일반 데이터 보호 규정(GDPR)은 개인정보 보호의 환경을 대부분 더 나은 방향으로 바꾸었습니다. 하지만 유럽의 획기적인 이 정책은 온라인 소비자 정보 보호의 표준을 세웠지만, 이로 인해 데이터를 현지화하면 더 안전하게 보호할 수 있다는 모호한 생각을 기반으로 한 연쇄적인 규제 조치를 촉발하기도 했습니다.
GDPR 이전에도 일부 관할권에서는 종종 국가 안보 목적으로 현지화 조항이 포함된 데이터 보호법이 존재했습니다. 하지만 2018년에 GDPR이 시행된 이후 유엔무역개발기구의 데이터에 따르면, 최소 30개 국가에서 새로운 데이터 보호 법을 채택하거나 기존 법을 개정했으며, 이러한 국가 중 상당수는 개인 데이터를 특정 국가로 전송하는 데 제한을 두고 있습니다.
데이터 개인정보 보호는 제가 열정을 쏟고 있는 분야이며 그 어느 때보다 많은 관심을 받고 있습니다. 저는 항상 이 문제에 대해 생각하며, 규제 당국과 기업을 비롯한 다른 많은 사람들도 이 문제에 대해 생각하고 있다는 사실에 기쁩니다. 그러나 데이터를 현지화한다고 해서 더 안전하게 보호되는 것은 아닙니다. 실제로 때로는 일관성이 없고 양립할 수 없는 데이터 현지화 규칙을 준수해야 한다는 압박이 커지면서, 조직에서는 처리하는 데이터의 개인정보를 보호하는 것이 더 어려워질 수 있습니다. 또한 현지에서 생성된 데이터를 미국으로 전송했다는 이유로 아일랜드 규제 기관으로부터 12억 유로의 벌금을 부과받은 Meta의 사례에서 알 수 있듯이, 규정을 준수하지 않을 경우 막대한 비용이 발생하게 됩니다.
GDPR은 일반적으로 개인정보 보호의 가장 바람직한 표준으로 간주됩니다. 이 법안은 데이터 주체의 권리를 존중하고 다른 국가의 의원이 모방한 데이터 처리 관행을 의무화합니다. 또한 GDPR의 포괄적인 요건으로 인해 많은 기업에서는 처리하는 모든 개인 데이터에 GDPR의 표준을 적용하는 방식을 택했습니다. 그 결과, 전 세계 수십억 명의 개인 데이터는 개인의 유럽 거주 여부에 관계없이 GDPR에서 정한 수준으로 보호합니다.
하지만 GDPR에서 의도하지 않은 영향 중 하나는 지리적 위치가 개인정보 보호의 대리 지표로 부상한 것입니다. GDPR 이전에는 데이터 현지화의 사용 사례가 제한적이었습니다. 정부가 특정 데이터를 외국인으로부터 보호하기 위해 계약서에 현지화 요건을 작성하거나, 권위주의 국가에서는 정부가 개인 데이터에 대한 접근을 허용하도록 의무화한 경우도 있습니다. 하지만 GDPR에서는 국가 간 데이터 전송을 규제하는 데 초점을 맞췄습니다. 2020년 유럽 사법 재판소의 Schrems II 결정에 따라 EU와 미국 간의 프라이버시 실드가 무효화되자, 여러 규제 당국에서는 해당 법원에서 정한 기준에 따라 EU 데이터를 미국으로 전송하는 것은 허용되지 않는다는 입장을 취하게 되었습니다. 또한 일부 대형 클라우드 공급자는 미국에 기반을 두고 있으므로 이러한 결정은 전 세계 비즈니스에 큰 영향을 미쳤습니다.
데이터 현지화는 데이터를 생성한 곳과 같은 장소에서 저장하고 처리되어야 한다는 간단한 개념입니다. 한 국가의 국민 데이터가 해당 국가 내부의 서버에 있다면, 해당 국가는 그 데이터를 안전하게 보관하고 현지 법률에 따라 처리할 수 있다는 개념입니다. 하지만 실제로는 인터넷이 더 파편화되어 실제 개인정보와 안전을 확보하기가 더 어렵습니다. 데이터 현지화는 인위적인 지리적 사일로를 만들어 취약점을 식별하고 사전에 조치를 취하는 능력을 오히려 떨어뜨립니다. 예를 들어, 인도의 봇 동향에 대한 데이터를 인디애나의 사이버 보안 전문가와 공유할 수 없다면 인터넷은 모두에게 더 위험해집니다. 또한 2022년 러시아가 침공했을 때 우크라이나에서 경험했던 것처럼 , 데이터를 현지에 보관하면 국가 안보에도 위험한 영향을 미칠 수 있습니다.
이것이 바로 큰 그림의 효과입니다. 현지화 의무가 확산됨에 따라, 운영하려는 개별 조직에게는 수많은 국가, 지역, 현지 규정이 존재하여 큰 문제입니다. 성능을 희생하지 않고 이 모든 요건을 충족하는 IT 인프라를 조합하는 것은 어려운 일입니다.
보안 및 데이터 보호 솔루션을 평가할 때 적절한 질문을 한다면 어렵지만 불가능한 일은 아닙니다. 사전 규제 준수, 복원력, 가시성을 우선시하는 제품 및 벤더를 통해 고객과 사용자의 요구 사항은 물론 규제 의무도 충족할 수 있습니다.
보안 도구가 데이터 현지화 요구 사항을 충족하고 사용자가 기대하는 결과를 제공하는 데 도움이 될 수 있는지 평가할 때는 다음 3가지 주요 질문을 고려하세요.
벤더가 진정한 글로벌 입지와 사고방식을 갖추고 있나요?
여러 국가와 지역에서 이미 운영되고 규정을 준수하는 기본 소프트웨어와 하드웨어 없이 도구만으로는 데이터 위치를 제어할 수 없습니다. 또한 사용자가 있는 각 관할 지역에서는 데이터 보호 규제 준수에 대한 미묘한 차이를 세심하게 고려하는 벤더를 선택하는 것이 좋습니다.
제품을 통해 데이터가 어디서 어떻게 처리되고 있는지 볼 수 있습니까?
데이터의 위치에 대한 가시성과 데이터가 전송 또는 저장 중일 때 처리 방식에 대한 명확한 설명이 없으면 현지 데이터 처리 의무를 준수하고 있는지 확신할 수 없습니다.
벤더가 개인정보 보호와 보안을 위해 전념하고 있나요?
제품 지원 회사는 표준 단체와 정부 기관의 개인정보 관련 인증을 모두 보유하고 있어야 합니다. 또한 데이터가 어디에 있든 현지 정책과 관계없이 사용자 데이터를 암호화하여 유지한 기록이 있어야 합니다. 데이터 주체의 거주지 관할권의 데이터 보호법과 상충되는 정부 데이터 요청에 대응한 경험도 있어야 합니다.
Cloudflare에서는 데이터를 보호하는 방법이 데이터를 보호하는 장소보다 더 중요하다고 생각합니다. Cloudflare에서는 보안을 최우선으로 하여 개인정보 보호를 최우선으로 하는 글로벌 클라우드 네트워크를 구축했으며, Cloudflare의 접근 방식을 입증하는 ISO 27701, ISO 27018 인증서를 보유하고 있으며 EU-미국 데 이터 개인정보 보호 프레임워크 및 EU 클라우드 행동 강령에 따라 검증했습니다.
하지만 일부 고객은 현지화 도구가 필요하다는 것을 알고 있으므로, 데이터 상태를 중앙 집중식으로 파악하고 데이터가 사용 및 저장되는 위치를 제어할 수 있는 현지화 도구 제품군을 통해 글로벌 네트워크의 위력을 고객에게 제공했습니다.
이 글은 오늘날의 기술 의사 결정자에게 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
Emily Hancock — @emilyhancock
최고 개인정보 보호 책임자, Cloudflare
이 글을 읽고 나면 다음을 이해할 수 있습니다.
지리적 위치에 따라 데이터 개인정보 보호가 달라진 방법
데이터 현지화의 단점
보안 도구를 평가할 때 고려해야 할 3가지 주요 질문