일반 데이터 보호 규정(GDPR) 센터

2020년 7월 16일, 유럽 연합 사법재판소(CJEU)는 EEA 역외 지역에 거주하는 EU 시민의 개인 데이터 전송에 관한 판결(Schrems II)을 발표했습니다. Schrems II에서 CJEU는 EU-미국 프라이버시 실드가 더 이상 EEA에서 미국으로의 개인 데이터 전송을 규제하는 유효한 메커니즘이 아니라는 판결을 내렸습니다. 그러나, 해당 판결에서, CJEU는 필요한 경우 추가 수단을 강구하는 조건으로, 회사가 EEA 역외 지역의 개인 데이터 전송에 관한 유효한 메커니즘으로 표준 계약 조항을 계속 사용할 수 있음을 확인했습니다. 유럽 데이터 보호 위원회(EDPB)는 국내 데이터 보호 기관의 대표자들로 구성된 유럽 기관으로, ‘EU에서 개인 데이터 보호 수준을 준수하기 위한 전송 도구를 보완하는 수단에 관한 권고 01/2020’(EDPB 권고)에서 추가 조치 목록(전체 목록은 아님)을 제공하고 있습니다.

EDPB 권고에서는 적용할 수 있는 추가 조치의 사례를 데이터 수출자에게 제공합니다. AWS의 데이터 전송 리소스에 대한 자세한 내용은 아래 FAQ ‘Schrems II 판결에 따라 AWS 서비스를 계속 사용할 수 있습니까?’를 참조하세요.

예. AWS 고객은 계속해서 AWS 서비스를 사용하여 고객 데이터를 유럽에서 유럽연합 집행위원회의 적정성 결정을 받지 않는 EEA 역외 국가로 전송할 수 있습니다. Schrems II 판결에서는 EEA 역외로 고객 데이터를 전송하기 위한 메커니즘으로 SCC(표준 계약 조항)의 사용을 승인했으며, AWS 고객은 GDPR에 따라 EEA 역외로 고객 데이터 전송 시 SCC를 계속해서 신뢰할 수 있습니다.

• 처리 위치. 고객은 고객 데이터가 저장되는 AWS 리전을 선택합니다. 사용 가능한 AWS 리전에 대한 개요는 리전 및 가용 영역에서 확인할 수 있습니다. AWS는 정부 기관의 구속력 있는 명령 또는 법률을 준수하기 위해 필요한 경우 또는 고객이 시작한 AWS 서비스를 제공하기 위한 목적으로 필요한 경우가 아니라면, 고객이 선택한 AWS 리전 이외 지역에서 고객 데이터를 처리하지 않습니다. AWS 서비스의 일부로 수행되는 데이터 전송에 대한 자세한 내용은 프라이버시 기능 웹 페이지를 참조하세요.
• 하위 처리자. AWS는 하위 처리자(예: AWS 자회사 또는 타사)를 이용하여 고객 데이터 처리를 지원하거나 AWS DPA에 따라 고객에 대한 의무를 이행하거나 AWS를 대신하여 서비스를 제공할 수 있습니다. 자세한 내용은 아래의 FAQ 'AWS에서는 하위 처리자를 통해 고객 데이터를 처리하나요?’를 참조하세요.
• 전송 도구. 유럽연합 집행위원회의 적정성 판정을 받지 못한 EEA 역외 국가로의 데이터 전송에 대한 메커니즘으로 SCC의 사용을 Schrems II 판결에서 승인함에 따라, 당사 고객은 GDPR에 따라 EEA 역외로 데이터를 전송하려는 경우 AWS DPA에 포함된 SCC를 계속해서 이용할 수 있습니다.
• 추가 조치.
  • 고객 제어. 고객은 고객 데이터에 대한 소유권이 있으며, 고객 데이터를 저장하는 위치를 결정하고, 전송 및 저장 중 고객 데이터를 보안하며, AWS 리소스에 대한 사용자 액세스를 관리하고 고객 데이터를 수정, 삭제 및 검색하는 데 도움이 되는 단순하면서도 강력한 도구를 통해 항상 자신의 고객 데이터를 제어합니다.
  • 기술적 조치 및 조직적 조치. AWS는 고객 데이터에 대한 무단 액세스나 공개를 차단하도록 설계된 정교한 기술적 및 물리적 제어와 프로세스를 구현합니다(자세한 내용은 AWS 규정 준수 웹 페이지 참조). 또한, 고객이 전송 및 저장 중 고객 데이터를 모두 보호하는 데 사용할 수 있는 여러 가지 고급 암호화 및 키 관리 서비스(고객이 자신의 키를 관리할 수 있는 서비스 포함)도 제공합니다. 이때 암호화된 고객 데이터는 적절한 암호 해독 키가 없으면 액세스할 수 없도록 렌더링됩니다. 고객 데이터의 암호화 여부에 상관없이, AWS는 항상 무단 액세스로부터 고객 데이터를 보호하기 위한 경계를 늦추지 않습니다.
  • 법률 집행 요청. AWS는 법 징행 기관으로부터 받은 요청을 처리하기 위한 내부 프로세스를 갖추고 있습니다. 법 집행 기관으로부터 고객 데이터에 대한 요청을 받는 경우, 해당 정보의 정확성을 세밀히 검토하여 적절성 여부와 관련 모든 법률에 저촉되는 부분이 없는지 검증하고 있습니다. 법적으로 금지되는 경우를 제외하고, AWS는 고객 데이터를 공개하기 전에 고객이 정보 공개 시 보호 조치를 강구할 수 있도록 추가 조치를 취할 수 있게 이 사실을 고객에게 알립니다. AWS DPA에 대한 추가 부록(추가 부록)에서 AWS는 다음을 약속하는 것을 포함하여 고객 데이터에 대한 정부 요청 처리와 관련해 계약상의 조치를 강화했습니다. (i) 고객 데이터를 요청하는 정부 기관을 관련 고객에게 연결해주기 위한 모든 합리적인 노력, (ii) 법적으로 해당 데이터 요청이 허용되는 경우 즉각적으로 고객에게 알림(필요한 경우 금지 조치의 면제를 받기 위한 모든 합리적인 법적 노력 포함), (iii) EU 법률과 요청이 충돌되는 경우를 포함하여 해외 또는 부적절한 요청에 대한 이의 제기, (iv) 위에서 설명한 단계를 이행한 후에도 AWS가 정부 요청에 대한 응답으로 고객 데이터를 강제적으로 공개해야 하는 경우 요청을 이행하는 데 필요한 최소한의 고객 데이터만 공개.
  • 계약 조치. AWS는 AWS DPA 및 추가 부록에 반영된, 위에서 설명한 조치에 대한 여러 계약 조치를 제공합니다. AWS DPA 및 추가 부록은 다음에 관한 AWS의 계약 조치를 포함합니다. (1) 고객 데이터를 저장하고 처리하는 AWS 리전을 고객이 선택함, (2) 고객이 자신의 고객 데이터를 보호하기 위해 적용하도록 선택할 수 있는 기술적, 조직적 조치와 AWS 인프라를 보호하기 위해 AWS가 구현한 기술적, 조직적 조치, (3) 정부 기관으로부터 데이터 공개 요청이 발생한 경우 고객 데이터를 보호하고 고객에게 이를 알리기 위한 AWS의 조치, (4) 고객 데이터를 처리하는 제3의 국가에서 해당되는 법률에 따라 AWS DPA에 규정된 의무를 이행하기 위한 AWS의 역량. 또한, 추가 부록에서는 (5) GDPR에서 부여한 권리 위반 시 보상을 청구할 개인의 법적 권리도 설명합니다.

예, AWS는 다음과 같은 세 가지 유형의 하위 처리자를 이용할 수 있습니다. (1) AWS 서비스가 실행되는 인프라를 제공하는 AWS 법인, (2) 고객 데이터를 처리할 것이 요구되는 특정 AWS 서비스를 지원하는 AWS 법인, (3) 특정 AWS 서비스에 대한 처리 활동을 제공하기 위해 AWS가 계약한 타사. AWS 하위 처리자 웹 페이지에 고객을 대신하여 고객 데이터에 대한 처리 활동을 제공하기 위해 AWS DPA에 따라 AWS가 고용하는 하위 처리자에 대한 추가 정보가 나와 있습니다. 개별 고객과 관련된 하위 처리자는 고객이 선택한 AWS 리전 및 고객이 사용하는 특정 AWS 서비스에 따라 달라집니다.

AWS 백서 Navigating Compliance with EU Data Transfer Requirements에는 Schrems II 결정과 그 이후의 European Data Protection Board 권고 사항에 대해 데이터 전송 평가를 실시하는 데 도움이 될 만한 서비스와 리소스 정보가 나와 있습니다. 이 백서에서는 AWS에서 고객 데이터 보호를 위해 실천하고 제공하는 주요 보완 조치에 대해서도 설명합니다.

AWS에서는 다양한 보안 표준과 규정을 준수하는 것으로 확인된 서드 파티 감사의 여러 규정 준수 보고서를 비롯한 유용한 정보를 고객에게 제공하여 AWS가 인프라에 대해 높은 수준의 규정 준수를 유지하고 있음을 입증합니다. 이러한 보고서는 고객이 AWS에서 처리하도록 선택한 고객 데이터를 AWS가 보호하고 있음을 보여줍니다. AWS의 ISO 27001, 27017, 27018 준수를 그 예로 들 수 있습니다. ISO 27018은 고객 데이터 보호에 초점을 맞춘 보안 제어 항목을 포함합니다.

AWS는 데이터 보호를 위한 CISPE 행동 강령도 준수합니다. CISPE 행동 강령에 대한 자세한 내용은 아래 FAQ의 'AWS는 클라우드 인프라 서비스에 해당하는 GDPR 승인 행동 강령을 준수하나요?'에서 확인할 수 있습니다.

예. 2023년 6월 현재, 107개의 AWS 서비스가 유럽의 클라우드 인프라 서비스 제공업체(CISPE) 데이터 보호 행동 강령을 준수하고 있습니다. CISPE는 수백만 유럽 고객에게 서비스를 제공하는 클라우드 컴퓨팅 리더 연합입니다. CISPE 데이터 보호 행동 강령(CISPE 강령)은 클라우드 인프라 서비스 제공업체에 중점을 둔 최초의 범유럽 데이터 보호 행동 강령입니다. CISPE 강령은 유럽 데이터 보호 위원회의 승인을 받아 유럽 27개의 데이터 보호 기관을 대신하는 역할을 하며, 프랑스 데이터 보호 기관(CNIL)이 공식적으로 채택하여 선도 감독 기관의 역할을 하고 있습니다. 2017년, AWS는 이전 버전의 CISPE 강령 준수를 발표했습니다.

CISPE 강령은 고객들이 자사의 클라우드 인프라 서비스 제공업체가 GDPR에 대한 규정 준수를 입증하고 고객 데이터를 보호하기 위해 적절한 운영 보증을 제공하는지 확인하는 데 도움이 됩니다. CISPE 강령의 몇 가지 주요 이점은 다음과 같습니다.

• 클라우드 인프라 중심: 고객 데이터, 즉, 클라우드 인프라 서비스를 사용하는 고객을 대신해 처리되는 모든 개인 데이터의 처리와 관련하여 GDPR에 따른 클라우드 인프라 서비스 제공업체의 역할을 명확히 설명합니다.
• 유럽 내의 데이터: 클라우드 인프라 서비스 제공업체에게 유럽 경제 지역(EEA) 내에서만 고객 데이터를 저장하고 처리하는 서비스를 사용할 수 있는 선택권을 고객에게 부여할 것을 규정합니다.
• 데이터 프라이버시: CISPE 강령은 조직의 클라우드 인프라 서비스 제공업체가 GDPR에 따라 조직을 대신하여 처리하는 개인정보(고객 데이터)에 적용되는 요구 사항을 충족하도록 보장합니다.

AWS 규정 준수 상태를 보여주는 규정 준수 인증서는 CISPE Public Register에서 확인할 수 있습니다. 등재된 AWS 서비스는 CISPE 강령을 준수하는 것으로 각각 검증되었습니다. 검증 프로세스는 세계적으로 인정받는 독립적인 모니터링 기관이자 CNIL에서 공인한 Ernst & Young CertifyPoint(EY CertifyPoint)에서 수행되었습니다.

GDPR로 AWS 공동 책임 모델이 바뀌는 것은 아니며 계속해서 고객과 관련이 있습니다. 공동 책임 모델은 GDPR에서 서로 다른 AWS의 책임(데이터 처리자 또는 하위 처리자 역할)과 고객의 책임(데이터 통제자 또는 데이터 처리자 역할)을 설명하기에 유용한 접근 방식입니다.

공동 책임 모델에 따라 AWS는 AWS 서비스를 지원하는 기본 인프라를 보호할 책임(‘클라우드 ’자체’의 보안’)이 있고, 데이터 컨트롤러 또는 데이터 프로세서의 역할을 하는 고객은 AWS 서비스에 업로드하는 모든 개인 데이터에 대한 책임(‘클라우드 ‘내부’의 보안’)이 있습니다.

AWS 책임 ‘클라우드 자체의 보안’ - AWS는 AWS 서비스 모두를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 이 인프라는 AWS 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성되며, 고객에게 고객 콘텐츠 처리를 위한 강력한 제어 항목(보안 구성 제어 항목 등)을 제공합니다. AWS에서는 다양한 컴퓨터 보안 표준과 규제를 준수하는지 확인한 서드 파티 감사자의 여러 규정 준수 보고서를 제공합니다(자세한 내용은 AWS 규정 준수 페이지 참조). 이러한 보고서는 고객 데이터를 AWS가 보호하고 있음을 보여줍니다. AWS의 ISO 27001, 27017 및 27018 준수를 예로 들 수 있습니다. ISO 27018은 고객 데이터 보호에 초점을 맞춘 보안 제어 항목을 포함합니다.

고객 책임 ‘클라우드 내부의 보안’ - AWS 고객은 AWS 서비스에 배포하려고 선택한 애플리케이션 및 솔루션을 아키텍팅하고 보안할 책임이 있습니다. AWS 고객은 고객 데이터의 기밀성, 무결성 및 보안 요구 사항을 보호하는 방식으로 AWS 서비스를 구성할 책임도 있습니다. 고객이 자신의 고객 데이터를 보안하기 위한 구체적인 책임은 고객의 IT 환경에 서비스가 통합된 방식과 고객이 사용하려고 선택한 AWS 서비스에 따라 달라집니다. AWS 고객은 자신의 고객 데이터에 대한 가시성과 제어 기능을 갖추고 있으며, 특정 유형의 고객 데이터에 대한 민감도에 따라 유연한 보안 제어를 구현할 수 있습니다. 고객은 AWS 또는 다른 공급자가 사용할 수 있는 보안 조치 및 도구를 사용하거나 자체 보안 조치 및 도구를 활용하여 이를 수행할 수 있습니다. 이러한 방식으로 고객은 보다 민감한 고객 데이터에 추가 보안 계층을 구성할 수 있습니다.

AWS는 다음을 포함하여 GDPR의 요구 사항을 처리하기 위해 배포할 수 있으며, 애플리케이션 및 솔루션을 아키텍팅하고 보안하기 위해 고객이 사용할 수 있는 제품, 도구 및 서비스를 제공합니다.

• AWS Identity and Access Management(IAM)를 사용하면 조직에서 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. IAM을 사용하면 고객이 AWS 사용자 및 그룹을 생성하고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용하고 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
• AWS CloudTrail을 사용하면 AWS 내 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
• Amazon GuardDuty는 악의적 또는 무단 동작을 지속적으로 모니터링하여 AWS 계정과 워크로드를 보호하는 관리형 위협 탐지 서비스입니다. 이 서비스는 특이한 API 호출 또는 잠재적 무단 배포와 같이 계정 침해의 가능성을 나타내는 활동을 모니터링합니다. 또한, GuardDuty는 잠재적 인스턴스 침해 또는 공격자 정찰과 같은 위협을 탐지합니다.
• Amazon Macie는 Amazon S3에 저장된 개인 데이터를 검색 및 분류하는데 도움이 되는 기계 학습 도구입니다.

GDPR을 준수하면서 AWS 리소스를 사용하는 방법에 대한 자세한 내용은 AWS 백서 AWS에서 GDPR 규정 준수 탐색을 참조하세요.

예. AWS Partner Solutions Finder에서 ‘GDPR’을 검색하면 GDPR 규정 준수를 지원하는 제품과 서비스를 보유한 ISV, MSP, SI 파트너를 찾는 데 도움이 됩니다. AWS Marketplace에서도 ‘GDPR’ 솔루션을 검색할 수 있습니다.

예. AWS 보안 보증 서비스 팀은 고객의 GDPR 준수를 위한 여정에 도움이 되도록 다양한 활동을 수행하고 있습니다. 업계 공인 규정 준수 전문가로 구성된 이 팀은 고객이 AWS 서비스 특정 기능에 해당되는 규정 준수 표준을 밀접하게 상관시켜 클라우드에서 고객이 규정 준수를 달성하고, 유지 보수하며, 자동화할 수 있도록 지원합니다. AWS Professional Services 컨설턴트의 지원에 대한 자세한 내용은 여기에서 확인할 수 있습니다.

고객은 AWS Support를 통해 GDPR 규정 준수 여정에 도움이 되는 기술적 안내를 받을 수 있습니다. 이 활동의 일환으로 AWS에는 규정 준수 위험을 식별하고 완화하는 데 도움이 되도록 훈련된 클라우드 지원 엔지니어와 테크니컬 어카운트 관리자(TAM) 팀이 있습니다. AWS에서 제공하는 지원 수준은 고객이 선택한 AWS Support 플랜에 따라 달라집니다. AWS Premium Support로부터 어떤 도움을 받을 수 있는지 알고 싶다면 AWS Management Console을 통해 AWS Support Center를 이용하거나, AWS와 체결한 Enterprise Support 계약에 명시된 연락처 세부 정보를 사용하거나 AWS Support 웹 페이지를 방문하여 자세한 내용을 확인할 수 있습니다. Enterprise Support 고객은 GDPR 관련 질문이 있으면 TAM에게 문의하면 됩니다.

다음은 GDPR 규정 준수를 모색할 때 유용한 두 가지 프로그램입니다.

• 클라우드 운영 검토 - AWS Enterprise Support 고객에게 제공되는 이 프로그램은 클라우드 내 운영에 대한 접근 방식의 차이를 식별하는 데 도움이 됩니다. 다수의 대표 고객을 지원해 온 AWS의 경험을 토대로 한 일련의 운영 모범 사례에서 비롯된 이 프로그램은 GDPR 준수를 위한 조직의 여정에 도움이 되도록 클라우드 운영 검토 및 관련 관리 사례를 제공합니다. 이 프로그램에서는 운영 우수성을 추구하는 클라우드 기반 시스템의 준비, 모니터링, 운영 및 최적화하는 데 초점을 맞춘 4가지 측면의 접근 방식을 사용합니다.
• Well-Architected 검토 - 이 프로그램을 사용하면 AWS 모범 사례와 비교하여 자사의 아키텍처를 측정하고 안전하고 신뢰할 수 있으며 성능이 뛰어나고 비용 효율적인 아키텍처를 구축할 수 있습니다. 또한, Well-Architected Review를 사용하면 고객이 아키텍처에서 위험이 있는 곳을 파악하고 애플리케이션을 프로덕션에 배포하기 전에 이를 해결할 수 있습니다.

AWS는 보안 인시던트 모니터링 및 데이터 침해 알림 프로세스를 갖추고 있으며, AWS DPA에 따라 즉각적으로 AWS 보안 위반을 고객에게 알립니다. 또한, AWS에서는 고객에게 누가 언제 어디에서 자사의 리소스에 액세스하는지 파악할 수 있는 몇 가지 도구를 제공합니다. 이러한 도구 중 하나로 AWS 계정의 거버넌스, 규정 준수, 운영 감사, 위험 감사를 지원하는 AWS CloudTrail이 있습니다. AWS CloudTrail을 사용하는 고객은 AWS 인프라 전체에서 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 이를 통해 조직은 AWS 인프라에서 발생하는 일을 파악하고 비정상적인 활동에 대해 즉시 조치를 취할 수 있습니다. GDPR에 따라 데이터 컨트롤러로서의 의무를 충족하는 데 도움이 되도록 AWS에서 고객에게 제공하는 다른 보안 도구에 대한 자세한 내용은 AWS 클라우드 보안 웹 페이지를 참조하세요.

AWS에서는 고객 데이터를 보호하고 사이버 공격으로부터 보호할 수 있도록 고객과 APN 파트너에게 몇 가지 도구를 제공합니다. 이러한 도구 중 하나는 AWS Shield입니다. 이는 AWS에서 실행되는 웹 사이트와 애플리케이션을 보호하는 관리형 DDoS(Distributed Denial of Service) 보호 서비스입니다. AWS Shield Standard는 무료로 사용할 수 있으며 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 완화 인라인 기능을 제공합니다. 고객과 APN 파트너가 AWS에서 실행되고, ELB, Amazon CloudFront 및 Amazon Route 53 리소스를 사용하는 웹 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield Advanced를 구독하면 됩니다. 또한, AWS에서는 고객이 AWS를 사용하여 DDoS 공격에 대한 복원력을 갖춘 애플리케이션을 구축하는 데 도움이 되는 AWS Best Practices for DDoS Resiliency 문서를 발간하고 정기적으로 업데이트합니다.

사이버 공격으로부터 고객 데이터를 보호하는 데 도움이 되는 다른 AWS 도구는 다음과 같습니다.

• AWS Identity and Access Management(IAM)를 사용하면 조직에서 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. IAM을 사용하면 고객과 APN 파트너가 AWS 사용자 및 그룹을 생성하고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용하고 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
• AWS Config의 사전 패키징된 규칙은 고객과 APN 파트너가 AWS 리소스를 올바르게 구성하고 규정 준수 상태를 유지하는 데 도움이 됩니다.
• AWS CloudTrail을 사용하면 AWS 내 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
• Amazon GuardDuty는 악의적 또는 무단 동작을 지속적으로 모니터링하여 AWS 계정과 워크로드를 보호하는 관리형 위협 탐지 서비스입니다. 이 서비스는 특이한 API 호출 또는 잠재적 무단 배포와 같이 계정 침해의 가능성을 나타내는 활동을 모니터링합니다. 또한, GuardDuty는 잠재적 인스턴스 침해 또는 공격자 정찰과 같은 위협을 탐지합니다.

Amazon Macie는 완전관리형 데이터 보안 및 데이터 프라이버시 서비스로, 기계 학습 및 패턴 일치를 활용하여 AWS에서 개인 데이터를 검색하고 보호합니다. 기업에서 관리하는 데이터 볼륨이 증가함에 따라 대규모로 개인 데이터를 식별하고 보호하는 작업이 점점 더 복잡해지고 비용과 시간이 많이 소요될 수 있습니다. Amazon Macie를 사용하면 개인 데이터를 대규모로 자동 검색하고 데이터 보호 비용을 절감할 수 있습니다. Macie는 암호화되지 않은 버킷, 공개적으로 액세스 가능한 버킷, AWS Organizations에 정의되지 않은 AWS 계정과 공유된 버킷의 목록을 비롯하여 Amazon S3 버킷의 인벤토리를 자동으로 제공합니다. 그런 다음, Macie는 사용자가 선택한 버킷에 기계 학습 및 패턴 일치 기술을 적용하여 개인 데이터를 식별하고 경고합니다.

Amazon Macie는 클라우드 보안을 위한 ISO 27017, 클라우드 프라이버시를 위한 ISO 27018 등 국제적으로 인정받는 표준 인증을 받았으며, 고객과 APN 파트너는 Macie를 사용하여 데이터에 대한 액세스를 지속적으로 모니터링하여 액세스 패턴을 토대로 의심스러운 활동을 탐지할 수 있습니다.

AWS에서는 고객이 GDPR을 준수하도록 지원하기 위해 AWS에 저장된 콘텐츠에 포함된 개인 데이터에 대한 액세스를 제어할 수 있는 여러 가지 도구를 제공합니다. 이러한 도구는 다음과 같습니다.

• 보안 기본화란 AWS 서비스가 기본적으로 안전하도록 설계되었다는 의미입니다. 기본 구성을 사용하면, 리소스에 대한 액세스는 계정 소유자와 루트 관리자에게만 한정되도록 잠깁니다.
• AWS Identity and Access Management(IAM)를 사용하면 고객이 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. 조직에서는 IAM을 사용하여 AWS 사용자 및 그룹을 만들고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
• AWS 다중 인증은 AWS 계정의 사용자 이름과 암호에 또 하나의 보호 계층을 추가합니다. AWS에서는 고객에게 가상 및 하드웨어 MFA 디바이스 옵션을 제공합니다.
• AWS Directory Service를 사용하면 기업 디렉터리와 통합 및 연동하여 관리 오버헤드를 줄이고 최종 사용자 경험을 개선할 수 있습니다.
• AWS Config의 사전 패키징된 규칙을 사용하면 AWS 리소스를 올바르게 구성하고 규정 준수 상태를 유지하는 데 도움이 됩니다.
• AWS CloudTrail을 사용하면 AWS 인프라에서의 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
• Amazon Macie는 기계 학습을 사용하여 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류, 보호하여 데이터 손실을 방지합니다. 이 완전관리형 서비스는 비정상적인 데이터 액세스 활동을 지속적으로 모니터링하여 무단 액세스 또는 의도하지 않은 데이터 유출 위험이 감지될 경우(예를 들어 고객이 실수로 외부에서 액세스 가능하도록 만든 민감한 데이터) 상세한 알림을 생성합니다.

AWS에서는 고객과 APN 파트너에게 클라우드에 저장된 고객 데이터에 또 하나의 보안 계층을 추가할 수 있는 기능을 제공하고 GDPR에 따라 데이터 컨트롤러로서의 처리 보안 의무를 충족하도록 지원합니다. AWS에서 제공하는 암호화 도구는 다음과 같습니다.

• Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS, Redshift와 같은 AWS 스토리지 및 데이터베이스 서비스에서 사용할 수 있는 데이터 암호화 기능
• AWS에서 암호화 키를 관리하도록 할지, 사용자가 키를 모두 제어하도록 할지 선택할 수 있는 유연한 키 관리 옵션(AWS Key Management Service 등)
• Amazon SQS에서 서버 측 암호화(SSE)를 사용하여 민감한 데이터를 전송하기 위해 메시지 대기열 암호화
• 고객이 규정 준수 요구 사항을 충족할 수 있게 AWS CloudHSM을 사용한 하드웨어 기반 전용 암호화 키 스토리지

그 밖에도 AWS는 암호화 및 데이터 보호 기능을 AWS 환경에서 개발 또는 배포하는 모든 서비스와 통합할 수 있도록 고객과 APN 파트너에게 API를 제공하고 있습니다.

AWS에서는 이미 고객이 GDPR 요구 사항을 충족하는 데 도움이 되는 특정 기능 및 서비스를 제공하고 있습니다.

액세스 제어: 권한이 있는 관리자, 사용자 및 애플리케이션만 AWS 리소스에 액세스할 수 있도록 허용

• Multi-Factor-Authentication(MFA)
• Amazon S3 버킷 / Amazon SQS / Amazon SNS 등에 있는 객체에 대한 세분화된 액세스
• API 요청 인증
• 지리적 제약
• AWS Security Token Service를 통한 임시 액세스 토큰

모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인

• AWS Config를 사용한 자산 관리 및 구성
• AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석
• AWS Trusted Advisor를 통한 구성 문제 식별
• Amazon S3 객체에 대한 액세스를 세분화하여 로깅
• Amazon VPC 흐름 로그를 통한 네트워크 내 흐름에 대한 상세 정보
• AWS Config Rules를 사용한 규칙 기반 구성 점검 및 조치
• AWS CloudFront의 AWS WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스 필터링 및 모니터링

암호화: AWS상의 데이터를 암호화

• AES256을 사용하여 저장 데이터를 암호화(EBS/S3/Glacier/RDS)
• 중앙집중식 관리형 키 관리(AWS 리전별)
• VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
• AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈

강력한 규정 준수 프레임워크 및 보안 표준: 다음과 같은 엄격한 해외 표준의 준수를 입증합니다.

• ISO 27001 - 기술적 조치 관련 표준
• ISO 27017 - 클라우드 보안 관련 표준
• ISO 27018 - 클라우드 프라이버시 관련 표준
• SOC 1, SOC 2 및 SOC 3, PCI DSS 레벨 1,
• BSI의 Common Cloud Computing Controls Catalogue(C5)
• ENS 상위

GDPR은 브렉시트 이후의 EU 규정이며, 더 이상 영국에는 적용되지 않습니다.  영국 정부는 GDPR의 요구 사항을 ‘영국 GDPR’로 영국 법에 통합했습니다.

AWS는 영국 GDPR에 따른 데이터 프로세서로서의 AWS 노력이 반영된 AWS DPA에 영국 GDPR 준수 영국 GDPR 부록을 제공합니다. 영국 GDPR 부록은 AWS 서비스 약관의 일부이며 데이터 처리 계약이 필요한 모든 고객이 영국 GDPR을 준수하도록 자동으로 적용됩니다.

AWS 서비스 약관의 일부인 영국 GDPR 부록은 EC가 채택한 SCC와 영국 데이터 보호 규제 기관(정보위원회)이 발행한 국제 데이터 전송 부록(IDTA)을 포함합니다.  IDTA는 적절한 개인 정보 보호 수준을 제공한다고 인정받지 않은 영국 외 국가(영국 외 제3국)로의 국제 데이터 전송에 대해 UK GDPR에 따른 적절한 보호 수단을 구성하도록 SCC를 개정합니다. 영국 GDPR 부록은 고객이 영국 GDPR의 적용을 받는 고객 데이터(영국 고객 데이터)를 AWS 서비스를 사용하여 영국 외 제3국으로 전송할 때 (IDTA에 의해 개정된) SCC가 자동으로 적용된다는 것을 확인합니다.  AWS 서비스 약관 내 영국 GDPR 부록의 일환으로, 고객이 AWS 서비스를 사용하여 영국 고객 데이터를 영국 외 제3국으로 전송할 때마다 (IDTA에 의해 개정된) SCC가 자동으로 적용될 것입니다.

AWS는 AWS 데이터 처리 부록에 스위스 부록(‘스위스 부록’)을 제공합니다. 이 부록에는 스위스 연방 데이터 보호법(‘FDPA’)에 따른 데이터 프로세서로서의 AWS의 약속이 담겨 있습니다. 스위스 부록은 AWS 서비스 약관(섹션 1.14.4 참조)의 일부이며, 고객이 고객 데이터를 처리하기 위한 AWS 서비스 사용에 FDPA를 적용할 때 자동으로 적용됩니다.

AWS 서비스 약관(섹션 1.14.4 참조)의 일부인 AWS 데이터 처리 부록에 대한 스위스 부록에는 유럽 위원회가 채택하고 스위스 연방 데이터 보호 및 정보 위원회에서 필요에 따라 수정한 표준 계약 조항(‘SCC’)이 포함되어 있습니다. 스위스 부록은 고객이 AWS 서비스를 사용하여 FDPA의 적용을 받는 고객 데이터를 제3국으로 전송할 때 (스위스 부록에 의해 개정된) SCC가 자동으로 적용된다는 것을 확인합니다.

GDPR에 대한 질문이 있는 고객은 먼저 담당 AWS 계정 관리자에게 문의하시기 바랍니다. Enterprise Support에 가입한 고객은 기술 지원 관리자(TAM)에게도 연락할 수 있습니다. TAM은 솔루션 아키텍트와 협력하여 고객이 잠재적 위험과 잠재적 완화 요소를 식별할 수 있도록 지원합니다. TAM과 계정 팀은 고객 및 APN 파트너의 환경과 요구 사항에 따라 특정 리소스를 안내할 수도 있습니다.

AWS에는 GDPR 관련 질문을 지원하기 위해 Enterprise Support 담당자, Professional Services 컨설턴트 및 기타 직원으로 구성된 팀도 있습니다. 궁금한 점이 있으면 여기로 문의하시기 바랍니다.