GDPR 구현 후 국내 사물인터넷 기업은 어떻게 대응해야 합니까?

머리말:

지난 문장 (심층 정리 | EU 범용 데이터 보호법 (GDPR) 의 핵심 사항) 에서 GDPR 법안의 핵심 사항을 공유함으로써 기업들이 GDPR 이 무엇인지, 그리고 향후 비즈니스에 어떤 영향을 미치는지 시각적으로 파악할 수 있게 되었습니다. 이 글은 GDPR 의 핵심 관점을 중심으로 사물인터넷 산업의 기업이 어떻게 대처해야 하는지를 심도 있게 분석할 것이다. 여기 대응 방안은 시스템 아키텍처, 인력 관리, 프로세스 관리, 위험 평가, 비즈니스 논리, 비상 대응 등 여러 가지 측면을 다루고 있습니다. 기업마다 구체적인 경영 상황이 다르기 때문에, 다음 내용은 사물인터넷 기업의 자체 조사를 위한 분석 방법으로 사용될 수 있다.

사물인터넷 업계의 특수성은 많은 장비가 네트워크에 연결되어 있지 않아 사용자의 프라이버시 유출 위험이 없다는 데 있다. 지금 설비 네트워킹은 대세의 추세이다. 데이터의 컨트롤러 및 처리자는 이름, 성별, 나이, 주민등록번호, 휴대폰 번호 등 많은 개인 사용자 데이터를 직접 또는 간접적으로 접할 수 있습니다. 한편, 장치와 사용자 데이터에 대한 운영 초상화 및 모니터링이 필요하기 때문에 사용자 행동에 대한 더 많은 개인 정보 데이터를 수집할 수 있습니다. 따라서 GDPR 이 사물인터넷 기업에 미치는 영향은 여전히 매우 광범위하고 중요하다.

사물인터넷 보안 솔루션 회사인 청련운은 사이버 보안, 클라우드 보안, 해커 공방 대결, 데이터 프라이버시 보호 등 분야에서 다년간의 경험을 쌓았으며, 국내 사물인터넷 기업을 위해 GDPR 을 구현한 후 다음과 같은 사항을 요약했습니다. 기업이 GDPR 규정 준수를 실천하는 참조 방향으로 여러분과 공유할 수 있습니다.

GDPR 권장 사항을 다루는 국내 인터넷 기업:

1, 기업 임원의 직접적인 관심

2. 데이터 컨트롤러와 데이터 프로세서를 합리적으로 구분합니다.

3. 디자인 초기부터 프라이버시를 보호합니다.

4. 고객의 데이터 승인 동의를 분명히 받습니다.

5. 데이터가 저장되는 위치를 식별합니다.

6. 데이터의 유형과 위험을 식별합니다.

7. 신원 데이터 사용 권한

8. 식별 데이터 마이그레이션 및 전송 능력

9. 필요한 경우 개인 데이터를 삭제할 수 있습니다.

10, 데이터 유출 이벤트를 신속하게 식별하고 적시에 보고할 수 있는 기능.

1 1, 데이터 최소화 원칙을 따릅니다.

12. 익명 데이터.

13. 네트워크 통신의 기밀성 및 데이터 무결성을 보장합니다.

14, 네트워크 통신의 강력한 인증을 보장합니다.

15, 데이터 수명주기 관리 강조

16. 기업 내 프라이버시 통제를 중시한다.

17. 타사 공급업체가 GDPR 을 준수하는지 확인합니다.

18. 전용 개인 정보 보호 요원 설립을 고려합니다.

19, 기타 보안 요구 사항을 충족합니다.

20. 전문 보안 회사와의 긴밀한 협력을 유지합니다.

기업 임원의 직접적인 관심

보안 규정 준수에 대한 GDPR 및 기타 규정의 요구 사항은 기업의 관리 /R&D 프로세스와 더욱 밀접한 관련이 있습니다. 내부 프로세스의 추진은 기업 임원의 중시와 실제 결의에 더 달려 있다. 한 프로세스의 올바른 구현을 추진하려면 하향식 순서가 필요합니다. 기업의 임원들이 규정 준수 프로세스를 추진하는 것을 의식하지 못하거나 충분히 중시하지 않는다면, 많은 인력과 비용을 낭비하고 정상적인 업무 진행에도 영향을 미칠 수 있습니다. 그래서 우리는 기업 임원의 중요성을 최우선으로 생각합니다.

데이터 컨트롤러와 데이터 프로세서를 합리적으로 구분합니다

컨트롤러와 프로세서는 GDPR 에서 명확하게 설명됩니다. GDPR 의 경우 기업이 먼저 자신이 데이터의 지배자인지 처리자인지 확인하는 것이 중요합니다. 예를 들어, 한 기업이 Google Analytics (또는 다른 타사 데이터 분석 서비스 공급업체) 를 사용하여 웹 사이트의 사용자 행동을 분석하는 경우, 이 기업은 데이터의 관리자이고 Google Analytics 는 데이터의 처리자입니다. 데이터 주체 (소비자) 가 GDPR 의 요구 사항에 따라' 잊혀진 권리' 를 수행할 경우 기업은 사용자의 법적 요구 사항을 이행할 책임이 있으며 기업은 제 3 자 데이터 분석 서비스 공급자에게 전달된 사용자 개인 데이터를 삭제할 수 있어야 합니다.

디자인 시작부터 프라이버시 보호

모든 떡갈나무는 반드시 도토리여야 한다. 그 이유는 간단합니다. 보안은 IT 시스템의 초석입니다. 기본 IT 시스템에 보안 취약점이 있는 경우, 특히 인터넷 산업의 경우 비즈니스 논리에 대한 보안 문제는 대량 원격 업그레이드로 해결할 수 없습니다. 사물인터넷 기업은 시스템 아키텍처 설계 초기부터 보안 요소를 아키텍처 설계의 범위에 포함시켜야 한다. 안전을 선행 개입시켜 후기에 안전사고로 인한 더 심각한 기업 손실을 방지하다.

고객의 데이터 승인 동의를 분명히 받다.

GDPR 은 또한 기업이 매우 명백하고 직설적인 방식 (APP 의 승인과 유사) 으로 고객에게 수집할 데이터, 특히 미성년자를 위한 사물인터넷 제품 (예: 어린이 시계, 어린이 스토리머신 등) 을 알려주도록 요구하고 있다. ), 관련 데이터는 보호자가 직접 권한을 부여한 경우에만 수집할 수 있습니다.

데이터를 저장할 위치를 결정합니다

데이터는 엔터프라이즈 IT 자산의 일부입니다. GDPR 을 구현하기 전에 기업이 해야 할 일 중 하나는 데이터가 어디에 있는지 확인하는 것입니다. 사물의 인터넷의 기본 아키텍처는 클라우드 컴퓨팅으로, 다양한 데이터 스토리지 기술을 사용하여 다양한 유형의 데이터 (예: Redis 스토리지 캐시 데이터, Hadoop 스토리지 오프라인 대용량 로그 파일, Cassandra 스토리지 조각화된 작은 파일) 를 저장합니다. 엔터프라이즈 기술 책임자는 내부적으로 사용되는 데이터 스토리지 기술이나 구성 요소, 구성 요소에 따라 어떤 데이터가 저장되는지 명확하게 인식해야 합니다. "데이터 전장" 식별은 데이터 개인 정보 보호의 첫 번째 단계입니다.

데이터 유형 및 위험 파악

데이터 저장소의 위치가 명확하게 식별되면 데이터 자산의 위험을 평가해야 합니다. 기업이 저장하는 데이터 유형 (예: 개인 신분 데이터, 위치 데이터, 행동 데이터, 재무 데이터) 을 생각해 보십시오. 데이터 유형은 무엇입니까: 정수? 부동 소수점? 부울? 사진/비디오? 다른 데이터의 유출 위험은 무엇입니까: 예를 들어 사용자의 신용 카드가 도난 당할 수 있습니까? 사용자가 스팸으로부터 공격을 받을 수 있습니까? 사용자 신분이 위조될 수 있습니까? 사용자의 행방을 추적하게 될까요? 또한 기업에서 설정한 데이터 위험 모델에 따라 향후 보안 솔루션의 대상 배포를 강력하게 지원할 수 있습니다.

아이디 데이터 사용 권한 부여

대부분의 데이터 사용 장면에서 기업은 데이터에 대한 전체 제어 및 처리 권한을 가진 유일한 기업이 아닙니다. 대용량 데이터 솔루션에서는 외부 타사 기업의 기능을 활용하여 데이터를 심도 있게 마이닝하고 분석해야 하는 경우가 많습니다. 이 시점에서 데이터 사용에 대한 라이센스 관리가 매우 중요합니다. 기업은 데이터 서비스를 제 3 자와 교환하거나 제 3 자에게 직접 데이터를 보내려면 어떤 데이터가 있는지 명확하게 알아야 합니다. 이런 상황이 발생하면 기업은 데이터의 통제자가 된다. 제 3 자 서비스업체로 인해 데이터 유출 문제가 발생할 경우 GDPR 규정에 따라 통제자인 기업도 연대 책임을 진다.

데이터 마이그레이션 및 전송 식별 기능

GDPR 은 데이터 주체 (소비자) 가 개인 정보를 다른 개인이나 조직에 전송할 권리가 있다고 규정하고 있습니다. 이를 위해서는 기업이 시스템 아키텍처를 설계할 때 데이터 형식 지정 및 이식성을 지원하고 여러 공급업체 간에 데이터를 공유해야 합니다. 또한 전송 중 데이터의 암호화, 무결성 및 엄격한 양방향 인증을 보장하는 데이터 보안 전송 솔루션이 필요합니다.

필요한 경우 개인 데이터를 지울 수 있습니다.

데이터 주체의' 잊혀진 권리' 도 GDPR 이 제기한 중점이다. 기업은 사용자가 지정하거나 사용자가 더 이상 사용할 수 없는 일부 데이터를 삭제할 수 있어야 합니다. 기업은 데이터를 신속하게 찾고, 찾은 사용자 데이터를 삭제하고, 제 3 자 데이터 서비스 공급자에게 삭제할 데이터를 알릴 수 있어야 합니다 (제 3 자가 해당 데이터를 사용하는 경우).

데이터 유출 사건을 신속하게 식별하고 적시에 보고할 수 있는 기능을 갖추고 있다.

나는 이 능력이 중요하고 어렵다고 생각한다. 두 가지 어려움이 있습니다: 1. 기업은 자신의 데이터가 유출되었다는 것을 어떻게 신속하게 인식할 수 있습니까? 역사나 최근의 데이터 유출 사례를 살펴보면 기업은 기본적으로 알고 있습니다. 2. 기업은 GDPR 규정 72 시간 이내에 규제 기관 및 데이터 주체에게 데이터 유출 사건을 보고할 수 있는 능력 (용기) 이 있습니까? 왜 이 능력이 어렵습니까? 기업 관리자들이 모두 느낄 수 있다고 믿는다. 사실, 완전히 기술적 인 능력은 아닙니다.

데이터 최소화 원칙 준수

보안 아키텍처 설계에는 권한 최소화라는 중요한 원칙이 있습니다. 즉, 비즈니스에 대한 위험 평가는 가능한 한 적은 포트 열기, 루트 권한 비활성화 등 비즈니스 운영을 충족시킬 수 있는 최소한의 권한만을 제공합니다. GDPR 은 비즈니스 요구 사항을 충족하는 경우 사용자 데이터를 최대한 적게 수집하는 데이터 최소화 원칙을 명확하게 규정하고 있습니다. 일반적으로 기능이 적을수록 위험은 줄어들고 데이터 보안도 마찬가지입니다.

익명 데이터.

GDPR 에서' 익명' 은 명확한 공식 정의를 가지고 있다. 1 이라는 두 가지 의미가 있습니다. 청련운의 시스템 아키텍처를 예로 들자면, 사용자와 디바이스의 다양한 데이터 유형에 대한 데이터베이스/분류 암호화 스토리지를 통해 사용자의 전체 개인 데이터를 한 번에 유출하지 않도록 하여 데이터 유출을 방지합니다. 2. 주민등록번호를 기록할 때 중간 생일 데이터 세그먼트를 숨기는 등 민감한 데이터를 익명화하여 데이터 유출로 인해 인식 가능한 자연인을 직접 찾거나 가리킬 수 없도록 합니다.

네트워크 통신의 기밀성 및 데이터 무결성을 보장합니다.

여기에는 기밀성과 무결성이라는 두 가지 주요 요소가 있습니다. 청련운의 시스템 아키텍처에는 자체 개발한 사물인터넷 보안 액세스 게이트웨이 시스템이 내장되어 있다. 이 게이트웨이는 다양한 데이터 암호화 방법 (AES/DES/SSL 등) 을 제공할 수 있습니다. ) 또한 각 패킷에 대한 보안 서명 및 합법성 검사를 수행하여 암호화 전송 중 해커가 시작한 장치 재생 공격으로부터 데이터를 보호하고 안전하고 안정적인 인터넷 데이터 전송을 보장합니다.

네트워크 통신의 강력한 인증을 보장합니다.

인증은 단방향이 아니라 양방향이어야 합니다. 인터넷 산업의 경우 인증은 주로 장치와 클라우드, 장치와 장치, 클라이언트와 클라우드, 클라이언트와 장치, 클라우드와 타사 인터페이스, 클라우드 자체의 인증을 포함합니다. 청련운의 시스템 아키텍처에서 이 일련의 신분 인증 메커니즘은 사물인터넷 보안 액세스 게이트웨이 시스템을 통해 이루어지며 해커가 발기한 장비 위조 등 데이터 위조 공격을 막을 수 있다.

데이터 수명주기 관리 강조

기업의 R&D 프로세스를 위해 Microsoft 는 SDL (Safety Development Lifecycle) 을 7 개 부분으로 나누어 교육에서 최종 응급 대응에 이르기까지 제시했습니다. 데이터도 마찬가지다. 기업은 데이터 형식 정의에서 데이터 수집, 분석 프레젠테이션, 영구 스토리지 수명 주기에 이르기까지 보안을 제어할 수 있는지 확인해야 합니다. 라이프 사이클의 각 부분은 서로 다른 보안 위험에 직면해 있기 때문에 데이터 라이프 사이클을 효율적으로 관리하는 것은 기업에서 반드시 필요한 보안 기능 중 하나입니다. 여기서는 기업의 기술 책임자가 마이크로소프트의 SDL 프로세스를 자세히 연구할 것을 건의합니다.

기업 내부의 프라이버시 통제를 중시하다.

프라이버시 통제는 GDPR 에만 국한되지 않으며, 기업은 프라이버시 통제를 위한 프로세스나 기술 능력이 있는지 확인해야 합니다. 데이터 스토리지 개인 정보 제어, OA 시스템 개인 정보 제어, 판매 시스템 개인 정보 제어, 사무실 네트워크 개인 정보 제어, 모바일 사무실 개인 정보 제어, 전직 직원 개인 정보 제어, 스토리지 데이터 하드웨어 폐기 개인 정보 제어 기능 등을 포함하되 이에 제한되지 않습니다.

타사 공급업체가 GDPR 을 준수하는지 확인합니다.

청련운의 경우: 청련운은 IOT 기업에 안전하고 신뢰할 수 있는 사설/공용 클라우드 서비스를 제공하지만, 공용 클라우드와 사설 클라우드 모두, 청련운은 사물인터넷 보안 소프트웨어 시스템으로 클라우드 컴퓨팅 IaaS 서비스 업체에 의존해야 합니다. 따라서 기업은 제 3 자 공급업체가 GDPR 규정 준수 요구 사항을 충족하는지 여부를 고려할 때 제 3 자 공급업체 자체의 보안 기능 (청연운은 사물망에 진정한 종단간 보안 솔루션을 제공할 수 있음) 뿐만 아니라 기본 클라우드 컴퓨팅 공급업체의 GDPR 규정 준수도 고려해야 합니다. 클라우드 컴퓨팅으로 대표되는 아마존 AWS 와 아리운은 두 업체 모두 표준 GDPR 규정 준수 요구 사항을 가지고 있으며, 기업의 주목을 받을 만하다.

전용 개인 정보 보호 요원 설립을 고려하다.

GDPR 의 경우 기업은 고위 경영진의 중시뿐만 아니라 GDPR 이 명시적으로 제시한 CPO (Chief Private Officer) 또는 DPO (데이터 보호관) 와 같은 전문 개인 정보 보호 인력을 양성해야 합니다. 기업에 이 일자리가 없더라도 기술 책임자와 핵심 직원에 대한 전용 개인 정보 보호 교육을 실시하여 GDPR 규정 준수 요구 사항을 충족하는 적절한 개인 정보 보호 프로세스를 구축해야 합니다.

기타 보안 규정 준수 요구 사항이 있습니다.

기업의 정보 보안 건설은 영원히 단번에 이루어질 수 없다. GDPR 을 주목하기 전에 기업은 네트워크 보안 수준 보호와 같은 다른 국가 보안 규정 준수 요구 사항을 충족하는지 확인해야 합니다. 적어도 사물인터넷의 응용 수준에서도 나도 일정한 안전방어 능력을 갖추어야 한다. 내가 아리운을 사용했다는 것을 이해할 수 없고, 안전은 아리운의 보증이다. 나는 내 데이터가 암호화되었다고 생각할 수 없다, 그것은 안전을 의미한다. 보안 취약점의 출현은 데이터 보호뿐만 아니라 비즈니스 논리와 관련이 있습니다. 청련운은 사물인터넷 기업에 전문적인 안전컨설팅 서비스 (안전교육+안전테스트+사물인터넷 보안솔루션) 를 제공할 수 있다.

전문 보안회사와 긴밀한 협력을 유지하다.

기술업은 전공이 있고, 안전은 장기적인 경험 축적과 실제 해커의 공방 대결에서 비롯된다. 많은 사물인터넷 기업 자체는 전문 안전팀을 구성할 능력이 없다. 기업은 자신의 업무와 제품 개발에 더 많은 관심을 기울여야 하며, 보안 기업과의 장기적인 파트너십을 구축해야 합니다. 한편으로는 기업의 비즈니스 보안 보호 능력을 향상시킬 수 있고, 다른 한편으로는 보안 기업과의 협력을 통해 직원들의 보안 의식을 강화할 수 있습니다. R&D 및 테스트 과정에서 보안 취약점을 말살하여 양산 제품의 안전성을 높일 수 있습니다.