본문 바로가기 주메뉴 바로가기

최신IT소식

기업의 개인정보보호, 직원의 ID 관리부터 시작

관리자 2020-02-12 조회수 188



기업의 개인정보보호, 직원의 ID 관리부터 시작
 

매년 1월 28일은 개인정보보호의 날(Data Privacy Day)입니다. 이 날이 돌아올 때마다 사람들이 개인정보보호에 대해 생각해보고 집중하면서 개선에 노력하는 날이 따로 있다는 사실이 놀랍습니다. 그런데 개인정보보호란 무엇일까요? 사람들이 좀 더 공감할 수 있는 다른 명칭이 필요하진 않을까요?

 

개인정보보호라 함은 전적으로 사람에 관한 것입니다. 정보 자체에 보호받아야 할 사생활이 있는 것은 아닙니다. 개인과 개인에게 중요한 것, 예컨대 신원과 생활, 정보는 보호받을 필요가 있습니다. 기존의 법률들은 오직 정보에만 집중했지만, 최근의 GDPR이나 CCPA(California Consumer Privacy Act)의 경우에는 사람에 더욱 주안점을 두고 있습니다. 심지어 가족들의 개인정보도 보호받아야 할 권리가 있음을 인정하고 있죠.

 

개인정보보호가 진화하는 가운데 이 변화의 속도, 그리고 이런 변화에 법적으로 보조를 맞춰야 하는 요건들은 업계를 막론하고 어려운 부분입니다.

 

그렇다면, 개인정보보호를 위해 가장 먼저 집중해야 할 것은 무엇일까요? 바로 신원(Identity)입니다.

 

신원에 대한 작고 복잡한 조각들이 모여 한 사람을 구성합니다. 이런 정보 중 많은 부분은 만인과 공유하고 싶지 않은 생활의 일부분입니다. 굳이 공유할 필요도 없는 것들입니다. 따라서 개인정보보호는 신원에서부터 시작해야 합니다.

 

흥미롭게도 사람들의 신원은 대부분 사생활과 직장 생활으로 나뉩니다. 첫째, 사생활에서의 신원은 사용하는 서비스에 의해 관리되는 부분이 크기 때문에 결국 대부분 본인이 직접 관리해야 하는 영역에 속합니다. 둘째, 직장에서의 신원은 회사가 관리하는 경우가 많습니다. 물론 여기에도 일부 직접 관리 측면이 있긴 하지만, 윤리적인 회사는 직원의 개인정보보호에 적극적으로 나섭니다.

 

퀘스트소프트웨어 원아이덴티티(One Identity)의 미션은 ‘보안의 시작’입니다. 보안은 개인정보보호로 시작하고, 개인정보보호는 신원부터 시작되니, ‘개인정보보호의 시작’이라고 해도 무방할 것입니다. 기업이 소속 직원의 개인정보보호를 관리하는 유일한 방법은 직원의 회사 ID를 관리하는 것입니다. 반드시 적절한 사람이 적절한 정보에 접근권을 갖도록 하는 작업이 포함되어야 합니다. 보유 정보의 정확성 확인 작업도 포함됩니다. 한 사람에 대한 부정확한 정보는 직업적으로나 개인적으로 큰 피해를 입히는 실수로 이어질 수 있기 때문입니다. 이런 이유로 개인정보보호 법률은 거의 예외 없이 정보의 정확성까지 다루고 있습니다.

 

기업의 ID 관리와 개인정보보호를 위해 집중해야 할 몇 가지 공통된 기본 개념들이 있습니다. ID 관리 책임자와 회사의 개인정보보호 책임자가 함께 모여 대화를 나누는 것도 좋은 생각입니다. 이들이 각자 동떨어진 작업을 하고 있다고 생각하는 경우가 많은데, 서로 대화를 시작하면 그 작업에 ID 관리 프로그램과 개인정보보호 및 컴플라이언스 프로그램 둘 다 포함되어 있음을 깨닫게 됩니다.

 

ID 관리를 위한 첫번째 기본 개념은 상시 인증입니다. 시스템에 접속하는 사람의 신원이 정확한지 확인해야 합니다. ID 관리의 목적은 맞는 사람인지 확인하는 것인 반면, 개인정보보호 프로그램 측면에서 인증은 그 범위가 훨씬 넓습니다.

 

개인정보보호 측면에서 인증의 기본 요소는 누가 접근권이 있는지 통제할 수 있는 권한을 제공하는 것입니다. 누구나 접근하게 하는 개념은 수많은 침해 사례로 이어지므로, 대신 필요할 때 구체적인 개인별 접근을 하도록 해야 합니다. 또한, 무엇을 하고 있는지에 대한 통지도 제공해야 합니다. 시스템에 로그인한다는 것은 개인정보보호 측면에선 매우 구체적인 일입니다.

 

ID 관리를 위한 두 번째 전통적인 개념은 허가입니다. 허가는 적절한 데이터와 적절한 정보를 오직 적절한 사람에게 전달하기 위한 추가 통제권을 제공합니다. 즉, 누구나 접근권이 있는 것이 아니라, 해당 데이터를 필요로 하는 사람에게, 그것도 적절한 때만 접근권이 제공됩니다. 개인정보보호의 세계에서 무척 중요한 개념입니다. 이런 통제가 없으면 개인정보보호 프로그램도 없습니다. 이미 실패했기 때문입니다.

 

ID 관리를 위한 세번째 전통적인 개념은 관리입니다. ID 관리 분야에서 관리란 인증과 허가의 작동 방식을 제어하는 것입니다. 권한 설정을 관리하고, 그 권한 설정과 그 통제권을 둘러싸고 있는 수 많은 작업을 관리하는 것입니다. 이는 역할일 수도 있고 속성일 수도 있는데, 결국에는 반드시 적절한 사람에게 적절한 통제권이 있도록 하는 것입니다. 개인정보보호 세계에서도 이 요건은 동일합니다. 오로지 적절한 사람들만이 적절한 정보에 대한 적절한 접근권이 있어야 합니다.

 

전통적인 ID 관리 프로그램의 마지막 조각은 감사입니다. 누구에게 권한이 있고, 누구에게 접근권이 있으며, 누가 그 권한을 이용해 정보에 접근했는지 입증할 수 있다는 개념입니다. 이 개념은 GDPR과 같은 개인정보보호 및 준법 법률에 규정되어 있습니다. ID 관리 분야에서는 이것이 우리가 원하는 것입니다. 개인정보보호의 세계에서는 법적으로 요구되는 것입니다.

 

따라서, 본질적으로 ID 관리가 개인정보보호의 시작입니다. 개념은 간단합니다. 적절한 사람이 적절한 자원, 그리고 오로지 적절한 자원에 대해 적절한 시간에, 적절한 방식으로, 적절한 접근권을 가지며, 이를 입증할 수 있다는 것입니다.

 

회사의 개인정보보호 담당자라면 ID 관리 책임자를 찾아가 대화를 해야 합니다. 그 반대의 경우도 마찬가집니다. 두 사람은 생각보다 공통점이 많습니다.

  • 등록된 댓글이 없습니다.