소비자의 개인정보를 보호한다는 것은 이제 개개인의 ‘데이터 주권’을 존중한다는 것으로 이어진다. 보다 엄격해지는 규정들이 무서워서 그래야 하기도 하지만, 시장의 요구가 그런 방향으로 흘러가기 때문에 더 그렇다.

[보안뉴스 문정후 기자] ‘데이터 주권’과 ‘산업 규정 준수’가 조직 내 IT 아키텍처를 구성하는 데 중요한 고려사항이 되어가는 중이다. 최근 IDC에서 진행한 한 설문 조사에 의하면 이 두 가지 요소는 앞으로 IT 결정권자들이 서드파티 서비스 제공업체나 벤더들을 선택할 때 가장 중요하게 생각하는 사안이 될 것이라고 한다.

[보안뉴스 / 5.15.] IT 리더십 위한 핫 키워드, 데이터 주권과 규정 준수

[이미지 = utoimage]

이 두 가지 요소를 생각할 때 염두에 두어야 할 것이 하나 있는데, 바로 모든 지역에서 IT 기술과 데이터 관련 규정들이 빠르게 바뀌고 있다는 것이다. 어느 지역에서 어떤 산업을 하고 있는 조직이든 규정 생각에 머리가 아프지 않을 수 없으며, 진지하게 고민해 준수 방법을 구축해야 하는 상황이다. 예를 들어 우리 회사는 한국에 있는데 클라우드 기반 데이터센터 서비스는 미국의 것을 쓰고 있다면, 개인정보 및 민감 정보 저장 위치와 관련된 규정을 반드시 숙지해야 한다.

그렇기에 기업들은 규정을 공부하거나, 규정과 관련된 전문가를 영입하는 데에 더 많은 시간과 돈을 투자하고 있다. 얼렁뚱땅 넘어가고 벌금 좀 내면 끝나는 그런 시대가 지난 지 한참이다(물론 안 그런 지역도 있긴 있다). 이런 면에서 가장 엄격한 지역은 단연 유럽연합이라고 할 수 있다. 이곳에서는 일찍부터 GDPR이라는 엄격한 데이터 보호 규정이 도입되었기 때문에 기업들은 규정 준수와 관련된 살벌한 분위기에 익숙해져 있고, 그런 기업들만 살아남고 있다.

데이터 주권이 곧 경쟁력
그런 맥락에서 VM웨어의 CIO인 제이슨 콘야드(Jason Conyard)는 “생각보다 데이터 주권이라는 주제는 매우 시급하게 논의되어야 할 주제”라고 지적한다. “프라이버시 법이나 그와 관련된 규정들은 계속해서 변하고 계속해서 도입될 것이므로 점점 더 ‘데이터 주권’이라는 개념이 중요해질 수밖에 없습니다. 다만 국가적 차원에서가 아니라 개인적인 차원에서도 중요하게 짚고 넘어가야 할 것입니다.”

콘야드에 의하면 “자신의 데이터가 어떻게, 어떤 목적으로 사용되며, 누구와 공유되는지, 또한 어떤 방법으로 보호되는지를 알고 싶어 하는 고객들이 빠르게 늘어나고 있다”고 짚는다. “시장이 그런 방향으로 변해가기 때문에, 고객들의 그런 요구를 충족시키는 기업이 유리한 위치를 점할 수 있습니다. 소비자들에게 데이터 주권을 제공함으로써 신뢰를 얻고 수익성도 높이는 것이죠.”

IT 업체 코크로치랩스(Cockroach Labs)의 CEO 스펜서 킴볼(Spencer Kimball)은 “위험 부담을 낮추는 것이 그 어느 때보다 중요해진 게 지금”이라며 “데이터 주권이라는 개념을 도입하는 것 역시 이런 맥락에서 빼놓을 수 없는 일이 됐다”고 강조한다. “인터넷이라는 전 세계적인 연결망에 접속하지 않은 기업은 거의 없고, 그런 기업들 가운데 확장을 염두에 두지 않은 기업은 더더욱 없습니다. 그러니 데이터 주권이라는 세계적인 트렌드를 무시할 수 없습니다.”

어느 지역 어느 나라에나 데이터와 관련된 새로운 규정들이 켜켜이 예고되어 있다. 당분간 ‘규정의 시대’가 이어질 것이 너무나 뻔한 일이다. 그렇기 때문에 규정이라는 걸 사업적 요소로서 고려하지 않는다는 건 이해하기 힘든 결정일 수밖에 없다고 킴볼은 설명을 잇는다. “기존 회사 인프라에 있던 데이터를 세계적인 공공 클라우드로 옮긴다고 해서 사업 확장 준비가 완료되는 건 아닙니다. 오히려 클라우드 때문에 전 세계적인 규정들과 얽히게 되고, 그러므로 여러 지역의 데이터 관련 규정들을 어떻게 준수할지에 대한 전략을 수립해야 합니다.”

복잡한 사업 환경도 문제
현대의 기업들은 데이터를 다양한 서드파티 데이터센터와 클라우드에 저장하고, 그런 곳들로부터 데이터를 처리한다. 그러다 보니 “우리가 사용하는 인프라의 실제 물리적 위치”에 점점 더 민감해질 수밖에 없게 된다. “규정 준수에 무리가 되지 않는 위치에 인프라를 마련한 벤더사를 선정하는 게 매우 중요해졌죠.” 콘야드의 설명이다.

그래서 나타나는 재미있는 현상 중 하나는 물리적 위치에 따른 규정의 제약 때문에 강제로 ‘멀티클라우드’ 환경을 도입할 수밖에 없는 기업들이 나온다는 것이다. “예를 들어 일부 클라우드 업체들의 경우 러시아에서도 데이터센터를 마련해 고객을 유치하고 있었는데, 러시아-우크라이나 전쟁이 터지면서 상황이 매우 복잡해졌습니다. 국제 규모의 경제 제재도 적용되니, 러시아에서 사업을 한다는 것 자체가 커다란 리스크가 된 것입니다. 그래서 서비스를 중단하거나 축소하면, 러시아 기업들은 어쩔 수 없이 다른 클라우드 업체와도 계약을 맺어야 했습니다.”

사업을 운영한다는 것 자체가 원래부터 어렵고 복잡한 일이었는데 데이터 주권을 요구하는 소비자들의 움직임이 거세지고, 지정학적 갈등이 고조되면서 이전과 비교할 수 없을 만큼 힘든 일이 됐다. 그렇기 때문에 신뢰할 만하고 경쟁력이 높으며 규정 위반의 가능성이 낮은 파트너사들을 찾는 게 대단히 중요한 일이 되고 있다. “데이터 주권이라는 개념을 이해하고 있으며 철저히 이행하는 기업이 가장 경쟁력 높은 파트너사 후보가 되어가는 분위기입니다.”

가장 핵심이 되는 것 : CIO, 법무, 보안
킴볼은 “기업들이 서드파티나 파트너사를 선정할 때 규정 준수에 관한 것들을 점점 더 많이 요구하고 있다”며 “차세대 애플리케이션과 서비스를 전략적으로 구축하기 위한 발판을 마련하기 위한 아키텍처 재정립의 차원에서 규정부터 고려하고 들어가는 것”이라고 설명한다. “수년에서 수십 년을 생각하는 장기 투자라고도 볼 수 있습니다. 대부분 CIO가 결정하고 주도하는 가운데 진행됩니다. CIO는 법무 책임자와 보안 책임자의 자문을 자주 구하고요.”

콘야드는 “프라이버시 전담 팀 역시 규정 준수를 위한 아키텍처 재정립 작업에 참여해야 한다”는 의견이다. “미래에 있을 새로운 규정들을 잘 지켜가며 신기술을 유연하게 구축할 수 있는 아키텍처를 미리 구성한다는 건, 그 어떤 전문가에게도 보이지 않는 길을 걸어가는 것과 같습니다. 전부가 미지의 영역 속으로 걸어들어간다는 것이죠. 그렇기 때문에 특정 지역이나 국가의 법을 잘 이해하는 것을 넘어 프라이버시라는 개념 자체에 대한 굳건한 전문성을 가지고 있는 게 중요합니다.”

다시 킴볼은 “여러 법과 규정의 뿌리가 되는 대원칙을 알고 있는 게 중요하다”고 짚는다. “지금은 개인의 프라이버시를 보호한다는 게 가장 중요한 대원칙이죠. 어떻게 보호할 것인가를 여러 나라의 규정들은 설명하고 있는 것이고요. 프라이버시라는 개념이 어떻게 정의되며 어느 방향으로 변해가는지를 살피다 보면 규정의 변화까지도 어느 정도 예견할 수 있고, 심지어 자동으로 준수가 되기도 합니다. 그러니 모든 나라의 규정을 항목별로 검토하여 준수하는 것보다 뿌리부터 파고들어 거기서 나오는 원칙들을 사업 운영의 중요한 가이드라인으로 삼는 게 더 중요합니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>