정보 센터

설계 시점부터 개인 정보 보호: 데이터 개인 정보에 대한 사전 대응적 접근 방식

설계 시점부터 개인 정보 보호(Privacy by Design)는 제품과 서비스의 개발 및 사용에 개인 정보 보호를 통합합니다. 기업이 이를 효과적으로 구현하는 방법을 알아보십시오.

데이터 개인 정보 위반은 조직과 소비자 모두에게 점점 더 큰 우려가 되고 있습니다. 이번 달에만 TikTok은 유럽 GDPR의 데이터 개인 정보 위반으로 3억 6,800만 달러의 벌금을 부과 받았습니다. 2023년 6월, Microsoft는 Xbox 계정을 가진 어린이의 데이터를 불법적으로 수집한 사실이 적발된 후 미국 연방 규제 당국에 2천만 달러를 지불하기로 합의했습니다.

이와 같은 문제가 대두되고 있는 이 시기에 다른 조직에서는 IT 인프라와 소프트웨어 시스템에 개인 정보 보호 기능을 구축하는 것이 가능하고 수익성이 있다는 것을 입증하고 있습니다. 예를 들어, Apple은 차등 개인 정보 보호 기술을 사용하여 정보를 개별 사용자와 연결하지 않는 방식으로 사용자 데이터를 수집하고 분석합니다. 데이터에 '노이즈'를 주입함으로써 개인 정보를 보호하는 이러한 사전 대응적 접근 방식은 특정 사용자를 식별하기 어렵게 만들면서도 의미 있는 데이터 분석은 가능하게 합니다.

개인 정보 보호 기능을 개발 프로세스에 직접 통합하여 데이터와 사용자 신뢰를 보호할 수 있다는 점에서 “설계 시점부터 개인 정보 보호(Privacy by Design)”는 최신 데이터 관리 사이버 보안에서 가장 흥미롭고 진취적인 전략 중 하나입니다.

설계 시점부터 개인 정보 보호: 실제 의미

설계 시점부터 개인 정보 보호(Privacy by Design) 개념은 1990년대에 도입되었지만, 최근의 인기는 EU의 일반 데이터 보호 규정이 시행됨과 관련이 있습니다.

설계 시점부터 개인 정보 보호란 IT 시스템, 네트워크 인프라, 새 디바이스, 심지어 기업 정책을 만들고 운영하는 과정에서 데이터 개인 정보 문제를 고려하는 것을 의미합니다. 사이버 보안에 대한 사전 대응적 접근 방식으로, 개념부터 라이프사이클 완료까지 데이터 보호를 “통합”합니다.

일부 단체에서는 '설계 시점부터 데이터 보호'로 정의하는 이 접근법의 7가지 기본 원칙은 개인의 권리를 보호하고 조직이 기술, 시스템 및 관행에 개인 정보 보호를 포함할 수 있는 프레임워크를 제공합니다.

  1. 사후 대응이 아닌 사전 대응합니다. 개인 정보 보호 문제가 구체화되기를 기다리기보다는 문제가 발생하기 전에 예측하고 예방하는 것을 강조합니다.
  2. 개인 정보 보호를 기본 설정으로 리드합니다. 모든 IT 시스템과 비즈니스 관행에서 개인 데이터가 자동으로 보호되도록 합니다. 사용자는 개인정보 보호를 위한 조치를 취하지 않아도 됩니다.
  3. 설계에 프라이버시를 포함시킵니다. 개인 정보 보호 조치는 IT 시스템 및 비즈니스 관행의 설계 및 아키텍처에 통합되어 있으며, 부가적인 기능으로 추가되지 않습니다.
  4. 모든 기능을 유지합니다. 개인 정보를 유출하지 않고 보안을 보장하는 윈윈(win-win) 접근 방식입니다. 개인 정보 보호뿐만 아니라 보안, 성능, 사용 편의성 등 모든 정당한 목적을 달성하는 것이 목표입니다.
  5. 엔드투엔드 보안을 보장합니다. 개인 데이터는 전체 라이프사이클 동안 안전하게 보호되어야 하며 모든 프로세스의 모든 단계에서 안전함을 보장해야 합니다.
  6. 가시성과 투명성을 유지합니다. 이해 관계자는 자신의 데이터가 어떻게 사용되고 보호되고 있는지에 대한 정보를 지속적으로 제공받습니다. 이러한 투명성은 신뢰를 구축하고 사용자의 데이터가 다양한 개인 정보 보호 컴플라이언스에 따라 처리되도록 합니다.
  7. 사용자 개인 정보를 존중합니다. 사용자 중심을 유지하기 위해 조직은 견고한 개인 정보 보호 기본, 적절한 알림, 사용자에게 친숙한 옵션을 통해 개인의 이익을 우선시해야 합니다.

이러한 원칙은 데이터 보호의 책임이 사용자로부터 벗어나 데이터를 수집, 저장, 공유하는 조직에 전적으로 집중되어야 한다는 설계 시점부터 개인 정보 보호가 실제로 의미하는 바를 명확하게 보여줍니다.

이론에서 실제까지: 설계 시점부터 개인 정보 보호의 예

설계 시점부터 개인 정보 보호의 일반적인 예는 다음과 같습니다:

  • 데이터 최소화 또는 앱이나 소프트웨어가 작동하는 데 절대적으로 필요한 데이터만 수집하여 데이터 유출과 관련된 리스크를 줄이고 컴플라이언스를 보장합니다.
  • 엔드투엔드 암호화를 통해 데이터가 가로채거나 유출되더라도 그 내용은 기밀로 유지됩니다.

Apple의 차등 개인 정보 보호 기술 사용과 더불어 DuckDuckGo 및 Signal과 같은 기업들도 데이터 수집 및 취급에 있어 설계 시점부터 데이터 보호를 사용하고 있습니다.

  • 다른 많은 검색 엔진과 달리 DuckDuckGo는 프라이버시를 주요 판매 포인트로 내세웁니다. 이상값은 사용자를 프로파일링하거나 검색 내용을 저장하지 않으며, 개인 정보를 보호하기 위해 암호화를 사용합니다.
  • Signal은 발신자와 수신자만 메시지를 읽을 수 있도록 보장하는 엔드투엔드 암호화를 사용하여 가장 안전한 메시징 앱 중 하나로 명성을 얻었습니다. 사용자에 대한 최소한의 데이터를 수집하고 공개 감사를 허용하는 투명한 오픈 소스 코드베이스를 보유하고 있습니다.

개인 정보 보호 우선 접근 방식의 이점

설계 시점부터 개인 정보 보호를 조직의 비즈니스 관행에 도입하면 귀사와 고객에게 상당한 이점이 있습니다.

  • 신뢰와 브랜드 평판 강화: 사람들이 자신의 개인 정보를 중요하게 생각한다는 사실을 알게 되면 제품과 서비스를 더욱 신뢰하게 됩니다.
  • 데이터 유출 리스크 감소: 시스템 설계에 개인 정보 보호 기능을 포함하면 취약점을 사전에 파악하고 해결하여 재정적 및 평판 데이터 유출로 인한 피해를 최소화할 수 있습니다.
  • 간소화된 규정 준수: GDPR 및 캘리포니아 소비자 개인 정보 보호법(CCPA)과 같은 개인 정보 보호 규정에는 엄격한 데이터 보호 요구 사항이 있습니다. 설계 시점부터 개인 정보 보호는 컴플라이언스가 나중에 고려되지 않고 시스템에 내장되어 규제 표준을 더 쉽게 충족할 수 있도록 합니다.
  • 경쟁 우위: 사용자들이 개인 정보 노출에 대해 점점 더 우려하는 상황에서 개인 정보 보호는 경쟁사와 차별화되는 조직의 차별화 요소가 될 수 있습니다.
  • 장기적인 비용 효율성: 설계 시점부터 개인 정보 보호를 구현하려면 상당한 사전 투자가 필요합니다. 그러나 조직이 값비싼 벌금, 법적 비용, 데이터 유출 또는 규정 위반에 따른 교정 조치를 피할 수 있도록 지원함으로써 시간이 지남에 따라 상당한 비용 절감 효과를 얻을 수 있습니다.

개인 정보 보호를 조직의 운영 및 기술 구조에 통합하는 것은 사용자 데이터를 보호하는 동시에 다양한 방식으로 기업에 이익을 가져다주는 강력한 기반이 됩니다.

법적 환경: 규정 및 컴플라이언스 탐색

데이터 개인 정보에 대한 사전 대응적 접근 방식을 통해 조직은 최신 데이터 보호 규정의 복잡성을 쉽게 탐색할 수 있습니다. 처음부터 개인 정보 보호 고려 사항을 제품 및 서비스에 통합함으로써 개인 정보 보호 요구 사항을 보다 쉽게 준수하고 비용이 많이 드는 벌금 및 법적 문제의 리스크를 줄일 수 있습니다. 또한 시스템의 기본 구조가 이미 컴플라이언스를 염두에 두고 설계되었으므로 변화하는 규정에 대한 최신 정보를 더욱 쉽게 유지할 수 있습니다. 즉, 단순히 처벌을 피하는 것뿐만 아니라 규제의 기대치에 부합하는 개인 정보 보호 문화를 조성하는 것이 중요합니다.

데이터 개인 정보에 대한 사전 대응적 접근 방식을 지원하는 데이터 관리 시스템에 투자하면 법적 리스크를 완화할 뿐만 아니라 기밀성 문화를 조성하여 조직이 데이터에 민감한 오늘날의 환경에서 신뢰할 수 있고 미래 지향적인 리더로 자리매김할 수 있습니다. Veritas Technologies처럼 평판이 좋은 솔루션 제공업체와 파트너십을 맺으면 특정 요구 사항에 부합하는 맞춤형 고급 솔루션을 활용할 수 있습니다. 

신뢰할 수 있는 데이터 백업 솔루션으로 회사의 장기적인 미래를 보호하려면 지금 바로 문의하세요

 

Fortune지 선정 100대 기업의 95%가 베리타스 제품을 사용하고 있으며 NetBackup™은 방대한 데이터를 보호할 방법을 찾는 기업들 사이에서 선택 1순위에 오른 제품입니다.

베리타스 데이터 보호 솔루션이 가상 워크로드, 물리적 워크로드, 클라우드 워크로드, 레거시 워크로드를 어떻게 완벽하게 보호하는지 궁금하다면 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.

 

FAQ

이 용어는 종종 같은 의미로 사용되지만 “설계 시점부터 개인 정보 보호”는 제품 또는 서비스의 전체 라이프사이클을 포괄하는 보다 광범위한 접근 방식입니다. 기본 데이터 보호는 최종 사용자의 수동 입력 없이 가장 엄격한 개인 정보 보호 설정이 자동으로 적용되도록 하는 데 중점을 둡니다.

설계 시점부터 개인 정보 보호에 대한 보편적인 인증은 없습니다. 그러나 일부 조직은 접근 방식의 원칙을 준수하는지 확인하기 위해 제3자 감사를 받기로 선택합니다. 감사는 일반적으로 데이터 관리 정책, 아키텍처 및 관행을 평가하여 개인 정보 보호 표준을 충족하는지 확인합니다.

가능하지만 어려운 작업이며 기존 데이터 처리 프로세스, 잠재적 취약성, 시스템 아키텍처에 대한 종합적인 검토가 필요한 경우가 많습니다. 변경 작업에는 시간이 많이 걸리고 비용이 많이 드는 경우가 많지만 이전 시스템을 현재 개인 정보 보호 요구 사항에 맞추려면 필수적입니다.