포괄적인 데이터 보호 체계로 나아가는 움직임의 일환으로, 사우디아라비아 왕국(KSA)은 사우디 데이터·인공지능청(SDAIA)을 통해 개인정보 보호법(Personal Data Protection Law, PDPL)을 도입했습니다. 해당 법은 2023년 9월 14일에 시행되었으며, 1년의 유예 기간 종료 후인 2024년 9월 14일부터 전면 시행될 예정입니다. PDPL은 사우디아라비아의 데이터 프라이버시 프레임워크를 글로벌 기준에 부합하도록 정렬하는 데 있어 중요한 이정표입니다. 사우디아라비아 내 조직들은 이 유예 기간을 활용해 데이터 프라이버시 전략을 공고히 하고, 법적 요건을 충족할 수 있도록 대비해야 합니다.
포괄적인 데이터 보호 체계로 나아가는 움직임의 일환으로, 사우디아라비아 왕국(KSA)은 사우디 데이터·인공지능청(SDAIA)을 통해 개인정보 보호법(Personal Data Protection Law, PDPL)을 도입했습니다. 해당 법은 2023년 9월 14일에 시행되었으며, 1년의 유예 기간 종료 후인 2024년 9월 14일부터 전면 시행될 예정입니다.
PDPL은 사우디아라비아의 데이터 프라이버시 프레임워크를 글로벌 기준에 부합하도록 정렬하는 데 있어 중요한 이정표입니다. 사우디아라비아 내 조직들은 이 유예 기간을 활용해 데이터 프라이버시 전략을 공고히 하고, 법적 요건을 충족할 수 있도록 대비해야 합니다.
PDPL 이해하기
PDPL은 사우디아라비아 최초의 포괄적인 개인정보 보호 법률입니다. 이 법은 개인정보에 대한 강력한 보호를 의무화하며, 미준수 시 조직에 대해 다음과 같은 엄격한 제재를 부과할 수 있습니다.
- 최대 **500만 사우디리얄(SAR)**의 벌금
(재범의 경우, 최대 벌금의 2배까지 상향 가능) - 최대 2년의 징역형
- 법 위반으로 취득한 자금의 몰수
- 판결 결과의 공개(비용은 위반자 부담)
PDPL은 개인정보 처리 시 정보주체의 명시적 동의 획득을 강조하며, 사우디아라비아 외부로의 데이터 이전에 대해 제한적인 접근 방식을 채택하고 있습니다. 이를 준수하지 않을 경우, 상기 제재가 적용될 수 있습니다.
사우디아라비아의 현재 사이버 보안 환경
사우디아라비아의 사이버 보안 환경은 점점 더 복잡해지고 있으며, 지능형 지속 위협(APT) 공격은 그 빈도와 정교함이 증가하고 있습니다. 지난 2년간 16개의 APT 그룹이 중동 지역을 공격했으며, 사우디아라비아는 주요 표적 국가 중 하나였습니다.
랜섬웨어, 피싱, 내부자 위협부터 정보 탈취나 운영 중단을 목적으로 한 APT 공격에 이르기까지, 지역 전반에 다양한 사이버 위협이 존재합니다. 이에 따라 민감한 정보를 보호하기 위한 데이터 보안의 중요성은 그 어느 때보다 커지고 있습니다.
사우디아라비아 PDPL 대응 방안
PDPL의 컴플라이언스 요건을 충족하기 위해 조직은 두 가지 접근 방식을 병행해야 합니다.
즉, 단기적인 초기 컴플라이언스 확보와 장기적인 전략 수립입니다.
초기 컴플라이언스: 기본적인 프라이버시 원칙 구현
PDPL의 초기 컴플라이언스를 달성하기 위해서는 조직의 운영 프로세스 전반에 기본적인 프라이버시 원칙을 내재화해야 합니다. 이는 명확한 컴플라이언스 입증뿐 아니라, 조직 전반에 강력한 개인정보 보호 문화를 조성하는 데 기여합니다.
초기 컴플라이언스에는 다음이 포함되어야 합니다.
1. 데이터 보안:
개인정보 처리자(Controller)는 *가 사이버 보안청(NCA)이 발행한 관련 통제 기준을 준수해야 하며, 해당 기준이 적용되지 않는 경우에는 국제적으로 인정된 모범 사례를 따라야 합니다. 강력한 데이터 보안 조치는 개인정보를 무단 접근, 침해, 사이버 위협으로부터 보호하는 데 필수적입니다.
개인정보가 포함된 SAP 비운영 환경의 경우, EPI-USE Labs의 SAP 솔루션용 Data Privacy Suite의 일부인 Data Secure™는 조직 내 민감한 데이터를 효과적으로 통제할 수 있는 종합 솔루션입니다. Data Secure는 컴플라이언스를 향한 첫 단계로, 사전 정의된 구성(마스킹 규칙)을 활용해 비운영 환경에서 데이터를 스크램블링함으로써 구현 속도를 크게 단축할 수 있습니다.
2. 유출 통지(Breach notification):
개인정보 유출로 인해 개인정보 또는 정보 주체에게 피해가 발생할 가능성이 있는 경우, 개인정보 처리자는 72시간 이내에 SDAIA에 통지해야 합니다.
3. 개인정보 영향평가 (DPIAs):
다음과 같은 처리 활동에 대해서는 DPIA 수행이 의무입니다.
- 민감 개인정보 처리
- 아동 관련 데이터
- 정보주체에 대한 지속적 모니터링
- 신기술 활용
- 자동화된 의사결정
SAP 환경의 경우, EPI-USE Labs는 PII(개인식별정보) 필드를 식별·매핑하는 전용 Discovery 기술을 제공하며, 이를 문서화할 수 있습니다. 또한 SAP Access Risk Assessment를 수행해 운영 시스템에서 누가 핵심 PII 데이터에 접근할 수 있는지 파악하고, 리스크 감소를 위한 권고 사항을 제공합니다.
4. 건강 및 신용 데이터:
건강 데이터 및 신용 데이터를 처리하는 경우, 정보 주체의 명시적 동의를 반드시 획득해야 하며, 접근 권한은 최소 인원으로 제한해야 합니다.
5. 다이렉트 마케팅:
마케팅 목적의 개인정보 처리는 동의(consent)만이 유일한 법적 근거입니다.조직은 강력한 동의 관리 메커니즘을 구축하고, 수신자가 쉽게 수신 거부(opt-out)할 수 있도록 해야 합니다.
6. 공식 신분증(ID) 문서:
법적 요구 또는 정부 기관의 요청이 없는 한, 공식 신분증의 촬영은 금지됩니다.
7. 개인정보 보호 책임자(DPO):
대규모로 개인을 정기적·지속적으로 모니터링하는 경우, 민감 개인정보 처리가 핵심 업무인 경우 DPO 지정이 필수입니다. DPO는 독립성을 보장받고 충분한 자원을 지원받아야 하며, PDPL 준수를 감독하는 역할을 수행해야 합니다.
8. 처리 활동 기록(ROPA):
연락처 정보, 처리 목적, 데이터 유형, 제공 내역, 보관 기간 등을 포함한 ROPA 유지는 필수입니다. 해당 기록은 SDAIA 요청 시 제출되어야 하며, 투명성과 책임성을 보장합니다.
장기 전략: 프라이버시 및 보안 프로세스의 표준화와 자동화
데이터 프라이버시 역량을 높이기 위해서는, 프라이버시와 보안 프로세스를 표준화 및 자동화하여 변화하는 규제 환경에 유연하게 대응할 수 있어야 합니다.
EPI-USE Labs는 SAP와 같은 대규모 ERP 환경에서의 데이터 프라이버시 관리가 얼마나 복잡한지 잘 이해하고 있습니다.
당사의 SAP 솔루션용 Data Privacy Suite는 GDPR, CCPA, POPIA는 물론, 사우디아라비아의 PDPL까지 글로벌 개인정보 보호 규제 준수를 지원하도록 설계되었습니다.
주요 중점 영역은 다음과 같습니다.
1. 데이터 프라이버시 진단:
SAP 환경 내 PII를 식별·매핑합니다. 기술적 평가를 통해 프라이버시 관련 데이터를 파악하고, 내재된 리스크를 식별하며 적절한 보호 조치를 권고합니다.
2. 데이터 익명화 및 스크램블링:
Data Secure를 활용해 운영 시스템 내 직접 익명화(in-place anonymisation)를 수행하거나, Data Sync Manager™(DSM) Suite와 함께 사용하여 비운영 환경으로 복사 시 데이터를 스크램블링 할 수 있습니다. 이를 통해 테스트 환경에서도 민감한 데이터가 안전하게 보호됩니다.
3. 정보 주체 권리 요청(DSARs) 처리:
Data Disclose™(Data Privacy Suite 구성 요소)를 통해 데이터 열람 및 삭제 요청을 효율적으로 처리할 수 있습니다. DSAR에 대한 신속하고 정확한 대응은 컴플라이언스와 정보 주체 신뢰 확보에 필수적입니다.
4. 데이터 삭제 요청:
Data Redact™(Data Privacy Suite 구성 요소)를 사용하면 SAP 내 레코드에서 PII를 제거하면서도 참조 무결성을 유지할 수 있습니다. 이는 비즈니스 데이터를 보호하면서 프라이버시 리스크를 효과적으로 관리할 수 있도록 합니다.
5. 역할 및 권한 관리:
Soterion for SAP를 활용해 비즈니스 중심의 GRC(Governance, Risk, Compliance)를 구현할 수 있습니다. PDPL의 “업무 수행에 필요한 최소 인원만 접근 허용” 요구 사항을 충족하며, 표준 규칙 세트를 통해 업무 분리(SOD) 및 프라이버시 리스크 관리를 가속화할 수 있습니다.
6. 선제적 리스크 관리:
정기적인 감사 및 검토를 통해 데이터 프라이버시와 보안 리스크를 지속적으로 관리해야 합니다. 선제적 리스크 관리는 잠재적 취약점을 조기에 식별하고 문제로 확대되기 전에 대응할 수 있도록 합니다.
EPI-USE Labs는 오랜 기간 축적된 SAP 환경에 대한 깊은 이해와, 다수의 글로벌 고객을 지원하며 쌓은 전 세계 프라이버시 규제 대응 경험을 바탕으로 효과적인 솔루션을 제공합니다.
2021년 9월에 이미 발효되었으므로, 사우디아라비아에 활동하고 있는 기업들은 제재를 피하고 사이버 보안 역량을 강화하기 위해 데이터 프라이버시 컴플라이언스를 최우선 과제로 삼아야 합니다.
EPI-USE Labs는 이 데이터 프라이버시 여정에서 여러분과 함께할 준비가 되어 있습니다.
