데이터 보존 정책
상태: 시행 중 버전: 1.1
개요
이 문서는 KYRA AI MDR 플랫폼의 데이터 보존 요구사항을 정의하여 다음을 보장합니다:
- 컴플라이언스 준수: 지역별 데이터 보호법 (GDPR, CCPA, SOX, PCI-DSS)
- 법적 방어력: 변경 불가능한 감사 추적 및 증거 보존
- 운영 효율성: 자동화된 수명 주기 관리
- 비용 최적화: 계층형 스토리지 및 지능형 삭제
데이터 분류 및 보존 매트릭스
주요 데이터 분류
| 데이터 분류 | 설명 | 비즈니스 정당성 | 기본 보존 기간 |
|---|---|---|---|
| 이벤트 데이터 | 원시 보안 이벤트, 로그, 텔레메트리 | SOC 조사, 포렌식 | 90일 (설정 가능: 30-365) |
| 알림 데이터 | 처리된 알림, 조사, 분류 결과 | 위협 헌팅, 패턴 분석 | 365일 (설정 가능: 180-1095) |
| 인시던트 데이터 | 케이스, 대응 활동, 경영진 보고서 | 컴플라이언스 감사, 교훈 도출 | 6년 |
| 감사 로그 | 플랫폼 접근, 설정 변경 | 규제 컴플라이언스, 침해 조사 | 7년 (변경 불가) |
| 과금 데이터 | 사용량 메트릭, 청구 기록 | 재무 감사, 매출 보증 | 7년 |
| 분석 데이터 | 성능 메트릭, AI 학습 데이터 | 플랫폼 최적화, 위협 인텔리전스 | 가변 (아래 참조) |
분석 데이터 보존
| 데이터 유형 | 보존 기간 | 비즈니스 필요성 |
|---|---|---|
| 알림 메트릭 | 2년 | 위협 환경 추이 분석 |
| AI Agent 성능 | 1년 | AI Agent 최적화 |
| 수집 처리량 | 1년 | 인프라 계획 |
| Tenant 일일 요약 | 3년 | 재무 보고, SLA 컴플라이언스 |
Tenant 설정 가능한 오버라이드
Tenant는 아래 범위 내에서 기본 보존 기간을 연장(단축 불가)할 수 있습니다:
| 데이터 분류 | 최소 보존 기간 | 최대 보존 기간 |
|---|---|---|
| 이벤트 데이터 | 30일 | 365일 |
| 알림 데이터 | 180일 | 3년 |
| 인시던트 데이터 | 3년 | 7년 |
참고: 감사 로그 및 과금 데이터의 보존 기간은 컴플라이언스 사유로 변경할 수 없습니다.
법적 보존(Legal Hold) 프레임워크
Legal Hold 우선 순위
Legal Hold는 항상 표준 보존 정책보다 우선합니다. Legal Hold 대상 데이터:
- 설정된 보존 기간과 관계없이 삭제 불가
- 무결성 검증과 함께 원본 형식으로 보존 필수
- 해제 시 법률 자문의 명시적 승인 필요
Legal Hold 트리거
다음의 경우 자동 Legal Hold가 개시됩니다:
- 규제 기관 소환장 (SEC, FTC, DOJ 및 해외 동등 기관)
- Tenant 법률팀의 소송 디스커버리 요청
- SEV1(활성 침해)로 분류된 보안 인시던트
- 규제 보고가 필요한 데이터 침해 통지
국경 간 Legal Hold 고려 사항
GDPR 적용을 받는 EU Tenant의 경우:
- Legal Hold가 “삭제권” (제17조)과 충돌할 수 있음
- 플랫폼은 각 Hold에 대한 적법한 근거 문서를 유지
- 법적 절차로 인해 삭제가 지연되는 경우 데이터 주체에 통지
주(州) 프라이버시법 적용을 받는 미국 Tenant의 경우:
- California CCPA: Legal Hold는 삭제 요청에서 면제 (1798.145(a)(1))
- Virginia VCDPA: 유사한 소송 면제 적용
자동 삭제 및 검증
보존 정책 적용
플랫폼은 일일 스케줄에 따라 자동으로 보존 정책을 적용합니다:
- 모든 tenant 데이터를 설정된 보존 기간과 대조하여 평가
- 삭제 작업 전 Legal Hold 보호 상태 확인
- 암호화된 삭제 검증 기록 생성
Legal Hold 보호
삭제 작업 전 시스템이 다음을 검증합니다:
- 해당 레코드에 활성 Legal Hold가 없는지 확인
- Tenant 설정에 의해 보존 기간이 연장된 레코드가 아닌지 확인
- Legal Hold 목록과 이중 검증 수행
삭제 검증 및 감사 증빙
모든 삭제 작업은 암호학적 증거를 생성합니다:
- 암호학적 증명: 삭제된 레코드 식별자에 대한 HMAC 기반 검증
- 감사 기록: 평가, 삭제, 보호된 레코드에 대한 변경 불가 로그
- 검증 기능: 컴플라이언스 감사인이 삭제 완전성을 독립적으로 검증 가능
데이터 거주지 및 주권
지역별 데이터 고정
데이터 거주지는 규제 요구사항에 따라 tenant가 설정 가능합니다:
| 지역 | 데이터 유형 | 컴플라이언스 근거 |
|---|---|---|
| EU | 모든 tenant 데이터 | GDPR 제44-49조 |
| US | 모든 tenant 데이터 | SOX, HIPAA, FedRAMP |
| APAC | 모든 tenant 데이터 | 지역 금융 규제, PDPA |
| Global | 분석 데이터만 | 지연 시간 최적화 |
국경 간 전송 통제
원칙: 고객 데이터는 명시적으로 허가되지 않는 한 지정된 지역에 유지됩니다.
허용되는 국경 간 전송
- 플랫폼 진단 (익명화된 텔레메트리만 해당)
- 법적 컴플라이언스 (소환장, 사법 공조)
- 고객 주도 내보내기 (헌팅 쿼리 결과, 위협 보고서)
데이터 현지화 컴플라이언스
EU (GDPR) 요구사항
- 기본 스토리지: EU/EEA 내에 위치해야 함
- 백업: 적절한 보호 조치를 갖춘 경우 미국에 암호화된 백업 저장 가능
- 분석: 집계/익명화된 분석 데이터는 글로벌 처리 가능
- 법적 근거: 보안 운영을 위한 제6조(1)(f) 정당한 이익
미국 요구사항
- 연방 고객: FedRAMP 경계 (미국 내 저장 및 처리만 가능)
- 금융 서비스: SOX 컴플라이언스는 미국 또는 동등한 관할권 요구
- 의료: 적절한 BAA를 갖춘 경우 HIPAA는 미국 내 저장 허용
GDPR 삭제권
데이터 주체 요청 처리
데이터 주체가 삭제권을 행사할 경우:
- 데이터 주체의 신원을 확인
- 충돌하는 활성 Legal Hold 여부를 확인
- 플랫폼 전체에서 모든 개인 데이터 레코드를 식별
- 레코드를 가명 처리(분석 가치 보존) 또는 완전 삭제
- 삭제 완료를 기록하고 데이터 주체에 통지
가명 처리 vs. 삭제
| 시나리오 | 조치 | 근거 |
|---|---|---|
| 분석 레코드 | 가명 처리 | 위협 인텔리전스 패턴 보존 |
| 감사 로그 | 가명 처리 | 컴플라이언스 추적 무결성 유지 |
| 원시 이벤트 데이터 | 완전 삭제 | 가명 처리 후 분석 가치 없음 |
| Legal Hold 데이터 | 삭제 보류 | 규제/소송 요구사항 |
계층형 스토리지
데이터는 비용 최적화를 위해 스토리지 계층을 자동으로 이동합니다:
| 계층 | 접근 패턴 | 용도 |
|---|---|---|
| Hot | 빈번한 접근 | 활성 조사, 최근 알림 |
| Warm | 드문 접근 | 과거 알림 (30일 이상) |
| Cold | 매우 드문 접근 | 보관된 이벤트 (90일 이상) |
| Frozen | 장기 보관 | 장기 컴플라이언스 보존 (365일 이상) |
백업 보존
| 데이터 유형 | 백업 빈도 | 보존 기간 |
|---|---|---|
| 운영 데이터베이스 | 지속적 | 30일 |
| 일일 스냅샷 | 24시간 | 90일 |
| 주간 스냅샷 | 7일 | 1년 |
| 월간 스냅샷 | 30일 | 7년 |
리전 간 백업 컴플라이언스
- EU tenant 데이터 백업은 EU에서 관리하는 키로 암호화
- 미국 백업 스토리지는 적정성 결정(Adequacy Decision) 또는 표준 계약 조항(SCC) 필요
- 백업 복원 시 국경 간 전송 로깅 트리거
보존 정책 모니터링
주요 추적 메트릭
- tenant 및 데이터 유형별 데이터 보존 기간 분포
- 삭제 작업 성공률 (목표: 99.9%)
- Legal Hold 건수 및 평균 기간
- 계층화를 통한 스토리지 비용 최적화 절감
- GDPR 요청 처리 시간 (목표: 30일 이내)
- 국경 간 전송 감사 추적
자동 알림
- 삭제 작업 실패 시 보안팀에 즉시 통지
- 보존 기한을 초과하는 레코드 발생 시 컴플라이언스팀에 알림
- 3년을 초과하는 Legal Hold 발생 시 법률 자문 검토 트리거
정책 책임자: 최고정보보호책임자 (CISO) 검토 주기: 연 1회 또는 규제 변경 시