기업들이 반드시 알아야할 프라이버시의 아홉 가지 ‘진실’ 분석
모든 사람들이 프라이버시의 중요성을 인식하고 있다. 또한 모든 기업들이 프라이버시 정책을 보유하고 있다. 많은 기업들이 정부의 규제와 업계 표준을 준수하기 위해 최고 프라이버시 책임자(CPO: chief privacy officer)를 두기 시작했다.
그렇다면 정부기관이나 비영리 기관, 기업의 규모를 막론하고 업계 전반적으로 프라이버시 문제가 확산되고 있는 이유는 무엇일까? 프라이버시 정책과 책임자들이 전세계의 온라인, 실시간 비즈니스 환경에서 프라이버시 문제를 강력하게 추진하고 있기 때문이다. 이제는 데이터가 '화폐'로서의 가치를 가지며 네트워크 접속이 일반화 및 보편화 추세에 접어들었기 때문에 프라이버시 문제가 더욱 높은 관심의 대상이 되고 있다. 프라이버시는 기업의 문화 자체에 스며들어야 하며 고객과 협력사, 일반인들과 함께 협력해 대응해나가야 한다.
프라이버시는 결코 쉬운 문제가 아니다. 프라이버시의 침해로 인해 멀쩡하던 기업도 한 순간에 문을 닫은 사례도 있다. 여기에서는 기업들이 반드시 알아두어야 할 프라이버시의 아홉 가지 '진실'에 대해 살펴본다.
프라이버시는 정책이 아니라 전략이다
Better Business Bureau의 BBBOnLine 프라이버시 프로그램 담당 이사인 게리 라덴은 "기업에게 있어서 가장 나쁜 것은 프라이버시를 보호한다는 명분을 위해 프라이버시 정책을 수립해 발표만 하고 아무것도 하지 않는 것"이라고 밝혔다. 바로 이것이다. 기업들은 프라이버시에 대한 정책을 고객의 입장에서 정하고 실행에 옮기는 것이 중요하다.
학생들에게 있기가 높은 사회적 네트워킹 사이트인 페이스북(Facebook)은 최근 뉴스 피드(News Feed)라는 새로운 기능을 사용자들에게 제공하기 시작했다. 뉴스 피드는 페이스북 사용자들이 누군가를 친구로 추가하거나 토론 그룹에 포스팅 하는 등 자신들의 사회적 네트워크의 사람들에 대한 페이지를 변경할 경우 이를 자동으로 알려주는 것이다. CEO인 마크 주커버그는 개인의 사생활을 침해하는 빅 브라더(Big Brother)의 폐해처럼 새로운 네트워킹에 대한 기회를 높이 평가해 페이스북 사용자들에대한 보호에 전혀 대비하지 않았다. 이에 대한 사용자들의 적대감이 높아지자 주커버그는 사용자들이 개인 데이터를 제어할 수 있는 새로운 방법을 제공하면서 프라이버시를 강화하는 방향으로 사이트를 개편하게 되었다.
기업들은 프라이버시 정책에 대해 다시 한번 살펴보아야 한다. 프라이버시 정책은 기업과 고객간에 체결된 법적인 계약이기 때문에 위반 시에는 소송을 당하게 된다. AOL은 신원이 알려지지 않은 3명으로부터 AOL의 웹 포털이 지난 7월에 학계 리서치를 진행하는 과정에서 프라이버시정책을 위반했다며 소송을 당하게 되었는데, 당시 AOL은 65만 명의 대상자들에대한 정보를 인터넷에 게시한 바 있다. 이 데이터에서 사용자의 이름은 줄로 그어져있거나 ID 번호로 대체되었지만 주소나 전화 번호, 의료 기록 등에 관한 개인 데이터가 그대로 드러나있어 문제가 되었다. AOL은 이러한 문제를 발견하자마자 공식적으로 사과를 표명했으며 AOL의 대변인은 "리서치 대행 업체의 실수로 인해 고객의 데이터를 누출하게 되어 심히 유감스럽다"면서 담당 조사 연구원들을해고 조치했으며 뒤이어 최고 기술 책임자(CTO)도 사임하게 되었다.
프라이버시에 대한 사소한 침해에 연루되는 것은 고객뿐만이 아니다. 지난 10월 연방 배심원은 CollegeNET이 경쟁사인 XAP가 부당한 경쟁 행위를 했다고 제기한 소송에서 CollegeNET에 450만 달러를 배상금으로 지불하라는 판결을 내렸다. CollegeNET과 XAP는 학생들이 온라인으로 대학에 등록할 수 있도록 해주는 웹 사이트이다. CollegeNET은 XAP가 학생들의 데이터를 대출 업체에게 넘겨주면서 프라이버시 정책을 위반함으로써 시장에서 우위를 점하는 행위를 했다는 소송을 제기했다. CollegeNET은 XAP가 허가를 취득하기 위해 사용했던 옵트인(opt-in) 언어가 불명확하고 오도할 가능성이 높다고 주장했다. XAP의 사장인 리즈 디에츠는 이러한 CollegeNET의 주장에 대해 '예전의 일'이라고 밝혔지만 판사는 손해 배상의 책임이 있다는 결론을 내렸다.
프라이버시 법은 자주 바뀐다
패리 아프탭은 "캘리포니아는 프라이버시 법안을 매주 바꾸고 있다"고 반농담조로 말했다. 아프탭은 WiredSafety.org의 이사이자 프라이버시 변호사이다.
하지만 언제나 프라이버시 법안에 대한 주의를 게을리해서는 안 된다. 일부 지역의 경우 기업들이 소비자들의 개인용 데이터가 보안 침해 사건에 직면하게 되면 이를 소비자들에게 통지할 의무를 명시하고 있다. 일부 프라이버시 법안은 의회와 연방 정부 모두에서 강력히 추진되고 있는 상황이다.
현명한 기업들이라면 프라이버시 법안을 준수하는 것뿐 아니라 그 파급 효과 및 영향력이 어느 정도일지도 계산해야 한다. Nationwide Insurance의 최고 프라이버시 책임자인 커크 하레스는 1990년대부터 업계의 로비스트 역할을 담당해왔다. 그는 건강보험양도 및 책임에 관한 법안인 HIPPA의 초안 마련에 개입했으며 일부 상정 중인 법률안에도 강력한 영향력을 행사하고 있다.
지난해 10월13일, 부시 대통령은 금융 기관들이 '소비자들이 이해할만한 확실한 형태의' 프라이버시 관련 내용을 문서화하는 것을 포함한 S. 2856 법안에 사인하면서 보다 엄격한 프라이버시 법안의 제정을 예고했다.
단순히 법안을 지키는데 국한하지 말라
프라이버시에 대한 대중의 인지도가 높아지고 있음에도 불구하고 데이터가 '교만하게' 처리되는 경우가 여전히 비일비재하다. 하지만 프라이버시는 데이터의 가치를 완벽하게 활용하고 고객의 신뢰를 유지한다면 기업들이 능히 뛰어넘을 수 있는 사항이다.
하지만 이러한 시각으로 프라이버시를 바라보는 업체는 희박한 수준이다. 지난 6월, 미국 보건복지부(Department of Health and Human Services)의 한 직원은 볼티모어 호텔에서 이메일 확인을 위해 컴퓨터에 로그인했다.
그러자 그는 컴퓨터에서 보험회사인 Humana를 통해 메디케어(Medicare)에 등록한 17,000명의 이름과 개인 정보가 포함된 스프레드시트가 캐시 폴더에 삭제되지 않고 남아있는 것을 발견했다. 한 Humana 직원이 한달 전에 호텔 PC에 스프레드시트를 다운 받은 뒤 삭제하는 것을 잊은 것으로 알려졌다.
이 사건은 보훈부의 2,650만 퇴역 군인과 배우자의 개인 정보가 담긴 노트북을 데이터 관리자가 자택에서 도난 당한 뒤 한달 뒤에 발생했다. 당시 보훈부의 관리자는 집으로 업무를 가져가서 처리한 사례가 빈번했는데, 이는 보훈부의 규제를 위반한 것이었다.
이러한 사례가 시사하는 바는 무엇일까? 프라이버시 컨설팅 업체인 Corporate Privacy Group의 리차드 퍼셀은 "데이터가 외부 환경에 노출되는 빈도가 더욱 높아지고 있다"고 밝혔다. 집에서나 이동 중에 업무를 처리하는 모바일 직원들이 늘어나면서 외부에서 기업용 시스템에 접근하기가 한층 수월해졌다. 이는 고객 및 직원 정보를 포함한 데이터가 기업 외부로 이동하고 있음을 의미하는 것이다. 이동전화나 플래시 드라이브, 노트북, PDA 등 모바일 기기들이 이러한 이동을 촉진하고 있다.
이에 따라 상당수 기업들이 자사의 시스템 보안을 강화하면서 모바일 직원들을 지원하고 있는 모습이다. 매년 안전한 네트워크 구축에 수십억 달러가 투자되고 있다. 그렇다면 이렇게 엄청난 비용을 투자하고도 개인 데이터 유출 사고가 끊이지 않는 이유는 무엇일까? 퍼셀은 많은 기업들이 이미 알려진 위험을 무시하고 있으며 기밀 정보를 회사 외부에서도 접근하도록 하는데 주저함이 없다는 것에 문제가 있다고 지적한다.
여기에는 프라이버시 문제를 심각하게 받아들이지 않고 있다는 점도 크게 기여하고 있다. 퍼셀은 마이크로소프트의 최고 프라이버시 책임자였는데 당시 회사에 프라이버시가 시간이 지나면 기업들에게 오히려 도움이 된다는 것을 납득시키는 것이 가장 어려운 점이었다고 밝혔다.
기업들이 프라이버시 보호에 적극적이지 않다면 기업 이미지와 평판에 치명적이 될 수도 있다. 지난 11월, 스타벅스는 시애틀의 기업 지원 센터에서 4대의 노트북을 분실했는데, 그 중 2대에는 6만여 미국 직원들의 이름과 사회보장번호가 담겨있었다. 스타벅스측은 해당 노트북이 폐기처분을 앞두고 있는 상태였기 때문에 직원 정보가 유출될 가능성은 없다면서 스타벅스 회사 어디엔가 있을 것이라고 밝혔다. 하지만 아직까지 분실된 노트북이 어디에 있는지 찾지 못하고 있다.
모든 데이터는 중요하다
기밀(confidential)에 대한 개념이 확대되고 있다. AOL의 개인 정보 노출 등의 사례는 이제 더 이상 프라이버시를 과소평가할 수 없도록 만들고 있다. 프라이버시 표준 및 최적 실행 방안을 연구하는 비영리 단체인 TRUSTe의 프랜 마이어 이사는 고객들의 프라이버시 인식이 더욱 강화되고 있으며 개인 정보 노출을 극도로 꺼리고 있다고 밝혔다.
이러한 이유로 기업들은 자사가 수집하고 있는 기밀 데이터가 정확히 어떤 형태인지를 인지해야 하며 누구에게 접근 권한이 부여되어 있는지, 그리고 그들이 어디에 사용하고 있는지를 명확하게 파악하고 있어야 한다. 퍼셀은 "기밀 데이터는 업종에 따라 다양한 형태로 이루어져 있다"고 밝혔다.
예를 들어, 헬스 스파에서 마사지를 받기 전에 고객들에게 특정 양식을 기입해달라고 요청할 경우 해당 양식에는 고혈압의 여부나 처방전을 통해 의약품을 복용하고 있는지의 여부를 알려달라는 항목이 있을 수 있다. 하지만 이러한 정보는 모두 규제에 저촉된다는 것이 WiredSafety의 아프탭의 설명이다. 데이터를 취합하기 위해서는 먼저 "우리가 귀하의 데이터를 수집해도 괜찮습니까?"라는 질문을 먼저 해야 한다.
최근 휴렛팩커드에서 발생한 '프리텍스팅(pretexting)' 사건은 이러한 프라이버시를 대표적으로 보여주는 사례라 할 수 있다. HP의 이사회 임원이 언론사에 기밀 정보를 유출한 사건을 조사하기 위해 전화 통화 내역을 허가 없이 도청한 당시 사건은 개인 정보를 얼마나 하찮게 여기고 있는지를 단적으로 보여준 것이라 볼 수 있다.
기업들은 잠재적으로 매우 중요한 정보들이 전사적으로 어떻게 사용되고 있는지를 정확히 파악하는 것이 중요하다. 예를 들면, 일부 개발자들의 경우 애플리케이션 테스트에 고객 데이터를 사용하는 사례가 있다고 의료 보험 제공 업체인 메디카(Medica)의 정보 보안 이사인 크리스토퍼 그릴로가 전했다. 이 경우에도 기밀 데이터가 노출될 가능성이 있다. 실제 고객 데이터를 사용하는 대신에 가공의 데이터를 만들어 테스트해야 한다. 그릴로는 "기업들은 개발 환경에서와 마찬가지로 테스트 환경에서도 동일한 통제력을 발휘해야 한다"고 말했다.
적시를 위해 적합한 데이터 유지
대부분의 기업들은 고객과 파트너, 직원들에 대한 데이터를 가능한 한 많이 오랫동안 보유하길 원하고 있다. 하지만 이는 좋은 방법이 아니다.
외부로 유출될 경우, 기업 이미지 하락으로만 끝나는 것이 아니다. 고객이 생각하고 있는 것보다 훨씬 많은 정보를 요청할 경우 그러한 요청을 고객에게 물어보아야 한다. 또한 고객과의 관계에 적합한 관련 정보만을 수집해야 한다.
프라이버시 컨설팅 업체인 Ponemon Institute의 래리 포니몬 회장은 "기업들은 자사의 데이터를 세분화하는데 소극적인 태도를 보이고 있다"고 말했다. 기업들이 데이터를 분류하지 않는다면 정말 중요한 데이터를 보호할 수 있는 기회도 날려버릴 수 있는 위험을 안고 있는 셈이다.
그렇다면 얼마나 오랫동안 정보를 보유하고 있어야 할까? 런던의 리서치 업체인 TNS의 북미 프라이버시 담당자인 데이비드 스타크는 "보유 시한은 기업들이 가장 크게 고려해야 할 과제"라면서 재무 및 회계 정보 보유 기한을 규정해놓은 법률도 있다. 여러 법안을 면밀히 검토해 정보 보유 기한에 저촉되지 않는지를 자세히 조사해보아야 할 것"이라고 말했다.
데이터의 비용과 가치를 평가할 때 고려해야 할 요인으로는 보관 및 액세스 방법에 대해 정확하게 규정해놓아야 한다는 점이다. 미국 연방대법원은 사건과 관련된 전자 데이터의 목록을 판사에게 제출하도록 요구하는 법안을 승인했으며, 이 새로운 법안은 12월 1일부터 발효되었다. 법률 사회에서 통용되는 약어는 ESI로, 전자적으로 저장된 정보(electronically stored information)를 뜻한다.
국가기관에 정보를 제공할 때에도 프라이버시 정책에 따라야 한다
Nationwide의 하레스는 연방 조사 담당자들에게 데이터를 공개할 때에도 신중을 기해야 한다고 말했다. 2002년에 항공 회사인 노스웨스트(Northwest)와 젯블루(JetBlue) 등은 항공 스크린 시스템을 테스트하기 위해 미국 교통안전국인 TSA(Transportation Security Administration)와 협력했는데, TSA는 탑승객의 정보를 요청했으며 이는 고객의 승인을 받지 않은 것으로서 고객의 항의를 야기했다. 물론 TSA의 요청은 항공사의 프라이버시 정책에도 위반되는 것이었다.
그렇다면 국가 기관이 고객의 정보를 요청할 경우 어떻게 대응해야 할까? 그 해답은 공식화된 문서를 통해 처리해야 한다는 것이다. 기업들은 정부 기관이 데이터를 요청할 경우 법률적으로 강제할 수 있는 문서를 발송해달라고 말해야 한다. 그래야만 추후 발생할 수 있는 소송에 대응할 수 있게 된다.
또한 회사 내부에서도 행정 기관이나 그 밖의 정부 기관에서 특정 정보를 요구할 경우 법원 명령서 등의 공식 요청 문서가 있을 때에만 수락한다는 프라이버시 정책을 수립해두어야 한다.
아울러 기업들은 이러한 판단을 내릴 때 반드시 프라이버시 담당자들을 포함시켜야한다. 포니몬은 일부 업체들의 경우 정부 요청에 대해 프라이버시 침해 우려가 있는지를 확인하지 않고 넘겨주고 있는데 이러한 행위는 큰 문제가 될 수 있다고 경고했다.
파트너가 큰 문제가 될 수 있다
한 업계 전문가는 "괜찮은 평판을 받고 있던 기업이 한 순간에 이미지가 추락하는 경우 파트너의 잘못으로 비롯되는 사례가 많다"고 밝혔다.
지난 3월, 뉴욕 검찰총장인 엘리어트 스핏처는 '인터넷 역사상 최대 규모의 침해'라고 칭한 사건에 대한 화의를 발표했다. 이메일 마케팅 업체인 Datran Media는 Gratis Internet을 포함해 몇몇 웹 데이터 수집 업체들로부터 6백만 건의 소비자 개인 정보를 구매한데 대한 벌금으로 110만 달러를 지불하기로 합의했다. Gratis는 고객 데이터를 Datran에 판매함으로써 자사의 프라이버시 정책을 위반했으며, Datran은 이를 알고 있었다고 스핏처의 조사 결과 드러났다. 이메일 마케팅 업체가 '좋은 회사'인지의 여부는 알 수 없지만 중요한 것은 파트너가 프라이버시를 위반한데 대해 Datran이 책임을 져야 했다는 것이다.
TRUSTe의 마이어는 인터넷 비즈니스 관계는 하향식 파트너가 많아 기업들이 보다 신중하게 접근해야 한다고 말했다. 특히 온라인 광고의 경우 주의를 기울여야 한다. 웹에 광고하려는 기업들은 팝업이나 페이지 카운트, 클릭률 등 익숙치 않은 용어를 접하게 될 것이다. 그 중에서도 특히 애드웨어(adware)나 스파이웨어(spyware) 등을 조심해야 한다. 기업들은 도입 사례나 성공 사례 등을 면밀히 분석해 인터넷 파트너를 선정해야 한다.
써드 파티 제공 업체에 대한 활용도가 증가하면서 프라이버시 위반의 잠재성 역시 높아지고 있다. 많은 기업들이 아웃소싱 업체와의 계약에서 프라이버시 관련 내용을 언급하고 있지만 그보다 훨씬 강력한 '무언가가' 필요하다. 메디카의 그릴로는 아웃소싱 업체들의 보안 및 프라이버시 정책을 조사해본 결과 예상보다 매우 취약한 수준이라고 지적했다. 그는 "위험성이 높은 벤더들과의 '연합'에 대해 제고해야 할 것"이라면서, "아웃소싱 업체들의 잘못이 드러나더라도 모든 책임은 의뢰 업체가 지게 되기 때문"이라고 말했다. 실제로, Card Systems Solutions가 수백만 카드 사용자의 데이터를 유출 당했을 때 타격을 입은 곳은 마스터카드와 비자, 아메리칸 익스프레스 등이었다.
책임 소재를 밝히는 것은 고객들로부터 아무런 긍정적인 반응을 기대할 수 없다. 사전에 프라이버시를 위반할 가능성을 차단하는 것이 무엇보다 중요하다.
기술이 새로운 문제를 야기할 수 있다
프라이버시와 보안은 불가분의 관계이기 때문에 기밀 데이터를 보호하는데있어 보안 기술이 중요한 역할을 차지하고 있다. 보안이 제대로 구현되지 않으면 프라이버시를 보장할 수 없는 것이다.
애플리케이션이 고객을 보호할 수 있는지의 여부를 파악하기 위해서는 규제나 인증에 의존하지 말고 자체적으로 테스트를 해보아야 한다. 뉴욕 병원들의 컨소시엄인 Continuum Health Partners의 CTO이자 최고 정보 보안 책임자인 켄 로벤스타인은 "HIPPA를 준수하는 모든 의료 애플리케이션들이 기본적인 101 프로그래밍 요구 사항을 충족시키지 못한다면 아무 소용이 없다"면서 의료 애플리케이션을 개발하는 벤더들이 프라이버시를 충분히 감안해 적용하고 있는 것 같지는 않다고 말했다. 그는 뛰어난 보안이 내장된 애플리케이션을 사용하고 있지만 매우 큰 프로그래밍의 단점도 있다면서, "로그인 과정에서 데이터베이스에 대한 백 도어가 오픈된다"고 말했다. 로벤스타인은 결점을 악이용해 기밀 정보에 액세스하는데 사용할 수 없도록 별도의 프로그래밍 작업을 시행하고 있다고 덧붙였다.
일부 신기술들 중에서 특히 RFID는 자체적으로 프라이버시문제를 안고 있다. 상당수 소비자들이 RFID가 개인의 구매 습관 등을 추적함으로써 자신들을 감시하는 기술로 생각하고 있다. 하지만 RFID는 공급망의 효율성을 보장하면서 월마트 등 일부 유통 업체의 의무 규정이 되고 있다.
IBM의 최고 프라이버시 책임자인 해리엇 피어슨은 "RFID 기술이 실제로는 프라이버시의 위험이 거의 없을지 몰라도 소비자들은 RFID 전략을 시작할 때부터 프라이버시와 통합되어 추진하기를 원하고 있다"고 말했다.
또한 많은 기업들이 자사의 RFID의 전략을 비밀로 하고 있는데, 이는 부정적인 반응을 우려하고 있기 때문이다. 하지만 이는 잘못된 것이다. 월마트 등의 일부 업체들은 RFID를 주도적으로 추진하고 있으며 언론 매체를 통해 소비자들에게 그 효과와 도입 배경, 도입 상황에 대해 적극적으로 알리고 있다.
RFID와 관련된 프라이버시 문제는 소비자들이 RFID가 장착된 신용 카드로 물품 대금을 치루기 위해 줄을 서서 기다리거나 RFID 태그가 부착된 물품을 가지고 상점을 나가게 될 경우 RFID 칩으로부터 전송되는 데이터를 제3자가 악의적으로 도용할 경우 발생하게 된다. RFID Journal의 마크 로버티 편집장은 "RFID 기술에 문제가 있는 것이 아니라 그것을 다른 누군가가 어떻게 사용하느냐에 문제가 있는 것"이라고 말했다.
한 방법이 모든 것을 해결할 수는 없다
전세계 기업들은 국경을 초월해 데이터의 공유를 원하고 있으며 각 나라별로 다양한 프라이버시 요구 사항에 대응할 수 있는 방안을 강구하고 있다.
인텔의 프라이버시 및 보안 정책 담당 이사인 데이비드 호프먼은 2년 전에 유럽의 다양한 프라이버시 규제에 따를 수 있는 정책을 마련한 바 있다. 그는 "영국과 체코의 경우 고객 데이터를 어떻게 처리하고 있는지에 대해 매우 중요하게 여기고 있다"면서 "하지만 스페인과 프랑스는 개인 데이터베이스에 대한 상세 정보를 제공하기 위해 개별 애플리케이션을 모두 등록할 것을 요구했다"고 말했다. 호프먼은 이러한 프라이버시 의무 사항에 부응할 수 있는 프로세스 개발에 많은 시간을 투자했으며 이제 거의 마무리 단계에 접어들었다고 전했다.
각 국가마다 프라이버시 관련 규정이 다르기 때문에 한가지 방법으로 프라이버시 문제에 대응할 수는 없다. 인도의 경우 2007년 초에 보안 침해 사범에 대해 강력한 조치를 취하는 법률안을 발표할 것으로 알려졌다. 데이터 지향적인 운영을 인도로 아웃소싱하고 있는 업체들에게는 희소식이지만 보안 및 프라이버시 관련 조항이 어떻게 바뀔 지에 대해 좀더 신중하게 지켜봐야 한다.
데이터가 이동성을 강화하고 풍부해짐에 따라 프라이버시의 위험성 역시 지속될 것이다. 일부 기업들은 고객과 파트너를 보호할 수 있는 보다 강력한 프라이버시 규정을 수립하고 있다. 위기를 기회로 전환하려는 발상은 프라이버시 관련 문제에서 더욱 빛을 발하게 될 것으로 예상된다.
프라이버시 강화 기술
프라이버시를 강화하는 기술은 다양한 제품과 전략이 개입되고 있으며 진화 단계에 있다. 그 정의도 다양할 뿐더러 보안 기술과 중첩되는 부분도 많지만 IT 매니저들이라면 주의를 기울여야 하는 흥미로운 차이점도 있다.
정책 기술(Policy Tech) 개인정보보호방침과 정책을 지칭하는 P3P (Platform for Privacy Preferences)는 P3P 기능이 구현된 애플리케이션과 웹 브라우저간의 상호 작용을 자동화해주고 사용자들이 방문하고자 하는 웹 사이트의 프라이버시 정책에 대해 적절한 정보로 대화할 수 있도록 하기 위해 월드 와이드 웹 컨소시엄에 의해 개발되었다. 대부분의 웹 브라우저는P3P와 연동된다.
네트워크 모니터(Network Monitors) 기업 내부의 트래픽과 외부로 나가는 트래픽의 흐름을 감시해 데이터가 유출되거나 도용되는지의 여부를 파악한다.
ID 관리 시스템 사인온이나 비밀번호 등 진입 수단을 통해 직원들이 어떻게 상호 작용하는지를 파악해 제어하는 방법이다.
개인용 기술 익명화장치(Anonymizer)와 쿠키 커터는 PC 사용자들이 웹 사이트를 안전하게 검색하도록 해주며 방화벽과 이메일 필터, 안티 스파이웨어 등의 툴은 침입자들로부터 PC를 방어해준다. 아울러 암호화된 노트북 디스크와 플래시 스토리지는 모바일 데이터를 보호해준다.
금과옥조
기밀 데이터를 수집할 경우 고객들에게 다음과 같은 사항을 통지하거나 허락을 받아야 한다:
>> 데이터가 수집되고 있다는 내용
>> 옵트인(opt-in) 형태를 통한 고객들로부터의 허가
>> 사용 방법에 대한 통제
>> 합리적인 방법으로만 사용될 것이라는 내용
인포메이션위크
webmaster@itdaily.kr