회사 데이터는 사무실 외부에서 얼마나 안전한가요? 이번 달에 발효되는 일반 데이터 보호 규정(GDPR)은 EU 거주자의 개인 정보를 수집하거나 처리하는 전 세계 모든 조직에 적용됩니다. GDPR 준수 전문가들의 비즈니스를 보호하는 방법에 대한 조언에 귀를 기울이세요.
원격 근무 직원을 통해 업무를 처리하는 회사에서는 데이터의 오남용, 잘못된 저장 또는 유출을 방지하는 것이 얼마나 중요한지 잘 알고 있을 것입니다. 그러나 2018년 5월에 일반 데이터 보호 규정(GDPR)이 발효되면서 이 규정의 엄격한 요건을 준수하는 것 또한 매우 중요하게 되었습니다. 이 규정을 어기게 되면 회사의 평판뿐만 아니라 금전적으로도 심각한 손해를 입게 됩니다. 유연한 노동력 운용의 장점을 그대로 유지하면서 모바일 환경에서 데이터를 보호하는 방법은 무엇일까요?
1. 직원 교육
GDPR의 관점에서 보면 회사는 ‘정보 소유자’이고 원격 위치의 직원은 ‘정보 처리자’입니다. Data Comply 사의 MD인 John Slaughter는 다음과 같이 말합니다. "이는 회사의 비즈니스 데이터를 안전하게 유지하는 데 회사뿐만 아니라 원격 근무 직원들의 역할도 중요하다는 것을 의미합니다."(1) 그는 또 다음과 같이 이야기합니다. "GDPR 준수는 매일의 업무에 있어 우선순위가 되어야 하며, 특히 원격에서 근무할 경우 더욱 그렇습니다. 보안 네트워크 사용에 대한 명확한 지침은 이를 위한 핵심 요소이며, 이에 따라 어떤 종류의 레코드가 보안 환경으로 제한되는지 식별하고 알려야 합니다." 그는 기업들이 직원을 대상으로 정기적인 교육과 재교육, 검토를 실시하여 그들이 이 문제에 대해 이해하고 최신 정보를 기반으로 업무를 수행하도록 해야 한다고 조언합니다.
또한 공용 WiFi를 사용하는 것이 절대 안전하지 않음을 직원들에게 계속 주지시켜야 합니다. 위협 감지 및 대응 전문 기업인 Redscan의 CTO Andy Kays는 다음과 같이 이야기합니다. "개인은 공용 네트워크를 사용하여 은행 업무를 처리해서는 안 되며, 마찬가지로 업무상의 기밀문서에도 액세스해서는 안 됩니다(2). 직원들이 보안 WiFi 액세스 지점만 사용하거나 보안 (VPN) 연결을 통해서만 회사 네트워크에 연결하도록 권장해야 합니다. 또한 서비스 제공자에 우수한 품질로 안전하게 연결할 수 있는 4G(또는 동글)를 통해 인터넷에 연결하는 것도 추천합니다."
2. 비밀번호로 모든 정보를 보호
GDPR에는 중요한 데이터의 유출이 발생하는 경우 회사의 전 세계 매출액에서 최대 4%에 해당하는 벌금을 부과하는 강제력이 부여됩니다. 유일한 예외는 데이터가 적절하게 암호화되었음을 입증할 수 있는 경우에 한합니다.
EU GDPR 문서 툴킷 작성자인 루마니아의 Andrei Hanganu는 다음과 같이 이야기합니다(3). "100% 완전한 보안은 없습니다. 심지어 NASA도 해킹당한 전력이 있습니다. 그러나 강력한 비밀번호와 적절한 암호화 솔루션을 사용하여 권한 없는 사용자로부터 개인정보를 안전하게 지킬 수 있습니다."
대부분 회사에서 드라이브와 이러한 드라이브에 저장되는 파일을 암호화하는 소프트웨어를 갖추고 있지만, 원격 장치에는 자동으로 적용되지 않습니다. Hanganu는 노트북, 휴대폰 및 개인용 데스크톱 PC를 위한 암호화 소프트웨어를 제공하고, 그와 더불어 모든 사용자가 PIN 또는 비밀번호를 사용하여 데이터에 액세스하고 이러한 데이터를 읽을 수 있는 형식으로 풀 것을 권장합니다. 모든 직원이 비밀번호를 사용하여 모든 정보를 보호하는 습관을 들여야 합니다.
3. 정보의 무결성 유지
바이러스와 맬웨어는 데이터를 수집하고 추적할 수 있기 때문에 이 또한 GDPR 표준의 적용 범위에 포함됩니다. Commvault 사의 EMEA 솔루션 마케팅 담당 이사인 Nigel Tozer는 다음과 같이 이야기합니다(4). "맬웨어 공격을 방지하기가 쉽지 않기 때문에 대부분 기업에서는 이러한 공격이 발생하지 않을 것으로 생각하기보다는 언제 발생할지 생각합니다." 그는 최신 운영 체제와 바이러스 백신 소프트웨어를 사용하여 직원의 장치를 보호할 것을 권장합니다.
Andy Kays는 또 이렇게도 이야기합니다. "조직의 경계 태세를 갖추는 데 있어 가장 취약한 고리는 다름 아닌 사람입니다. 단 한 명의 직원이라도 악성 링크를 클릭하거나 시스템 업데이트에 실패할 경우 엄청난 손해를 입을 수 있습니다. 따라서 정기적인 직원 교육을 통해 사이버 보안 위험에 대한 인식을 제고해야 하며, 특히 여러 장치, 위치 및 네트워크에서 회사 데이터와 서비스에 액세스할 가능성이 있는 원격 근무자의 경우 이는 매우 중요합니다."
또한 회사에서는 IT 부서와 함께 정기 교육을 시행할 것을 고려할 수도 있습니다. 직원들은 교육 참석 시 자신의 모바일 장치를 가져와서 정기 보안 점검, 업데이트 및 업그레이드를 받을 수 있습니다.
여러분의 조직에는 사무실 외부로 이동한 데이터를 안전하게 보호하기 위한 전략이 있나요?
4. 시각적인 보안에도 주의를 기울이기
Briefed GDPR Training and Consultancy Specialists의 CEO이자 변호사인 Orlagh Kelly는 다음과 같이 이야기합니다(5). "기술적으로 진보한 세상에서는 여전히 단순한 기술을 통해 회사 데이터가 도난당할 수 있다는 사실을 잊기 쉽습니다."
3M에서 실시한 실험에서는 회사에 잠입한 해커가 단순히 ‘훔쳐보는’ 것만으로(다른 사람의 화면 보기) 중요한 정보를 취득하는 데 성공한 확률이 88%에 달했습니다(6).
Kelly는 다음과 같이 이야기합니다. "직원들에게 그들이 외부에서 근무할 때 누군가가 그들의 어깨너머로 훔쳐볼 수 있다는 사실을 주지시켜야 합니다." 몰래 훔쳐보는 시선을 차단하기 위해 화면에 부착되는 개인정보 보호 필터를 배포하는 것도 고려할 만한 수단입니다.
5. 클라우드의 한계에 대한 이해
Ponemon Institute의 연구에 따르면 클라우드 환경에 저장되는 회사 데이터 중 44%가 IT 부서의 관리 또는 제어를 받고 있지 않다고 합니다. 이에 따라 이 연구에서 밝혀진 또 다른 결과는 클라우드 서비스를 사용하는 것이 2천만 달러에 달하는 데이터의 유출 가능성을 세 배로 증가시킬 수 있다는 점이었습니다(7).
Nigel Tozer는 다음과 같이 말합니다. "올바른 클라우드 제공자를 선택하는 일은 매우 중요합니다. 책임이 양쪽 모두에 있으므로 그들이 데이터 유출을 처리하는 방법에 대해 정확히 알아야 합니다. 모든 데이터가 EU 역내에 존재하는 경우 클라우드 제공자는 법적 요건을 준수하는 방식으로 그러한 데이터를 유지보수하는 것을 확인해 줄 수 있어야 합니다. 또한 회사에서도 EU 외부로 이동하는 데이터가 GDPR 규정에 따라 적절하게 보호되는지 확인해야 합니다."
Tozer는 GDPR과 관련하여 클라우드 제공자가 데이터 처리를 담당하지만, 데이터에 대한 관리 책임은 회사에 있다는 점을 지적합니다. "[따라서] 서비스 제공자의 자격을 확인하고 그러한 제공자가 새로운 EU 규정을 준수하는 적절한 기술적, 조직적 보호를 충분한 수준으로 구현하는지 확인하는 것은 회사의 책임입니다."
6. 직원 개인정보에 대한 존중
DMPC Ltd의 GDPR 자문인 George Harris는 회사에서 현재 원격 근무자의 생산성을 모니터링하기 위한 도구 또는 기술을 사용하고 있다면 이러한 선의가 그들의 개인정보를 보호해야 할 필요성과 일치하는지 고려해야 한다고 이야기합니다(8). 그는 다음과 같이 이야기합니다. "[직원을 모니터링하는 것은] 표준 비즈니스 시나리오에서는 정당화하기 어렵습니다."
GDPR 표준 하에서 직원의 개인정보를 보호받을 권리를 위반하지 않으면서 (키 입력 로그 또는 마우스 추적 기술을 통해) 그들의 장치를 모니터링하기는 어렵습니다. GDPR 29조 ‘특별 조사 위원회’에는 다음과 같이 기술되어 있습니다. "통신을 모니터링하는 기술은 […] 직원이 조직을 만들고, 노동자 회의를 계획하고, 기밀을 보호하는 방식으로 의사소통하기 위한 기본적인 권리(정보를 찾을 권리 포함)에 악영향을 미칠 수 있습니다(9)."
7. 데이터 유출 시 행동 계획 확립
영국 Jaw Consulting의 MD이자 사이버 보안 데이터 보호 및 개인정보 보호 전문가인 James Walker는 이렇게 이야기합니다(10). "데이터 유출의 형태는 개인의 노트북에 영향을 주는 맬웨어 공격에서 직원이 열차에 휴대폰을 두고 내리는 것, 실수로 ‘숨은 참조’ 대신 ‘참조’를 사용하여 그룹에 레코드를 이메일로 전송하는 것에 이르기까지 매우 다양합니다."
손해 관리 절차를 시작해야 할 필요성은 현재 GDPR 발효를 앞둔 상황에서 더욱 커지고 있습니다. Walker는 다음과 같이 말합니다. "조직에서 데이터 유출이 발생할 경우 72시간 이내에 관련된 개인과 감독 기관에 알려야 합니다. 또한 데이터 유출로 인해 일어날 수 있는 결과에 대한 분석, 부정적 영향을 완화하기 위해 취했거나 제안한 조치도 함께 알려야 합니다."
위에서 4%의 벌금에 대해 언급했던 것을 기억하시나요? 규정을 준수하지 못한다면 그러한 위험에 처합니다. Walker는 또 다음과 같이 말합니다. "데이터 유출로 인해 자연인의 권리 또는 자유가 침해되지 않는 것으로 입증할 수 있는 경우에만 그러한 상세한 알림 절차가 면제됩니다. 데이터를 적절하게 암호화했다는 사실을 보여줄 수 있다면 더욱 좋습니다. 이 경우 이러한 사고를 데이터 유출로 보고해야 한다는 요건 적용을 피할 수도 있습니다."
출처:
(1) https://datacomply.co.uk/
(2) https://www.redscan.com
(3) https://advisera.com/eugdpracademy/eu-gdpr-documentation-toolkit/
(4) https://www.commvault.com /
(5) https://www.briefed.pro/
(6) https://www.3m.co.uk/3M/en_GB/privacy-protection-UK/visual-privacy-issues/visual-hacking-experiment/
(7) https://www.ibm.com/security/data-breach
(8) http://dmpc.ltd.uk/
(9) https://www.huntonprivacyblog.com/wp-content/uploads/sites/18/2017/07/Opinion22017ondataprocessingatwork-wp249.pdf
(10) https://www.jawconsulting.co.uk
