[2020 데이터 컨퍼런스⑨] 마이데이터 인프라 구축을 위한 CDC 및 GDPR 활용 전략

[아이티데일리] 트랙1의 마지막 발표는 조외현 데이타벅스 대표컨설턴트가 ‘마이데이터 인프라 구축을 위한 CDC 및 GDPR 활용 전략’에 대해 발표했다.

조외현 컨설턴트는 “지난 8월 데이터 3법 개정안이 발효되면서, 개정된 신용정보법을 근거로 마이데이터를 활용한 사업 가능성이 부각됐다”며, “또한 유럽의 개인정보보호법인 GDPR로 인해 해당 지역에서 비즈니스를 펼치는 기업들이 고려해야 할 사항이 점점 더 늘어나고 있다”고 지적했다.

데이터 3법 개정안은 개인정보보호법, 신용정보법, 정보통신망법 개정안을 함께 이르는 말이다. 3개 법이 제정된 이후 사회의 변화를 반영함으로써 개인정보의 유출과 오·남용을 막고, 안전하게 가공된 개인정보가 유의미한 데이터로 사용될 수 있도록 기반을 다지기 위해 추진됐다. 특히 ▲모호했던 개인정보의 판단 기준을 명확히 하고 ▲가명정보/익명정보 개념을 도입해 안전한 데이터 사용의 근거를 마련했으며 ▲데이터의 활용과 보안에 있어 개인정보 처리자의 책임을 강화했다. 이외에도 개인정보 보호와 관련된 법률들의 유사하거나 중복된 규정들을 정비해 효율적인 개인정보 보호 프로세스를 만들었다는 평가다.

개인정보 활용의 근거가 마련됐다고 해서 마냥 유리한 부분만 있는 것은 아니다. 데이터 3법 개정안에 힘입어, 고객의 개인정보를 보유하고 있는 기업들은 자사의 개인정보 처리 프로세스를 재차 점검할 필요가 생겼다. 현재 누구의 개인정보를 가지고 있는지, 그 정보는 어떤 경로와 목적으로 획득한 것인지, 어떤 보안 처리를 취해 언제까지 보관해야 하는지 등을 새롭게 전수조사하고 문서화해야 하는 것이다.

또한 운영 측면에서도 IT 조직의 관리 포인트가 더욱 늘어났다. 데이터의 이동·전송 시 이력을 남기고 배포 규칙 준수 여부를 점검해야 하며, 가공·처리 시에는 처리 과정의 적법성 여부를 확인해야 한다. 필요한 경우 특정 개인정보에 대한 조회·변경 여부나 고객 요청에 의한 처리 작업 수행 여부 등을 담은 감사 보고서를 작성하는 등 철저한 관리 지침 준수가 필요하다.

이어서 조외현 컨설턴트는 ‘스트림(Striim)’ 솔루션의 CDC(Change Data Capture) 기능을 활용해 데이터 3법이나 GDPR을 준수할 수 있는 방법을 소개했다. ‘스트림’ 솔루션은 실시간으로 복제 데이터에 대한 실시간 가공 및 강화(Enrichment)를 수행, 민감한 고객정보를 제거하거나 필터링함으로써 보안상 위험할 수 있는 요소를 배제한다. 또한 감사용 보관 시스템(Audit Vault) 생성을 위해 CDC를 적용, 데이터베이스의 변경 내역을 실시간으로 관찰하고 수집하며 데이터의 이동·전송 이력을 추적할 수 있다. 또한 ‘스트림’의 작업 내용은 보고서로 작성돼 대시보드에서 확인 가능하며, 이를 통해 준수 여부 추적 및 보고를 위한 데이터 계보(lineage) 관리 또한 가능하다.

조외현 컨설턴트는 “‘스트림’은 복잡한 코딩이나 인터페이스 개발 없이도 다양한 데이터 소스에서 복수에 타깃에 대한 데이터 전송이 가능한 실시간 데이터 통합 및 스트리밍 분석 플랫폼”이라며, “데이터 3법 개정안이나 GDPR과 같은 복잡한 데이터 추적 관리 요구사항에도 효과적으로 대응할 수 있다”고 설명했다.