기업은 한 편으로는 디지털 전환을 가속합니다. 그리고 다른 한쪽에서는 규제 준수를 위해 노력합니다. 관련해 가장 민감한 규제는 개인정보 보호에 대한 것입니다. 기업은 비즈니스 무대에 따라 준수해야 하는 규제의 종류와 범위가 달라집니다. 한국에서는 개인정보호법을 따라야 합니다. 유럽 연합에서는 GDPR(General Data Protection Regulation), 미국 캘리포니아주에서는 CCPA(California Consumer Privacy Act), 호주에서는 APP(Australian Privacy Principles) 가이드라인에 맞춰 개인정보를 보호해야 합니다. 이런 규제를 따르기 위해 사내 환경은 내부 보안 또는 감사팀에서 규제 가이드라인에 따라 도구, 절차, 정책을 적용해 관리합니다.
그렇다면 공용 클라우드에서는?
네, 클라우드 사업자가 기본적으로 각종 규제 대응에 적극적으로 나서야 하는 부분이 있습니다.
관련해 이번 포스팅에서 전할 소식은 구글 클라우드가 ISO/IEC 27701 인증을 획득한 내용입니다.
ISO/IEC 27701 인증 간단 소개
이 인증은 2019년 발행한 것으로 국제 개인정보 보호 프레임워크 및 법률에 부합하는 글로벌 표준입니다. ISO/IEC 27701은 조직이 PIMS(Privacy Information Management System)를 구현하고, 유지하고, 지속해서 개선하는 데 필요한 지침을 제공합니다. GDPR 등 규제 준수 관련 데이터 제어와 처리 절차에 대한 고려 사항을 참고할 수 있습니다. 더불어 이 인증은 업계 보안 모범 사례를 담고 있으며 여기에는 ISMS(Information security management system) 요구 사항에 대한 내용도 실려 있습니다.
개인정보 보호를 위한 구글의 노력
이번 구글 클라우드 ISO/IEC 27701 인증 발행은 독립적인 삼자 기관인 Coalfire에 의해 이루어졌습니다. 이번 인증서 획득은 구글 클라우드를 위한 PIMS가 ISO/IEC 27701 요구 사항을 준수한다는 것을 대내외적으로 인정받은 것입니다. 또한 인증 심사를 위해 감사를 수행하고 인증서를 발행한 기관인 Coalfire는 IAC(International Accreditation Forum)/ANAB(ANSI National Accreditation Board) 요구 사항을 따릅니다. 이에 따라 구글 클라우드가 받은 ISO/IEC 27701 인증서는 IAF MLA (Multilateral Recognition Agreement)에 따라 다른 AIF 인증 기관에서도 인정합니다.
이번 인증서 획득은 개인정보 보호에 대한 구글 클라우드의 오랜 노력의 한 예입니다. 구글은 신뢰할 수 있는 클라우드 컴퓨팅 환경을 제공해 왔습니다. 여기에 ISO/IEC 27701 인증 획득까지 더하게 된 것입니다. 이에 따라 구글 클라우드 고객은 ISO/IEC 27701에 명시된 엄격한 표준을 준수하게 되었고, 다음과 같은 혜택을 고객에게 제공할 수 있게 되었습니다.
- 신뢰할 수 있는 제삼자를 통해 구글 클라우드의 PIMS를 기반으로 개인정보 보호 활동의 견고함을 더할 수 있습니다.
- 기업의 규제 준수 활동 내용 중 하나로 ISO/IEC 27701 인증을 획득한 구글 클라우드 사용을 언급할 수 있습니다.
- 규제 준수 관련 감사에 드는 시간과 비용을 줄일 수 있습니다.
- 개인정보 보호에 대한 역할과 책임이 더욱 명확합니다. 이에 따라 기업은 스스로 챙길 부분과 클라우드가 보장하는 부분에 대한 경계를 명확히 파악해 규정 준수 활동을 더 효율적으로 수행할 수 있습니다.
참고로 각종 보안 규제 준수에 대한 구글의 활동과 노력에 대한 내용은 규제 준수 리소스 센터 페이지에서 자세히 살펴볼 수 있습니다.
