Cloudflare의 theNet

개인정보 보호 우선 보안 추구하기

개인정보 보호와 보안 준수의 관계는 모 아니면 도가 아닙니다

일반적으로 보안과 개인정보 보호는 서로 상충하는 개념으로 인식되고 있습니다. 보안을 효과적으로 달성하려면 잠재적인 위협을 식별할 수 있는 능력이 필요합니다. 그러나 이는 중요한 데이터나 개인 데이터를 검사하여 프라이버시를 위협하는 결과를 초래할 수 있습니다.

실제로 데이터 개인정보 보호를 달성하는 유일한 방법은 효과적인 데이터 보안을 구현하는 것입니다. 잘 설계된 개인정보 보호 우선 보안 프로그램은 모든 조직에 상당한 이점을 제공하는 동시에 개인정보에 대한 잠재적 피해를 최소화할 수 있습니다.


보안과 개인정보 보호를 향한 오해

보안과 개인정보 보호가 상충된다는 인식은 이 두 가지 개념을 극단적으로 해석한 데서 비롯합니다. 이러한 사고방식은 중요한 데이터에 대한 잠재적인 접근은 개인정보 보호 실패에 실패한 것으로 간주되며 어떤 대가를 치르더라도 피해야 한다고 간주합니다. 그 결과, 보안 프로그램은 잠재적인 위협을 식별하고 해결하는 능력에 심각한 손상을 입게 됩니다.

예를 들면, 네트워크 트래픽 분석을 생각해 보세요. 패킷 검사는 기업 사이버 보안 프로그램에서 매우 중요한 도구입니다. 방화벽은 매우 일반적인 형태의 패킷 검사이며, 방화벽이 없는 것은 전 세계의 수많은 관할권의 법률과 규정에서 요구하는 합리적인 보안 조치를 위반하는 것으로 간주됩니다. 네트워크 패킷의 페이로드 내부를 검사하면 맬웨어 감염 시도, 데이터 유출, 계정 탈취, 기타 위협을 식별할 수 있습니다.

그러나 개인정보 보호 관점에서 패킷 검사는 패킷 검사에 개인 식별 정보나 기타 중요한 데이터가 포함될 경우 우려가 발생할 수 있습니다. 개인정보 보호를 절대적으로 중요하게 생각하는 사람의 입장에서는 패킷 검사 없이 엔드투엔드 암호화를 사용하는 것이 더 나을 수 있습니다.

표면적으로는 필요한 보안을 제공하는 것과 개인 데이터를 비공개로 유지하는 것은 양립할 수 없는 두 가지 관점처럼 보일 수 있습니다. 그러나 규제 기관도 데이터 개인정보를 보호하기 위해 합리적인 보안 조치를 제공하는 것이 중요하다는 점을 강조해 왔습니다. 보안 침해를 겪은 기업에 대한 개인정보 보호 규제 집행 조치만 봐도 이를 알 수 있습니다. 데이터 개인정보 보호 및 보안 리더들은 보안과 절대적인 개인정보 보호 관점 사이의 간극을 좁힐 수 있다고 생각하지만, 이를 위해서는 개인정보 보호와 보안에 대한 다른 관점이 필요합니다.


어떤 위험이 존재하나요?

위험 관리는 데이터 보안과 데이터 개인정보 보호 프로그램 모두의 핵심 원칙입니다. 이 두 프로그램의 목표를 통합하려면 조직의 데이터에 대한 잠재적 위험을 조사해야 합니다.

사람들의 개인 데이터를 취급하는 모든 조직에서 가장 중요한 과제는 데이터를 안전하게 보호하는 것입니다. 데이터 보안 프로그램과 관련하여 조직이 가장 우려하는 것 중 하나는 보안 솔루션이 업무의 일환으로 개인 식별 정보 및 기타 중요한 데이터에 접근할 수도 있다는 점입니다. 이러한 도구는 이메일, 네트워크 패킷 또는 파일에서 악성 콘텐츠의 징후를 탐지할 수 있습니다.

기업 및 고객 데이터에 대한 또 다른 주요 위험 요소는 사이버 범죄자가 데이터에 접근할 수 있다는 사실입니다. 예를 들어, 최신 랜섬웨어는 기업의 중요한 데이터를 훔쳐서 비용을 지불하지 않으면 유출합니다. 비용을 지불하더라도 데이터가 삭제되거나 유출되지 않는다는 보장은 없습니다.

이 두 가지 위험을 모두 피하는 것은 불가능합니다. 보안 프로그램이 효과를 발휘하려면 데이터에 접근할 수 있어야 하지만, 비효율적인 보안은 사실상 데이터 유출을 보장합니다.


개인정보 보호를 우선으로 하는 보안 방법 찾기

Cloudflare는 개인정보 보호를 염두에 두고 설계된 보안 솔루션이 강력한 보안 기능을 구현하면서 고객과 직원의 개인 데이터를 보호할 수 있다는 사실을 발견했습니다. 또한 조직에서 비용 편익 분석을 실시할 때 개인정보 보호 우선 보안 접근 방식을 취하면 상당한 잠재적 이점이 있다는 것을 인식하고 있습니다.

예를 들어 맬웨어가 조직 시스템에 도달하기 전에 차단하면 데이터 유출을 방지할 수 있습니다. 브랜드 평판과 법적 영향에 미치는 영향은 물론 2023년 평균 445만 달러에 달하는 비용을 고려하면 단 한 건의 데이터 유출 사고라도 예방하는 것은 매우 중요합니다. 따라서 업계 최고 수준의 보안 조치를 구현하는 것이 가장 중요하다는 것은 의심의 여지가 없습니다. 평판이 좋은 보안 회사는 중요한 데이터에 대한 접근을 최소화하고 관리되는 개인 데이터를 보호하는 솔루션을 제공해야 합니다.

Cloudflare의 최고 개인정보 보호 책임자로서 개인정보 보호 우선 보안 솔루션을 설계하고 구현하는 방법을 파악하는 것은 제 업무의 핵심 부분이자 CISO와 논의하는 주제이기도 합니다. 몇 년 전, 이메일 트래픽을 사전에 검사하고 보호하는 솔루션을 배포하는 것이 중요하다는 것을 인식했고, 그 결과 Cloudflare는 Area 1 고객이 되었습니다. CPO로서 처음에는 회사로 들어오는 이메일 트래픽을 스캔하는 기술을 허용하는 것에 대해 우려했습니다. 하지만 솔루션의 작동 방식과 개인정보 보호 기능을 자세히 알게 되면서 Area 1의 데이터 처리 방식이 보안 위험을 크게 완화하는 동시에 잠재적 이점을 극대화하고 개인정보 보호를 최우선으로 한다는 사실을 알게 되었습니다. 실제로 Cloudflare는 이 제품에 깊은 인상을 받아 사용했을 뿐만 아니라 회사를 인수하여 Cloudflare Zero Trust 제품군의 핵심 제품으로 만들었습니다.


개인정보 보호 우선 보안 프로그램 설계하기

개인정보 보호와 보안이 반드시 충돌할 필요는 없습니다. 개인정보 보호 우선 보안 프로그램은 보안을 구현할 때와 구현하지 않을 때 모두 관련된 위험을 평가해야 합니다. 이메일 스캐닝과 같은 보안 솔루션 구현의 이점이 위험보다 크다면(그럴 가능성이 높음) 조직은 이러한 기능을 신중하게 배포해야 합니다.

보안 도구가 데이터 보안 개인정보 보호에 적합한지 평가할 때 다음과 같은 몇 가지 주요 질문을 해야 합니다.

  • 명확한 이점이 있나요? 보안 솔루션과 관련된 개인정보 보호 위험 가능성은 데이터 유출 위험을 줄일 수 있는 경우에만 허용됩니다.

  • 개인 데이터에 최소한으로 접근하나요? 보안 솔루션은 중요한 가능성이 있는 데이터에 대한 접근 및 처리량을 최소화해야 합니다.

  • 회사가 보안을 우선순위로 두고 있나요? 회사가 과거 보안 사고를 처리하고 보안 투자의 우선순위를 결정한 방식을 확인하세요.

  • 규제 요건을 충족하나요? 회사가 ISO 27701 및 ISO 27018과 같은 EU-미국 데이터 개인정보 보호 프레임워크 인증, EU 클라우드 행동 강령 인증 등의 개인정보 보호 관련 인증을 받았는지 확인합니다. 이러한 인증은 PCI DSS, ISO 27001, SOC 2 Type II와 같은 표준 보안 인증과 함께 개인정보 보호 및 보안을 그 무엇보다도 중요하게 생각하는 벤더임을 나타냅니다.

조직에서 일반적으로 사용하는 60개 이상의 보안 도구에 대해 이러한 모든 기준을 평가하는 것은 상당히 어려울 수 있습니다. 이는 보안 통합을 시작해야 하는 또 다른 강력한 이유입니다. 다양한 기능을 갖춘 단일 벤더에 대한 심층 실사를 실시하는 것이 몇 가지 보안 제품에 대한 대략적인 평가를 실시하는 것보다 수월합니다.


Cloudflare를 통한 개인정보 보호 중심 보안

Trust Hub는 모든 주요 데이터 보호 규정의 개인정보 보호 및 보안 요구 사항을 충족하거나 능가하기 위해 개인정보 보호 우선 보안을 옹호하는 Cloudflare의 오랜 노력에 대해 자세히 설명합니다.

Cloudflare는 개인정보 보호에 중점을 두고 있으며, 강력한 보안 조치를 보장하면서 개인 데이터에 대한 접근을 최소화할 수 있도록 솔루션의 핵심에 개인정보 보호 기능을 설계했습니다. 한 가지 중요한 원동력은 Cloudflare 네트워크의 범위입니다. 전체 인터넷 사이트의 20%가 Cloudflare의 보호를 받고 있으며, 인터넷 트래픽의 상당 부분이 Cloudflare의 시스템을 통과하여 고객 최종 사용자의 개인정보를 침해하지 않는 방식으로 Cloudflare의 위협 인텔리전스에 정보를 제공합니다.

이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.


이 주제에 관해 자세히 알아보세요.

데이터 보호를 위한 Cloudflare One 솔루션 요약에서 개인정보 보호 중심 보안에 대한 Cloudflare의 접근 방식을 자세히 알아보세요.

작성자

Emily Hancock — @emilyhancock
최고 개인정보 보호 책임자, Cloudflare



핵심 사항

이 글을 읽고 나면 다음을 이해할 수 있습니다.

  • 데이터 개인정보 보호와 보안의 관계

  • 보안 투자의 개인정보 위험 측정 방법

  • 개인정보 보호 중심 보안 제품에서 고려해야 할 요소


관련 자료


가장 인기있는 인터넷 인사이트에 대한 월간 요약을 받아보세요!