요약: SAP 시스템에는 방대한 민감한 개인정보(PII)가 저장되어 있습니다. 본 블로그에서는 EPI-USE Labs의 데이터 프라이버시 전문가 James Watson이 SAP 데이터와 관련된 자주 묻는 질문에 답합니다. 그는 산업 및 비즈니스 모델(B2C, B2B 등)에 따라 리스크는 다르지만, 전반적으로 모든 산업에서 HR 또는 HCM 데이터가 가장 취약하다고 설명합니다. 이는 기업의 비즈니스 방식, 시장과의 연계 방식, 개인과 접촉하는 지점, 그리고 해당 정보를 저장하는 위치에 따라 달라집니다. 데이터 프라이버시 준수를 위해서는 모든 개인정보(PII)에 대한 가시성을 확보하는 것이 필수적입니다.
요약: SAP 시스템에는 방대한 민감한 개인정보(PII)가 저장되어 있습니다. 본 블로그에서는 EPI-USE Labs의 데이터 프라이버시 전문가 James Watson이 SAP 데이터와 관련된 자주 묻는 질문에 답합니다. 그는 산업 및 비즈니스 모델(B2C, B2B 등)에 따라 리스크는 다르지만, 전반적으로 모든 산업에서 HR 또는 HCM 데이터가 가장 취약하다고 설명합니다. 이는 기업의 비즈니스 방식, 시장과의 연계 방식, 개인과 접촉하는 지점, 그리고 해당 정보를 저장하는 위치에 따라 달라집니다. 데이터 프라이버시 준수를 위해서는 모든 개인정보(PII)에 대한 가시성을 확보하는 것이 필수적입니다.
우리는 James Watson과의 인터뷰를 통해, 어떤 SAP 데이터가 가장 취약한지, 그리고 B2B와 B2C 기업 및 대형 리테일러 공급업체 등 산업별로 어떻게 차이가 있는지, 또한 GDPR이 실제로 어떤 영향을 미치는지에 대한 인사이트를 들어보았습니다.
20년 이상의 기능 및 비즈니스 경험을 보유한 James는 EPI-USE Labs의 데이터 프라이버시 및 SAP IS-* 솔루션 글로벌 사업을 총괄하고 있으며, Data Sync Manager(DSM)를 사용하는 전 세계 주요 고객과 지역을 지원하고 있습니다. 그는 비운영 데이터 관리 및 비식별화, 운영 데이터 제거 및 마스킹, System Landscape Optimisation(SLO), SAP 산업 솔루션 등 SAP 분야의 전문성을 보유하고 있습니다.
이 비디오에는 한국어 자막이 있습니다.
여러분의 관점에서 가장 취약한 SAP 데이터는 무엇입니까?
이는 속한 산업에 따라 크게 달라집니다. 모든 상황에 적용되는 단일한 답은 없으며, 귀사의 비즈니스 방식, 시장과의 연계 방식, 개인과 접촉하는 지점, 그리고 해당 정보를 저장하는 위치에 따라 달라집니다.
하지만 전반적으로 모든 산업에 공통적으로 적용되는 답은 HR입니다. HCM 데이터는 개인에 대한 가장 깊이 있는 정보를 보유하고 있는 영역이며, 가족 구성원이나 비상 연락처와 같은 타인의 정보까지 포함될 수 있습니다. 특히 운영 시스템에서는 이러한 정보를 보유해야 하는 법적 의무와 업무적 필요성이 존재합니다.
충분한 이력과 정보가 없다면 급여 처리를 수행할 수 없습니다. 매우 단순한 문제입니다. 어떤 기업도 급여 없이 운영될 수는 없습니다. 직원이 없는 기업은 없기 때문입니다. 누구도 무급으로 일하지 않습니다. 따라서, HCM 데이터는 항상 우선순위가 됩니다.
하지만 각 산업마다 고유한 과제가 존재합니다.”
리테일 및 유틸리티 산업에서는 어떤 SAP 데이터가 위험한가요?
리테일 산업에서 소비자 혜택 카드나 멤버십 프로그램을 운영하고 있다면, SAP 플랫폼 내에 수백만 고객의 실제 데이터를 보유하고 있을 수 있습니다.
즉, 수천 또는 수만 명의 직원 데이터를 다루는 것이 아니라, 기업 규모에 따라 수천만 건의 개인 데이터를 보유하게 되는 것입니다. 이 경우 고객 데이터, SAP 용어로는 Business Partner 데이터의 중요성과 리스크가 훨씬 커집니다.
가스, 수도, 전기와 같은 유틸리티 산업도 마찬가지입니다. B2C 기업이라면 모든 고객이 실제 개인이며, 따라서 개인정보 보호 법률의 적용 대상이 됩니다.”
Amazon과 같은 대형 리테일러 공급업체의 경우 데이터 프라이버시 복잡성은 어떤가요?
대형 리테일 기업의 공급 업체 영역은 매우 흥미로운 사례입니다. 예를 들어, Amazon을 통해 제품을 판매하는 기업(셀러)을 생각해볼 수 있습니다. 최근 우리는 이와 관련된 문제를 가진 미국 고객과 협업했습니다. Amazon은 고객에게 배송된 데이터에 대해 30일 보관 정책을 요구합니다.
하지만 해당 고객의 SAP 시스템에서는 Amazon 고객이 마스터 데이터로 등록되어 있지 않았습니다. 다만 단발성 판매 프로세스로 처리되었으며, 개인 데이터는 해당 트랜잭션에만 연결되어 있었습니다. 즉, 해당 사례에서는 개인정보가 포함된 마스터 데이터는 전혀 없었지만, 모든 거래는 실제 개인에게 배송되는 구조였습니다. 따라서 개인정보가 저장되는 위치 자체가 매우 다른 형태로 존재하는 경우였습니다.
B2B 기업도 개인정보를 걱정해야 하나요?
핵심은 개인을 얼마나 식별할 수 있는지에 달려 있습니다. 많은 기업들이 B2B 기업이라는 이유로 고객 데이터에 대해 크게 걱정하지 않아도 된다고 생각합니다. 하지만 그 경우에도 연락 담당자는 어떻게 될까요? 기업 고객 자체는 개인이 아니더라도, 그들과 소통하는 담당자 정보에는 이메일, 연락처, 이름 등이 포함되어 있습니다. 이러한 정보 역시 반드시 우선적으로 관리해야 합니다.
따라서, 직원 수가 수백 명에 불과한 작은 B2B 기업이라 하더라도, 관계 구조에 따라 상당한 데이터 프라이버시 과제가 발생할 수 있습니다.
GDPR은 실제로 어떤 영향을 미치나요?
글로벌 개인정보 보호 법규가 확대되면서, 유럽에서 비즈니스를 수행하는 기업은 이미 GDPR을 준수해야 합니다. GDPR은 데이터가 저장된 위치가 아니라 ‘유럽 시민’을 기준으로 적용되기 때문입니다.
실제로 Meta에 부과된 약 13억 달러의 벌금 사례와 같이, 국경을 넘어 GDPR이 적용된 사례도 존재합니다. 이러한 벌금은 이미 여러 국가에 걸쳐 적용되고 있습니다.
따라서 새로운 법규들은 개인 중심의 보호를 강조하고 있지만, B2C 환경에서는 이미 오래전부터 존재하던 문제입니다. 그리고 대규모 조직의 경우 HR 데이터 측면에서도 동일한 문제가 발생합니다.
SAP 데이터 프라이버시 과제를 겪는 고객에게 어떤 조언을 하시겠습니까?
첫 번째 단계는 개인정보(PII)가 어디에 존재하는지를 정확히 파악하는 것입니다. 그래야 무엇을 관리해야 하는지 알 수 있습니다. SAP 시스템에는 고객, 공급 업체, 직원에 대한 방대한 민감 데이터가 포함되어 있으며, SAP 데이터 모델을 고려하는 것이 매우 중요합니다. 또한 오랜 기간 SAP를 사용해온 기업의 경우, 커스텀 테이블과 기능이 추가되어 민감 데이터의 범위가 더욱 확대되어 있을 수 있습니다.
EPI-USE Labs는 SAP 데이터 프라이버시 진단 서비스를 제공하고 있으며, 이를 통해 고객은 개인정보 위치를 파악하고 접근 권한 리스크를 진단할 수 있습니다.”