인도의 디지털 개인 데이터 보호법(DPDP) 이는 조직이 개인 데이터를 수집, 사용, 저장 및 보호하는 방식을 근본적으로 변화시킵니다. 이 법은 조직의 위치와 관계없이 인도 내 개인의 디지털 개인 데이터를 처리하는 모든 조직에 적용됩니다.
기업에게 데이터 보호 및 개인정보보호법(DPDP)은 단순한 법적 의무가 아닙니다. 이는 위험 감소, 책임성 확보, 그리고 고객 신뢰 구축과 직결됩니다. 효과적인 DPDP 준수를 위해서는 단순히 정책 문서에 그치는 것이 아니라, 실효성 있는 데이터 보호 통제 시스템을 구축해야 합니다.
DPDP 법이란 무엇인가요?
개인정보보호법(DPDP)은 디지털 형태의 개인정보 처리를 규율합니다. 이 법의 목적은 개인정보가 다음과 같은 사항을 준수하도록 보장하는 것입니다.
- 합법적으로 수집됨
- 정해진 목적에만 사용됩니다.
- 충분히 보호됨
- 통제된 방식으로 공유됨
- 감사 가능하고 책임 있는
DPDP(개인정보보호법)에 따라 조직은 모든 엔드포인트와 시스템에서 개인 데이터가 수집되고 보호되는 방식을 책임져야 합니다.
무엇이 고려되는가 개인 정보?
개인정보보호법(DPDP)에 따른 개인정보에는 다음과 같이 개인을 식별할 수 있는 모든 정보가 포함됩니다.
- Aadhaar, PAN, 유권자 ID, 여권
- 전화번호 및 이메일 주소
- 재무, 급여 및 직원 기록
- 고객 및 거래 관련 데이터
대부분의 조직에서 이러한 데이터는 주로 직원 노트북, 이메일, USB 드라이브, 공유 폴더 및 클라우드 애플리케이션과 같은 엔드포인트에 저장되고 이동합니다. 따라서 엔드포인트 수준의 제어가 매우 중요합니다.
DPDP 시행 시 조직이 주의해야 할 사항
- 적법한 처리 및 목적 제한
조직은 개인 데이터 수집 목적을 명확히 정의하고 해당 목적 이외의 용도로 사용하지 않도록 해야 합니다. 부서 간 개인 데이터에 대한 무제한 접근 또는 재사용은 오용, 과잉 수집 및 무단 공유의 위험을 증가시키며, 이는 직접적으로 규정 위반 및 데이터 유출로 이어질 수 있습니다.
- 개인정보의 무단 공유를 방지하세요
개인 정보는 이메일, 이동식 저장 매체, 개인 클라우드 저장소 또는 승인되지 않은 애플리케이션을 통해 자유롭게 공유해서는 안 됩니다. 직원의 실수로 인한 공유나 내부자의 오용은 데이터 유출의 가장 흔한 원인 중 하나이므로, 사후 대응보다는 예방적 통제가 필수적입니다.
- 합리적인 보안 조치를 시행하십시오
개인정보보호법(DPDP)은 조직이 개인정보를 보호하기 위해 "합리적인 보안 조치"를 시행하도록 요구합니다. 이는 민감한 정보의 노출, 오용 또는 손실을 방지하기 위해 단순히 서면 정책에만 의존하는 것이 아니라 기술적 집행에도 의존해야 함을 의미합니다. 정보 유출 사고 발생 시, 조직은 보호 조치가 적극적으로 시행되었음을 입증할 수 있어야 합니다.
- 침해를 탐지, 조사 및 대응합니다.
조직은 개인 데이터 유출 사고를 신속하게 감지하고 유출 원인을 조사할 수 있어야 합니다. 실시간 가시성과 상세한 로그가 없으면 사고 대응이 느리고 비효율적이 되어 규제, 재정 및 평판에 미치는 영향이 커집니다.
- 데이터 주체 권한 활성화
개인정보보호법(DPDP)은 개인에게 자신의 개인 데이터에 접근하고, 수정하고, 삭제할 권리를 부여합니다. 중앙 집중식 검색 및 추적 시스템이 없다면, 여러 엔드포인트에서 이러한 요청을 처리하는 것이 운영상 복잡해지고 오류 발생 가능성이 높아져 규정 준수 위험이 증가합니다.
엔드포인트 보호(EPP) 혼자서는 충분하지 않다
엔드포인트 보호 플랫폼(EPP)은 맬웨어, 랜섬웨어, 익스플로잇 및 무단 액세스로부터 시스템을 보호하도록 설계되었습니다. EPP는 필수적이지만, 데이터 사용 제어보다는 위협 예방에 중점을 둡니다.
EPP는 다음과 같은 상황을 방지하지 못합니다.
- 직원이 PAN 또는 Aadhaar 정보를 외부 수신자에게 이메일로 보내는 행위
- 급여 데이터를 USB 드라이브에 복사하기
- 고객 데이터를 개인 클라우드 저장소에 업로드
- 권한이 없는 사용자와 민감한 파일을 공유하는 행위
DPDP(데이터 보호 및 분산 처리)는 조직이 엔드포인트뿐만 아니라 데이터 자체를 보호하도록 요구합니다. 이러한 격차로 인해 데이터 손실 방지(DLP)가 필수적인 요구 사항이 되었습니다.
DLP가 DPDP 규정 준수에 필수적인 이유
데이터 손실 방지(DLP)는 개인 데이터가 접근, 공유 또는 전송될 때 이를 식별, 모니터링 및 제어하는 데 중점을 둡니다. DLP가 없으면 조직은 목적 제한을 시행하거나, 우발적인 데이터 유출을 방지하거나, 감사 시 규정 준수를 입증할 수 없습니다.
실질적으로 DLP 없이 DPDP를 준수하는 것은 조직을 내부자 위험, 인적 오류 및 감사 실패에 노출시킵니다.
Seqrite EPP와 DLP를 활용하여 목표 달성하는 방법 DPDP 준수
Seqrite는 엔드포인트 보호 플랫폼(EPP)과 데이터 손실 방지(DLP)를 결합하여 엔드포인트 수준에서 보안 및 규정 준수 제어 기능을 제공합니다.
- 개인 데이터를 검색하고 분류합니다.
Seqrite DLP는 사전 정의된 분류자, 정규 표현식 및 사전을 사용하여 Aadhaar, PAN, 유권자 ID, 여권, 전화번호 및 이메일 ID와 같은 인도 개인 데이터를 탐지합니다. 저장 데이터 스캔을 통해 엔드포인트 전반에 걸쳐 개인 데이터가 존재하는 위치를 파악할 수 있습니다. 이를 통해 조직은 개인 데이터 위치에 대한 가시성을 확보할 수 있으며, 이는 DPDP(개인정보 보호법) 준수를 위한 필수 요건입니다.
- 목적 기반 데이터 사용을 시행합니다.
Seqrite는 조직이 인사, 재무, 법무와 같은 비즈니스 기능에 맞춰 DLP 정책을 정의할 수 있도록 지원합니다. 엔드포인트, 애플리케이션, 파일 유형 및 데이터 채널에 따라 제어를 적용하여 개인 데이터가 의도된 목적으로만 사용되도록 보장할 수 있습니다. 이를 통해 과도한 데이터 수집을 줄이고 민감한 데이터의 무단 재사용을 방지할 수 있습니다.
- 엔드포인트에서 데이터 유출을 방지하세요
Seqrite DLP는 엔드포인트, 이메일, 이동식 저장 매체 및 네트워크 공유 전반에 걸쳐 보안을 강화합니다. 승인되지 않은 데이터 전송을 차단하거나 실시간으로 모니터링하여 우발적 또는 고의적인 데이터 유출 위험을 크게 줄입니다. 이를 통해 개인 데이터가 통제되지 않은 경로를 통해 조직 외부로 유출되는 것을 방지할 수 있습니다.
- 침해 탐지 및 감사 준비 태세 강화
Seqrite는 실시간 알림, 상세한 사고 로그, 조사 및 감사에 필요한 보고서 내보내기 기능을 제공합니다. 조직은 개인 데이터에 접근, 복사 또는 공유를 시도한 사용자를 추적하여 신속한 대응과 규정 준수 준비를 할 수 있습니다. 이는 개인정보보호법(DPDP) 위반 알림 및 책임 요건을 충족하는 데 도움이 됩니다.
- 고객 지원 데이터 주체 권리
Seqrite는 저장 데이터 스캔 및 신원 기반 검색을 통해 조직이 개인과 연결된 개인 데이터를 찾아낼 수 있도록 지원합니다. 삭제되거나 접근이 제한된 데이터는 재발생을 방지하기 위해 모니터링할 수 있으며, 이를 통해 접근 제어, 삭제 및 불만 처리 의무를 효과적으로 이행할 수 있습니다.
맺음말
개인정보보호법(DPDP) 준수는 정책만으로는 달성할 수 없으며, 개인정보에 대한 지속적인 가시성, 통제력 및 책임성이 필요합니다.
엔드포인트 보호 플랫폼(EPP)은 사이버 위협으로부터 시스템을 보호하지만, 개인 데이터에 대한 접근, 사용 또는 공유 방식을 제어하지는 않습니다. 데이터 손실 방지(DLP)는 이러한 중요한 공백을 메워, 모든 엔드포인트와 통신 채널에서 개인 데이터가 합법적이고 안전하게 처리되도록 보장합니다.
함께, 시크라이트 EPP와 DLP는 DPDP 규정 준수를 위한 강력하고 실질적인 기반을 제공하여 조직이 규제 위험을 줄이고 데이터 유출을 방지하며 고객 및 규제 기관과의 지속적인 신뢰를 구축할 수 있도록 지원합니다.
