AWS와 GDPR (General Data Protection Regulation)

금번에 GDPR과 AWS에서 제공해주는 내용에 관해 공부할 기회가 있어 블로그에도 해당 내용을 정리해두고자 한다. 아래 내용은 "AWS에서 GDPR 규정 준수 탐색"이라는 백서를 기반으로 작성한 글로, 백서의 내용을 요약 + 개인적으로 궁금한 사항에 대해 정리하였다.

GDPR이란?

세계적으로 빅데이터, AI 등이 화두가 되면서 이것의 기초가 되는 정보, 특히 개인정보에 대한 보호가 점진적으로 강화되고 있는 것으로 보인다. 2018년도부터 시행된 EU의 GDPR(General Data Protection Regulation)은 일반 개인정보보호법이란 뜻으로, 이전의 EU 개인정보보호지침((Data Protection Directive 95/46/ EC)이 권고 수준에 그쳤다면 이번 GDPR은 유럽연합 전 회원국에 의무적으로 적용된다는 점에서 차이가 있다.

 

GDPR의 적용범위는 EU 거주자의 '개인정보'를 처리할 때 EU 내에 설립되었거나 EU 내 개인에게 제품이나 서비스를 제공하는 모든 조직에게 해당되며, 여기서 개인정보란 이름이나 이메일 등, 특정인을 식별할 수 있는 모든 정보라고 할 수 있다.

 

※ 위의 적용 범위를 보면 EU 내에 설립되었을 뿐 아니라 EU 내에서 사업을 하는 모든 조직에 적용이 된다. 그렇다면 "개인정보를 EU에 저장하도록 의무화하는가?" : X, GCP의 Document에 따르면 아래와 같다.

아니요. GDPR은 95/46/EC 데이터 보호 지침과 마찬가지로 개인 정보를 EU 외부로 전송하는 데 대한 특정 조건을 명시합니다. 표준 계약 조항과 같은 메커니즘을 통해 이러한 조건을 충족할 수 있습니다.

※ 데이터 보관기간도 따로 명시되어 있지 않다. 이는 컨트롤러가 데이터를 가장 잘 이해하고 활용할 수 있는 주체이기 때문이다. 그러나 "보관기간 제한의 원칙(storage limitation)"에 따라 처리 목적에 비추어 더 이상 필요하지 않은 경우, 정보주체를 식별할 수 있는 형태로 보관되어서는 안된다.

 

Controller와 Processor

GDPR에는 크게 세 개의 계층이 있다.

- Data Subjects : 개인정보를 제공하는 주체

- Controller : 개인 데이터를 처리하는 이유와 방법을 결정하는 개체 (사람, 조직 등)

- Processor : 컨트롤러를 대신하여 실제로 데이터 처리를 수행하는 엔티티

 

아래는 AWS 인프라를 사용할 경우 고객이 Controller, AWS가 Processor의 역할을 수행함을 보여준다. (공동책임 모델) 즉, 고객이 AWS 서비스를 사용하여 개인정보를 처리하거나, 개인정보를 처리하기 위해 AWS 제어 기능을 사용하는 경우 등이 Processor의 역할을 수행하는 것에 해당된다고 할 수 있다.

공동책임모델

위의 장표에서 보듯, 고객과 AWS는 각각의 역할이 있고 역할에 따른 GDPR 하에서 책임을 다할 의무가 있다. 여기서 고객의 보안 책임 부분만을 따진다면, 애플리케이션 단에서 개인을 식별할 수 없도록 무기명 화하거나 통신 구현 시 SSL Protocol을 사용하는 것, 그 외에 아래와 같은 내용들이 있을 것이다.

 

• IaaS (EC2, VPC, S3) 제품은 전적으로 고객이 제어하며 필요한 보안 구성 및 관리 작업도 고객이 수행
• AWS 계정 자격 증명을 보호해야 하며, 각 사용자가 고유한 자격증명을 보유하고 고객이 직무 분리를 구현할 수 있도록 IAM 개별 사용자 계정을 설정
• MFA, SSL/TLS, API/사용자 활동 로깅
• 기타 필요한 사항은 보안 모범 사례 백서 참조

 

GDPR의 보안 조치에 대한 구체적 제안

GDPR에서는 아래의 네 가지 항목에 대한 제안을 제공하고 있다고 한다. 아래는 AWS 백서의 내용이다.

제32조에 따라 컨트롤러 및 프로세서는
"처리가 자연인의 권리 및 자유에 미치는 위험의 다양한 가능성 및 정도와 함께 최신기술, 실행비용, 그리고 처리의성격, 범위, 상황 및 목적" 을 고려하여 "적절한 기술적 및 조직적 조치를 이행"해야 합니다.
GDPR은 다음과 같이 필요할 수 있는 보안조치에 대한 구체적인 제안을 제공합니다.
- 개인 정보의 가명 처리 및 암호화.
- 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성, 복원력을 보장할 수 있는 역량.
- 물리적 또는 기술적 사고가 발생하는 경우 개인 정보에 대한 가용성 및 열람을 시의 적절하게 복원할 수 있는 역량.
- 처리의 보안을 보장하는 기술적 및 조직적 조치의 효율성을 정기적으로 테스트 및 평가하기 위한 절차.

 

AWS 인프라와 GDPR

아래 내용은 각각의 카테고리별로 GDPR 규정을 준수하는 AWS 서비스에 대한 분류 및 간단한 설명이다.

사실 일반적인 보안 체크리스트를 준수한다면 대부분 준수하게 되는 사항으로, AWS를 사용한다면 이를 어떻게 구현할 것인가에 대한 간단한 내용이라고 할 수 있다.

(사실 다른 대부분의 CSP 업체들, 특히 Azure나 GCP도 비슷한 서비스를 통해 해당 규정을 준수할 수 있도록 서비스를 구비해놓고 있을 것으로 보인다.)

데이터 액세스 제어

컨트롤러는 "기본적으로 각 특정 처리 목적에 필요한 개인정보만 처리되도록 적절한 기술적/조직적 조치를 이행해야 한다" - GDPR 제 25조

 

1. S3/SQS/SNS 등 AWS객체에 대한 세분화된 액세스

IAM, Service Policy(Bucket, S3 Endpoint 등)을 통한 개개인에게 필요한 권한만을 부여

 

2. MFA

2Factor 인증을 통한 보안 강화

 

3. API 요청 인증

IAM을 통해 Application에서 AWS리소스에 액세스하는 자격증명을 제공

 

4. 지리적 제한

CloudFront의 지리적 제한 기능을 통해 국가 수준에서 액세스 제한을 차단할 수 있음.

 

5. STS를 통한 임시 액세스 토큰 제공

STS를 통해 AWS에 액세스할 수 있는 임시 보안 자격 증명을 제공 (동적으로 생성되어 제공)

 

모니터링 및 로깅

"각 컨트롤러 및 해당하는 경우 컨트롤러의 대리인은 책임하에 처리 활동에 대한 기록을 유지해야 한다" - GDPR은 PII(Personally Identifiable Information) 데이터의 처리를 모니터링해야 한다고 규정하고 있다.

또한, 시의적절하게 침해통지 의무에 따라 사고를 실시간 탐지해야 한다. (사고 발생 시 72시간 이내 통보 필요)

 

1. AWS Config를 사용한 자산 관리 및 구성

시간 경과에 따른 구성 및 관계 변화를 확인

 

2. AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석

AWS서비스에 대한 API 호출을 비롯한 계정에 대한 AWS API 호출 기록을 모니터링하며 이를 제어

 

3. S3 Access Logging

요청 유형, 작업 요청에 지정된 리소스, 처리된 시간/날짜와 같은 세부정보를 통해 접근 이력 로깅

 

4. 기타

VPC Flowlog, Config Rules, WAF, …

 

 

AWS에서 데이터 보호 (암호화)

" (…) 개인 정보의 가명 처리 및 암호화 (…)를 비롯하여 위험에 따라 적절한 보안 수준을 보장할 수 있는 적절한 기술적 및 관리적 조치를 이행"

 

1. AES-256을 사용한 저장 데이터 암호화 (EBS/S3/Glacier/RDS)

• S3 SSE (Server Side Encryption)
• RDS TDE (Transparent Data Encryption)
• 인스턴스 스토리지는 수동 조치 필요 (내장 라이브러리)

 

2. 중앙 집중식 관리형 키 관리 (KMS)

하드웨어 보안 모듈(HSM)을 사용하여 키를 안전하게 보호 (CloudTrail과도 통합)

 

3. VPN GW (Ipsec Tunneling)

 

4. HSM Appliance

 

결론

AWS나 Azure와 같은 클라우드 인프라를 사용한다고 모든 규제를 회피할 수 있는 것이 아니며, 위에 나열된 서비스를 적재적소에 구현하여 Controller의 의무를 준수해야 할 것이다. 또한 명확히 이렇게 해라!는 내용이 있는 것이 아니라 적용하기 애매할 수도 있는데, 이 때에는 CSP 업체의 보안 백서 등을 참조하여 구성해야 할 것으로 보인다. 또한 GDPR에서 핵심적인 내용은 이 글에 잘 정리가 되어 있어 참조하면 좋을 것으로 보인다.

 

참조

1. AWS에서 GDPR 규정 준수 탐색

 

2. KISA - GDPR 주요용어

GDPR 홈페이지

3. Google Cloud와 개인정보 보호법(GDPR)

개인정보 보호법(GDPR)  |  Google Cloud