당신의 회사 임직원들이 보안, 데이터 프라이버시, 규제 준수에 대해 얼마나 알고 있나? 미국 워싱턴주 보셀(Bothell)에 있는 미디어프로(MediaPro)의 최근 보고서에 따르면, 대부분 임직원이 잘 모르는 것 같다. 데이터 프라이버시가 점차 뜨거운 쟁점이 되고 EU(European Union)의 유럽연합일반개인정보보호법(GDPR) 시행이 코앞으로 다가오면서 직원들이 기업에서의 데이터 취급에 관해 모르는 사항 때문에 최악의 경우 폐업할 수도 있다.
그렇다고 희망이 없는 것은 아니다. 일반적으로 미국의 직원들은 민감하고 사적인 문서를 식별하는 데 능숙하며 이런 데이터를 폐기하거나 안전하게 보관해야 하는지 잘 파악한다. 하지만 프라이버시 규제(특히, GDPR 및 EU-US 프라이버시 실드(Privacy Shield))뿐 아니라 개인 생활과 직장 생활에서 민감한 데이터 취급 때문에 골머리를 썩이고 있다.
지난해 10월 보안 인식, 프라이버시 인식, 규제 준수 교육 전문업체인 미디어프로는 1,007명의 미국 거주자를 대상으로 데이터 프라이버시 우수 사례 및 규정에 관한 설문조사를 했다. 미디어프로는 참가자들에게 전국의 거의 모든 기업 사무실에서 이행할 수 있는 5가지 실제 시나리오에서 어떤 행동을 취할지 질문했다. 미디어프로는 2018 EoPR(Eye on Privacy Report)에 결과를 종합해 올해 초에 발표했다.
미디어프로의 상무 스티브 콘래드는 “이런 설문조사 결과와 최근 2017 프라이버시 및 보안 인식 실태 보고서(State of Privacy and Security Awareness Report)에서 발견된 놀랍도록 낮은 수준의 프라이버시 및 보안 인식 수준을 고려하면, 기업은 올해 이런 주제를 더욱 진지하게 받아들여야 한다”고 당부했다. 이어서 “2018 EoPR은 기업들이 민감한 데이터 취급 방법에 관해 직원들을 더욱 잘 교육할 수 있음을 보여준다. 이제는 너무 늦기 전에 데이터 프라이버시와 관련하여 불장난을 멈출 때다”고 덧붙였다.
미디어프로는 설문조사를 통해 직원들이 무엇을 잘 못 하고 있는지 그리고 최종 사용자가 직장에서 데이터 문제를 적절히 처리하는 방법을 알게 하기 위해 취해야 하는 조치를 다음과 같이 정리했다.
국내외 프라이버시 규정
여러 CIO가 고려해야 하는 영역 중 하나는 국내외 프라이버시 규정을 직원이 얼마나 알과 있느냐다.
응답자들은 미국 거주자를 보호하는 보건 정보 보안 규제인 HIPAA(Health Insurance Portability and Accountability Act)를 가장 잘 알고 있는 것으로 나타났다. 이 보고서에서 HIPAA를 전혀 모른다는 응답자는 21%였다. 34%는 기본은 알고 있었지만 스스로 전문가라고 생각하지 않았으며 18%는 “많이 안다”고 답했다. 물론, 얼마나 HIPAA에 익숙하냐는 산업별로 달랐다. 의료 산업 응답자들은 HIPAA 규정에 훨씬 더 익숙했다. 그중 54%는 HIPAA에 관해 많이 안다고 답했다.
하지만 EU가 5월 25일부터 시행하는 GDPR 등의 규정에 대해서는 상황이 너무 달랐다. 응답자 중 59%가 GDPR에 대해 전혀 모른다고 밝혔다. 24%는 해당 규정에 관해 들어 보았지만 좀 더 알아야 한다고 인정했으며 13%는 기본만 안다고 말했고 4%가 자신을 전문가라고 생각했다.
EU가 GDPR을 상당히 탄탄하게 마련했기 때문에 CIO들은 특히 주의를 기울여야 한다. 미준수 시 기업이 달성하는 글로벌 연 매출의 총 4% 또는 2,700만 달러 중 더 많은 쪽을 벌금으로 내야 한다.
미디어프로의 제품 관리자 콜린 후버는 “아직 GDPR이 시행되지 않은 상황이고 모호한 부분이 많기 때문에 사람들이 맥락을 이해하는 데 어려움을 겪고 있다”고 밝혔다. 이어서 “전체적인 접근방식이 필요하다. 준수하는 데 필요한 것이 무엇인지 대대적으로 파악해야 한다”가 강조했다.
설문조사에 참여한 임직원들은 미국과 EU의 조직 및 기업들 사이에서 대서양을 가로지르는 데이터 공유에 대한 법적 체계인 EU-US 프라이버시 실드 규정에 관해 아는 것이 훨씬 적었다. 응답자의 63%는 프라이버시 실드에 관해 전혀 모른다고 말했으며, 23%만이 기본은 알고 있다고 대답했다. 정부를 위해 일하는 응답자들은 프라이버시 실드에 관해 알고 있을 가능성이 가장 낮았다. 76%가 해당 체계에 대해 전혀 모른다고 답했다.
후버는 조직이 직원들을 위해 규정을 맥락과 관련지을 수 있는 방법을 찾아야 한다고 강조했다.
그녀는 “정책, 절차, 인식, 교육 프로그램은 최종 사용자와 관련성이 있고 직접적이어야 한다”고 설명했다. 이어서 “이런 규정을 모두가 이해할 수 있도록 설명해야 한다. 프라이버시에 관한 최고의 국제 표준에 따라 개인 정보를 적절히 처리하도록 하는 것이 그 목적이다. 많은 경우에 직원들은 그것이 무엇인지 전혀 모른다”고 전했다.
민감하고 사적인 문서
미디어프로는 응답자들에게 사무실 환경에서 일반적으로 발견되는 문서와 정보의 예를 받는 경우 소셜미디어에 게시하기, 안전한 파쇄기로 파괴하기 또는 잠긴 서랍에 보관하기 등의 3가지 조치 중 하나를 선택하도록 질문했다.
그 결과 응답자들은 정보에 따라 취할 조치에 관해 일반적인 수준으로 이해하는 것으로 나타났다. 예를 들어, 대부분 응답자는 오래된 암호 힌트 및 30년 전의 전 직원 세금 용지를 안전한 파쇄기에서 파괴하거나(각각 75% 및 74%) 잠긴 서랍에 보관(각각 22% 및 24%)해야 한다고 말했다.
후버는 “일반적으로 사람들이 무엇인가를 서랍 안에 넣고 잠그거나 안전하게 파쇄하는 것은 좋은 일이다”며 “그들이 소셜미디어에 게시하겠다고 선택한 2가지 정보는 소셜미디어에 게시할 수 있는 것들이었다”고 이야기했다.
후버는 직원들에게 맥락이 많을수록 문서와 정보를 처리하는 방법을 올바르게 판단할 가능성이 커진다고 언급했다.
후버는 “직원들이 정보의 맥락 전체를 알도록 하라”고 말했다. “민감한 문서 유형에 대해서 파악하되 해당 문서에 어떤 정보가 있고 해당 정보의 유출이 최종 사용자에 어떤 영향을 끼칠 수 있는지도 파악하도록 하라”고 그녀는 당부했다.
써드파티 애플리케이션에 대한 접근 권한 부여
써드파티 애플리케이션 권한 부여와 관련해 결과는 연령과 높은 상관관계를 보였다. 55세 이상의 응답자 중 59%는 앱 권한 요청에 ‘절대로’ 응답하지 않는다고 말했다. 35~54세 그룹의 응답자 중 52%가 ‘절대로’ 응답하지 않는다고 했다. 그리고 18~34세 응답자 중 42%가 ‘절대로’ 응답하지 않는다고 밝혔다.
전체 연령 그룹에서 응답자들은 문자 메시지를 가장 많이 보호했다. 응답자 중 68%는 ‘절대로’ 문자 메시지를 읽을 수 있는 써드파티 애플리케이션 권한을 부여하지 않는다고 말했다. 또한 응답자들은 연락처, 브라우저 이력 및 SD 카드 콘텐츠도 보호했다(각각 58%, 56% 및 56%가 읽기/수정 또는 접근할 수 있는 써드파티 앱 권한을 절대로 부여하지 않는다고 답했다).
하지만 응답자들은 다른 권한에는 훨씬 관대했다.
• 68%는 ‘가끔’ GPS 그리고/또는 네트워크 데이터를 통해 정확한 위치를 보고하는 써드파티 앱 권한을 부여한다고 말했으며 9%는 ‘항상’ 권한을 부여한다고 말했다.
• 50%는 ‘가끔’ 앱이 실행 중이지 않을 때도 기기 위치에 접근하는 권한을 부여한다고 말했으며 7%는 ‘항상’ 권한을 부여한다고 말했다.
• 48%는 ‘가끔’ 녹음 권한을 부여한다고 말했으며 7%는 ‘항상’ 권한을 부여한다고 말했다.
• 48%는 ‘가끔’ 캘린더 이벤트를 추가 또는 수정할 수 있는 권한을 부여한다고 말했으며 7%는 ‘항상’ 그런다고 말했다.
• 48%는 ‘가끔’ 사진 촬영 및 동영상 녹화 권한을 부여한다고 말했으며 7%는 ‘항상’ 그런다고 말했다.
후버는 모바일 기기가 언제나 개인 정보와 업무 정보를 모두 저장하고 있기 때문에 권한의 결과를 파악하는 것이 중요하다고 당부했다.
후버는 “연락처 등의 정보에 대한 접근 권한을 부여할 때는 교육, 우수 사례 등에서 모두 해당 기기에 무슨 일이 벌어졌을 때 일어날 일에 대한 모든 영향을 다뤄야 한다”고 이야기했다.
또한 후버는 직원의 연령별로 프로필을 작성하고 필요에 맞춰 교육을 제공하도록 제안했다.
특정 정보 유형의 민감도
민감도에 따라 8가지 정보 유형에 대해 0~5점(5점이 가장 민감함)으로 점수를 매기도록 요청했을 때 응답자들은 사회보장번호가 가장 민감하다고 생각했다. 89%가 5점을 매겼고 6%는 4점을 매겼다. 신용카드 정보도 민감했다. 76%가 5점을 매겼고 19%가 4점을 매겼다. 마찬가지로 71%가 납세 정보에 5점을 매겼고 19%가 5점을 매겼다. 응답자들은 소셜미디어 정보를 가장 덜 민감한 정보 유형으로 간주했다. 58%는 소셜미디어 게시물에 0 또는 1점을 매겼다.
응답자들은 다른 유형의 정보에 대해 훨씬 자신감이 넘쳤다.
• 응답자 53%만이 의료 기록에 5점을 매겼고 28%는 4점을 매겼다.
• 응답자 28%는 이메일에 5점을 매겼고 39%는 4점을 매겼다.
• 10%는 브라우저 이력에 5점을 매겼다.
• 31%는 4점을 매겼다.
특히, 금융 부문의 직원들은 다른 산업의 직원들보다 납세 정보를 더욱 민감하게 여기지 않는 경향이 있었다. 다른 모든 산업의 응답자 중 73%와 비교하여 금융 부문 직원은 57%가 납세 정보에 5점을 매겼다.
잠재적인 보안 사고 보고하기
미디어프로는 응답자들에게 일반적인 업무 환경에서 가능성이 높은 8가지 시나리오를 제시하고 민감하거나 사적인 정보의 취급과 관련하여 연방, 주, 지역 또는 회사 정책을 위반할 수 있는 프라이버시 사고를 보고할 수 있는지 질문했다. 설문조사에서 응답자들에게 보고할지 아니면 보고하지 않을지 아니면 무엇을 할지 잘 모르는지 질문했다.
설문조사에 응답자들은 일반적으로 어떤 시나리오에 보고가 필요한지를 올바르게 판단할 수 있었다. 예를 들어, 응답자 중 83%는 프린터 근처에 민감한 정보가 놓여 있는 경우 보고할 수 있는 사건으로 올바르게 판단했다.
놀랍게도 응답자 중 91%가 사이버범죄자가 여러 고객의 이름, 주소 및 생일을 훔친 사실을 알았을 때 보고 해야 한다고 올바르게 지적했지만 8%는 확신이 없었고 2%는 “보고하지 않는다”를 선택했다.
특히 이 조사에서 산업별로 보면, 기술산업 응답자가 이 같은 사고를 정확하게 파악하지 못하는 것 같았다. 민감한 고객 정보 도난 사실을 발견했을 때 이를 보고할만한 사고라고 말한 기술산업 응답자는 82%로 전체 응답자의 비중보다 낮았다. dl-ciokorea@foundryco.com
