본문 바로가기 주메뉴 바로가기

최신IT소식

CCPA 시행 임박, 여러분의 데이터는 보호되고 있습니까?

관리자 2020-05-14 조회수 162



CCPA 시행 임박, 여러분의 데이터는 보호되고 있습니까?


개인 식별 보호(Personally Identifiable Information, PII)라고 하면, GDPR을 준수하는 것으로 충분하다고 생각하기 쉽습니다. GDPR은 지금까지 만들어진 가장 강력하고 포괄적인 개인정보보호 규정이니 그렇게 생각하는 것도 무리가 아닙니다.

 

하지만 틀린 생각입니다. 특히, 캘리포니아 소비자 프라이버시 법(California Consumer Privacy Act, CCPA)가 2020년 7월부터 시행된다는 점을 유념해야 합니다.

 

CCPA는 캘리포니아에서 사업을 영위하거나 캘리포니아 주에 고객을 둔 기업(연간 총수입금액 2,500만 달러 초과)을 대상으로 합니다. 또한, CCPA는 다른 주나 국가에서 데이터 프라이버시 법을 만들 때 견본으로 사용될 가능성이 높습니다.

 

CCPA 데이터 프라이버시 규정은 개인 데이터의 노출을 다루지만, 민감하거나 기업의 사유 데이터로 간주되는 다른 모든 데이터는 어떨까요? 영업 기밀, 재무 정보 또는 전략적 계획의 유출은 개인정보 유출 못지않게 큰 손실로 이어집니다.

 

DBA는 최전선에서 조직의 가장 중요한 데이터를 의도적인 외부 위협이나 우발적 또는 악의적인 내부 위협으로부터 보호합니다. 기업 데이터베이스는 종류를 불문하고 민감한 데이터의 노출 측면에서 가장 위험성이 큰 요소입니다.

 

데이터 보호와 관련해서 던져야 할 질문

여러분의 IT 부서는 비즈니스 데이터를 보호하기 위해 할 수 있는 모든 일을 하고 있나요? 조직에 데이터 위험 관리 방법이 있습니까? 이 위험 관리를 최종적으로 책임지는 사람은 누구인가요? DBA로서 여러분은 데이터 침해와 관련된 위험을 어떻게 최소화하고 있습니까? 조직의 민감한 데이터를 어떻게 식별합니까?

 

식별은 문제의 핵심입니다. 그 데이터가 데이터베이스 환경의 어디에 있는지 모른다면 보호도 할 수 없기 때문입니다. 어느 테이블에 민감한 데이터가 포함되는지 어떻게 확인하고 있나요? 메타데이터를 사용합니까? 아니면 더 높은 정확성을 위해 데이터 자체를 마이닝할 수 있나요?

 

일단 식별하면 어떻게 보호할까요? 상황에 따라 다릅니다. 프로덕션 데이터라면 암호화 또는 가리기(redaction)를 사용하고, 프로덕션 외 데이터라면 마스킹할 수 있을 것입니다. 감사는 어떨까요? 모든 요소를 감사하나요? 감사할 대상을 어떻게 알 수 있나요? 감사할 때 보안과 성능 사이의 적절한 균형을 어떻게 찾을 수 있습니까?

 

보호해야 하는 모든 데이터를 수동으로 찾는 방법은 시간이 많이 소비되고 위험하기도 합니다. 민감한 데이터나 개인 데이터가 포함된 백업 및 클라우드 데이터베이스가 있는 경우도 감안해야 합니다. 민감한 데이터를 찾는 더 나은 방법은 메타데이터에만 의존하는 것이 아니라 실제 데이터를 샘플링하는 규칙 기반 접근 방식으로 식별을 자동화하는 것입니다.


신뢰할 수 있는 익숙한 툴을 사용해 데이터 보호하기

지난 봄, 퀘스트는 오라클용 토드(Toad)에 새로운 기능인 민감 데이터 보호(Sensitive Data Protecion)을 발표했습니다. 이 기능을 통해 DBA는 익숙한 툴로 조직 전반에서 보호해야 하는 중요 데이터를 식별할 수 있습니다. 또한, 개발자는 자신이 코드를 통해 민감한 데이터를 잠재적으로 노출하고 있는지를 확인하고, 이를 통해 설계부터 프라이버시를 중시하는 작업 관행을 구축할 수 있습니다.

 

오라클용 토드 민감 데이터 보호 기능에 대해 자세히 알고 싶다면, 언제든지 퀘스트 소프트웨어로 문의 주시기 바랍니다.  

 

  • 등록된 댓글이 없습니다.