로그인 회원가입 고객센터
레포트자기소개서방송통신서식공모전취업정보
카테고리
카테고리
카테고리
카테고리
campusplus
세일즈코너배너
자료등록배너

[글로벌리포트-이슈@월드]데이터 보안과 개인 정보보호


카테고리 : 레포트 > 기타
파일이름 :100524112022_.jpg
문서분량 : 1 page 등록인 : etnews
문서뷰어 : 뷰어없음 등록/수정일 : 10.05.20 / 10.05.20
구매평가 : 다운로드수 : 0
판매가격 : 300

미리보기

같은분야 연관자료
보고서설명
[글로벌리포트-이슈@월드]데이터 보안과 개인 정보보호
본문일부/목차
데이터 보안과 개인정보 보호를 위한 기업의 접근방법은 단순히 법규를 지키는 수준 그 이상이어야 한다. 이는 그 범위가 포괄적이어야 함은 물론, 기업의 비즈니스 가치 및 문화의 핵심이 되어야 함을 의미한다.
데이터 보안은 어느새 우리 모두의 중요 화두가 되었다. 유럽과 북미를 중심으로 한 일부 기업들은 기밀 데이터 보안을 위해 적지 않은 노력을 쏟아 부었으나 대다수 기업들은 자사의 데이터 보안이 뒤떨어져 있다는 사실을 이제서야 겨우 깨닫는 실정이다.
고객 정보, 비즈니스 계획, 재무정보 등을 포함한 기밀 데이터는 어떤 기업에게도 가장 중요한 자산이다. 그러나 발달하는 기술과 새로운 비즈니스 모델의 등장, 더욱 정교화되고 글로벌화되는 비즈니스 프로세스 등으로 인해 민간부문과 공공부문 모두 중요 데이터의 도용과 보안규정 위반 위험에 노출됐다. 이러한 위험은 단순히 기업에게 규제당국이 부과하는 벌금 이상의 막대한 손해로 연결된다. 지난 몇년간 주요 데이터 유출 사건에서 볼 수 있듯 기업 명성과 사업은 고객 정보 및 기밀 데이터의 유출 사건만으로 위험에 처할 수 있다.
기업이 수집, 보관, 분석하는 데이터 양이 기하급수적으로 증가하면서 기업 경영진은 불안감을 갖게 됐다. 더 이상 개인정보 도용 위험으로부터 고객의 안전을 보장할 수 없게 됐기 때문이다. 미국의 개인정보 및 데이터 보안 연구단체 포네몬 인스티튜트의 래리 포네몬 회장 겸 창립자는 “데이터 보안을 아무리 잘 하는 기업이라 해도 정보 유출의 가능성은 늘 존재한다. 기업은 수집한 고객 정보의 완벽한 안전을 보장할 수는 없다. 단, 리스크를 관리하거나 완화하는 데에는 능력을 발휘할 수 있다”고 말했다.

#보안 인식과 현실 사이의 괴리
액센츄어는 19개국 기업 경영진 5500명과 1만5000명 이상의 성인 소비자를 대상으로 설문조사를 시행, 데이터 보안과 개인정보보호에 대한 기업 경영자와 개인의 인식이 실제 데이터 보안에 미치는 영향을 파악했다. 조사를 통해 5개 핵심 분야에서 중요한 연구결과가 밝혀졌다.
먼저 신뢰에 대한 것이다. 데이터 보안에 관한 기업의 의도와 기업에서 실제로 이루어지고 있는 보안 관행에는 주목할 만한 차이가 있다. 이 차이는 기업의 일관된 신뢰성 확보에도 지장을 초래, 협력 관계에 있는 다른 기업에 정보가 안전하게 사용될 것이라는 믿음을 줄 수 없게 된다.
설문조사에 응답한 기업 경영진 중 약 70%가 소비자의 개인정보를 보호하기 위해 기업이 합리적인 절차를 취해야 할 의무가 있다는 데 동의했음에도 불구하고 이들의 응답에는 몇가지 모순되는 점이 관찰됐다. 응답자의 45%가 수집된 고객정보에 대해 고객에게 통제할 권리를 주는 것에 확신을 갖지 못하거나 적극적으로 반대했으며, 47%는 고객정보가 사용되는 과정을 고객이 통제할 권리를 갖는 것에 확신을 갖지 못하거나 반대했다. 특히 50%에 가까운 응답자가 중요 고객 개인정보 수집과 공유의 제한, 소비자 프라이버시 보호, 개인정보 유출 방지, 사이버 범죄 방지, 데이터 손실 및 도난 예방 등이 중요하다고 생각하지 않는 것으로 나타났다.
이와 같은 불일치는 다음 몇가지로 설명할 수 있다. 데이터 보안 접근법에 있어 업계 간 차이가 존재한다는 점, 문화적 또는 지역적 차이, 보안정책에 대한 기업의 책임감 부족, 포괄적인 데이터 보안 및 개인정보 보호 프로그램을 운영하는 것이 아니라 법규 및 규제를 따르는 데만 급급하다는 점 등이 그것이다.
두번째로 책임 부문이다. 대다수 기업은 민감한 개인정보 손실을 경험한 적이 있으며, 그 가장 큰 원인은 기업 내부에서 발생한 오류 및 기업이 스스로 통제할 수도 있었던 요인들이었다. 즉, 다수의 기업에서 중요 데이터를 보호해야 할 책임과 의무 수행이 적절히 이루어지고 있지 않다는 것이다.
기업 응답자의 58%가 중요 개인정보의 손실을 경험한 적이 있다고 밝혔고, 이 중 60%가 데이터 손실을 반복적인 문제로 꼽았으며 31%가 지난 24개월간 3건 이상의 데이터 손실을 경험했다고 밝혔다.
이 기업들은 데이터 손실 징조를 사전에 발견하고 바로 잡을 수도 있었으나 그렇게 하지 못한 원인을 내부 문제에서 찾았다. 구체적으로 비즈니스 및 시스템 장애(57%), 직원의 부주의나 실수(48%)를 가장 많이 지적하였으며, 사이버범죄를 원인으로 꼽은 경우는 18%에 불과했다.
이와 같은 사실은 개인정보와 데이터 보안을 위협하는 가장 큰 요인이 외부에 의한 것이라는 상식에 어긋난다. 그러나 직원 실수로 의한 데이터 손실 사례 보고와는 일치한다고 볼 수 있다. 실제로 국내 한 정유회사는 1200만명의 고객정보가 담긴 DVD를 강남의 유흥가에 흘리는 실수를 저지르기도 했으며, 해외의 한 이동통신사는 1700만명의 고객정보가 담긴 디스크를 분실하기도 하였다. 한 유럽 국가의 국세청은 약 400만명의 개인 정보가 담긴 CD를 전국의 신문사, 라디오 방송국, TV 방송국에 유출하는 실수를 저지르기도 하였다.
이 같은 피해를 부르는 내부적 취약성의 원인으로는 교육 부족, 관리 소홀, 불완전한 내부 데이터 흐름 설계 등을 꼽을 수 있다.
데이터 스토리지와 데이터 이동성 분야의 지속적인 발달은 문제를 더욱 복잡하게 만든다. 휴대형 기기는 점점 소형화되고 더 많은 데이터를 저장할 수 있으며 서버와 네트워크, 다른 휴대형 기기와 끊김 없이 연결돼 개인 사용자에게 더 많은 데이터 획득과 강력한 힘을 부여한다. 특히, 최근 급물살을 타고 있는 클라우드 컴퓨팅, 스마트폰 등과 관련한 데이터 보호에 대한 책임과 의무 수행에 관련된 문제는 더욱 복잡하다.
규제준수 부문에 대한 검토도 진행됐다. 다수 기업은 아직까지도 기존 법규나 규제를 따르는 것만으로 데이터를 충분히 보호할 수 있다고 믿고 있다. 그러나 법규가 오늘날의 비즈니스 환경을 따라잡을 수 있을 만큼 충분히 정교하지 못하다는 점을 고려할 때, 이 같은 자세는 매우 위험하다. 게다가 모든 업계와 국가를 초월해 동등한 법규가 일괄 적용되는 것도 아니다.
응답 기관의 약 70%는 개인정보 보호 및 데이터 보안에 관한 법규를 정기적으로 모니터링한다고 응답했음에도 불구하고 응답자의 58%는 이를 위반하고 있는 것으로 밝혀졌다. 더욱 우려되는 것은 사생활보호 관련 법규가 가장 엄격한 편인 유럽 기업의 3분의2 이상이 지난 24개월 내에 규제를 위반한 적이 있다고 시인했다는 점이다. 이 중 약 절반이 두차례 이상 규제를 위반했다고 답했다.
이와 같은 결과는 단순히 기존 법규를 지키는 것만으로 중요 데이터를 완벽하게 보호할 수 없음을 시사한다. 기업이 수집하는 데이터는 급속도로 증가하고 있으며 기업이 데이터에 접근하고 이를 사용하는 방법이 복잡해 지고 있음을 감안할 때, 현재의 법규와 규제 범위는 발생 가능한 모든 문제점을 포괄할 수 없다.
네번째로 기업과 소비자 이외에 제3자가 개입했을 때의 문제다. 데이터 보안 및 개인정보보호에 대해 협력 관계를 맺고 있는 타 기업에 주의를 기울여야 한다.
응답 기업의 55%가 고객 개인정보 수집 및 관리를 아웃소싱한다고 밝혔다. 고객정보보호가 기업의 가장 근본적이고 중요한 책임이라는 것을 생각하면, 기업과 아웃소싱업체 관계가 신뢰에 기반한 것이 되도록 최대한 노력해야 한다.
이러한 노력의 일환으로 기업들은 아웃소싱업체의 데이터 보안 및 개인정보보호 프로그램이 자신들의 프로그램과 동일하거나 더욱 엄격한 수준인지, 아웃소싱업체가 국내외 데이터 관리에 관한 지식과 경험을 갖추었는지 철저하게 평가해야 한다.
아웃소싱업체는 또한 고객사의 고객정보보호를 위해 표준화되고 포괄적·일관적인 고객정보보호 프로그램을 운영해야 한다. 이 프로그램은 임직원 교육, 정기적인 모니터링 및 평가, 감시, 법규 및 규제 위반에 대해 적합하며 시의 적절한 대응, 부적절한 행위에 대한 집행과 징벌, 위반을 막기 위한 강력한 예방책 등을 포함해야 한다. 또한 자신들뿐만 아니라 클라이언트가 사업을 운영하는 국가들의 법률 규제와 정보보호 관련법을 모두 반영할 수 있어야 한다.
마지막으로 문화에 대한 관점이다. 데이터 보안과 개인정보보호를 존중하는 문화를 가진 기업은 보안 위반사례를 경험할 가능성이 훨씬 낮다. 지난 2년간 단 한건의 보안 위반사례도 없었다고 밝힌 31%의 기업 응답자는 데이터 보안과 보호에 대한 태도와 정책, 개인정보의 사용이 용인되는 범위에 대한 관점 등에 있어 데이터 손실을 경험한 기업들과 상당한 차이를 보였다. 조사 결과 위반사례가 없었던 기업은 중요 데이터를 존중하는 문화를 가지고 있으며, 자신이 해당 데이터의 소유자는 아니지만 그 데이터를 보호하고 지켜야 할 책임감 등을 확고히 가지고 있는 것으로 나타났다. 해당 기업들은 수집한 개인정보를 관리, 수정, 통제할 권리와 정보가 어떻게 사용 되는지 알 권리가 소비자에게 있다고 믿었다.
이 기업들은 소비자의 개인 정보를 지키기 위해 정해진 절차를 따르고 정보에 대한 접근 권한을 통제하며, 개인정보의 활용 현황을 공개하고, 개인정보 유출 시 소비자를 지원하는 등 데이터 보안과 개인정보 보호에 대한 의무감을 더 강하게 느끼는 것으로 밝혀졌다.
이러한 기업들은 또한 중요 데이터 보안과 해당 데이터가 활용되는 과정을 중요시하는 정책을 수립하는 경향이 높았다. 예를 들어 타 기업에 비교해 고객과 직원의 개인정보 데이터가 IT시스템의 어디에 위치하는지 정확히 알고 있는 경우가 많았다.
그러므로, 오늘날 기업들은 데이터 보안과 개인정보보호에 대해 보다 적극적인 접근법을 취해야 한다. 이는 규제를 위반해 거액의 벌금을 낼 위험을 최소화하기 위해서이기도 하지만 그보다도 고객 이탈을 유발하고 브랜드 신뢰도를 손상시킬 수 있는 중요 개인정보 유출사고를 방지하기 위함이기도 하다.

#보안을 위한 문화를 구현하라
정부와 기업 지도자들은 데이터 보안 및 보호에 대해 글로벌 표준을 수립하기 위해 협업해야 하며 이는 기업, 개인, 규제당국 등 핵심 이해 당사자의 책임감을 필요로 한다. 글로벌 표준은 보호해야 할 데이터의 종류, 상황에 따라 중요 데이터에 접근할 수 있는 권한 범위 설정, 중요도 수준과 분류 기준에 따라 데이터를 보호하는 방법 등에 대한 지침을 제시해야 한다.
각 기업은 데이터 보안과 개인정보보호를 존중하는 문화를 구현해야 한다. 이와 같은 접근법을 취한 기업들은 단순히 규제 준수에만 능한 것이 아니라 비즈니스 성과도 더 높았다. 포네몬 회장은 “개인정보보호와 데이터 보안을 전략으로 채택한 기업들이 있다. 이들은 개인정보보호를 소비자를 끌어들이고 시장에서 브랜드와 명성을 높이는 방법으로 생각한다”고 밝혔다.
다음은 기업이 이와 같은 문화를 구현하기 위해 밟아야 할 여섯 가지 단계이다.
첫째, 데이터 보안과 개인정보보호 담당자를 지정하고 책임을 부과한다. 기업 내 데이터 보안과 개인정보보호의 책임을 여러 조직에 분산하는 것은 관리 실패 및 정보 유출 사고로 이어지기 쉬운 환경을 만든다. 중요한 데이터를 지키려는 기업이라면 포괄적이며 일괄적인 보안 실행을 위해 테크놀로지, 정책, 절차, 규정, 규범 등 데이터 보안과 개인정보보안의 특정 부분을 책임질 담당자 또는 담당부서를 지정해야 한다. 경우에 따라서는 비즈니스와 관련된 이해당사자들로 구성된 데이터 보안 및 개인정보보호위원회를 설립, 중요 데이터 관리 및 이용 현황을 감독하고 전사적 보안 현황을 지속적으로 개선하는 것도 바람직하다.
둘째, 데이터 보안과 개인정보보호를 위해 보다 효과적이고 종합적인 관리프로그램을 개발한다. 강력하고 포괄적인 데이터 보안 및 개인정보보호 관리프로그램은 데이터 접근 권한자 설정을 명확히 하는 것은 물론이고 기업의 데이터 수집, 저장, 관리, 활용 현황까지 명확히 정의할 수 있게 해 준다.
셋째, 현재의 데이터 보안 및 개인정보보호 기술이 실제 보호에 필요한 수준에 도달했는지 평가한다. 이전의 위반사례에서 얻은 교훈이 현재의 사고에 대응할 수 있는 컴퓨터 기술에 반영되지 않아 리스크 관리에 실패하는 경우가 많다. 따라서 기업은 이미 설치된 툴을 재평가하고 이를 개선하거나 교체하는 방안을 고려해야 한다. 기술만으로는 잠재적인 정보 손실을 예방할 수 없다. 기술이 데이터 관리 프로그램의 큰 틀과 기준에 부합하도록 하는 것이 중요하다.
넷째, 데이터 보안과 개인정보보호의 중요성에 대한 조직 전체의 인식 수준을 일관되게 유지한다. 기업은 보다 포괄적이고 체계적인 직원 교육 및 연수 프로그램을 통해 모든 직원이 조직의 데이터 보안 및 개인정보보호 방침에 대한 공통된 이해를 갖도록 해야하며, 이러한 방침의 준수 절차와 방법에 대한 구체적인 지침을 제공해야 한다. 정보 보호에 대한 일관된 인식 수준 확립은 그 중요성이 더욱 커지고 있다.
다섯째 데이터 보안과 개인정보 보호를 위한 투자를 재검토한다. 보안을 위한 투자에 대해 진취적인 관점을 보이는 기업은 거의 없다. 따라서 기업들은 보안에 드는 ‘실제 비용’을 납득하지 못할 뿐 아니라 필요에 따라 우선순위를 설정해 투자를 배분할 수도 없게 된다. 기업은 보안에 대한 비용 투자가 수익성을 저해한다는 인식을 버리고 인력, 프로세스, 기술 등 데이터 보안과 개인정보보호의 모든 핵심 분야에 균형 있게 투자 해야 한다.
마지막으로 협력사를 신중하게 선택해야 한다. 데이터에 대해 자사와 동등한 수준, 혹은 더 높은 수준의 주의를 기울이는 기업과 협력관계를 맺어야 한다. 협력사가 회사 간, 나아가 국가를 넘나드는 활동 중 현지의 개인정보보호법과 업계 규정에 의거해 중요 데이터를 관리한 경험, 관행, 지식을 보유하고 있는지 철저하게 평가해야 한다. 협력사를 보고 기업을 평가하는 경우도 많음을 명심해야 한다.
지금은 그 어느 때보다도 데이터에 대한 의존이 기업 비즈니스에 큰 비중을 차지하는 시대이다. 그러나 정보의 안전과 기밀을 지키기 위한 방침과 접근방법은 정보가 증가하는 속도를 따라잡지 못하고 있다. 기업은 더 이상 뒤떨어진 방식에 안주할 수 없으며 보다 종합적인 데이터 보호 및 보안 접근방법을 취하여 비즈니스 전략, 리스크 관리, 규제준수, 및 IT 보안 간의 격차를 없애야 한다.
연관검색어
[글로벌리포트-이슈@월드]데이터 보안과 개인 정보보호

구매평가

구매평가 기록이 없습니다
보상규정 및 환불정책
· 해피레포트는 다운로드 받은 파일에 문제가 있을 경우(손상된 파일/설명과 다른자료/중복자료 등) 1주일이내 환불요청 시
환불(재충전) 해드립니다.  (단, 단순 변심 및 실수로 인한 환불은 되지 않습니다.)
· 파일이 열리지 않거나 브라우저 오류로 인해 다운이 되지 않으면 고객센터로 문의바랍니다.
· 다운로드 받은 파일은 참고자료로 이용하셔야 하며,자료의 활용에 대한 모든 책임은 다운로드 받은 회원님에게 있습니다.

저작권안내

보고서 내용중의 의견 및 입장은 당사와 무관하며, 그 내용의 진위여부도 당사는 보증하지 않습니다.
보고서의 저작권 및 모든 법적 책임은 등록인에게 있으며, 무단전재 및 재배포를 금합니다.
저작권 문제 발생시 원저작권자의 입장에서 해결해드리고 있습니다. 저작권침해신고 바로가기

 

⼮üڷٷΰ ⸻ڷٷΰ thinkuniv ķ۽÷