데이터 개인정보 보호와 클라우드 협업에 있어서는 목표를 달성하는 데 무엇이 필요한지 파악하기 어려울 수 있습니다. 특정 국가나 지역에서 개인정보 보호로 간주되는 것이 다른 국가나 지역에서는 충분하지 않다고 여겨질 수 있습니다. 관할 지역마다 클라우드에서 데이터를 취급하는 방법에 대한 규칙이 다릅니다. 현지 컴플라이언스 요구사항을 준수할 뿐 아니라 어느 지역의 규정도 준수할 수 있는 개인정보 보호 관리 모범 사례를 구현해야 합니다. 사용자와 고객의 법적인 개인정보 보호 요구 사항을 충족할 수 있도록 데이터 개인정보 보호가 전 세계 모든 조직에 필수적인 사항이 되고 있습니다. 하지만 데이터를 안전하게 보호하는 모범 사례는 모호한 경우가 많습니다. 데이터 레지던시에 대해 걱정해야 할까요? 컴플라이언스는 어떨까요? 인증은? 가장 중요한 것은 개인정보 보호 프로그램의 목표를 이해하는 것입니다. 목표가 명확한 경우에는 적절한 질문을 던져 필요 사항을 충족하고 데이터를 보호하는 클라우드 협업 솔루션을 선택할 수 있습니다. 대부분의 조직에서는 클라우드 협업의 데이터 개인정보 보호와 관련하여 다음의 3가지 주요 사항을 고려해야 합니다. #1: 조직 데이터 거버넌스: 조직 내부와 외부에서 공유되는 정보를 제어할 수 있는가? #2: 규정 준수: 현지 또는 업계 규정을 준수하는가? #3: 제공업체에 대한 신뢰: 협업 제공업체가 데이터를 보호할 수 있음을 증명할 수 있는가?
1. 조직 데이터 거버넌스
데이터에 대한 전체적인 제어 권한을 가지고 계신가요? 보안 리더들은 가장 큰 우려 사항 중 하나로 조직 내부로부터 공유되는 정보를 제어할 수 있는지를 꼽습니다. 이들은 사용자가 협업 툴을 사용하는 동안 실수로 또는 악의적으로 민감한 정보가 유출되는 일을 방지하고자 합니다. 원활한 사용자 협업을 지원하면서도 조직의 경계와 규칙을 보호하는 것이 매우 중요합니다. 데이터 거버넌스의 측면에서 생각할 때 답해야 할 중요한 질문은 다음과 같습니다. · 누가 누구와 협업할 수 있는가? · 무엇을 공유할 수 있으며 무엇을 공유할 수 없는가? · 위반이 발생하는 경우 어떻게 되는가? · 데이터 제어권자에게 어떤 종류의 제어 권한이 주어지는가?
Webex는 정보가 잘못된 사람에게 제공되지 않도록 방지하며 전체적인 제어 권한을 제공합니다
실시간 DLP(Data Loss Prevention)를 통해, IT 관리자는 내부 또는 외부의 어떤 사용자라도 민감한 데이터에 액세스할 수 없도록 방지할 수 있습니다. 이러한 기능은 Cisco Cloudlock(파트너 에코시스템으로 확장된 기능을 통해)에서 지원됩니다. 콘텐츠가 들리거나 공유되거나 보이면 DLP(Data Loss Prevention) 시스템에서 해당 콘텐츠에 플래그를 적용합니다. Ethical Walls(윤리적 장벽) 기능은 Webex 관리자가 조직 내 다양한 부서 간 Webex 상호작용을 금지할 수 있는 또 다른 강력한 툴입니다. 하나의 부서에서는 최대 4개의 개별 그룹과 커뮤니케이션할 수 있습니다. Webex를 통해, 관리자는 서비스 프로비저닝이 해제되면 개인 정보를 삭제하는 사용자 프로파일 제어, 정보가 저장되는 기간을 지정하는 사용자 생성 콘텐츠에 대한 제어, 메타데이터 관리 기간이 기본 설정된 데이터 시스템에 대한 제어, 시스코 개인정보 보호 데이터 시트의 하위 프로세서 관리 정보를 통해 항상 조직의 개인정보 보호에 대한 제어 권한을 가지게 됩니다.
2. 규정 준수
비즈니스에 관련한 법에는 조직 내부 및 외부 커뮤니케이션에 대한 규정 요구 사항이 포함되어 있을 수 있습니다. 지역에 따라, 정부에서 데이터 개인정보 보호에 대한 보호와 조치를 요구할 수 있습니다. 더 많은 조직이 데이터 현지화 프로그램을 실행하는 데 관심을 가지고 있기 때문에 서비스 제공자가 데이터를 현지에서 유지할 수 있기를 원하고 있습니다. 시스코의 최근 데이터 개인정보 보호 벤치마크 연구 결과에 따르면, 보안 전문가의 92%가 데이터 현지화가 조직에 매우 중요하며 개인 데이터를 보호하는 데 필수적이라고 답했습니다. 데이터 현지화 목표를 달성하려면, 서비스 제공자가 해당 국가 또는 지역에서 데이터를 유지할 수 있어야 합니다. 서비스 제공자가 반드시 해당 지역에 데이터 센터를 보유하고 있어야 할 필요는 없지만, 해당 지역에서 데이터를 안전하게 저장하고 처리할 수 있어야 합니다.
Webex는 현지 및 지역 개인정보 보호 표준을 적용하기 위해 최선을 다합니다
특정한 데이터 지역성과 현지 규정 준수로 인해 고객이 현지에 데이터를 저장하도록 하기 위해 Webex의 접근법을 추진하게 되었습니다. 프랑크푸르트와 암스테르담 데이터 센터에서는 E.U. Webex 고객이 데이터를 E.U.에 저장하도록 선택할 수 있습니다. 사용자는 미팅 아티팩트, 메시지, 파일, 화이트보드를 포함한 데이터가 해당 지역 외부로 절대 유출되지 않을 것임을 안심하고 믿을 수 있습니다. 이와 마찬가지로, 캐나다의 Webex 사용자에게도 콘텐츠를 캐나다 국내에서만 유지할 수 있는 옵션이 제공됩니다. 또한 보안 및 개인정보 보호를 위한 시스코의 노력은 엄격한 침투 테스트, 서드파티 감사, 다양한 추가 미팅 및 콜링 보안, 개인정보 보호 옵션과 SOC2, CSA Star 1단계 및 2단계, ISO 27001, 27017, 27018, HIPAA 자체 평가를 비롯한 다양한 인증으로 입증되고 있습니다. Webex는 클라우드 서비스 제공자 최초로 EU 행동 강령에 따른 인증을 받았습니다. EU 클라우드 행동 강령은 클라우드 서비스 제공자에게 법적 확실성을 제공하고 데이터 보호 규칙 준수를 입증하도록 합니다.
3. 서비스 제공자에 대한 신뢰
서비스 제공자는 보통 데이터 관리자로, 조직은 데이터 제어권자입니다. 엔드 유저에게 개인정보 보호 관련 요구사항이 있는 경우, 서비스 제공자가 이러한 요구사항을 충족하기 위해 실행할 수 있는 충분한 제어 권한을 가지고 있나요? 서비스 제공자가 이에 대해 충분한 투명성을 제공하나요? 하위 프로세서는 어떤가요? 데이터가 어디로 흐르고 어디에 사용되나요? 신뢰는 제품, 원칙, 약속 등 다양한 방식으로 나타날 수 있습니다. 1. 제품: 제품에 데이터 보호, 개인정보 보호, 보안 요구사항이 통합되어야 합니다. 설계 및 개발 단계에서, 그리고 제품 라이프사이클 전체에 걸쳐 고려되어야 합니다. 시스코에서는 항상 이러한 요구사항은 나중에 추가로 적용되는 것이 아니라 기본적으로 내장되어 있어야 한다고 말합니다. 제품에는 제로 트러스트 엔드 투 엔드 보안과 같이 데이터와 고객을 보호하는 다양한 보안 프레임워크가 적용되어야 합니다.
Webex에 깊이 배어들어 있는 데이터 보호
Webex에서는 제로 트러스트 엔드 투 엔드 암호화를 비롯한 다양한 제어 기능을 통해 데이터를 보호합니다. Webex Meetings 플랫폼에서 모든 커뮤니케이션은 암호화된 채널을 통해 이루어집니다. 데이터 기밀 유지에 대한 필요성이 높은 조직은 암호화 키에 누가 액세스할 수 있는지와 누가 이를 사용하여 콘텐츠 암호를 해독할 수 있는지를 제어할 수 있도록 관리하고자 합니다. 이러한 고객은 BYOK(Bring Your Own Key) 기능을 통해 클라우드에서 간편하게 키를 설정하고 관리할 수 있습니다. 메시지, 파일, 화이트보딩을 포함한 Webex Messaging뿐 아니라 레코딩, 대화 내용, 콜링(음성 메시지)을 비롯한 Webex Meetings 콘텐츠에도 키를 사용할 수 있습니다. 2. 원칙: 오늘날 디지털 환경에서 서비스 제공자의 원칙과 가치는 업체 선정을 위한 기준이 됩니다. 현재 및 미래의 기술 발전에 따라 데이터는 투명성 또는 데이터 권리에 대한 존중과 같은 원칙에 따라 처리됩니다. 예를 들어 인공 지능이 협업에서 두각을 나타내기 시작함에 따라, 이러한 원칙이 데이터 처리에 있어 책임을 주도할 것입니다. Webex는 가장 성숙하고 포괄적인 데이터 처리 기준을 가지고 있습니다.
위협 해결의 투명성과 책임을 위해 노력하는 Webex
시스코에서는 2017년 12월부터 고객에게 데이터 처리 정보를 위한 단일 온라인 위치인 Trust Portal을 제공하고 있으며 여기에는 개인정보 보호 데이터 시트와 개인정보 보호 데이터 맵이 포함되어 있습니다. DPIA(Data Protection Impact Assessments)는 제품 개발을 반영하기 위한 정기적인 재평가를 포함한 시스코 개인정보 보호 프로그램의 필수적인 부분입니다. 누구나 사용할 수 있는 개인정보 보호 데이터 시트는 고객에게 개인정보 보호 알림의 역할을 하는 개인정보 보호 평가를 요약한 것입니다. 시스코의 Security and Trust Organization은 데이터 보안 사고 대응 프로세스를 조율하고 데이터 중심의 인시던트에 대한 기업 전체에 걸친 대응을 관리합니다. 이 그룹은 시스코 제품 및 네트워크에 관련한 보안 취약성에 대한 접수, 조사, 공개 보고를 관리합니다. 고객, 독립적인 보안 연구자, 컨설턴트, 업계 조직, 기타 벤더와 협력을 통해 시스코 제품 및 네트워크에 발생할 수 있는 보안 문제를 파악합니다. 3. 약속: 서비스 제공자는 변화하는 보안, 개인정보 보호, 컴플라이언스 요구의 당면 과제에 지속적으로 대처하고 있음을 보여주어야 합니다. 여기에는 권한, 인증, 해당 지역 또는 업계의 규정을 준수한다는 증거를 확보하는 일이 포함됩니다. 컴플라이언스란 해당 국가에 데이터 센터를 보유함으로써 데이터 현지화 요구사항을 충족할 수 있음을 입증하는 것을 의미할 수 있습니다.
Webex 개인정보 보호 및 보안은 모든 설계 측면에 통합되어 있습니다.
시스코에서는 항상 보안과 개인정보 보호를 최우선시합니다. 따라서 시스코에서는 제품 라이프사이클 전체에 걸쳐 제품 설계 및 개발 방식에 데이터 보호, 개인정보 보호, 보안 요구사항을 통합하고 시스코의 데이터와 고객의 데이터를 보호할 수 있도록 다양한 보안 프레임워크를 사용합니다. 모든 제품을 Cisco SDL(Secure Development Lifecycle)에 준하여 설계하며, 여기에는 개인정보 보호 영향 평가, 사전 예방적 침투 테스트, 위협 모델링이 포함됩니다.
결론
협업 서비스 제공자는 다양한 차원에서 신뢰에 대한 가능성을 보여주고 데이터를 이동 중 및 저장 중에, 그리고 원하는 위치에 안전하게 유지할 수 있음을 보여줄 수 있어야 합니다. Webex에서는 사전 예방적인 조치를 통해 최고 수준의 보안 및 개인정보 보호를 제공합니다. 이 프로세스는 개인정보 보호 기능을 설계 초반부터 지속적인 위협 테스트 및 인식까지 기본적으로 내장하여 구축하는 것으로 시작합니다. 앞으로 Webex에서는 모든 수준에서 데이터 보호를 지속적으로 발전해 나갈 것입니다. 자세한 내용은 Cisco Webex | Contact Sales 에서 Webex 세일즈 담당자에게 문의하세요.
About The Author
Thomas WingfieldConsultant Cisco
Tom Wingfield is a consultant to Cisco managing product marketing for Webex’s government and public sector markets.