[컴퓨터월드] 유럽의 새로운 개인 정보 보호법 GDPR이 발효됨에 따라, 유럽 지역 거주자들의 개인정보를 취급하는 기업들에게 다양한 도전과제들이 발생하고 있다. 규정 위반 시 1천만~2천만 유로 혹은 연매출의 2~4%에 해당하는 금액 중 높은 액수의 범칙금이 부과되기 때문이다.

새롭게 발효된 이번 규정에 따라 유럽연합 지역 내 고객의 개인정보를 취급하는 회사들은 막중한 책임을 더하게 됐다. 여기에는 무단 변경 및 스파이 행위, 도난으로부터 강력한 조치를 취할 것과, 보안 장애가 발생할 경우 당국에 보고할 것, 그리고 고객들이 각자의 개인 정보에 대해 충분히 광범위한 접근 권한을 가지고 수정하거나 삭제할 수 있도록 하는 것에 대한 내용이 포함되어 있다.

EU의 GDPR은 상당히 복잡한 규정들로 구성되어 있어 많은 기업들에서 혼란을 겪고 있으며, 명확한 조치를 취하기 위해서는 여러 가지의 노력이 요구되고 있다. EU에서는 규정을 준수하는데 필요한 강력하고 신속한 지침을 제공하는 대신, 기업에서 폭넓은 유연성을 바탕으로 기술 및 정책을 구현하도록 권고하고 있기 때문이다. 또한 기업에서 규정을 완벽하게 준수하고 있음을 확신할 수 있는 명확한 표준이 마련되어 있지 않다.

GDPR의 영향을 받는 기업들은 법률 발효에 맞춰 응급 대응을 하고 있지만, 실제로는 EU 내에서 비즈니스를 운영하고 있지 않은 기업들도 지역에 관계없이, EU 거주자의 개인 데이터를 수집하거나 처리한다면 모두 GDPR의 대상이 된다.

대부분의 기업이 어디에서부터 어떻게 시작해야 할지 혼란스러워 하고 있으며 IT조직은 GDPR 규정 준수 계획을 수립해야 한다는 압박을 받고 있는 상황이다. 기술 조치는 GDPR 컴플라이언스 솔루션의 일부에 불과하며, 정책과 절차 역시 중요하지만, IT 운영자들은 이러한 해결 과정의 ‘시작점’을 고민할 수밖에 없다.

새로운 기회를 제공

한편으로 이러한 혼란은 서비스 공급업체들과 IT 제품 판매자들에게 새로운 기회가 된다. GDPR 컴플라이언스에 대한 방향성을 세우고자 하는 기업들에게 종합적인 컨설팅을 비롯해서 기술 구성 요소, 설계 및 구현 방안, 직원 교육 및 기타 부가가치들을 제공할 수 있기 때문이다. 법 시행 전부터 신속하게 대비하는 ‘퍼스트무버’ 고객을 대상으로 하는 영업 기회가 사라진 이후에도, GDPR이 미치는 영향력은 오랫동안 지속될 것이다.

이미 GDPR이 발표된 지 한 달여가 지난 지금에도 많은 기업들이 시작 단계에 머물러 있는 것 역시 사실이다. 자체 조사에 따르면 영국 기업들이 GDPR에 가장 효과적으로 대응하고 있지만, 여전히 갈 길은 멀다. 마이크로소프트 릴리즈가 지원 종료되는 시점까지 서버 업그레이드가 실시되는 기간을 떠올려 보면 이해가 쉬울 것이다.

이에 백업 솔루션 제공 기업들은 글로벌 비즈니스를 하는 기존 고객 및 잠재 고객들이 짧은 시간 내에 GDPR 관련 비즈니스 과제를 해결해야 하는 상황을 해결할 수 있도록 지원하기 위해 다음과 같은 사항을 고려해야 한다.

백업 솔루션 제공 기업들은 무엇보다 기업 고객이 국경 간 데이터 이동과 데이터 침해에 대한 통보, 랜섬웨어 차단과 같은 표준 이상의 기능 등 프로세싱에 대한 보안 요건을 만족시킬 수 있는 데이터 보호 소프트웨어 및 스토리지의 도입을 지원해야 한다.

또한 고객들이 GDPR 용어, 핵심 요구 사항 및 규정 준수 과정을 이해하는 데 필요한 실용적이고 전술적인 관점의 기사 및 교육 자료를 수집하고 면밀히 살펴보고 도입 활용할 수 있도록 지원해야 한다. 뿐만 아니라 GDPR 컴플라이언스 수요를 지난 잠재 고객에게 웨비나, FAQ, 체크리스트, eDM 등의 마케팅 캠페인 자료를 제공해야 한다.

이를 바탕으로 데이터 백업 복구 솔루션을 도입하는 기업들이 기억해야 할 것은 방대한 GDPR 문건과 가이드라인에 대한 부담감을 덜어내기 위해 기업의 개인정보 보호 정책이 GDPR과 맞지 않는다면, 현황 파악을 통해 이에 맞춰 정책을 바꾸기 위한 계획을 세워야 한다는 것이다.

이를 위해서는 데이터 보관 현황 파악을 위해 데이터가 실제 어디에 위치해 있는지, 민감 정보가 정확히 어디에 있는지, 기업이 얼마나 보관하고 있는지, 어떤 방식으로 보호되고 있는지, 누가 어떤 절차로 접근하는지를 알아야 한다. 또한 프라이버시 보호 정책을 시행하고 지키는 걸 습관화 및 문화화하고, 사업에 불필요하거나 중복되는 다양한 정보들을 삭제하고, 마지막으로 핵심 정보는 안전하게 여러 장비에 안전하게 백업해 두자.