정보보안 및 개인정보 보호: 규정 및 준수 알아보기

정보보안 및 개인정보 보호: 규정 및 준수

정보보안과 개인정보 보호는 밀접한 관계가 있습니다. 아시다시피, 사람들은 자신의 개인정보가 수집되고 사용되는 방식을 통제할 권리가 있습니다. 또한 조직은 수집하는 정보가 유출되거나 오용되지 않도록 보호해야 할 책임이 있습니다. 보안 전문가로서 여러분은 이러한 노력에 깊이 관여하게 됩니다.

보안 제어 프레임워크 규정 준수를 함께 사용하여 보안을 관리하고 위험을 최소화하는 방법에 대해 알아보고자 하면 글을 끝까지 읽어보세요오옹. 이 자료에서는 정보보안 및 개인정보 보호 규정이 데이터 처리 관행에 어떤 영향을 미치는지 알아봅니다. 또한 전 세계에서 가장 영향력 있는 보안 규정 몇 가지에 대해서도 알아볼 수 있습니다.

정보 보안과 개인정보(프라이버시)

보안과 개인정보 보호는 이 분야 외부에서 종종 같은 의미로 사용되는 두 가지 용어입니다. 이 두 개념은 서로 연결되어 있지만 특정 기능을 나타냅니다:

• 개인정보 프라이버시는 데이터의 무단 액세스 및 배포를 보호하는 것을 의미합니다.
• 정보 보안 (InfoSec)은 모든 상태의 데이터를 권한이 없는 사용자로부터 보호하는 관행을 말합니다.

주요 차이점: 개인정보 보호는 사람들이 자신의 개인 정보와 공유 방법을 제어할 수 있도록 하는 것입니다. 보안은 사람들의 선택권을 보호하고 잠재적인 위협으로부터 정보를 안전하게 지키는 것입니다.

예를 들어, 소매업체는 마케팅 목적으로 고객의 연령, 성별, 위치 등 특정 종류의 개인 정보를 수집하고자 할 수 있습니다. 이러한 개인 정보가 어떻게 사용되는지 수집 전에 고객에게 공개해야 합니다. 또한 고객이 자신의 데이터를 공유하지 않기로 결정한 경우 옵트아웃할 수 있는 옵션을 제공해야 합니다.

회사는 개인정보 수집에 대한 동의를 얻은 후에는 해당 개인정보가 무단으로 액세스, 사용 또는 공개되지 않도록 보호하기 위해 특정 보안 제어를 구현할 수 있습니다. 또한 회사는 모든 이해관계자와 옵트아웃을 선택한 모든 사람의 개인정보를 존중하기 위한 보안 통제 장치를 마련해야 합니다.

참고: 개인정보 보호와 보안은 모두 고객의 신뢰와 브랜드 평판을 유지하는 데 필수적입니다.

정보 보안에서 개인정보 보호가 중요한 이유

데이터 프라이버시 및 보호는 1990년대 후반에 많은 관심을 받기 시작한 주제입니다. 당시 기술 기업들은 갑자기 사람들의 데이터를 처리하는 것에서 벗어나 비즈니스 목적으로 저장하고 사용하기 시작했습니다. 예를 들어, 사용자가 온라인에서 제품을 검색하면 기업은 해당 사용자의 검색 기록에 대한 액세스 권한을 저장하고 다른 기업과 공유하기 시작했습니다. 이를 통해 기업은 사용자에게 개인화된 쇼핑 경험을 무료로 제공할 수 있었습니다.

결국 이러한 관행은 이러한 기업이 누군가의 개인 데이터를 수집하고 공유할 권리가 있는지에 대한 전 세계적인 논의로 이어졌습니다. 또한 더 많은 조직이 데이터를 수집할수록 데이터의 남용, 오용, 도난에 더 취약해질 수 있다는 데이터 보안 문제가 더 큰 관심사로 떠올랐습니다.

많은 조직이 데이터 프라이버시 문제에 대해 더 많은 관심을 갖게 되었습니다. 기업들은 정보를 수집, 저장, 사용하는 방식에 대해 더욱 투명하게 공개하기 시작했습니다. 또한 사람들의 데이터 프라이버시를 보호하기 위해 더 많은 보안 조치를 시행하기 시작했습니다. 하지만 명확한 규칙이 마련되지 않은 상태에서 보호 조치가 일관성 있게 적용되지 않았습니다.

참고: 더 많은 데이터를 수집, 저장, 사용할수록 침해와 위협에 더 취약해집니다.

주목할 만한 개인정보 보호 규정

기업은 운영하기 위해 특정 법률을 준수해야 합니다. 아시다시피, 규정은 정부나 다른 기관에서 어떤 일을 처리하는 방식을 통제하기 위해 정한 규칙입니다. 특히 개인정보 보호 규정은 사용자의 동의 없이 정보를 수집, 사용 또는 공유하지 못하도록 사용자를 보호하기 위해 존재합니다. 규정에는 개인 정보를 위협으로부터 보호하기 위해 필요한 보안 조치에 대한 설명도 포함되어 있을 수 있습니다.

모든 보안 전문가가 알아야 할 가장 영향력 있는 업계 규정 세 가지는 다음과 같습니다:

• 일반 데이터 보호 규정(GDPR)
• 결제 카드 산업 데이터 보안 표준(PCI DSS)
• 건강 보험 양도 및 책임에 관한 법률(HIPAA)

GDPR

GDPR은 유럽연합(EU)에서 개발한 일련의 규칙 및 규정으로, 데이터 소유자가 자신의 개인 정보를 완전히 통제할 수 있도록 합니다. GDPR에 따른 개인정보 유형에는 개인의 이름, 주소, 전화번호, 금융 정보 및 의료 정보가 포함됩니다.

GDPR은 비즈니스가 운영되는 위치에 관계없이 EU 시민 또는 거주자의 데이터를 취급하는 모든 비즈니스에 적용됩니다. 예를 들어, 웹사이트를 방문하는 EU 방문자의 데이터를 처리하는 미국 소재 회사는 GDPR 조항의 적용을 받습니다.

PCI DSS

PCI DSS는 금융 업계의 주요 조직이 만든 일련의 보안 표준입니다. 이 규정은 데이터 도난 및 사기로부터 신용카드 및 직불카드 거래를 보호하는 것을 목표로 합니다.

HIPAA

HIPAA는 민감한 환자 건강 정보를 보호해야 하는 미국 법률입니다. HIPAA는 개인의 의료 정보를 당사자가 알지 못하거나 동의 없이 공개하는 것을 금지합니다.

국내에서는 개인정보보호법이 제일 핵심입니다.
그 외 정보통신망법, 신용정보법 등이 있지만, 개인정보보호법이 가장 많이 활용되고 있습니다.

참고: 이러한 규정은 특정 국가에서 제정되었지만 전 세계 많은 조직의 데이터 처리에 영향을 미칩니다.

그 외에도 여러 가지 보안 및 개인정보 보호 규정이 존재합니다. 조직이 준수해야 하는 법률은 업계와 권한 영역에 따라 달라집니다. 상황에 관계없이 규정 준수는 모든 비즈니스에 중요합니다.

보안 평가 및 감사

기업은 해당 업계의 중요한 규정을 준수해야 합니다. 이를 통해 최소한의 보안 수준을 충족했음을 입증하는 동시에 데이터 프라이버시를 유지하기 위한 노력을 입증할 수 있습니다.

규정 준수 표준을 충족하려면 일반적으로 보안 감사 및 평가의 두 부분으로 구성된 지속적인 프로세스를 거쳐야 합니다:

• 보안 감사는 조직의 보안 제어, 정책 및 절차를 일련의 기대치에 따라 검토하는 것입니다.
• 보안 평가는 현재 보안 구현이 위협에 대해 얼마나 탄력적으로 대응하고 있는지 확인하는 것입니다.

예를 들어, 모든 관리자 계정에 대해 다단계 인증(MFA)을 사용하도록 설정해야 한다는 규정이 있는 경우, 해당 사용자 계정의 규정 준수 여부를 확인하기 위해 감사를 수행할 수 있습니다. 감사 후 내부 팀에서 보안 평가를 수행하여 많은 사용자가 취약한 비밀번호를 사용하고 있다고 판단할 수 있습니다. 평가 결과에 따라 팀은 전반적인 보안 상태를 개선하기 위해 모든 사용자 계정에 MFA를 사용하도록 결정할 수 있습니다.

참고: GDPR과 같은 법적 규정의 준수 여부는 감사 중에 결정될 수 있습니다.

보안 분석가는 현장에서 보안 감사 및 평가에 참여하게 될 가능성이 높습니다. 기업에서 보안 감사를 수행하는 빈도는 일반적으로 1년에 한 번 정도로 적습니다. 보안 감사는 내부 및 외부의 다양한 외부 그룹에서 수행할 수 있습니다.

반면, 보안 평가는 일반적으로 약 3~6개월에 한 번씩 더 자주 수행됩니다. 보안 평가는 일반적으로 내부 직원이 수행하며, 종종 보안 감사를 위한 준비 작업으로 수행됩니다. 두 가지 평가 모두 시스템이 모든 사람의 개인정보를 효과적으로 보호하고 있는지 확인할 수 있는 매우 중요한 방법입니다.

핵심 사항

점점 더 많은 기업이 고객의 신뢰를 유지하기 위해 민감한 데이터의 사용을 보호하고 관리하는 것을 최우선 과제로 삼고 있습니다. 보안 전문가는 이러한 측면에서 데이터와 개인정보 보호의 필요성에 대해 생각해야 합니다. 조직은 일반적으로 보안 평가 및 감사를 통해 보안 계획의 허점을 평가합니다. 평가 결과를 간과하거나 해결을 미룰 수 있지만, 그렇게 할 경우 벌금이나 데이터 유출과 같은 심각한 비즈니스 결과를 초래할 수 있습니다.