용어 사전
GDPR란 — EU의 개인 데이터 보호 규칙과, 유출 시의 통지 의무
GDPR(EU 일반 데이터 보호 규칙)은 EU 역내의 개인 데이터를 보호하는 포괄적인 법률입니다. 누구에게 적용되며, 데이터 최소화·동의·유출 시의 통지 의무·고액의 제재금 등 무엇이 요구되는지, 그리고 '필요한 개인 데이터만 모은다·보유하지 않는다'는 방어의 기본을 해설합니다.
GDPR은 EU를 대상으로 서비스를 낸다면 의식해야 할 개인 데이터 보호의 법률입니다. 「어려운 법률」이라며 긴장하기 쉽지만, 기술자가 실제로 하는 일은, 모으는 개인 데이터를 줄이고, 암호화하고, 인가로 접하는 사람을 좁히고, 유출을 신속히 탐지할 수 있게 한다——는 매일의 방어와 맞닿아 있습니다. 여기서는 요점과, 기술·운용에서 짚어야 할 방어의 기본을, 공격 절차를 다루지 않고 정리합니다.
무엇이 요구되는가
법률의 세부보다, 방어로서 효과적인 운용의 기둥을 짚습니다.
모으지 않는다·보유하지 않는다(데이터 최소화)
목적에 필요한 최소한의 개인 데이터만 모으고·보유한다. 보유하지 않는 데이터는 새지 않는다——이것이 가장 강력한 방어. 불필요해지면 지운다.
안전하게 지킨다(암호화·접근 제어)
개인 데이터를 암호화하고, 인가로 「접해도 되는 사람만」으로 좁힌다. 비밀은 공개 면 바깥으로(→ 공개 디렉터리에 비밀을 두지 않는다).
탐지하고 통지할 수 있다(72시간 규칙)
유출을 신속히 탐지하고, 영향을 추적할 수 있는 로그를 가진다. 원칙 72시간 이내에 당국에 통지할 체제를 준비한다. 탐지의 구조가 없으면 의무도 다할 수 없다.
'무관하다'라고 단정할 수 없다
GDPR은 EU 역내의 사람들에게 상품·서비스를 제공하거나 행동을 감시하는 경우, 사업자가 어디에 있든 적용될 수 있습니다. EU를 대상으로 서비스를 내고 있거나·EU 이용자의 개인 데이터를 다루고 있다면, '우리 회사는 EU 소속이 아니니 무관하다'라고 단정할 수 없습니다. 우선 자신이 어떤 개인 데이터를 왜 보유하고 있는지의 재고 조사부터 시작하는 것이 실무적입니다.
본 사이트의 관점: 규제 대응과 방어는 같은 방향을 향한다
GDPR의 요구는, 본 사이트가 평소 말하는 방어와 같은 방향을 향하고 있습니다. 개인 데이터를 최소화하고, 암호화하고, 인가로 좁히고, 유출을 탐지·기록할 수 있게 한다——이것은 법령을 위해서만이 아니라, 애초에 사고를 줄이기 위한 기본입니다. 규제를 '추가의 부담'이 아니라 '방어의 재확인'으로 쓰는 것이, 소규모 운영에게 현실적인 대응 방식입니다.
다음에 읽을거리
- 기초:인증과 인가의 차이(데이터를 소유자로 좁힌다)/ 보안 최소한 체크리스트
- 용어:공개키 암호 / PCI DSS(민감 데이터를 다루는 다른 기준)
- 관련:OWASP Top 10 / 보안의 역사(연표)
출처
- 유럽위원회 GDPR(공식): commission.europa.eu
FAQ
QGDPR은 EU 밖의 사업자에게도 관계가 있나요?
관계가 있을 수 있습니다. GDPR은 EU 역내의 사람들에게 상품·서비스를 제공하거나, 그 행동을 감시하는 경우, 사업자가 어디에 있든 적용될 수 있습니다. EU를 대상으로 서비스를 내고 있거나, EU 이용자의 개인 데이터를 다루고 있다면 대상이 될 수 있으므로, '우리 회사는 EU 소속이 아니니 무관하다'라고 단정할 수 없습니다.
QGDPR에서 기술적으로 짚어야 할 요점은?
크게는, ①적법한 근거(동의 등)를 얻고, 목적을 명확히 한다 ②필요 최소한의 데이터만 모은다·보유하지 않는다(데이터 최소화) ③개인 데이터를 암호화·접근 제어로 안전하게 지킨다 ④본인의 공개·삭제 요구에 응할 수 있게 한다 ⑤유출을 신속히 탐지하고, 원칙 72시간 이내에 당국에 통지할 수 있는 체제를 갖춘다, 입니다.
Q유출되면 어떻게 해야 하나요?
GDPR에서는 개인 데이터의 유출을 인지하면 원칙 72시간 이내에 감독 당국에 통지할 의무가 있습니다(본인에게의 통지가 필요한 경우도). 그렇기에 사고를 '신속히 탐지할 수 있다'는 것, 영향 범위를 '추적할 수 있는' 로그가 있다는 것이 전제가 됩니다. 탐지와 기록의 구조가 없으면 통지 의무조차 다할 수 없습니다.