[아이티데일리] 세계에서 가장 가치 있는 자원은 더 이상 석유가 아니라, 바로 ‘데이터’다. 방대한 데이터 속에서 가치를 찾고, 무한 활용이 가능하도록 함으로써 새로운 시대의 새로운 가치로 자리를 차지하게 된 것이다.

EU의 GDPR(General Data Protection Regulations, 개인정보 보호법)이 2018년 5월 25일에 시행됨에 따라, 세계 주요 조직 및 기관들은 이에 맞는 이행 절차, 조치를 파악하고, 대응하기 위해 분주하게 움직이고 있다. GDPR은 데이터 보호 규정에 관한 20여년 만의 메가톤급 큰 변화이며 유럽뿐만 아니라 전 세계 많은 기업 및 조직의 주요 과제가 되었다.

그렇다면 이러한 GDPR의 시행이 전세계 IT관계자들에게 번거로운 과제로만 인식되어야 하는가? 당장은 혼란스러운 문제일 수 있으나 GDPR 규정 준수를 위한 작업이 조직에게 이점을 가져올 수 있다는 점도 간과해서는 안 된다. 잠재적으로 명예 훼손 및 비즈니스 손실로 이어질 수 있는 데이터의 유출 및 불법적 액세스로부터 보안 상태를 강화하고, 기업 이미지 실추 및 업무 손실로 이어질 수 있는 리스크로부터 회사를 보다 효과적으로 보호할 수 있기 때문이다.

그리고 GDPR의 시행을 계기로 사내의 인력과 데이터 관리 프로세스, 그리고 기술을 결합시킬 수 있는 좋은 기회도 될 수 있다. IT부서의 영역에만 국한되지 않고 조직 전체를 동원해야 하는 것이다. 규정 준수를 위해서는 경영진 차원에서도 조직적 차원의 접근 방식과 기술적 접근 방식을 모두 조합하여 대처해야 한다.

무엇보다 GDPR을 통해 데이터 보호 및 관리와 관련된 최신 기술을 도입함으로써 무단 또는 불법 처리와 우발적인 손실, 파괴 또는 손상에 대한 보호를 비롯하여 개인 데이터의 보안을 보장하기 위해 적절한 기술 및 조직 안전 조치를 마련해 둘 수 있다. GDPR의 궁극적 목표가 정보 주체에게 자신의 정보가 어떻게 사용되는지 충분히 인지시키고, 자신이 알고 있는 목적으로만 안전하게 처리될 것이라는 신뢰를 주는 것이기 때문이다.

“조직 내에서 개인 데이터를 수집하는 경우, 데이터를 요청하는 개인에게 명확하게 알려야 한다. 데이터 수집 및 처리에 대한 동의를 요청할 때는 사용자가 누구이며, 법적으로 문제가 없는 범위에서 데이터를 전송해야 하는 이유, 데이터를 수신하는 이유 등을 정확히 알려야 한다. 또한 수집 시 개인 데이터와 관련된 권한을 개인에게 알려야 하며, 데이터의 복사본을 받을 권한이 있는 경우에는 해당 개인의 로컬 데이터 보호 기관에 불만 사항을 제기하고 동의를 철회해야 한다. 이후 만약 데이터 침해가 발생하여 해당 위반이 개인의 권리와 자유에 위험을 줄 가능성이 있는 경우, 위반 사실을 관계 기관에 통보해야 한다.”

그러나 기업 조직은 실제로 데이터가 내외부의 여러 시스템과 위치에 분산되어 있어 하나로 통합 관리하는 것이 어려운 상황이다. 내부 시스템에 따라 데이터의 위치 또한 달라질 수 있지만, SaaS 기반의 애플리케이션과 같은 퍼블릭 클라우드 환경에서는 특히 더 외부에 저장되는 것이다. 더욱이, 모든 데이터가 동일하게 생성되지는 않는다. 일부 데이터는 데이터베이스 시스템에 정형화된 데이터로 저장되는 반면, 문서 및 이메일과 같은 다른 데이터들은 비정형화된 데이터로 저장된다.

이에 기업들은 전체 데이터에 대한 제어권 유지 및 규정 준수 목표를 충족시키기 위해, 통합 기록관리 시스템 기반의 새로운 데이터 관리 애플리케이션으로 데이터센터에서부터 클라우드 전반까지 데이터 및 애플리케이션을 보호 및 관리해야 할 필요성을 느끼고 있다. 루브릭의 폴라리스 SaaS 플랫폼은 데이터센터 및 클라우드에서 운영되는 모든 엔터프라이즈 애플리케이션의 비즈니스 관련 정보를 통합 제어, 검색, 오케스트레이션 및 데이터 인텔리전스를 제공하는 ‘통합 기록 관리 시스템’을 구축한다. 이를 통해 기업들은 위험요인을 최소화하고, 규정 준수, 거버넌스(정책 규제) 과제를 해결할 수 있다.

GDPR은 위반시 부과되는 막중한 과징금뿐 아니라 기업의 브랜드 이미지와 평판에 심각한 영향을 미칠 것으로 전망된다. 모두가 민감한 개인정보 보호와 관련된 법이기 때문이다. 또한 기업의 브랜드와 평판은 한번 훼손되면 막대한 피해를 입게 될 뿐만 아니라, 다시 회복하기가 굉장히 어려운 것이 사실이다. 따라서 체계적인 정책과 프로세스를 확립하고, 적절한 기술을 도입해 GDPR에 빈틈없이 대비하는 것이 기업과 조직의 경쟁력을 지속하기 위한 중요한 첫걸음이 될 것이다.