일반 데이터 보호 규정(GDPR) 센터
AWS 서비스 사용 시 GDPR 규정 준수
유럽 연합의 일반 데이터 보호 규정(GDPR)은 유럽 연합(EU) 시민의 개인 프라이버시 및 개인 정보 보호에 대한 기본 권리를 보호합니다. GDPR은 데이터 보호, 보안 및 규정 준수에 대한 표준을 제시하고 조율하기 위한 강력한 요구 사항을 소개합니다. 자세한 내용은 아래 GDPR FAQ를 검토하세요.
AWS 고객은 모든 AWS 서비스를 사용하여 GDPR을 준수하며 AWS 계정에서 AWS 서비스에 업로드된 개인 데이터(고객 데이터)를 GDPR의 정의에 따라 처리할 수 있습니다. AWS는 자체 규정 준수뿐 아니라 고객이 각자의 사업 활동에 적용되는 GDPR 요구 사항을 준수할 수 있도록 지원하는 서비스와 리소스를 제공하기 위해 최선을 다하고 있습니다. 새로운 기능은 정기적으로 발표되며 AWS는 보안 및 규정 준수에 초점을 맞춘 500개 이상의 기능과 서비스를 보유하고 있습니다. AWS에서 수행하는 작업에 대한 자세한 정보는 블로그 AWS가 EU 고객이 데이터 보호를 위한 새로운 기준을 탐색하도록 지원하는 방법을 참조하세요.
고객 제어
고객은 자신의 고객 데이터를 제어할 수 있습니다. AWS를 통해 고객은 다음을 수행할 수 있습니다.
- 스토리지 유형과 해당 스토리지의 지리적 리전을 비롯한 고객 데이터를 저장할 위치를 결정할 수 있습니다.
- 자신의 고객 데이터 보안 상태를 선택할 수 있습니다. AWS에서는 고객에게 전송 또는 저장되는 고객 데이터에 대한 강력한 암호화를 제공하고, 고객이 자체 암호화 키로 관리할 수 있는 옵션을 제공합니다.
- 고객이 통제하는 사용자, 그룹, 권한 및 자격 증명을 통해 자신의 고객 데이터와 AWS 서비스를 관리할 수 있습니다.
유럽 경제 지역(EEA) 역외로 전송
AWS 고객은 계속해서 AWS 서비스를 사용하여 GDPR을 준수하며 고객 데이터를 EEA에서 미국을 포함한 유럽연합 집행위원회의 적정성 결정을 받지 않는 EEA 역외 국가로 전송할 수 있습니다. AWS의 최우선 순위는 고객의 데이터를 안전하게 보호하는 것입니다. 당사는 고객이 선택한 AWS 리전에 관계없이 해당 데이터의 기밀성, 무결성 및 가용성을 보호하기 위해 엄격한 기술적 및 조직적인 조치를 구현합니다. AWS는 고객에게 투명성이 중요함을 잘 알고 있습니다. AWS의 프라이버시 기능 웹 페이지에서 고객 데이터 전송에 관여하는 AWS 서비스를 확인할 수 있습니다.
규제 및 법률 환경이 진화함에 따라 AWS는 항상 고객이 어디에서 사업을 운영하든 AWS 서비스의 이점을 지속적으로 활용할 수 있도록 보장하기 위해 노력하고 있습니다. 자세한 내용은 EU-US Privacy Shield의 고객 업데이트와 AWS 데이터 처리 부록의 추가 부록 및 CISPE 데이터 보호 행동 강령에 대한 블로그 게시물을 참조하세요.
GDPR 리소스
GDPR FAQ
개요 및 GDPR 기본
-
GDPR이란 무엇입니까?
GDPR(일반 데이터 보호 규정)은 2018년 5월 25일부터 시행된 유럽 개인 정보 보호법입니다. GDPR은 EU 데이터 보호 지침(Directive 95/46/EC이라고도 함)을 대체했으며, 각 회원국에 구속력이 있는 단일 데이터 보호법을 적용하여 유럽연합(EU) 전체의 데이터 보호법을 포괄적으로 적용할 목적으로 제정되었습니다.
-
GDPR의 적용 대상은 누구입니까?
GDPR은 EU 내에 설립된 모든 조직과 EU 내에 설립되어 있지 않더라도 EU 시민에게 제품이나 서비스를 제공하거나 EU 내에서 이루어지는 활동의 모니터링과 관련된 EU 데이터 주체의 개인 데이터를 처리하는 조직에 적용됩니다. 개인 데이터는 이름, 이메일 주소 및 전화번호를 포함하여 식별된 또는 식별할 수 있는 자연인과 관련된 모든 정보를 말합니다.
-
AWS는 GDPR 하에서 데이터 처리자 또는 데이터 통제자입니까?
AWS는 GDPR 하에서 데이터 처리자이면서 데이터 통제자의 역할을 합니다.
- 데이터 처리자로서의 AWS – 고객이 AWS 서비스를 사용하여 AWS 서비스에 업로드한 콘텐츠의 개인 데이터를 처리하는 경우 AWS가 데이터 처리자의 역할을 하게 됩니다. 고객은 보안 구성 제어 항목을 비롯하여 AWS 서비스에서 제공하는 제어 항목을 사용하여 개인 데이터를 처리할 수 있습니다. 이러한 경우 고객은 데이터 통제자 또는 데이터 처리자 자체의 역할을 할 수 있고 AWS는 데이터 처리자 또는 하위 처리자의 역할을 하게 됩니다. AWS는 데이터 처리자로서의 AWS 노력이 반영된 GDPR 준수 AWS 데이터 처리 부록(AWS DPA)을 제공합니다. 표준 계약 조항이 포함된 AWS DPA는 AWS 서비스 약관의 일부이며 GDPR을 준수해야 하는 모든 고객에게 자동으로 제공됩니다.
- 데이터 통제자로서의 AWS - AWS에서 개인 데이터를 수집하고 해당 개인 데이터의 처리 목적과 방법을 결정할 때는(예를 들어 AWS가 계정 등록, 관리, 서비스 액세스를 위해 계정 정보(예: 계정 등록 시 제공한 이메일 주소)를 저장하거나 고객 지원 활동을 통해 도움을 주기 위해 AWS 계정에 대한 연락처 정보를 저장하는 경우) AWS가 데이터 통제자의 역할을 합니다. AWS에서 통제자로 개인 데이터를 처리하는 방법에 대한 자세한 내용은 AWS 개인정보 처리방침을 참조하세요.
-
표준 계약 조항(SCC)는 무엇입니까?
SCC는 GDPR에 따라 사전 승인된 데이터 전송 메커니즘으로, 모든 EU 회원국에 적용되며, 이를 통해 개인 데이터를 유럽 위원회로부터 적절성 판정을 받지 못한 유럽 경제 지역 외 국가(제3국)로 합법적으로 전송할 수 있습니다.
-
AWS는 고객을 위해 SCC를 AWS GDPR DPA에 어떻게 통합합니까?
AWS 서비스 약관에는 2021년 6월에 유럽 위원회(EC)에서 채택한 SCC가 포함되며, AWS DPA는 AWS 고객이 AWS 서비스를 사용하여 EC로부터 적절성 판정을 받지 못한 유럽 경제 지역 외 국가(제3국)로 고객 데이터를 전송할 때마다 SCC가 자동으로 적용됨을 확인합니다. AWS 서비스 약관의 일환으로 새로운 SCC는 고객이 AWS 서비스를 사용하여 사용자 데이터를 제3국으로 전송할 때마다 자동으로 적용됩니다. AWS DPA에 서명한 일부 사용자는 AWS DPA을 계속 이용할 수 있는데, 이는 AWS 서비스 약관 내 새로운 SCC는 이전 버전의 SCC를 대체하기 때문입니다. 따라서 고객은 AWS 서비스를 사용하는 제3국으로 전송하는 모든 고객 데이터가 유럽 경제 지역에서 받는 것과 동일한 수준의 강력한 보호를 받는다는 사실에 안심할 수 있습니다. 자세한 내용은 새로운 표준 계약 조항 이행에 관한 블로그 게시물을 참조하세요.
Schrems II 판결 및 EDPB 권고를 따르는 AWS 및 GDPR 규정 준수
-
Schrems II 판결 및 EDPB 권고란 무엇입니까?
2020년 7월 16일, 유럽 연합 사법재판소(CJEU)는 EEA 역외 지역에 거주하는 EU 시민의 개인 데이터 전송에 관한 판결(Schrems II)을 발표했습니다. Schrems II에서 CJEU는 EU-미국 프라이버시 실드가 더 이상 EEA에서 미국으로의 개인 데이터 전송을 규제하는 유효한 메커니즘이 아니라는 판결을 내렸습니다. 그러나, 해당 판결에서, CJEU는 필요한 경우 추가 수단을 강구하는 조건으로, 회사가 EEA 역외 지역의 개인 데이터 전송에 관한 유효한 메커니즘으로 표준 계약 조항을 계속 사용할 수 있음을 확인했습니다. 유럽 데이터 보호 위원회(EDPB)는 국내 데이터 보호 기관의 대표자들로 구성된 유럽 기관으로, ‘EU에서 개인 데이터 보호 수준을 준수하기 위한 전송 도구를 보완하는 수단에 관한 권고 01/2020’(EDPB 권고)에서 추가 조치 목록(전체 목록은 아님)을 제공하고 있습니다.
EDPB 권고에서는 적용할 수 있는 추가 조치의 사례를 데이터 수출자에게 제공합니다. AWS의 데이터 전송 리소스에 대한 자세한 내용은 아래 FAQ ‘Schrems II 판결에 따라 AWS 서비스를 계속 사용할 수 있습니까?’를 참조하세요.
-
Schrems II 판결에 따라 AWS 서비스를 계속 사용할 수 있습니까?
예. AWS 고객은 계속해서 AWS 서비스를 사용하여 고객 데이터를 유럽에서 유럽연합 집행위원회의 적정성 결정을 받지 않는 EEA 역외 국가로 전송할 수 있습니다. Schrems II 판결에서는 EEA 역외로 고객 데이터를 전송하기 위한 메커니즘으로 SCC(표준 계약 조항)의 사용을 승인했으며, AWS 고객은 GDPR에 따라 EEA 역외로 고객 데이터 전송 시 SCC를 계속해서 신뢰할 수 있습니다.
- 처리 위치. 고객은 고객 데이터가 저장되는 AWS 리전을 선택합니다. 사용 가능한 AWS 리전에 대한 개요는 리전 및 가용 영역에서 확인할 수 있습니다. AWS는 정부 기관의 구속력 있는 명령 또는 법률을 준수하기 위해 필요한 경우 또는 고객이 시작한 AWS 서비스를 제공하기 위한 목적으로 필요한 경우가 아니라면, 고객이 선택한 AWS 리전 이외 지역에서 고객 데이터를 처리하지 않습니다. AWS 서비스의 일부로 데이터 전송에 대한 자세한 내용은 프라이버시 기능 웹 페이지를 참조하세요.
- 하위 처리자. AWS는 하위 처리자(예: AWS 자회사 또는 타사)를 이용하여 고객 데이터 처리를 지원하거나 AWS DPA에 따라 고객에 대한 의무를 이행하거나 AWS를 대신하여 서비스를 제공할 수 있습니다. 자세한 내용은 아래의 FAQ 'AWS에서는 하위 처리자를 통해 고객 데이터를 처리하나요?'를 참조하세요.
- 전송 도구. 유럽연합 집행위원회의 적정성 판정을 받지 못한 EEA 역외 국가로의 데이터 전송에 대한 메커니즘으로 SCC의 사용을 Schrems II 판결에서 승인함에 따라, 당사 고객은 GDPR에 따라 EEA 역외로 데이터를 전송하려는 경우 AWS DPA에 포함된 SCC를 계속해서 이용할 수 있습니다.
- 추가 조치.
- 고객 제어. 고객은 고객 데이터에 대한 소유권이 있으며, 고객 데이터를 저장하는 위치를 결정하고, 전송 및 저장 중 고객 데이터를 보안하며, AWS 리소스에 대한 사용자 액세스를 관리하고 고객 데이터를 수정, 삭제 및 검색하는 데 도움이 되는 단순하면서도 강력한 도구를 통해 항상 자신의 고객 데이터를 제어합니다.
- 기술적 조치 및 조직적 조치. AWS는 고객 데이터에 대한 무단 액세스나 공개를 차단하도록 설계된 정교한 기술적 및 물리적 제어와 프로세스를 구현합니다(자세한 내용은 AWS 규정 준수 웹 페이지 참조). 또한, 고객이 전송 및 저장 중 고객 데이터를 모두 보호하는 데 사용할 수 있는 여러 가지 고급 암호화 및 키 관리 서비스(고객이 자신의 키를 관리할 수 있는 서비스 포함)도 제공합니다. 이때 암호화된 고객 데이터는 적절한 암호 해독 키가 없으면 액세스할 수 없도록 렌더링됩니다. 고객 데이터의 암호화 여부에 상관없이, AWS는 항상 무단 액세스로부터 고객 데이터를 보호하기 위한 경계를 늦추지 않습니다.
- 법률 집행 요청. AWS는 법 징행 기관으로부터 받은 요청을 처리하기 위한 내부 프로세스를 갖추고 있습니다. 법 집행 기관으로부터 고객 데이터에 대한 요청을 받는 경우, 해당 정보의 정확성을 세밀히 검토하여 적절성 여부와 관련 모든 법률에 저촉되는 부분이 없는지 검증하고 있습니다. 법적으로 금지되는 경우를 제외하고, AWS는 고객 데이터를 공개하기 전에 고객이 정보 공개 시 보호 조치를 강구할 수 있도록 추가 조치를 취할 수 있게 이 사실을 고객에게 알립니다. AWS DPA에 대한 추가 부록(추가 부록)에서, AWS는 다음을 약속하는 것을 포함하여 고객 데이터에 대한 정부 요청 처리와 관련해 계약상의 조치를 강화했습니다. (i) 고객 데이터를 요청하는 정부 기관을 관련 고객에게 연결해주기 위한 모든 합리적인 노력, (ii) 법적으로 해당 데이터 요청이 허용되는 경우 즉각적으로 고객에게 알림(필요한 경우 금지 조치의 면제를 받기 위한 모든 합리적인 법적 노력 포함), (iii) EU 법률과 요청이 충돌되는 경우를 포함하여 해외 또는 부적절한 요청에 대한 이의 제기, (iv) 위에서 설명한 단계를 이행한 후에도 AWS가 정부 요청에 대한 응답으로 고객 데이터를 강제적으로 공개해야 하는 경우 요청을 이행하는 데 필요한 최소한의 고객 데이터만 공개.
- 계약 조치. AWS는 AWS DPA 및 추가 부록에 반영된, 위에서 설명한 조치에 대한 여러 계약 조치를 제공합니다. AWS DPA 및 추가 부록은 다음에 관한 AWS의 계약 조치를 포함합니다. (1) 고객 데이터를 저장하고 처리하는 AWS 리전을 고객이 선택함, (2) 고객이 자신의 고객 데이터를 보호하기 위해 적용하도록 선택할 수 있는 기술적, 조직적 조치와 AWS 인프라를 보호하기 위해 AWS가 구현한 기술적, 조직적 조치, (3) 정부 기관으로부터 데이터 공개 요청이 발생한 경우 고객 데이터를 보호하고 고객에게 이를 알리기 위한 AWS의 조치, (4) 고객 데이터를 처리하는 제3의 국가에서 해당되는 법률에 따라 AWS DPA에 규정된 의무를 이행하기 위한 AWS의 역량. 또한, 추가 부록에서는 (5) GDPR에서 부여한 권리 위반 시 보상을 청구할 개인의 법적 권리도 설명합니다.
- 처리 위치. 고객은 고객 데이터가 저장되는 AWS 리전을 선택합니다. 사용 가능한 AWS 리전에 대한 개요는 리전 및 가용 영역에서 확인할 수 있습니다. AWS는 정부 기관의 구속력 있는 명령 또는 법률을 준수하기 위해 필요한 경우 또는 고객이 시작한 AWS 서비스를 제공하기 위한 목적으로 필요한 경우가 아니라면, 고객이 선택한 AWS 리전 이외 지역에서 고객 데이터를 처리하지 않습니다. AWS 서비스의 일부로 데이터 전송에 대한 자세한 내용은 프라이버시 기능 웹 페이지를 참조하세요.
-
AWS에서 하위 처리자를 통해 고객 데이터를 처리할 수 있습니까?
예, AWS는 다음과 같은 세 가지 유형의 하위 처리자를 이용할 수 있습니다. (1) AWS 서비스가 실행되는 인프라를 제공하는 AWS 법인, (2) 고객 데이터를 처리할 것이 요구되는 특정 AWS 서비스를 지원하는 AWS 법인, (3) 특정 AWS 서비스에 대한 처리 활동을 제공하기 위해 AWS가 계약한 타사. AWS 하위 처리자 웹 페이지에서는 고객을 대신하여 고객 데이터에 대한 처리 활동을 제공하기 위해 AWS DPA에 따라 AWS가 고용하는 하위 처리자에 대한 추가 정보를 제공합니다. 개별 고객과 관련된 하위 처리자는 고객이 선택한 AWS 리전 및 고객이 사용하는 특정 AWS 서비스에 따라 달라집니다.
-
고객이 데이터 전송 평가를 할 때 AWS는 어떤 도움을 제공합니까?
AWS 백서 EU 데이터 전송 요건 준수 알아보기에서는 고객이 Schrems II 결정과 그 이후의 European Data Protection Board 권고 사항에 대해 데이터 전송 평가를 실시하는 데 도움이 될 만한 서비스와 리소스 정보를 제공합니다. 이 백서에서는 AWS에서 고객 데이터 보호를 위해 실천하고 제공하는 주요 보완 조치에 대해서도 설명합니다.
-
GDPR을 준수하여 AWS 서비스를 사용한다는 것을 데이터 보호 기관에 입증하려면 어떻게 해야 합니까?
AWS에서는 다양한 보안 표준과 규정을 준수하는 것으로 확인된 서드 파티 감사의 여러 규정 준수 보고서를 비롯해 고객에게 유용한 정보를 제공하여 AWS가 인프라에 대해 높은 수준의 규정 준수를 유지하고 있음을 입증합니다. 이러한 보고서는 고객이 AWS에서 처리하도록 선택한 고객 데이터를 AWS가 보호하고 있음을 보여줍니다. AWS의 ISO 27001, 27017 및 27018 준수를 그 예로 들 수 있습니다. ISO 27018은 고객 데이터 보호에 초점을 맞춘 보안 제어 항목을 포함합니다.
또한, AWS는 데이터 보호를 위한 CISPE 행동 강령을 준수합니다. CISPE 행동 강령에 대한 자세한 내용은 아래 FAQ의 'AWS는 클라우드 인프라 서비스에 해당하는 GDPR 승인 행동 강령을 준수하나요?'에서 확인할 수 있습니다.
-
AWS는 클라우드 인프라 서비스에 해당하는 GDPR 승인 CISPE 행동 강령을 준수하나요?
예. 2023년 6월 현재, 107개의 AWS 서비스가 유럽의 클라우드 인프라 서비스 공급자(CISPE) 데이터 보호 행동 강령을 준수하고 있습니다. CISPE는 수백만 유럽 고객에게 서비스를 제공하는 클라우드 컴퓨팅 리더 연합입니다. CISPE 데이터 보호 행동 강령(CISPE 강령)은 클라우드 인프라 서비스 제공업체에 중점을 둔 최초의 범유럽 데이터 보호 행동 강령입니다. CISPE 강령은 유럽 데이터 보호 위원회의 승인을 받아 유럽 27개의 데이터 보호 기관을 대신하는 역할을 하며, 프랑스 데이터 보호 기관(CNIL)이 공식적으로 채택하여 선도 감독 기관의 역할을 하고 있습니다. 2017년, AWS는 이전 버전의 CISPE 강령 준수를 발표했습니다.
CISPE 강령은 고객들이 자사의 클라우드 인프라 서비스 공급자가 GDPR에 대한 규정 준수를 입증하고 고객 데이터를 보호하기 위해 적절한 운영 보증을 제공하는지 확인하는 데 도움이 됩니다. CISPE 강령의 몇 가지 주요 이점은 다음과 같습니다.
- 클라우드 인프라 중심: 고객 데이터, 즉, 클라우드 인프라 서비스를 사용하는 고객을 대신해 처리되는 모든 개인 데이터의 처리와 관련하여 GDPR에 따른 클라우드 인프라 서비스 공급자의 역할을 명확히 설명.
- 유럽 내의 데이터: 클라우드 인프라 서비스 공급자에게 유럽 경제 지역(EEA) 내에서만 고객 데이터를 저장하고 처리하는 서비스를 사용할 수 있는 선택권을 고객에게 부여할 것을 규정.
- 데이터 프라이버시: CISPE 강령은 조직의 클라우드 인프라 서비스 공급자가 GDPR에 따라 조직을 대신하여 처리하는 개인정보(고객 데이터)에 적용되는 요구 사항을 충족하도록 보장합니다.
AWS 규정 준수 상태를 보여주는 규정 준수 인증서는 CISPE 공개 등록부에서 확인할 수 있습니다. 등재된 AWS 서비스는 CISPE 강령을 준수하는 것으로 각각 검증되었습니다. 검증 프로세스는 세계적으로 인정받는 독립적인 모니터링 기관이자 CNIL에서 공인한 Ernst & Young CertifyPoint(EY CertifyPoint)에서 수행되었습니다.
기술적 조치 및 조직적 조치
-
GDPR은 AWS의 공동 책임 모델에 어떤 영향을 미칩니까?
GDPR은 AWS 공동 책임 모델에 영향을 주지 않으며 이는 고객에게 중요한 의미가 있습니다. 공동 책임 모델은 GDPR에서 서로 다른 AWS의 책임(데이터 처리자 또는 하위 처리자 역할)과 고객의 책임(데이터 통제자 또는 데이터 처리자 역할)을 설명하기에 유용한 접근 방식입니다.
공동 책임 모델에 따라 AWS는 AWS 서비스를 지원하는 기본 인프라를 보호할 책임(‘클라우드’의’ 보안’)이 있고, 데이터 통제자 또는 데이터 처리자의 역할을 하는 고객은 AWS 서비스에 업로드하는 모든 개인 데이터에 대한 책임(‘클라우드 ‘내’ 보안’)이 있습니다.
AWS 책임 ‘클라우드의 보안’ – AWS는 AWS 서비스 모두를 실행하는 글로벌 인프라를 보호할 책임이 있습니다. 이 인프라는 AWS 서비스를 실행하는 하드웨어, 소프트웨어, 네트워킹 및 시설로 구성되며, 고객에게 고객 콘텐츠 처리를 위한 강력한 제어 항목(보안 구성 제어 항목 등)을 제공합니다. AWS에서는 다양한 컴퓨터 보안 표준과 규제를 준수하는지 확인한 서드 파티 감사자의 여러 규정 준수 보고서를 제공합니다(자세한 내용은 AWS 규정 준수 페이지 참조). 이러한 보고서는 고객 데이터를 AWS가 보호하고 있음을 보여줍니다. AWS의 ISO 27001, 27017 및 27018 준수를 예로 들 수 있습니다. ISO 27018은 고객 데이터 보호에 초점을 맞춘 보안 제어 항목을 포함합니다.
고객 책임 ‘클라우드 내 보안’ - AWS 고객은 AWS 서비스에 배포하려고 선택한 애플리케이션 및 솔루션을 아키텍팅하고 보안할 책임이 있습니다. AWS 고객은 고객 데이터의 기밀성, 무결성 및 보안 요구 사항을 보호하는 방식으로 AWS 서비스를 구성할 책임도 있습니다. 고객이 자신의 고객 데이터를 보안하기 위한 구체적인 책임은 고객의 IT 환경에 서비스가 통합된 방식과 고객이 사용하려고 선택한 AWS 서비스에 따라 달라집니다. AWS 고객은 자신의 고객 데이터에 대한 가시성과 제어 기능을 갖추고 있으며, 특정 유형의 고객 데이터에 대한 민감도에 따라 유연한 보안 제어를 구현할 수 있습니다. 고객은 AWS 또는 다른 공급자가 사용할 수 있는 보안 조치 및 도구를 사용하거나 자체 보안 조치 및 도구를 활용하여 이를 수행할 수 있습니다. 이러한 방식으로 고객은 보다 민감한 고객 데이터에 추가 보안 계층을 구성할 수 있습니다.
AWS는 다음을 포함하여 GDPR의 요구 사항을 처리하기 위해 배포할 수 있으며, 애플리케이션 및 솔루션을 아키텍팅하고 보안하기 위해 고객이 사용할 수 있는 제품, 도구 및 서비스를 제공합니다.
- AWS Identity and Access Management(IAM)를 사용하면 조직에서 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. IAM을 사용하면 고객이 AWS 사용자 및 그룹을 생성하고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용하고 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
- AWS CloudTrail에서는 조직이 AWS 내 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
- Amazon GuardDuty는 AWS 계정과 워크로드를 보호할 수 있도록 악의적 또는 무단 동작을 지속적으로 모니터링하는 관리형 위협 탐지 서비스입니다. 이 서비스는 특이한 API 호출 또는 잠재적 무단 배포와 같이 계정 침해의 가능성을 나타내는 활동을 모니터링합니다. 또한, GuardDuty는 잠재적 인스턴스 침해 또는 공격자 정찰과 같은 위협을 탐지합니다.
- Amazon Macie는 Amazon S3에 저장된 개인 데이터를 검색 및 분류하는데 도움이 되는 기계 학습 도구입니다.
GDPR을 준수하며 AWS 리소스를 사용하는 방법에 대한 자세한 내용은 AWS 백서, AWS에서 GDPR 규정 준수 적용을 참조하세요.
-
AWS 파트너는 GDPR 규정 준수를 위해 제품 및 서비스를 제공합니까?
예. 고객이 GDPR 규정 준수를 지원하는 제품과 서비스를 보유한 ISV, MSP 및 SI 파트너를 찾기 위해 AWS Partner Solutions Finder에서 ‘GDPR’을 검색할 수 있습니다. 고객은 AWS Marketplace에서도 ‘GDPR’ 솔루션을 검색할 수 있습니다.
-
AWS에서는 GDPR 준수에 대한 Professional Services 지원을 제공합니까?
예. AWS 보안 보증 서비스 팀은 고객의 GDPR 준수를 위한 여정에 도움이 되도록 다양한 활동을 수행하고 있습니다. 업계 공인 규정 준수 전문가로 구성된 이 팀은 고객이 AWS 서비스 특정 기능에 해당되는 규정 준수 표준을 밀접하게 상관시켜 클라우드에서 고객이 규정 준수를 달성하고, 유지 보수하며, 자동화할 수 있도록 지원합니다. AWS Professional Services 컨설턴트가 고객을 지원하는 방법에 대한 자세한 내용은 여기에서 확인할 수 있습니다.
-
AWS Support는 GDPR 준수를 위한 여정에서 어떤 도움을 줄 수 있습니까?
고객은 AWS Support를 사용하여 GDPR 규정 준수로의 여정에 도움이 되는 기술적 안내를 받을 수 있습니다. 이 활동의 일환으로 AWS에는 규정 준수 위험을 식별하고 완화하는 데 도움이 되도록 훈련된 클라우드 지원 엔지니어와 테크니컬 어카운트 관리자(TAM) 팀이 있습니다. AWS에서 제공하는 지원 수준은 고객이 선택한 AWS Support 플랜에 따라 달라집니다. AWS Premium Support가 어떤 도움을 줄 수 있는지 알고자 하는 고객은 AWS 관리 콘솔을 통해 AWS Support Center를 이용하거나, AWS와 체결한 Enterprise Support 계약에 명시된 연락처 세부 정보를 사용하거나 AWS Support 웹 페이지를 방문하여 자세한 내용을 확인할 수 있습니다. Enterprise Support 고객은 GDPR 관련 질문이 있으면 TAM에게 문의하면 됩니다.
고객이 GDPR 규정 준수를 모색할 때 유용한 다음 두 가지 프로그램이 있습니다.
- 클라우드 운영 검토 – AWS Enterprise Support 고객에게 제공되는 이 프로그램은 클라우드에서의 운영에 대한 접근 방식의 차이를 식별할 수 있도록 설계되었습니다. 다수의 대표 고객을 지원해 온 AWS의 경험을 토대로 한 일련의 운영 모범 사례에서 비롯된 이 프로그램은 GDPR 준수를 위한 조직의 여정에 도움이 되도록 클라우드 운영 검토 및 관련 관리 사례를 제공합니다. 이 프로그램에서는 운영 우수성을 추구하는 클라우드 기반 시스템의 준비, 모니터링, 운영 및 최적화하는 데 초점을 맞춘 4가지 측면의 접근 방식을 사용합니다.
- Well-Architected 검토 – 이 프로그램을 사용하면 조직이 AWS 모범 사례와 비교하여 자사의 아키텍처를 측정하고 안전하고 안정적이며 성능이 뛰어나고 비용 효율적인 아키텍처를 구축할 수 있습니다. 또한, Well-Architected Review를 사용하면 고객이 아키텍처에서 위험이 있는 곳을 파악하고 애플리케이션을 프로덕션에 배포하기 전에 이를 해결할 수 있습니다.
-
AWS는 개인 데이터 침해 알림과 관련하여 어떻게 고객이 GDPR에 따라 의무를 충족하도록 지원할 수 있습니까?
AWS는 보안 인시던트 모니터링 및 데이터 침해 알림 프로세스를 갖추고 있으며, AWS DPA에 따라 즉각적으로 AWS 보안 위반을 고객에게 알립니다. 또한, AWS에서는 고객에게 누가 언제 어디에서 자사의 리소스에 액세스하는지 파악할 수 있는 몇 가지 도구를 제공합니다. 이러한 도구 중 하나가 AWS 계정의 거버넌스, 규정 준수, 운영 감사 및 위험 감사를 지원하는 AWS CloudTrail입니다. AWS CloudTrail을 사용하는 고객은 AWS 인프라 전체에서 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 이를 통해 조직은 AWS 인프라에서 발생하는 일을 파악하고 비정상적인 활동에 대해 즉시 조치를 취할 수 있습니다. GDPR에 따라 데이터 통제자로서의 의무를 충족하는 데 도움이 되도록 AWS에서 고객에게 제공하는 다른 보안 도구에 대한 자세한 내용은 AWS 클라우드 보안 웹 페이지를 참조하세요.
-
AWS는 사이버 공격으로부터 내 고객 데이터를 보호하는 데 어떻게 도움이 됩니까?
AWS에서는 고객 데이터를 보호하고 사이버 공격으로부터 보호할 수 있도록 고객과 APN 파트너에게 몇 가지 도구를 제공합니다. 이러한 도구 중 하나가 AWS Shield입니다. 이는 AWS에서 실행되는 웹 사이트와 애플리케이션을 보호하는 관리형 분산 서비스 거부 공격(DDoS) 보호 서비스입니다. AWS Shield Standard는 무료로 사용할 수 있으며 애플리케이션 가동 중지 및 지연 시간을 최소화하는 상시 탐지 및 자동 완화 인라인 기능을 제공합니다. 고객과 APN 파트너가 AWS에서 실행되고, ELB, Amazon CloudFront 및 Amazon Route 53 리소스를 사용하는 웹 애플리케이션을 목표로 하는 공격에 대해 더 높은 수준의 보호를 구현하려면 AWS Shield Advanced를 구독하면 됩니다. 또한, AWS에서는 고객이 AWS를 사용하여 DDoS 공격에 대한 복원력을 갖춘 애플리케이션을 구축하는 데 도움이 되는 'DDoS 복원력을 위한 AWS 모범 사례' 문서를 발간하고 정기적으로 업데이트합니다.
사이버 공격으로부터 고객 데이터를 보호하는 데 도움이 되는 다른 AWS 도구는 다음과 같습니다.
- AWS Identity and Access Management(IAM)를 사용하면 조직에서 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. IAM을 사용하면 고객과 APN 파트너가 AWS 사용자 및 그룹을 생성하고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용하고 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
- AWS Config에서는 고객과 APN 파트너가 AWS 리소스가 올바르게 구성되고 규정 준수 상태를 유지하는 데 도움이 되는 사전 패키징된 규칙을 사용할 수 있습니다.
- AWS CloudTrail에서는 조직이 AWS 내 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
- Amazon GuardDuty는 AWS 계정과 워크로드를 보호할 수 있도록 악의적 또는 무단 동작을 지속적으로 모니터링하는 관리형 위협 탐지 서비스입니다. 이 서비스는 특이한 API 호출 또는 잠재적 무단 배포와 같이 계정 침해의 가능성을 나타내는 활동을 모니터링합니다. 또한, GuardDuty는 잠재적 인스턴스 침해 또는 공격자 정찰과 같은 위협을 탐지합니다.
-
AWS에 저장된 내 콘텐츠에서 개인 데이터를 식별하는 데 사용할 수 있는 도구는 무엇입니까?
Amazon Macie는 완전관리형 데이터 보안 및 데이터 프라이버시 서비스로, 기계 학습 및 패턴 일치를 활용하여 AWS에서 개인 데이터를 검색하고 보호합니다. 기업에서 관리하는 데이터 볼륨이 증가함에 따라 대규모로 개인 데이터를 식별하고 보호하는 작업이 점점 더 복잡해지고 비용과 시간이 많이 소요될 수 있습니다. Amazon Macie를 사용하면 개인 데이터를 대규모로 자동 검색하고 데이터 보호 비용을 절감할 수 있습니다. Macie는 암호화되지 않은 버킷, 공개적으로 액세스 가능한 버킷, AWS Organizations에 정의되지 않은 AWS 계정과 공유된 버킷의 목록을 비롯하여 Amazon S3 버킷의 인벤토리를 자동으로 제공합니다. 그런 다음, Macie는 사용자가 선택한 버킷에 기계 학습 및 패턴 일치 기술을 적용하여 개인 데이터를 식별하고 경고합니다.
Amazon Macie는 클라우드 보안을 위한 ISO 27017, 클라우드 프라이버시를 위한 ISO 27018과 같이 국제적으로 인정받는 표준 인증을 받았으며, 고객과 APN 파트너는 Macie를 사용하여 데이터에 대한 액세스를 지속적으로 모니터링하여 액세스 패턴을 토대로 의심스러운 활동을 탐지할 수 있습니다.
-
AWS에서 내 콘텐츠에 있는 개인 데이터에 대한 액세스를 제어하려면 어떻게 해야 합니까?
AWS에서는 고객이 GDPR을 준수하도록 지원하기 위해 AWS에 저장된 콘텐츠에 포함된 개인 데이터에 대한 액세스를 제어할 수 있는 여러 가지 도구를 제공합니다. 이러한 도구는 다음과 같습니다.
- 보안 기본화란 AWS 서비스가 기본적으로 안전하도록 설계되었다는 의미입니다. 기본 구성을 사용하면, 리소스에 대한 액세스는 계정 소유자와 루트 관리자로만 한정되도록 잠깁니다.
- AWS Identity and Access Management(IAM)를 사용하면 고객이 AWS 서비스와 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. 조직에서는 IAM을 사용하여 AWS 사용자 및 그룹을 만들고 관리하며 권한을 사용하여 AWS 리소스에 대한 액세스를 허용 및 거부할 수 있습니다. IAM은 AWS 계정에서 추가 비용 없이 제공되는 기능입니다.
- AWS Multi-Factor Authentication은 AWS 계정의 사용자 이름과 암호에 또 하나의 보호 계층을 추가합니다. AWS에서는 고객에게 가상 및 하드웨어 MFA 디바이스 옵션을 제공합니다.
- AWS Directory Service에서는 고객이 기업 디렉터리와 통합 및 연동하여 관리 오버헤드를 줄이고 최종 사용자 경험을 개선할 수 있습니다.
- AWS Config에서는 고객이 AWS 리소스가 올바르게 구성되고 규정 준수 상태를 유지하는 데 도움이 되는 사전 패키징된 규칙을 사용할 수 있습니다.
- AWS CloudTrail에서는 고객이 AWS 인프라에서의 작업과 관련된 계정 활동에 대한 정보를 기록하고 지속적으로 모니터링하며 유지할 수 있습니다. 따라서 보안 분석, 리소스 변경 추적, 문제 해결이 간소화됩니다(AWS CloudTrail은 모든 AWS 계정에 기본적으로 활성화됨).
- Amazon Macie는 고객이 데이터 손실을 방지할 수 있도록 기계 학습을 사용하여 AWS에 저장된 민감한 데이터를 자동으로 검색, 분류 및 보호합니다. 이 완전관리형 서비스는 비정상적인 데이터 액세스 활동을 지속적으로 모니터링하여 무단 액세스 또는 의도하지 않은 데이터 유출 위험이 감지될 경우(예: 고객이 실수로 외부에서 액세스 가능하도록 만든 민감한 데이터) 상세한 알림을 생성합니다.
-
무단 액세스를 방지하기 위해 AWS에서 고객 데이터를 암호화하려면 어떻게 해야 합니까?
AWS에서는 고객과 APN 파트너에게 클라우드에 저장된 고객 데이터에 또 하나의 보안 계층을 추가할 수 있는 기능을 제공하고 GDPR에 따라 데이터 통제자로서의 처리 보안 의무를 충족하도록 지원합니다. AWS에서 제공하는 암호화 도구는 다음과 같습니다.
- Amazon Elastic Block Store, Amazon S3, Amazon Glacier, Amazon DynamoDB, Oracle RDS, SQL Server RDS 및 Redshift 등의 AWS 스토리지 및 데이터베이스 서비스에서 제공하는 데이터 암호화 기능
- AWS에서 암호화 키를 관리하도록 할지, 사용자가 키를 모두 제어하도록 할지 선택할 수 있는 유연한 키 관리 옵션(AWS Key Management Service 등)
- Amazon SQS에서 서버 측 암호화(SSE)를 사용하여 민감한 데이터를 전송하기 위해 메시지 대기열 암호화
- 고객이 규정 준수 요구 사항을 충족할 수 있도록 AWS CloudHSM을 사용한 하드웨어 기반 전용 암호화 키 스토리지
그 밖에도 AWS는 암호화 및 데이터 보호 기능을 AWS 환경에서 개발 또는 배포하는 모든 서비스와 통합할 수 있도록 고객과 APN 파트너에게 API를 제공하고 있습니다. -
AWS에서 고객이 GDPR을 준수하는 데 도움이 되도록 제공하는 서비스에는 어떤 것이 있습니까?
AWS에서는 이미 고객이 GDPR 요구 사항을 충족하는 데 도움이 되는 특정 기능 및 서비스를 제공하고 있습니다.
액세스 제어: 권한이 있는 관리자, 사용자 및 애플리케이션만 AWS 리소스에 액세스할 수 있도록 허용
- Multi-Factor-Authentication(MFA)
- Amazon S3 버킷 / Amazon SQS / Amazon SNS 등에 있는 객체에 대한 세분화된 액세스
- API 요청 인증
- 지리적 제약
- AWS Security Token Service를 통한 임시 액세스 토큰
모니터링 및 로깅: AWS 리소스의 활동에 대한 개요 확인
- AWS Config를 사용한 자산 관리 및 구성
- AWS CloudTrail을 사용한 규정 준수 감사 및 보안 분석
- AWS Trusted Advisor를 통해 구성 문제 파악
- Amazon S3 객체에 대한 액세스를 세분화하여 로깅
- Amazon VPC FlowLogs를 통해 네트워크 내 흐름에 대한 상세 정보
- AWS Config Rules를 사용한 규칙 기반 구성 점검 및 작업
- AWS CloudFront의 AWS WAF 기능을 사용하여 애플리케이션에 대한 HTTP 액세스 필터링 및 모니터링
암호화: AWS에서 데이터 암호화
- AES256을 사용하여 저장 데이터 암호화(EBS/S3/Glacier/RDS)
- 중앙집중식 관리형 키 관리(AWS 리전별)
- VPN 게이트웨이를 사용한 AWS에 대한 IPsec 터널
- AWS CloudHSM에서 제공하는 클라우드 내 전용 HSM 모듈
강력한 규정 준수 프레임워크 및 보안 표준: 다음과 같은 엄격한 해외 표준의 준수를 입증합니다.
- ISO 27001 - 기술적 조치 관련 표준
- ISO 27017 - 클라우드 보안 관련 표준
- ISO 27018 - 클라우드 프라이버시 관련 표준
- SOC 1, SOC 2 및 SOC 3, PCI DSS 수준 1,
- BSI의 Common Cloud Computing Controls Catalogue(C5)
- ENS 상위
AWS 및 영국 GDPR
-
GDPR이 영국에도 적용됩니까?
GDPR은 브렉시트 이후의 EU 규정이며, 더 이상 영국에는 적용되지 않습니다. 영국 정부는 GDPR의 요구 사항을 ‘영국 GDPR’로 영국 법에 통합했습니다.
-
고객이 영국 GDPR을 준수하여 AWS를 사용하려면 어떻게 해야 합니까?
AWS는 영국 GDPR에 따른 데이터 처리자로서의 AWS 노력이 반영된 AWS DPA에 영국 GDPR 준수 영국 GDPR Addendum을 제공합니다. 영국 GDPR Addendum은 AWS 서비스 약관의 일부이며 데이터 처리 계약이 필요한 모든 고객이 영국 GDPR을 준수하도록 자동으로 적용됩니다.
-
고객이 영국 GDPR을 준수하여 고객 데이터를 전송하려면 어떻게 해야 합니까?
AWS 서비스 약관의 일부인 영국 GDPR Addendum은 EC가 채택한 SCC와, 영국 데이터 보호 규제 기관(정보위원회)이 발행한 국제 데이터 전송 부록(IDTA)을 포함합니다. IDTA는 적절한 개인 정보 보호 수준을 제공한다고 인정받지 않은 영국 외 국가(영국 외 제3국)로의 국제 데이터 전송에 대해 UK GDPR에 따른 적절한 보호 수단을 구성하도록 SCC를 개정합니다. 영국 GDPR Addendum은 고객이 AWS 서비스를 사용하여 영국 GDPR의 적용을 받는 고객 데이터(영국 고객 데이터)를 영국 외 제3국으로 전송할 때 (IDTA에 의해 개정된) SCC가 자동으로 적용된다는 것을 확인합니다. AWS 서비스 약관 내 영국 GDPR Addendum의 일환으로, 고객이 AWS 서비스를 사용하여 영국 고객 데이터를 영국 외 제3국으로 전송할 때마다 (IDTA에 의해 개정된) SCC가 자동으로 적용될 것입니다.
AWS 및 스위스 연방 데이터 보호법
-
고객이 스위스 연방 데이터 보호법에 따라 AWS를 어떻게 사용할 수 있나요?
AWS는 AWS 데이터 처리 부록(“스위스 부록(Swiss Addendum)”)에 스위스 부록을 제공합니다. 이 부록에는 스위스 연방 데이터 보호법(“FDPA”)에 따른 데이터 처리자로서의 AWS의 약속이 담겨 있습니다. 스위스 부록은 AWS 서비스 약관(섹션 1.14.4 참조)의 일부이며, 고객이 고객 데이터를 처리하기 위한 AWS 서비스 사용에 FDPA를 적용할 때 자동으로 적용됩니다.
-
고객이 영국 FDPA를 준수하여 고객 데이터를 전송하려면 어떻게 해야 하나요?
AWS 서비스 약관(섹션 1.14.4 참조)의 일부인 AWS 데이터 처리 부록에 대한 스위스 부록에는 유럽 위원회가 채택하고 스위스 연방 데이터 보호 및 정보 위원회에서 필요에 따라 수정한 표준 계약 조항(“SCC”)이 포함되어 있습니다. 스위스 부록은 고객이 AWS 서비스를 사용하여 FDPA의 적용을 받는 고객 데이터를 제3국으로 전송할 때 (스위스 부록에 의해 개정된) SCC가 자동으로 적용된다는 것을 확인합니다.
문의처
-
GDPR 및 AWS 관련 질문이 있는 경우 누구에게 문의해야 합니까?
GDPR에 대한 질문이 있는 고객은 먼저 담당 AWS 어카운트 관리자에게 문의하시기 바랍니다. Enterprise Support에 가입한 고객은 테크니컬 어카운트 관리자(TAM)에게도 연락할 수 있습니다. TAM은 솔루션 아키텍트와 협력하여 고객이 잠재적 위험과 잠재적 완화 요소를 식별할 수 있도록 지원합니다. TAM과 계정 팀은 고객 및 APN 파트너의 환경과 요구 사항에 따라 특정 리소스를 안내할 수도 있습니다.또한, AWS에는 GDPR 관련 질문을 지원하기 위해 Enterprise Support 담당자, Professional Services 컨설턴트 및 기타 직원으로 구성된 팀이 있습니다. 궁금한 점이 있으면 여기로 AWS에 문의하시기 바랍니다.