계로 자사 데이터를 안전하게 보호하고, 적재적소에 활용해야 한다.

정태수 효성인포메이션시스템 대표 tschung@hyosung.com