[Daily IT News] CSAP, 데이터 클린룸

새로운 기술들이 등장하면서 그에 대한 규제나, 제도들도 생겨나고 있는 상황인데요, 새로운 것들이 생겨나게 되면 시장에서는 조금 적응하기에 시간이 필요하고 힘들어 하는게 사실입니다. 이와 관련하여 제도적으로 유연하게 운영하려는 시도는 좋아 보이는 것 같습니다. 이는 산업 활성화에도 많은 도움이 되지 않을까 하는 생각입니다.

금일(2022.12.19. 금) 신문리뷰 입니다

---

● 전자신문

구분	헤드라인	설명
(SE) CSAP	CSAP SaaS인증, '간편' 등급 대세 자리매김	서비스형 소프트웨어(SaaS) 클라우드 보안인증제도(CSAP)에 '간편' 등급을 도입한 지 3년 만에 간편 등급이 대세로 자리매김했다. 현재 발급된 SaaS 인증서 3분의 2가 간편 등급인 것으로 나타났다. 전체 66건 중 간편 등급이 44건, 표준 등급이 22건이다. 공공은 SaaS를 이용할 때 CSAP를 획득한 제품만 사용할 수 있다. 정부는 2019년 7월 기존 표준 등급 이외 심사항목을 줄인 간편 등급 제도를 도입·시행했다. 기업이 쉽고 빠르게 SaaS 인증을 받도록 하는 동시에 공공 진입 문턱을 낮춰 공공 SaaS 도입을 확산하려는 취지다. SaaS 인증은 표준과 간편 등 두 가지 등급으로 나뉜다. 표준 등급은 78개 인증 항목을 점검받는다. 간편 등급은 30개 항목만 인증받으면 된다. 간편 등급은 법령상 필수항목과 공공 부분 보안요구사항 등 반드시 지켜야 할 요소만 체크한다. 간편 등급이 표준 등급보다 인증받기 위해 걸리는 시간도 짧다. 평가에 드는 기간은 SaaS 표준 등급의 경우 17일, SaaS 간편 등급의 경우 14일이다. 사후평가와 모의침투 테스트 기간도 간편 등급은 절반 수준이다. 표준 등급은 전자결재, 인사 및 회계관리, 보안서비스 등 중요 데이터를 다루는 서비스를 대상으로 한다. 이외 모든 서비스는 간편 등급만 받으면 공공에 공급 가능하다. 올해에는 인증 서비스 26건 중 18건이 간편 등급이다. 표준 등급은 알체라, 스파이스웨어, 트리니티소프트, 모니터랩 등 주로 보안 제품이 획득했다. 올해 SaaS 인증을 받은 협업툴 기업 관계자는 “업무도구는 전자결재, 인사관리 등 심화 기능 등을 서비스할 게 아니면 꼭 표준 등급을 받을 필요가 없다”며 “시간과 비용 절감 측면에서 간편 등급으로 진행했다”고 말했다. 간편 등급이 표준 등급을 상회하며 전체 SaaS 인증 건수도 늘어나는 추세다. 2018년 SaaS 보안인증제도 시행 이후 인증을 받은 서비스는 2개에 불과했지만, SaaS 간편 등급 기준이 제정된 2019년 하반기 이후에는 인증서 발급 증가폭이 꾸준히 커졌다. 윤대균 아주대 교수는 “간편 등급을 시행한 취지에 맞게 기업의 SaaS 인증이 늘어 공공 시장에 많이 진출할 수 있게 됐다”며 “앞으로는 특정 도메인에 특화된 서비스에서 SaaS 간편등급 인증 발급 신청이 더 증가할 것”이라고 말했다. 이어 “공공 SaaS 활성화 취지로 더 바람직한 개선 방안이 더 나올 수 있을 것”이라고 덧붙였다.

 

● 보안 뉴스

구분	헤드라인	설명
(DB) 데이터 클린룸	데이터 클린룸, 프라이버스도 보호하고 데이터 분석력도 높이고	데이터와 프라이버시 보호를 위한 플랫폼 혹은 도구로서 클린룸이라는 것이 갑자기 대두되고 있다. 여러 대기업들까지 나서서 클린룸을 표방하기 시작했다. 클린룸이란 무엇이며, 소비자들은 이를 어떻게 바라봐야 할까? 얼마 전 AWS는 ‘AWS 클린룸즈(Clean Rooms)’라는 서비스를 발표했다. 사용자 기업들이 보다 쉽고 안전하게 데이터셋을 분석하게 해 주는 일종의 새 분석 서비스다. 심지어 협업을 하는 주체들 간 데이터셋들을 안전하게 합치게도 해 준다. 이 때 서로가 상대의 데이터를 들여다볼 수 없고, 데이터의 세부 내용을 확인할 수도 없다. 즉, 데이터를 활용한 각종 협업과 업무를 안전하게 진행할 수 있게 해 주는 플랫폼이라는 것이다. 아마존이라는 생태계에서는 이런 개념을 가진 서비스가 처음이지만, 아마존이 이런 개념 자체를 발명한 건 아니다. 데이터 전문가들은 오래 전부터 이러한 개념의 서비스를 알려 왔고, 이를 구현해 소비자들에게 이미 제공하는 업체들도 존재한다.  ‘클린룸’이라는 용어 자체도 이미 존재했었다. 그럼에도 아마존이라는 대형 생태계에서 이런 서비스가 드디어 시작됐다는 건, 데이터를 안전하게 공유하고 합치고 분석하는 방법론들이 점점 대세로 자리를 잡아가고 있다는 걸 보여준다. 그렇다면 클린룸이라는 것은 무엇인가? 클린룸은 누구를 위한 서비스이며, 어떻게 사용하며, 왜 인기가 높아지는 것일까? 데이터 클린룸이란? 데이터 클린룸이라는 건 물리적 개념의 공간을 의미하지는 않는다. 민감한 데이터를 안전하게 공유하는 데 필요한 각종 도구들로 구성된 가상의 공간이다. 이곳에서는 개인 식별 정보나 영업비밀, 지적재산이 안전하게 활용되거나 공유될 수 있다. 포레스터(Forrester)의 분석가인 티나 모펫(Tina Moffett)은 데이터 클린룸에 대하여 “본질적으로는 조직 내부와 외부에서 모두 활용 가능한 데이터 협업 도구”라고 설명한다. “다만 기존 협업 도구와 달리 클린룸은 프라이버시와 데이터 거버넌스에 초점이 맞춰져 있습니다.” 위에서도 언급했지만 클린룸이 새로운 개념인 건 아니다. 몇몇 산업에서는 이미 클린룸을 활용하고자 하는 시도들이 있었다. “M&A와 관련된 문건들은 매우 민감한 자료들이죠. 이를 양사가 공유할 때 데이터 클린룸들이 활용되기도 합니다. 또한 마케팅 전문가들 사이에서도 데이터 클린룸 활용 방법에 대한 고민들이 꽤나 많은 것으로 알고 있습니다. 특히 서드파티 쿠키를 사용하기 힘들어진 상황에서 클린룸이 새로운 대안이 될 수 있지 않을까 하는 고심들이 깊어지는 중입니다.” 서드파티 쿠키들을 통해 많은 기업들은 사용자의 온라인 활동 내역과 행동 패턴을 파악할 수 있었다. 아무리 다른 웹사이트를 돌아다녀도 비슷비슷한 - 심지어 매일 똑같은 - 광고들만 주구장창 보게 되는 것이 바로 이 때문이었다. 하지만 현재 웹 브라우저들은 대부분 서드파티 쿠키들을 차단하고, 구글의 경우 2024년부터 크롬에 서드파티 쿠키 차단 기능을 도입할 것이라고 발표한 바 있다. 모펫은 “서드파티 쿠키가 죄악시 되면서 온라인 마케팅과 광고 업계의 지평이 완전히 바뀌었다”고 말한다. 데이터 클린룸과 프라이버시 포레스터에 따르면 ‘데이터 클린룸’이라는 이름이 어울리려면 데이터 분석과 협업, 공유라는 기능들에 더해 보안과 프라이버시 제어와 통제를 위한 장치들도 추가되어야 한다고 한다. “그래서 기업과 고객 데이터들이 안전한 방법으로 공유되고 분석될 수 있어야 합니다. 강력한 아이덴티티와 접근 제어 기능과 데이터 암호화 등은 기본적으로 마련되어야 하고요.” 하지만 단순 데이터 보호 장치들만으로 클린룸이 완성되는 건 아니라고 포레스터는 강조한다. “프라이버시 보호를 위한 프로세스들까지도 탑재되어 있어야 합니다. 예를 들어 클린룸에 데이터를 공유하려면 반드시 데이터 정규화 프로세스를 거쳐야 합니다. 또한 데이터 클린룸에서 데이터를 가져갈 때는 비식별화 처리가 이뤄져야 하고요. 데이터 클린룸 자체의 리스크 평가도 반드시 필요한 프로세스라고 볼 수 있습니다.” 데이터 클린룸 서비스 제공 업체 중 스노우플레이크(Snowflake)라는 회사가 있다. 원래는 클라우드 데이터 웨어하우스 서비스를 제공하던 곳으로, 이미 2020년 1월부터 클린룸이라는 표현을 활용해 회사를 홍보하기 시작했다. GDPR이나 CCPA와 같은 데이터 보호 규정들을 어기지 않으면서도 데이터 분석을 이전처럼 하기 위해 클린룸 서비스가 필요하다는 메시지를 시장에 계속해서 전달해 왔다. 이곳의 광고 책임자인 빌 스트래튼(Bill Stratton)은 “데이터 웨어하우스에서 한 단계 진화해야 했고, 그러기 위해서 데이터의 안전한 공유와 분석 서비스를 제공할 수 있어야 했다”고 강조한다. “클린룸은 데이터 공유와 데이터 협업을 위한 새로운 접근법입니다. 하지만 프라이버시와 데이터 거버넌스와 같은 개념들이 협업과 공유보다 더 강조된 것이죠. 저희는 클린룸이 차세대 데이터 협업 및 분석 도구(플랫폼)가 될 거라고 보고 있습니다.” 아마존도 여기에 동의한 듯한 움직임을 최근 보여준 것이라고 볼 수 있다. 사용자 기업들은 유의해야 데이터 클린룸을 사용하고자 하는 기업들에 포레스터는 “파트너사를 정하고 계약을 하기 전에 검토할 것이 많다”고 말한다. “클린룸 서비스 제공 업체가 약속하는 것이 정말로 지켜지고 있는지, 그리고 클린룸을 도입하는 게 지금 시점에서 회사의 이윤이라는 측면에서 도움이 되는가를 면밀하게 평가해야 합니다.” 포레스터에 의하면 클린룸이라는 용어를 사용하며 회사를 홍보하는 기업은 이미 크게 증가한 상황이라고 한다. “광고, 마케팅, 테크 분야에서 이미 많은 기업들이 이 단어를 사용하기 시작했습니다. 어도비, 세일즈포스, 아마존, 월마트 등 유명 기업들이 자신들만의 클린룸 서비스를 제공한다고 하고 있죠. 이전부터 데이터 저장소나 관리, 보안과 관련된 사업을 하던 회사들 중에서도 클린룸을 시작하는 곳이 많고요. 소비자들로서는 선택지가 다양하다는 것이고, 그만큼 아무나 급히 고를 필요가 없다는 뜻입니다.” 클린룸 서비스는 출판사, 매체, 데이터 관리 회사, 광고사 등 수많은 기업들이 필요로 할 것으로 전망된다. 하지만 이건 아직 추상적인 예상일 뿐이지 실제 기업들에 어떤 가치를 생성할 것인지는 아무도 정확히 알 수 없다. “클린룸이 있다고 해서 갑자기 모든 데이터가 안전해지는 건 아닙니다. 클린룸을 활용한다고 해서 고객들이 갑자기 회사를 신뢰하게 되는 것도 아니고요. 솔직히 일반 소비자들은 아직 클린룸이 뭔지도 잘 몰라요. 신경도 안 쓰고요. 그러니 소비자와의 관계 개선을 위해 클린룸을 활용하는 건 전략적으로 좋아 보이지 않습니다.”

---

금일 주목할 기사는 데이터 클린룸 관련 기사입니다.

AWS 측에서 'AWS 데이터 클린룸즈' 라는 서비스를 내놓으면서 데이터 클린룸이라는 용어가 핫해지고 있는데요,
개인간의 데이터 뿐만아니라 기업간의 중요데이터를 공유 할 때 정규화, 비식별처리를 하면서 진행된다고 합니다. 예전부터 있었던 개념의 기술로 많은 클라우드, 데이터 제공하는 기업들에서 지원한다고 하니 눈여겨 보셨으면 합니다.