SAP-구글, 유럽 GDPR 대응 솔루션 내놨다

퍼블릭 클라우드 내 데이터 접근 관리 모델 발표

컴퓨팅입력 :2017/11/15 14:37

[바르셀로나(스페인)=김우용 기자] SAP와 구글이 내년 시행되는 유럽 일반 개인정보보호법(GDPR) 관련 솔루션을 공동개발해 공개했다. 두 회사는 지난 5월 클라우드 제휴를 체결한 데 이어 이번에 첫 결과물을 내놨다.

SAP는 14일(현지시간) 스페인 바르셀로나에서 열린 'SAP 테크에드(TechEd) 바르셀로나 2017' 컨퍼런스에서 각국의 데이터 규제에 대한 데이터 보호 솔루션 '데이터 커스터디안(data custodian)'을 발표했다.

데이터 커스터디안은 GDPR, FDPA 등 점차 강화되는 각국의 개인정보 보호 규제를 준수하는 해법으로 제시됐다.

비요른 게르크 SAP 클라우드부문 CTO(왼쪽)와 브라이언 스티븐스 구글클라우드 CTO

GDPR은 유럽연합(EU) 회원국들간의 개인정보에 대한 거버넌스를 통일성 있게 강화하기 위해 제정됐다. 신용카드, 금융 및 의료 정보를 포함한 개인정보가 저장되거나 이전되는 위치 및 방법, 정보에 접근할 시 적용되는 정책 및 감사에 관한 철저한 관리감독을 요구한다.

2018년 5월 25일부터 시행되는 GDPR은 EU 내 사업장이 있는 기업뿐만 아니라 EU 거주 정보주체에게 재화 또는 서비스를 제공하거나 구매 습관을 추적하는 등의 행동을 모니터링하는 기업에까지 전 세계적으로 확대 적용된다.

GDPR을 위반할 경우 최대 2천만 유로(약 245억원) 또는 전 세계 연간 매출액의 4% 중 높은 금액을 과징금으로 부과받는다. GDPR은 EU 거주시민의 개인정보를 처리하는 모든 개인정보 처리자에 대하여 적용되며, IP주소 등 온라인 식별자나 위치정보도 개인정보에 포함된다.

■ GDPR, 클라우드 활용 기업들에겐 큰 과제

클라우드를 활용하려는 글로벌 기업들에게는 GDPR 같은 규제는 새로운 도전과제다. 클라우드는 지리적으로 분산된 데이터센터에 데이터를 저장하므로 GDPR 준수를 위한 새로운 대책을 요구받고 있다. 특히 구글, 아마존웹서비스, 마이크로소프트 등은 EU와 개인정보로 인해 지속적으로 마찰을 빚고 있다.

데이터 커스터디안은 구글 클라우드와 SAP 클라우드에 저장된 데이터의 접근 제어 기능을 강화한다. 퍼블릭 클라우드 상 데이터에 어디서, 누가 접근해, 어떻게 활용하는지 확인하고, 규제 준수를 위한 제반 여건을 마련해준다.

GDPR의 개인정보는 식별됐거나 식별가능한 자연인(정보주체)과 관련된 모든 정보를 의미한다. ‘식별가능한 자연인’은 직접적 또는 간접적으로 식별될 수 있는 사람을 의미한다. 특히 이름, 식별번호, 위치정보, 온라인 식별자 등의 식별자를 참조하거나, 하나 또는 그 이상의 신체적·생리적·유전적·정신적·경제적·문화적 또는 사회적 정체성에 대한 사항들을 참조해서 식별할 수 있는 사람을 뜻한다. IP 주소, 맥주소, 온라인 쿠키를 통해 개인 식별이 가능한 경우 온라인 식별자에 해당해 GDPR이 정하는 개인정보로 볼 수 있다.

데이터 커스터디안 대시보드에서 클라우드 내 데이터에 어디서 어떻게 접근하는 지 모니터할 수 있다.

GDPR은 개인정보 주요 처리원칙을 규정하고 있다. ▲적법성·공정성·투명성의 원칙 ▲목적 및 보유기간 제한원칙 ▲최소 처리원칙 ▲정확성의 원칙 ▲무결성 및 기밀성의 원칙 ▲책임성의 원칙에 따라 개인정보를 처리해야 한다. 또 강화된 정보주체의 권리를 특징으로 한다. ▲정보를 제공받을 권리 ▲정보주체의 열람권 ▲정정권 ▲삭제권(잊혀질 권리) ▲처리에 대한 제한권 ▲개인정보 이동권 ▲반대할 권리 ▲자동화된 결정 및 프로파일링 관련 권리 등을 포함한다.

기업은 GDPR 정책을 채택해 시행해야 하고, 개인정보 처리활동을 기록해야 하며, 리스크가 있는 처리 활동 전에 영향평가를 실시해야 하고, DPO(Data Protection Officer)를 지정할 의무가 있다. 개인정보 침해발생 시 기업은 침해 인지 후 72시간 이내에 감독기구에 알려야 하며 정보주체에게도 지체 없이 알려야 한다. EU 시민의 개인정보는 GDPR의 규정에 부합할 경우(적정성 결정, 구속적 기업규칙(BCR), 표준계약 조항, 인증, 행동규약 등 적절한 보호조치가 있는 경우 등)만 EU 밖으로 이전할 수 있다.

데이터 커스터디안을 활용하면 데이터 접근, 저장위치, 이동, 처리 현황 등을 지속적으로 관리할 수 있게 된다. 관리자는 클라우드 데이터 접근 승인, 지리적 위치에 따른 접근 제한, 핵심 관리 시스템 승인 및 모니터링 등의 기능을 활용할 수 있다.

■ SAP-구글, 모든 고객 데이터 관련 활동 상세한 보고서 제공

SAP와 구글은 데이터 커스터디안을 통해 모든 고객 데이터 관련 활동에 대한 상세한 보고서를 제공한다.

구글과 SAP는 지난 5월 클라우드 파트너십을 체결했다. SAP는 아마존웹서비스, 마이크로소프트 애저 등에 이어 구글 클라우드 플랫폼이란 IaaS 파트너를 추가해 사용자의 선택권을 넓혔다. 여기까진 여러 기업용 소프트웨어 회사와 퍼블릭 클라우드 업체 간의 파트너십과 크게 다를 바 없어보인다.

SAP와 구글은 데이터 규제에 대한 솔루션 공동 개발이란 좀 더 진일보한 협력을 진행했다. 데이터 커스터디안은 그 협력의 결과물이다. 구글은 유럽 내 기업들에 탄탄한 지분을 보유한 SAP와 협력해 AWS, MS 등보다 개인정보보호 규제 준수에 대한 차별점을 보유하게 됐다.

SAP와 구글의 데이터 커스터디안 솔루션은 아직 베타 단계다. 두 회사는 지속적으로 추가적인 모니터링 및 제어 기능을 개발해나갈 계획이다.

비요른 게르크 SAP 클라우드부문 최고기술책임자(CTO)는 "엔터프라이즈단에서 데이터 프라이버시란 가장 걱정하는 요소이며, GDPR의 가이드라인에 맞춘 컴프라이언스 환경에 대해 커스터디안으로 최적화할 수 있다"며 "클라우드 환경에 있어 어떤 목적으로, 어떤 데이터센터나 온프레미스에 접근하든 국제법서 정한 가이드라인을 최적화해 가장 투명하게 대처할 수 있다"고 설명했다.

SAP는 데이터 커스터디안에 더해 SAP HANA에 개인정보 비식별화(anonymization) 기능을 추가한다고 밝혔다. SAP HANA에 데이터를 저장할 때 개인정보를 자동으로 비식별화하는 기능이다.

GDPR 같은 규제에 따라 개인정보 관리로 인한 데이터 분석 제한이 우려되는 상황이다. 한국도 개인정보 비식별화 조치에 대한 갑론을박이 벌어지고 있다.

관련기사

대니얼 슈나이스 SAP HANA플랫폼 및 데이터베이스부문 수석부사장은 "클라우드 상에 올려놓은 데이터에서 개인정보를 비식별화해 법률을 준수하면서 정보를 활용할 수 있게 된다"며 "사용자는 데이터에서 개인정보를 제거하고 패턴만 분석할 수 있게 돼 더 의미있는 분석을 할 수 있게 된다"고 설명했다.

그는 "이 기능은 내년 4월 출시하는 HANA2 서비스팩(SP)3에서 제공될 예정"이라고 덧붙였다.