유럽 연합의 일반 데이터 보호 규정(GDPR)은 유럽 연합 데이터 주체의 프라이버시 및 개인 정보 보호에 대한 기본 권리를 보호합니다. 이 규정은 데이터 보호, 보안 및 규정 준수에 대한 표준을 제기하고 조율하기 위한 강력한 요구 사항을 소개합니다.

AWS 서비스는 2018년 5월 25일에 시행되는 GDPR을 준수합니다.

AWS는 자체 규정 준수뿐 아니라 고객이 각자의 사업 활동에 적용되는 GDPR 요구 사항을 준수할 수 있도록 지원하는 서비스와 리소스를 제공하기 위해 최선을 다하고 있습니다. 새로운 기능은 정기적으로 발표되며 AWS는 보안 및 규정 준수에 초점을 맞춘 500개 이상의 기능과 서비스를 보유하고 있습니다.

AWS는 고객이 GDPR을 준수하기 위해 활용할 수 있는 특별한 기능과 서비스를 제공합니다.

HA_DynamoDB-DAX_HERO-ART

액세스 제어: 승인된 관리자와 사용자 및 애플리케이션만 허용 

  • Multi-Factor-Authentication(MFA)
  • Amazon S3, Amazon SQS, Amazon SNS의 객체 대한 액세스 세부 제어
  • API 요청 인증
  • 지리적 제약
  • AWS Security Token Service를 통한 임시 액세스 토큰
자세히 알아보기 »
HA_EFS-Data-Encryption_hero-art

모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인

  • AWS Config를 사용한 자산 관리 및 구성
  • AWS CloudTrail을 사용하여 감사 및 보안 분석 수행
  • Amazon VPC FlowLogs를 통해 네트워크상의 흐름에 대한 상세한 정보
  • AWS Config Rules를 사용한 규칙 기반 구성 점검 및 조치
  • AWS CloudFront의 AWS WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스 필터링 및 모니터링
GC_Storage_HERO-ART

암호화: AWS상의 데이터를 암호화

  • AES256을 사용하여 저장 데이터를 암호화(EBS/S3/Glacier/RDS)
  • 중앙집중식 관리형 키 관리(AWS 리전별)
  • VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
  • AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈
자세히 알아보기 »

데이터 프라이버시

고객이 보유한 고객 콘텐츠를 제어합니다. AWS에서 고객은 다음을 수행할 수 있습니다.

  • 스토리지 유형과 해당 스토리지의 지리적 리전을 비롯한 고객 콘텐츠가 저장될 곳을 결정할 수 있습니다.
  • 자신의 고객 콘텐츠의 보안 상태를 선택할 수 있습니다. AWS에서는 고객에게 전송 또는 저장되는 고객 콘텐츠에 대한 강력한 암호화를 제공하고, 고객이 자체 암호화 키로 관리할 수 있는 옵션을 제공합니다.
  • 고객이 통제하는 사용자, 그룹, 권한 및 자격 증명을 통해 자신의 고객 콘텐츠와 AWS 서비스를 관리할 수 있습니다.
자세히 알아보기 »

보안을 고려한 설계

SbD 접근 방식의 목적은 다음을 달성하는 것입니다.

  • 해당 기능을 변경할 권한이 없는 사용자가 재정의할 수 없도록 강제 실행 기능 만들기.
  • 제어 기능의 안정적인 운영 확립.
  • 지속적인 실시간 감사 가능.
  • 거버넌스 정책의 기술적 스크립팅.
자세히 알아보기 »

EU 데이터 보호

GDPR은 1995년에 EU 데이터 보호 지침이 도입된 이후로 유럽의 데이터 보호법에서 가장 큰 변화입니다. GDPR은 EU 내 개인 데이터의 보안 및 보호를 강화하고 EU 데이터 보호법을 포괄적으로 적용할 목적으로 제정되었습니다. GDPR은 EU 데이터 보호 지침과 이와 관련된 모든 현지 법규를 대체하게 됩니다.

자세히 알아보기 »

AWS 자격증, 프로그램, 보고서 및 인증

독립적인 타사 평가 기관에서 AWS가 ISO 27018 준수하고 있음을 검증했습니다. ISO 27018은 클라우드에서의 개인 정보 보호를 집중적으로 다루는 첫 번째 국제 행동 규범입니다. ISO 27018은 ISO 정보 보안 표준 27002를 기반으로 하며, 퍼블릭 클라우드 서비스에서 처리하는 개인 식별 정보(PII)에 적용되는 ISO 27002에 대한 실행 지침을 제공합니다. 이는 AWS가 고객 콘텐츠의 프라이버시와 보호를 위해 노력하는 통제 시스템을 갖추고 있음을 입증합니다.

자세히 알아보기 »

GDPR(일반 데이터 보호 규정)은 2018년 5월 25일부터 시행되는 새로운 유럽 개인 정보 보호법입니다. GDPR은 EU 데이터 보호 지침(Directive 95/46/EC이라고도 함)을 대체하게 되며, 각 회원국에 구속력이 있는 단일 데이터 보호헙을 적용함으로써 유럽 연합(EU) 전체에 데이터 보호법을 포괄적으로 적용할 목적으로 제정되었습니다.

 

GDPR은 EU에서 비즈니스를 운영하고 EU 주민의 '개인 데이터'를 처리하는 모든 조직에 적용됩니다. 개인 데이터는 식별된 또는 식별할 수 있는 자연인과 관련된 모든 정보를 말합니다.

GDPR이 기존 데이터 보호 지침(Europe Directive 95/46/EC)을 대체하게 됩니다. 2018년 5월 28일부터 기존 데이터 보호 지침 및 이와 관련된 법은 폐지됩니다.

AWS 규정 준수, 데이터 보호 및 보안 전문가가 전 세계 고객과 작업하며 질문에 답을 하고 GDPR가 시행된 후 AWS 클라우드에서 워크로드를 실행할 준비를 하도록 지원하고 있습니다. 또한, 새로운 GDPR 요구 사항을 확실히 준수할 수 있도록 AWS가 이미 수행하고 있는 모든 작업을 검토하고 있습니다. AWS는 2018년 5월에 GDPR가 시행되면 모든 AWS 서비스가 이를 준수할 것임을 확실히 말씀드릴 수 있습니다.

이와 더불어 AWS는 GDPR의 요구 사항을 충족하는 새로운 데이터 처리 계약(GDPR DPA)를 준비했습니다. 이 GDPR DPA는 현재 모든 AWS 고객에 제공되므로 이를 사용해 2018년 5월에 대비할 수 있습니다. GDPR DPA에 대한 추가 정보가 필요하거나 복사본을 받으려면 담당 AWS 계정 관리자에게 문의하시기 바랍니다.

그뿐만 아니라 최근에 AWS는 CISPE 행동 강령을 준수함을 발표했습니다. CISPE 행동 강령은 클라우드 고객이 클라우드 인프라 공급자가 어떻게 GDPR에 따라 데이터 보호 의무를 준수하는지 평가하는 데 도움이 됩니다. AWS는 Amazon Elastic Compute Cloud(EC2), Amazon Simple Storage Service(S3), Amazon Relational Database Service(RDS), AWS Identity and Access Management(IAM), AWS CloudTrailAmazon Elastic Block Storage(EBS)가 CISPE 행동 강령을 완벽히 준수한다고 공표했습니다. 따라서 고객은 AWS를 사용할 때 안전하고 규정을 준수하는 환경에서 데이터를 완벽하게 제어할 수 있다는 확신을 가질 수 있습니다. AWS의 CISPE 행동 강령 준수에 대한 자세한 내용은 웹 사이트(https://cispe.cloud/)에서 확인할 수 있습니다.

AWS는 전 세계 모든 리전에서 보안 및 규정 준수에 대한 높은 기준을 계속 유지하고 있습니다. AWS에서는 언제나 보안을 최우선으로 생각해왔습니다. 보안이 진정한 '0순위'입니다. 업계 최고의 AWS 보안 덕분에 클라우드 보안 부문의 ISO 27017, 클라우드 프라이버시 부문의 ISO 27018, SOC 1, SOC 2 및 SOC 3, PCI DSS Level 1 등 국제적으로 인정받는 수많은 인증 및 증명을 취득하여 엄격한 국제 표준을 준수함을 입증할 수 있었습니다. 또한, AWS는 고객이 독일의 BSI C5(Common Cloud Computing Controls Catalogue)와 같은 현지 보안 표준을 충족하도록 지원합니다.

AWS는 CISPE 데이터 보호 행동 강령을 준수한다고 발표했습니다. CISPE는 유럽의 고객에게 클라우드 서비스를 제공하는 클라우드 인프라(IaaS라고도 함) 공급자 연합입니다. GDPR 행동 강령은 클라우드 고객이 자사의 클라우드 인프라 공급자가 적절한 데이터 보호 표준을 사용하여 GDPR에 따라 데이터를 보호하고 있는지 확인하는 데 도움이 됩니다. 다음은 이 행동 강령의 핵심 이점 중 일부입니다.

  • 데이터 보호와 관련하여 누가 어떤 것에 대한 책임이 있는지 명확히 합니다. 이 행동 강령은 특히 클라우드 인프라 서비스의 맥락에서 GDPR에 따라 공급자 고객 양쪽의 역할을 설명합니다.
  • 이 행동 강령은 공급자가 준수해야 하는 원칙을 명시합니다. 즉, 공급자가 GDPR을 준수하고 고객이 준수하도록 지원하기 위해 수행해야 하는 조치와 책임을 설명합니다.
  • 이 행동 강령은 고객에게 데이터 보호 및 데이터 보안과 관련하여 규정을 준수하기 위한 의사 결정을 하는 데 필요한 정보를 제공합니다. 이 행동 강령에서는 공급자가 보안 책임을 다하기 위해 수행하는 조치를 투명하게 진행할 것을 요구합니다. 이러한 조치에는 데이터 위반, 데이터 삭제, 타사 하위 처리, 법 집행 및 정부 요청에 대한 알림을 제공하는 것이 포함됩니다. 고객은 이러한 정보를 사용하여 제공된 높은 수준의 보안을 충분히 이해할 수 있습니다.

GDPR의 핵심 중 하나는 EU 회원국 전체에서 개인 데이터를 안전하게 처리, 사용 및 교환하는 방식에 일관성이 생긴다는 것입니다. 기업은 강력한 기술 및 운영 조치와 규정 준수 정책을 구현하고 정기적으로 검토함으로써 자사에서 데이터를 안전하게 처리하고 GDPR을 준수함을 입증해야 합니다.

AWS에서는 이미 고객이 GDPR 요구 사항을 충족하는 데 도움이 되는 특정 기능 및 서비스를 제공하고 있습니다.
 

액세스 제어: 권한이 있는 관리자, 사용자 및 애플리케이션만 AWS 리소스에 액세스할 수 있도록 허용

  • Multi-Factor-Authentication(MFA)
  • Amazon S3 버킷 / Amazon SQS / Amazon SNS 등에 있는 객체에 대한 세분화된 액세스
  • API 요청 인증
  • 지리적 제약
  • AWS Security Token Service를 통한 임시 액세스 토큰

 

모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인

  • AWS Config를 사용한 자산 관리 및 구성
  • AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석
  • AWS Trusted Advisor를 통해 구성 문제 파악
  • Amazon S3 객체에 대한 액세스를 세분화하여 로깅
  • Amazon VPC FlowLogs를 통해 네트워크상의 흐름에 대한 상세한 정보
  • AWS Config Rules를 사용한 규칙 기반 구성 점검 및 조치
  • AWS CloudFront의 WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스를 필터링하고 모니터링

 

암호화: AWS상의 데이터를 암호화

  • AES256을 사용하여 저장 데이터를 암호화(EBS/S3/Glacier/RDS)
  • 중앙집중식 관리형 키 관리(AWS 리전별)
  • VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
  • AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈

 

강력한 규정 준수 프레임워크 및 보안 표준:

  • ISO 27001/9001 인증
  • ISO 27017/27018 인증
  • Cloud Computing Compliance Controls Catalog(C5 – 독일 정부에서 사용하는 증명 체계)
  • AWS는 감사자인 TÜV TRUST IT와 함께 클라우드에서 독일 BSI IT Grundschutz 규정을 준수하기 위한 지침을 제공하는 고객 인증 워크북을 발간했습니다

GDPR은 2018년 5월이 되어야 시행되지만, AWS에서는 고객과 파트너가 지금 준비를 시작하도록 권장하고 있습니다. 이미 높은 수준의 규정 준수, 보안 및 데이터 프라이버시를 구현한 조직은 손쉽게 GDPR 체계로 전환할 수 있습니다. GDPR 규정 준수를 향한 여정을 시작해야 하는 조직의 경우, 2018년 5월에 매끄럽게 전환하기 위해서는 지금 보안, 규정 준수 및 데이터 보호 프로세스를 검토하기 시작하는 것이 좋습니다. 다음은 GDPR 규정 준수를 위해 고려해야 할 몇 가지 핵심 사항입니다.

지역적 범위: GDPR이 조직의 활동에 적용되는지 파악하는 것이 규정 준수 의무를 충족하는 데 매우 중요합니다. GDPR은 EU 내에 설립된 모든 조직에 적용됩니다. 하지만 EU 외부에 설립되었더라도 조직의 활동에 따라 GDPR의 적용을 받을 수 있습니다.

데이터 주체의 권리: GDPR은 몇 가지 방법으로 데이터 주체의 권한을 강화합니다. 예를 들어 데이터 주체는 데이터 처리를 반대할 권리가 있고 데이터 이동성에 대한 권리가 있습니다. 개인 데이터를 처리하는 경우 데이터 주체의 권리를 수용할 수 있도록 해야 합니다.

데이터 위반 알림: 데이터 통제 담당자인 경우, 데이터 위반을 지체 없이 데이터 보호 기관에 보고해야 합니다. AWS를 사용하면 개인 데이터를 처리하고 보호하는 방법을 제어할 수 있습니다. 이러한 기능을 사용하면 GDPR에 따라 프라이버시 위반이 있는지 자체 환경을 모니터링하고 규제 기관과 당사자에게 알릴 수 있습니다. 또한, AWS에서는 AWS 네트워크와 관련된 보안 표준 위반을 알게 되면 지체 없이 고객에게 알립니다.

데이터 보호 책임자(DPO): 데이터 보호와 개인 데이터 처리와 관련된 다른 문제를 관리하는 DPO를 임명해야 할 수 있습니다.

데이터 보호 영향 평가(DPIA): 처리 활동에 대한 DPIA를 수행해야 할 수 있으며, 일부의 경우에는 감독 기관에 이를 제출해야 할 수도 있습니다. 이 평가에서는 개인 데이터를 보호하기 위한 데이터 처리 절차, 프로세스 및 제어 항목을 설명해야 합니다.

데이터 처리 계약(DPA): 특히 개인 데이터가 EEA 외부로 전송되는 경우, GDPR의 요구 사항을 충족하는 DPA가 필요할 수 있습니다. AWS에서는 고객이 다가오는 5월을 준비하는 데 도움이 되도록 GDPR DPA를 제공합니다. 이는 요청 시 제공됩니다.

AWS에서는 액세스 제어, 모니터링, 로깅 및 암호화를 위한 서비스를 비롯하여 고객이 GDPR의 요구 사항을 충족하는 데 도움이 되는 다양한 서비스 및 특정 서비스 기능을 제공합니다. 이러한 서비스에 대한 자세한 정보는 위에 설명된 "AWS에서 고객이 GDPR을 준수하는 데 도움이 되도록 제공하는 서비스에는 어떤 것이 있습니까?" 섹션에서 확인할 수 있습니다.

또한, AWS에서는 규정 준수, 데이터 보호 및 보안 전문가로 구성된 팀이 유럽 전역의 고객과 함께 작업하며 질문에 답을 하고 GDPR가 시행된 후 클라우드에서 워크로드를 실행할 준비를 하도록 지원하고 있습니다. 이와 관련된 추가 정보는 담당 AWS 계정 관리자에게 문의하시기 바랍니다.

또한, AWS 사용자 및 그룹을 만들고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다.


How to Become an IAM Policy Ninja in 60 Minutes or Less

AWS Summit Tel Aviv 2017 Becoming an AWS Policy Ninja using AWS IAM and AWS Organizations


IAM Best Practices to Live By

iam

데이터를 암호화할 때 사용하는 키를 손쉽게 생성 및 제어.

데이터 주권

키는 키가 생성된 리전에서만 저장되고 사용됩니다. 다른 리전으로 전송할 수 없습니다. 예를 들어, 유럽 중부(프랑크푸르트) 리전에서 생성된 키는 유럽 중부(프랑크푸르트) 리전 내에서만 저장되고 사용됩니다.

내장된 감사 기능

AWS Key Management Service는 AWS CloudTrail과 작동하여 KMS에 대한 또는 KMS에 의한 API 호출 로그를 제공합니다. 이 로그는 키가 액세스된 시기와 액세스한 사용자에 대한 세부 정보를 제공하여 규정 준수와 규제 요구 사항을 충족하는 데 도움을 줍니다.

KMS 시작하기

AWS_KMS_video_intro

KMS 최대한 활용하기

reinvent-img

애플리케이션을 위한 표준과 모범 사례를 정의하고, 이러한 표준의 준수를 검증하십시오.

inspector thumbnail

빠르게 시작하는 데 도움이 되도록, Amazon Inspector에는 일반적인 보안 모범 사례 및 취약성 정의와 대응되는 수백 개의 규칙이 담긴 기술 자료가 포함되어 있습니다. 내장된 규칙의 예로는 원격 루트 로그인 활성화 확인 또는 설치된 취약 소프트웨어 버전 확인 등이 있습니다. 이러한 규칙은 AWS 보안 연구원이 정기적으로 업데이트합니다.

Amazon Inspector에 대해 자세히 알아보기 »

Amazon Web Services는 re:Invent 2017에서 GDPR 규정 준수에 대한 전용 세션을 제공할 예정입니다.

reinvent-img