4 Min. Read

데이터 보안 및 개인정보 보호에 대한 AppsFlyer의 자세 – Guy Flechter(CISO & DPO)와의 대화

Minnie Katzen Mayer Minnie Katzen Mayer Nov 21, 2018

AppsFlyer는 데이터 보안과 개인정보 보호에 관한 질문을 자주 받습니다. 고객과 파트너는 우리가 데이터의 무결성을 유지하기 위해 어떤 방법을 쓰는지 궁금해하며, 이러한 질문이 제기되는 것은 당연합니다.

수천 개의 고객사를 위해 연간 1조 건이 넘는 데이터 포인트를 처리하는 기업에서 데이터를 안전하게 지키고 있는지, 개인정보를 잘 보호하고 있는지 궁금해하는 것은 당연한 일입니다. 이러한 모든 궁금증과 기타 질문들에 대한 답을 얻기 위해 AppsFlyer의 CISO(Chief Information Security Office)이자 DPO(Data Protection Officer)인 Guy Flechter에게 질문을 던졌습니다.

Guy Flechter는 2017년 말에 AppsFlyer의 CISO이자 DPO로 합류했습니다. Guy는 데이터 보안과 개인정보 보호 분야에서 17년 간의 풍부한 경험을 지닌 베테랑입니다.

 

개인정보 보호와 보안에 대한 AppsFlyer의 기본적인 접근 방식은 무엇입니까? 이러한 노력을 위해 리더로서 어떤 역할을 수행하고 계신가요?

저는 개인정보 보호권을 인간의 근본적인 권리로 봅니다. 약간 극적으로 들리겠지만, 진심입니다. 저는 이 업계에서 15년 넘게 일하면서 개인정보를 어떻게 보호하고, 어떤 수단을 발전시킬 수 있는지를 고민해왔습니다. AppsFlyer는 보안과 개인정보 보호 두 측면 모두에서 국제적인 기관들로부터 공식 인증되어야 할 요건들을 충족하고 있죠. 심지어 기준을 초과 충족하는 경우도 있습니다.

우리는 언제나 높은 경각심을 유지합니다. 언제나요. 모든 활동을 점검하고 재점검하면서, 우리의 시스템을 보호하기 위해 활용가능한 가장 첨단의 기술을 찾습니다. 그냥 해야할 일만 하고 넘어가는 게 아닙니다. 우리는 지속적으로 어떻게 하면 우리 자신을 확장할 수 있을지, 한 단계 더 뛰어넘을 수 있을지를 고민합니다.

 

보안과 개인정보 보호 측면에서 AppsFlyer를 두드러지게 만드는 요소는 무엇인가요?

개인정보 보호 및 보안 팀은 독립적이고 고립된 팀이 아닙니다. 우리는 AppsFlyer에서 솔루션, IT, DevOps, 개발팀에 소속되어 일부로 일합니다. 우리 팀은 스스로를 다른 팀들의 연장선으로 간주하죠.

개발 측면에서 보면, 보안은 처음부터 제품에 내재한 속성이라고 볼 수 있습니다. 다 만들고 나서 상표처럼 붙이는 게 아닌 것이죠. 새로운 기능과 제품이 개발될 때, 우리 팀은 아주 이른 개발 단계부터 참여합니다. 그래야만 보안과 개인정보 보호가 단순한 사후 처리가 아닌, 그 제품 구조의 일부가 될 수 있기 때문이죠. 그 결과, 연구개발팀 안에는 보안 우선주의 문화가 자리잡았습니다. 저는 모든 회사가 이렇게 해야 한다고 생각합니다.

이게 다가 아닙니다. AppsFlyer의 모든 팀은 우리 팀의 업무에 일정 수준으로 날마다 관여합니다. 그리고 물론 우리 팀은 우리가 보안이나 개인정보 보호에 관해 가질 수 있는 모든 유형의 니즈나 우려 사항에 대해 경영진의 전적인 지지를 받고 있습니다.

 

AppsFlyer가 업계에서 어떤 위치를 차지하며, 어떤 지점에 부합한다고 생각하세요?

‘부합’이라는 단어는 적절하지 않은 것 같습니다. 우리는 ‘선도’하고 있거든요. 우리가 보기에, 우리는 무언가를 무제한으로 발전시키고 향상시킬 수 있습니다. 우리는 끊임없이 한 단계를 넘어서려고 노력하고 있어요.
우리는 혁신적인 개인정보 보호 및 보안 이니셔티브를 제시하면서 업계를 이끌고 있는데, 이는 업계 내 경쟁자들을 압도한다고 할 수 있습니다. 일례로 우리의 이니셔티브인 OpenGDPR은 GDPR 필수 요건인 데이터 주체의 권리 준수를 위한 보편적이고 안전한 공동 프레임워크입니다. 여러 협력사와 함께 개발한 OpenGDPR 프레임워크는 고도로 연결된 스택을 구현 및 유지할 수 있는 최선의 권고 사례들을 모은 공개 API 사양을 제시합니다.

 


"AppsFlyer, mParticle, Braze, Amplitude가 함께 힘을 합쳐 ‘저스티스 리그(Justice League)’의 모바일 업계 버전을 만들었다. OpenGDPR이라 명명한 이 컨소시엄은 마케터들이 데이터 관련 업무를 최신 상태로 유지할 수 있는 프로세스를 간소화하는 것을 목표로 삼고 있다."


 

 

AppsFlyer가 보안과 개인정보 보호 분야에서 취득한 인증들을 설명해 주시겠어요?

AppsFlyer는 2016년 이래 SSAE16 SOC2를 인증받아 왔습니다. 이 인증은 데이터 보안, 데이터 무결성 처리, 기밀성, 시스템 개인정보 보호 분야에서 엄격한 통제 기준을 충족하는 기관에게만 주어집니다(자세한 정보는 여기에서 확인할 수 있습니다). 다른 모바일 어트리뷰션 회사 중에서는 유일하게 한 곳만이 SOC2 인증을 받았습니다. 우리는 이 요건을 충족하는 것을 진정으로 중요하게 생각하고 있습니다.

또한, AppsFlyer는 미국 상무부로부터 유럽연합에서 미국으로 이전되는 개인정보의 수집, 사용 및 보존과 관련된 EU-U.S. Privacy Shield Framework의 원칙을 준수한다는 인증을 받았습니다(자세한 정보는 여기에서 확인할 수 있습니다).

아울러 AppsFlyer는 기술적, 수동적 방법론과 회사 자체 점검을 활용해 TRUSTe 및/또는 해당 규제기관이 설립한 모든 개인정보 보호 요건을 충족합니다. TRUSTe 인증을 지속적으로 유지한다는 것은 우리가 투명성을 지키기 위해 전심전력을 다한다는 뜻입니다. 우리는 TRUSTe와 협력하여 데이터 개인정보 보호 정책과 사례를 확인 및 평가하고 있습니다. 즉, TRUSTe가 우리의 웹사이트와 그 하위 도메인, SDK, API들을 검토합니다(자세한 정보는 여기에서 확인할 수 있습니다).

이것만이 아닙니다. 우리는 보안과 관련한 인증을 몇 가지 더 보유하고 있습니다. 예를 들어 ISO27001, ePrivacy 등이 있죠.

 

최근 애드테크 시장과 모바일 생태계에서 가장 큰 난관은 무엇입니까?

모바일 기술은 지구에서 가장 빠르게 성장하는 시장 중 하나입니다. 당연히 모바일 보안을 훼손할 수 있는 위험 요소와 기술도 엄청나게 빠른 속도로 발전하고 있죠. 이러한 위험 요소들보다 앞서 선제적으로 대응하는 것이 가장 중요한 목표입니다. 모바일 테크 기업의 CISO라면 누구나 이를 최우선 목표로 삼을 것입니다.

고객의 데이터를 보호하는 일은 우리의 최우선 순위입니다. 우리의 고객사 뿐만 아니라 고객사의 최종 사용자까지 포함해 모두의 데이터를 보호하는 과제를 끊임없이 수행해야 합니다.

우리 팀의 좌우명은 ‘절대로 작업이 끝났다고, 혹은 우리가 모든 것을 안다고 가정하지 말자’입니다. 우리는 끊임없이 배우고, 성장하고, 향상하고 있습니다. 이 분야에서는 계속해서 열린 마음을 가져야 하며, 항상 깨어 있어야 합니다.

 

개인정보 보호를 위해 많은 회사가 외부 서비스나 컨설팅 기업과 협력하고 있습니다. 그럼에도 사내에 DPO를 두는 일은 왜 중요한가요?

사내 DPO는 고유한 장점이 있습니다. 바로 가까이 있는 것이죠. DPO는 팀의 일원으로 매일의 업무 활동에 익숙하고, 모든 사람과 일어나는 모든 일을 잘 압니다. 개인정보를 보호하기 위한 방법들은 처음부터 제품 개발 단계의 일부여야 하며, 사후 처리의 대상이 아닙니다. 다른 외부 제공업체는 이 간계에 참여할 수 없으며, 과정 전반에 걸쳐 핵심적인 세부사항을 놓칠 가능성이 높습니다.

 

팀의 비전은 무엇이며, 어떤 방향으로 가고 있나요?

우리 팀은 지속적으로 커지고 있죠. 이는 회사의 성장세를 반영하는 것입니다. 우리는 전반적인 위험요소와 관련한 상황을 파악하고 변화시키는 데 있어 언제나 업계를 선도할 수 있도록 끊임없이 계속 일합니다. 우리의 일은 절대 끝나지 않습니다.

 

정말 엄청나게 스트레스가 많을 것 같은데요. 밤에 수면 관리는 어떻게 하시나요?

보통은 엎드려 자는데, 가끔씩 옆으로 잘 때도 있습니다.