GDPR과 재택 근무 | GDPR 원격 액세스 정책

GDPR이란 무엇인가요?

일반 데이터 보호 규정(GDPR)은 개인 데이터의 수집, 처리, 저장, 전송을 위한 프레임워크를 설정하는 포괄적인 데이터 개인 데이터 보호법입니다.이 규정에서는 모든 개인 데이터는 안전한 방식으로 처리하도록 요구하며, 이러한 요건을 준수하지 않는 기업에 대한 벌금과 처벌 조항이 포함되어 있습니다.

GDPR을 준수하는 것은 모든 비즈니스의 과제가 될 수 있으며 원격 근무 인력을 사용할 경우 복잡성이 늘어납니다. 기업의 직원과 계약자 중 일부 또는 전원이 재택근무를 하는 경우 내부 데이터 보호 팀은 데이터 보안에 대한 통제력과 가시성이 떨어질 수 있습니다. 원격 액세스 보안 정책이 강력하면 GDPR로 보호되는 개인 및 기밀 데이터를 보호하는 데 도움이 될 수 있습니다.

원격 액세스 정책이란?

원격 액세스 정책은 원격 직원 및 장치에 대한 보안 표준 세트입니다.일반적으로 회사의 IT 또는 데이터 보안 팀에서 해당 정책을 설정합니다.가상 사설망(VPN) 이용, 직원 장치에 맬웨어 방지 설치, 다단계 인증(MFA)은 모두 원격 액세스를 위한 보안 정책에 포함될 수 있는 항목의 예입니다.

GDPR에서 요구하는 내용은?

GDPR은 아주 광범위한 규정입니다. GDPR에서는 무엇보다도 데이터 컨트롤러와 프로세서가 취해야 하는 몇 가지 특정 조치를 요구합니다. 그 중 일부는 다음과 같습니다.

• 기록 보관: 데이터 프로세서는 처리 활동에 대한 기록을 보관해야 합니다.
• 보안 조치: 데이터 컨트롤러 및 프로세서는 수집하고 처리하는 데이터를 보호하기 위해 적절한 보안 조치를 정기적으로 시행하고 테스트해야 합니다.
• 데이터 유출 통지: 개인 데이터 유출 문제를 해결해야 하는 데이터 컨트롤러는 일부 예외를 제외하고 72시간 이내에 해당 당국에 통지해야 합니다.일반적으로 유출로 인해 개인 데이터가 영향을 받은 개인에게도 통지해야 합니다.
• 데이터 보호 책임자(DPO): 데이터를 처리하는 회사에서는 데이터 보호 책임자(DPO)를 고용해야 할 수 있습니다.DPO는 모든 GDPR 준수 노력을 주도하고 감독합니다.

데이터 컨트롤러 및 프로세서에 대한 전체 요구 사항은 GDPR에 설명되어 있습니다.

데이터 보안이 GDPR의 주요 관심사이므로, 직원이 재택 근무할 수 있도록 허용하는 회사에서는 직원이 원격으로 액세스하는 데이터를 보호하기 위해 올바른 조치를 취하고 있는지 확인해야 합니다.

원격 인력이 있는 기업에서는 데이터 보안을 위해 무엇을 해야 할까요?

따라서 다음 단계는 원격 액세스 정책에서 매우 중요한 부분입니다(전체 목록이 아님).

전송 중인 데이터와 미사용 데이터를 모두 보호합니다.

전송 중인 데이터는 A 지점에서 B 지점으로 이동 중인 데이터를 의미합니다. 예를 들어 SaaS 애플리케이션과 사용자 장치 간에 전달되는 데이터입니다. 미사용 데이터는 사용자의 랩톱 하드 드라이브에 있는 데이터와 같이 저장된 데이터를 나타냅니다. 두 경우 모두 데이터를 보호해야 합니다.

액세스 제어 및 암호화는 데이터 보호를 위한 핵심 기술입니다.모든 직원과 마찬가지로 원격 근무 직원도 개인 데이터에 액세스하는 충분한 이유가 있어야 하며 해당 데이터에 대한 액세스를 추적하고 관리해야 합니다.ID 및 액세스 관리(IAM) 기술은 권한이 없는 사람이 데이터를 보고 변경하는 것을 방지하는 데 도움이 됩니다.

또한 인터넷을 포함한 네트워크를 통해 전달되는 데이터는 HTTPS, VPN, 기타 방법으로 암호화해야 합니다.(클라우드 기반 애플리케이션은 원격 직원에 대해 이 규칙을 복잡하게 만들 수 있습니다. 자세한 내용은 비즈니스 VPN에 대한 이 글을 참조하세요.)또한 데이터는 서버와 하드 드라이브 내에 저장하거나 "미사용" 상태일 때 암호화해야 합니다.이를 위해 IT 팀에서는 경우에 따라 직원의 개인 장치를 포함하여 모든 장치에서 암호화에 대한 보안 정책을 시행해야 합니다.

직원 엔드포인트를 보호합니다.

맬웨어 감염으로 데이터 유출이 발생할 수 있으므로 원격 직원 엔드포인트 장치(예: 랩톱, 데스크톱 컴퓨터, 스마트폰)를 사이버 공격으로부터 보호해야 합니다.장치에는 최소한 맬웨어 방지 소프트웨어가 설치되어 있어야 합니다.보안 웹 게이트웨이는 직원이 인터넷을 탐색할 때 보호하는 데도 도움이 됩니다.

그러나 맬웨어 감염보다 훨씬 더 흔한 것은 장치를 분실하는 것입니다. 중요한 데이터가 로컬에 저장되어 있는 노트북이나 스마트폰으로, 직원이 실수로 공공 장소에 방치하는 경우입니다. 이것이 장치 암호화가 그처럼 중요한 또 다른 이유입니다.

피싱 공격 및 기타 형태의 계정 탈취로부터 보호합니다.

피싱 공격은 여전히 데이터 유출의 가장 흔한 원인 중 하나입니다.피싱 공격은 공격자가 사용자를 속여 로그인 자격 증명을 포기하도록 하여 사용자의 계정을 탈취하는 것입니다.계정 탈취의 결과로 공격자가 조직에 침투하여 소비자 데이터를 보거나 유출하거나 훔칠 수 있으므로 규정 준수를 유지하려는 회사에 재앙이 될 수 있습니다.

무차별 대입 공격 및 암호 스프레이 공격도 계정 탈취로 이어질 수 있으므로 기업에서는 강력한 비밀번호 정책을 시행해야 합니다.누구도 직원의 비밀번호를 추측할 수 없어야 하며, 비밀번호는 대부분의 봇 공격을 견딜 수 있어야 합니다.가능하면 기업에서는 사용 중인 모든 기업 애플리케이션에 2단계 인증을 구현해야 합니다.

계정 탈취 공격을 방지하는 방법에 대해 자세히 알아보세요.