2020년 5월 1일 금요일

ENISA의 가명처리 기법 및 활용사례 보고서 분석


 뉴딜코리아 홈페이지 


ENISA의 가명처리 기법 및 활용사례 보고서 분석


1. 개요 및 배경


□ 개요


유럽네트워크정보보호원 ENISA(European Union Agency for Cybersecurity)는 2019년 11월 발표한 보고서(Pseudonymisation Techniques and Best Practices)를 통해 가명처리(pseudonymisation)의 기본 개념과 실제 구현을 위한 기술적 솔루션에 대해 검토



o 보고서는 데이터 가명처리를 실행하기 위한 기술적 측면에 대한 지침을 제공하기 위해, 가명처리 실행에 대한 시나리오와 공격 모델을 검토한 후 가명처리의 기법과 방침을 제시

 - 데이터 보호, 데이터의 유용성, 확장성, 복원 가능성 등 가명처리 기술의 선택에 영향을 미칠 수 있는 매개변수들을 함께 고려


o 가명처리된 데이터에 대한 다양한 공격모델을 검토한 후 IP 주소와 이메일 주소의 가명처리 사례를 제시하고, 이상의 내용을 바탕으로 결론과 권고 사항을 제안



□ 배경

EU GDPR 시행 이후 개인정보보호를 위한 적절한 가명처리 적용 문제가 규제 준수와 법집행을 위한 중요한 이슈로 부각


o 가명처리는 GDPR 시행 이후 보안 및 개인정보보호 관점에서 주목받고 있으며, 데이터 컨트롤러는 적절한 가명처리를 통해 개인정보보호에 대한 법적 의무를 일정 정도 완수


o 이와 관련, ENISA는 2018년 발간된 보고서(Recommendations on shaping technology according to GDPR provisions - An overview on data pseudonymisation)를 통해, GDPR 시행에 따른 가명처리의 역할과 개념 및 주요 기술에 대해 설명한 바 있음

 - 동 보고서에서는 보안강화 수단으로서 가명처리의 개념을 강화하고(GDPR 제32조) 개인정보보호 최적화 설계(data protection by design) 수단으로서의 역할을 보강하기 위해서는 추가적인 연구와 분석이 필요하다는 점을 지적


o ENISA의 보고서에서도 강조된 바와 같이, 가명처리의 모범사례(best practices)를 제시 및 장려하고 최첨단 가명처리의 개념에 부합하는 유스케이스(use case)를 제공하기 위함



< 목차 >

1. 개요 및 배경

2. 가명처리의 필요성과 시나리오
(1) 가명처리의 필요성
(2) 가명처리 수행 상황별 시나리오

3. 주요 재식별 공격모델과 가명처리 기법 및 방침
(1) 주요 재식별 공격모델
(2) 가명처리 기법 및 방침
 
4. 활용 사례
(1) IP 주소의 가명처리
(2) 이메일 주소의 가명처리
(3) 복합적 상황에 대한 가명처리 이슈

5. 결론 및 권고 사항

6. 시사점


첨부파일 :


컨설팅 : ISMS-P, ISO27001, GDPR, PCI-DSS  
개인정보 비식별화 솔루션
070-7867-3721, ismsbok@gmail.com




댓글 없음:

댓글 쓰기