데이터 보호란 무엇인가요?

효과적인 데이터 보호 전략은 단순히 데이터를 보호하는 것 이상의 역할을 합니다. 또한 데이터가 손실되거나 손상된 경우 데이터를 복제하고 복원합니다. 이는 데이터 보호의 주요 원칙이 데이터를 보호하고 데이터 가용성을 지원하는 것이기 때문입니다. 가용성은 데이터 침해 또는 멀웨어 공격 등으로 데이터가 손상, 손실 또는 훼손된 경우에도 사용자가 비즈니스 운영을 위해 데이터에 액세스할 수 있도록 보장하는 것을 의미합니다.

데이터 가용성에 대한 이러한 초점은 데이터 보호가 데이터 관리와 밀접하게 관련되어 있는 이유를 설명하는 데 도움이 됩니다. 데이터 관리는 전체 라이프사이클에 걸쳐 데이터를 관리하여 데이터가 정확하고 안전하며 전략적 비즈니스 의사 결정에 활용될 수 있도록 하는 데 중점을 둡니다.

오늘날 데이터 보호 전략에는 데이터 백업 및 복원 기능과 같은 기존의 데이터 보호 조치와 비즈니스 연속성 및 재해 복구(BCDR) 계획이 모두 포함됩니다. 이러한 이유로 많은 조직에서는 광범위한 데이터 보호 전략의 일환으로 서비스형 재해 복구(DRaaS)와 같은 서비스를 채택하고 있습니다.

많은 사람들이 '데이터 보호'와 '데이터 보안'을 같은 의미의 용어로 사용하지만 둘은 결정적인 차이가 있는 서로 다른 분야입니다.

데이터 보안은 무단 액세스, 손상 또는 도난으로부터 디지털 정보를 보호하는 데 중점을 둔 데이터 보호의 하위 집합입니다. 여기에는 물리적 보안, 조직 정책 및 액세스 제어를 아우르는 정보 보안의 다양한 측면이 포함됩니다.

반면 데이터 보호는 모든 데이터 보안을 포괄하며 데이터 가용성을 강조합니다.

데이터 보호와 데이터 보안에는 모두 데이터 프라이버시가 포함됩니다. 데이터 프라이버시는 조직이 데이터를 수집, 저장 및 사용하는 방법을 결정할 수 있는 능력을 포함하여 개인이 자신의 개인 데이터를 제어해야 한다는 일반적인 원칙을 지원하는 정책에 중점을 둡니다.

즉, 데이터 보안과 데이터 프라이버시는 모두 더 광범위한 데이터 보호 분야의 하위 집합입니다.

데이터 보호의 중요성을 이해하려면 우리 사회에서 데이터의 역할을 생각해 보세요. 온라인에서 프로필을 만들거나 앱에서 구매를 하거나 웹 페이지를 탐색할 때마다 개인 데이터의 흔적이 남게 됩니다.

기업에게 이 데이터는 매우 중요합니다. 이를 통해 운영을 간소화하고 고객에게 더 나은 서비스를 제공하며 필수적인 비즈니스 의사 결정을 내릴 수 있습니다. 실제로 많은 조직이 데이터에 크게 의존하고 있기 때문에 짧은 다운타임이나 소량의 데이터 손실로도 운영과 수익에 심각한 타격을 입을 수 있습니다.

IBM의 Cost of a Data Breach에 따르면 2023년 전 세계 평균 데이터 침해 비용은 445만 달러로 3년 동안 15% 증가했습니다.

그 결과, 많은 조직이 광범위한 사이버 보안 노력의 일환으로 데이터 보호에 집중하고 있습니다. 강력한 데이터 보호 전략을 통해 조직은 취약성을 강화하고 사이버 공격 및 데이터 침해로부터 스스로를 더 잘 보호할 수 있습니다. 사이버 공격이 발생할 경우 데이터 보호 조치는 데이터 가용성을 보장하여 다운타임을 줄여주는 생명과도 같은 역할을 할 수 있습니다. 

또한 데이터 보호 조치는 조직이 지속적으로 진화하는 규제 요구 사항을 준수하는 데 도움이 될 수 있으며, 그 중 상당수는 준수하지 않을 경우 막대한 벌금을 부과하기도 합니다. 2023년 5월 캘리포니아에 본사를 둔 Meta가 아일랜드 데이터 보호 당국으로부터 GDPR 위반에 따른 13억 달러의 벌금을 부과받은 것이 그 예입니다. 데이터 프라이버시에 중점을 둔 데이터 보호는 조직이 이러한 위반을 방지하는 데 도움이 될 수 있습니다.

또한 데이터 보호 전략은 개인 데이터의 처리를 간소화하고 주요 인사이트를 위한 중요 데이터를 더 잘 마이닝하는 등 효과적인 정보 라이프사이클 관리(ILM)의 많은 이점을 제공할 수 있습니다.

데이터가 많은 조직의 생명과도 같은 세상에서 기업은 중요한 데이터를 최대한 프로세스, 처리, 보호 및 활용하는 방법을 알아야 합니다.

데이터 보호의 중요성을 인식한 정부 및 기타 당국은 기업이 고객과 비즈니스를 수행하기 위해 충족해야 하는 개인정보 보호 규정 및 데이터 표준을 점점 더 많이 만들고 있습니다.

가장 일반적인 데이터 규정 및 표준은 다음과 같습니다.

일반 데이터 보호 규정(GDPR)은 '데이터 주체'라고 하는 개인의 개인 정보를 보호하기 위해 유럽연합(EU)에서 제정한 포괄적인 데이터 보호 프레임워크입니다. 

GDPR은 주로 개인 식별 정보(PII)에 중점을 두고 있으며 데이터 제공업체에 엄격한 규정 준수 요구 사항을 적용합니다. 이 법은 유럽 안팎의 조직이 데이터 수집 관행에 대해 투명하게 공개할 것을 의무화합니다. 또한 조직은 데이터 처리를 감독할 데이터 보호 담당자를 지정하는 등 몇 가지 특정 데이터 보호 조치를 채택해야 합니다.

또한 GDPR은 EU 시민이 자신의 PII를 더 잘 관리하고 이름, ID 번호, 의료 정보, 생체 데이터 등과 같은 개인 데이터를 더 잘 보호할 수 있도록 지원합니다. GDPR이 적용되지 않는 유일한 데이터 처리 활동은 국가 안보 또는 법 집행 활동과 순전히 개인적인 데이터의 사용입니다.

GDPR의 가장 눈에 띄는 측면 중 하나는 비준수에 대한 단호한 입장입니다. 개인정보 보호 규정을 준수하지 않는 사람들에게는 상당한 벌금이 부과됩니다. 이러한 벌금은 조직의 연간 전 세계 매출의 최대 4% 또는 2천만 유로 중 더 큰 금액에 달할 수 있습니다.

1996년 미국에서는 건강 보험 양도 및 책임에 관한 법률(HIPAA)이 통과되었습니다. 이는 의료 기관 및 기업이 환자의 개인 건강 정보(PHI)를 처리하는 방법에 대한 지침을 확립하여 기밀성과 보안을 보장합니다.

HIPAA에 따라 모든 "적용 대상"은 특정 데이터 보안 및 규정 준수 표준을 준수해야 합니다. 이러한 기관에는 의료 서비스 제공자 및 보험 플랜뿐만 아니라 PHI에 액세스할 수 있는 비즈니스 관련자도 포함됩니다. 데이터 전송 서비스, 의료 기록 서비스 제공업체, 소프트웨어 회사, 보험 회사 등은 PHI를 취급하는 경우 HIPAA를 준수해야 합니다.

캘리포니아 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)은 미국의 획기적인 데이터 개인 정보 보호법입니다.

GDPR과 마찬가지로 이 법은 기업이 데이터 관행을 투명하게 공개할 책임을 부여하고 개인이 자신의 개인 정보를 더 잘 제어할 수 있도록 합니다. CCPA에 따라 캘리포니아 거주자는 기업이 수집한 데이터에 대한 세부 정보를 요청하고, 데이터 판매를 거부하고, 데이터 삭제를 요청할 수 있습니다.

그러나 GDPR과 달리 CCPA(및 기타 여러 미국 데이터 보호법)는 옵트인 방식이 아닌 옵트아웃 방식입니다. 비즈니스는 특별히 달리 명시하지 않는 한 소비자 정보를 사용할 수 있습니다. 또한 CCPA는 특정 연간 수익 한도를 초과하거나 대량의 개인 데이터를 처리하는 기업에만 적용되므로 전부는 아니지만 많은 캘리포니아 기업과 관련이 있습니다.

결제 카드 산업 데이터 보안 표준(PCI-DSS)은 신용 카드 데이터를 보호하기 위한 일련의 규제 지침입니다. PCI-DSS는 정부 규정이 아니라 PCI SSC(결제 카드 산업 보안 표준 위원회)라는 독립 규제 기관에서 시행하는 일련의 계약상의 약속입니다.

PCI-DSS는 카드 소지자 데이터를 수집, 저장 또는 전송하여 처리하는 모든 비즈니스에 적용됩니다. 서드파티 처리업체가 신용 카드 거래에 관여하는 경우에도 카드를 받는 회사는 PCI-DSS 규정 준수에 대한 책임이 있으며 카드 소지자 데이터를 안전하게 관리하고 저장하는 데 필요한 조치를 취해야 합니다.

데이터 보호 환경이 진화함에 따라 조직에서 민감한 정보를 보호하기 위해 사용하는 전략에 몇 가지 트렌드가 형성되고 있습니다.

이러한 트렌드 중 일부는 다음과 같습니다.

조직은 사이버 위협으로부터 보호하고 데이터 무결성, 기밀성 및 가용성을 보장하기 위해 여러 데이터 보호 솔루션과 기술을 사용하는 경우가 많습니다.

이러한 솔루션에는 다음이 포함됩니다.

• 데이터 손실 방지(DLP)는 사이버 보안팀이 민감한 데이터를 도난, 분실, 오용으로부터 보호하기 위해 사용하는 전략, 프로세스 및 기술을 말합니다. DLP는 사용자 활동을 추적하고 의심스러운 행동에 플래그를 지정하여 민감한 정보의 무단 액세스, 전송 또는 유출을 방지합니다.

• 데이터 백업에는 중요한 정보의 보조 버전을 정기적으로 만들고 저장하는 작업이 포함됩니다. 백업은 데이터 손실이나 손상이 발생한 경우 조직이 시스템을 이전 상태로 신속하게 복원하여 다운타임과 잠재적 손실을 최소화함으로써 데이터 가용성을 지원합니다.

• 방화벽은 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하여 데이터에 대한 1차 방어선 역할을 합니다. 이러한 보안 장벽은 미리 결정된 보안 규칙을 적용하여 무단 액세스를 방지합니다.

• 다단계 인증과 같은 인증 및 권한 부여 기술은 사용자의 ID를 확인하고 특정 리소스에 대한 액세스를 규제합니다. 함께 사용하면 권한이 있는 개인만 민감한 정보에 액세스할 수 있으므로 전반적인 데이터 보안이 강화됩니다.

• ID 및 액세스 관리(IAM) 솔루션은 사용자 ID 및 권한 관리를 중앙 집중화합니다. 조직은 역할과 책임에 따라 사용자 액세스를 관리함으로써 무단 데이터 액세스의 위험을 완화하고 중요한 데이터를 위험에 빠뜨릴 수 있는 내부자 위협을 줄일 수 있습니다.

• 암호화는 데이터를 코드화된 형식으로 변환하여 적절한 암호 해독 키 없이는 읽을 수 없도록 만듭니다. 이 기술은 데이터 전송과 데이터 저장을 보호하여 무단 액세스에 대한 보호 계층을 추가합니다.

• 엔드포인트 보안은 컴퓨터 및 모바일 장치와 같은 개별 장치를 악의적인 활동으로부터 보호하는 데 중점을 둡니다. 여기에는 바이러스 백신 소프트웨어, 방화벽 및 기타 보안 조치와 같은 다양한 솔루션이 포함될 수 있습니다.

• 안티바이러스 및 안티멀웨어 솔루션은 바이러스, 스파이웨어 및 랜섬웨어를 포함하여 데이터를 손상시킬 수 있는 악성 소프트웨어를 탐지, 방지 및 제거합니다.

• 패치 관리는 소프트웨어, 운영 체제 및 애플리케이션에 최신 보안 패치가 있는지 확인합니다. 정기적인 업데이트를 통해 취약점을 보완하고 잠재적인 사이버 공격으로부터 보호할 수 있습니다.

• 데이터 삭제 솔루션은 저장 장치에서 안전하고 완전한 데이터 제거를 보장합니다. 삭제는 중요한 정보에 대한 무단 액세스를 방지하기 위해 하드웨어를 폐기할 때 특히 중요합니다.

• 아카이빙 기술은 과거 데이터를 체계적으로 저장하고 검색할 수 있도록 도와줍니다. 아카이빙은 규정 준수를 돕고 조직에서 데이터를 효율적으로 관리하여 데이터 손실 위험을 줄이는 데 도움이 됩니다.

• 인증 및 감사 도구는 조직이 업계 규정 및 내부 정책 준수 여부를 평가하고 입증하는 데 도움이 됩니다. 또한 정기적인 감사를 통해 데이터 보호 조치를 효과적으로 구현하고 유지할 수 있습니다.

• DRaaS와 같은 재해 복구 솔루션은 중단 이벤트 발생 후 IT 인프라와 데이터를 복원합니다. 재해 복구에는 다운타임을 최소화하기 위한 포괄적인 계획, 데이터 백업 전략 및 메커니즘이 포함되는 경우가 많습니다.