GDPR이란 무엇인가요?

GDPR은 데이터 처리에 대한 일곱 가지 기본 원칙을 정한다. 적법성·공정성·투명성, 목적 제한, 데이터 최소화, 정확성, 보관 제한, 무결성과 기밀성, 그리고 책임성이다. 이 규정은 정보 주체에게 자신의 데이터에 대한 상당한 권리를 부여하는데, 여기에는 열람권, 정정권, 삭제권("잊힐 권리"), 데이터 이동권, 처리 거부권이 포함된다.

무결성과 기밀성 원칙(제5조 제1항 f호)은 개인정보가 무단 접근, 우발적 손실, 파괴로부터의 보호를 포함해 "적절한 보안"으로 처리되도록 요구한다. 제32조는 조직이 위험에 비례하는 기술적 조치를 구현하도록 명시적으로 규정하며, 암호화와 가명처리를 적절한 조치로 든다. 데이터 침해는 72시간 이내에 감독 기관에 신고해야 하며, 전 세계 연 매출의 4% 또는 2천만 유로까지의 벌금이 가능하다.

GDPR의 데이터 최소화와 보관 제한 원칙은 조직이 자격 증명과 비밀을 다루는 방식에 직접적 영향을 미친다. 비밀번호, API 키, 접근 토큰을 지속적인 이메일 스레드나 채팅 로그에 보관하면, 보호하고 결국 삭제해야 하는 불필요한 데이터 저장소가 생긴다. 운영 비밀을 포함한 모든 저장 데이터에 대해 적절한 보안 조치를 입증하지 못하는 조직은 규제 위험에 노출된다.

Vaulted가 GDPR을 사용하는 방법

Vaulted는 설계상 GDPR 핵심 원칙에 부합한다. 데이터 최소화는 구성된 조회 횟수나 만료 기간 후 비밀을 자동 삭제하는 자기 파기 링크로 달성된다. 의도된 사용 목적을 넘어 어떤 데이터도 보관하지 않는다. 보관 제한 원칙은 데이터 저장소의 자동 TTL 기반 만료로 시행된다. 클라이언트 측 AES-256-GCM 암호화와 제로 지식 서버 아키텍처는 무결성과 기밀성을 보장한다. Vaulted 인프라조차 공유된 평문에 접근할 수 없으므로, 데이터 침해 시 신고 의무의 범위가 줄어든다.