Fasoo의 제품 및 기술 관련 정보를 공유 드립니다.
데이터 프라이버시 및 보안을 위한
데이터 가시화
가장 좋은 방법은 파일 자체 리포팅 방식 (self-reporting file method)을 사용하는 것입니다. 이 방식은 별도의 네트워크나 애플리케이션 또는 장치 로그에 의존하지 않고 모든 문서의 상호 작용을 자동으로 추적, 수집 그리고 기록합니다. 이러한 파일 자체 리포팅 방식 (self-reporting file method)을 가능하게 하는 기술이 바로 강력한 데이터 보안 방식인 파일 중심 방식 (file-centric method)의 토대가 됩니다. 민감 데이터에 대한 심층적 데이터 가시성과 강력한 최전선 방어를 제공하는 파일 중심 방식 (file-centric method)을 사용해 개인 정보 보호와 보안 격차를 모두 해소하십시오.
데이터가 어디에 존재하는지, 누가 사용하고 있는지 그리고 데이터 라이프 사이클 전반에 걸쳐 어떻게 변화하고 있는지를 파악하기 위해서는 데이터에 대한 가시성을 확보해야 합니다. 다운스트림제어 (downstream control)를 위해 데이터를 찾아내고 태깅하는데 식별 및 분류 도구를 사용하는 것은 가시성 확보를 위한 좋은 시작점이 될 수 있습니다. 하지만, 데이터는 라이프 사이클 전반에 걸쳐 계속 이동하고 액세스되며 또 다른 파일 유형으로 변경됩니다. 따라서, 지속해서 데이터를 제어하려면 데이터 추적을 위한 심층적 단계의 가시성을 확보해야 합니다.
사이버 보안 및 개인 정보 보호 팀은 민감 정보를 포함한 파일을 추적해야 하는 도전 과제를 마주하고 있습니다. 조직 내 사용자는 민감 정보를 포함한 파일을 내부 그리고 외부 사용자와 공유하기 때문에 여러 시스템, 애플리케이션 그리고 장치에서 해당 파일에 대한 액세스가 발생하게 됩니다. 조직은 일반적인 비즈니스 환경에서 사용되고 있는 약 40개가 넘는 서로 다른 보안 및 IT 운영 도구들을 사용해 파일의 상호 작용을 추적하고 연관성을 찾아내고 또 보고하기 위해 애쓰고 있습니다.
이러한 도전 과제는 조직 내 문서 이동, 외부 공유 그리고 복제 또는 수정으로 인한 변경으로 데이터 가시성이 자주 모호해지면서 더욱 해결이 어려워집니다. 적절한 데이터 가시성을 확보하지 못한다면 민감 정보가 공유, 다른 위치로 이동, 변경 또는 삭제되는 순간을 놓칠 수 있습니다.
또한, 데이터 유출 사고 조사 및 개인 정보 보호 규정 준수를 위해서도 민감 정보를 포함한 파일의 상호 작용에 대한 가시성을 확보해야 합니다. 사고 대응 팀을 지원하기 위한 세부적인 내용이 즉시 사용 가능한 수준으로 준비되어야 하며, GDPR (General Data Protection Regulation)과 CCPA (California Consumer Privacy Act) 같은 개인 정보 보호 규정은 특정 기간 기업이 보유한 모든 개인 정보를 보고하도록 강제하여 이를 위반하는 경우 벌금을 부과하고 있습니다.
IT, 보안 그리고 개인 정보 보호 전문가들은 계속해서 증가하는 가시성 격차 문제를 해결하고 다음과 같은 이유로 야기될 수 있는 위험을 극복하기 위해 노력하고 있습니다.
전략, 운영 그리고 지적 재산을 포함한 비정형 데이터의 기하급수적 증가
COVID-19로 인해 조직 외부에서 갑작스럽게 운영해야 하는 원격 근무 인력
조직이 사용하는 개인 정보에 대한 개인의 권리에 더욱 더 초점을 맞추고 있는 개인 정보 보호 규정
데이터의 확산 속도는 가히 놀라울 정도입니다. 비정형 데이터의 양은 빠르게 증가하고 있으며 이는 기업 데이터 저장소의 약 80%를 차지할 것으로 추정됩니다. 하지만, 이러한 비정형 데이터는 대게 관리가 소홀합니다. 또한, 사용자들은 제어 중인 저장소로부터 민감 정보를 포함한 파일을 가져가 개인 휴대용 컴퓨터, 엔드 포인트 그리고 클라우드 서비스에 저장하고 협업 애플리케이션을 통해 내부 및 외부 사용자와 공유하면서 파일 제어와 추적을 어렵게 만듭니다.
COVID-19로 근무 인력이 급격하게 증가하였고 기업의 경계는 해체되었습니다. 따라서, 이제 민감 정보를 포함한 데이터는 더욱 관리되지 않는 공유 장치에 존재하게 되었습니다. 데이터는 안전하지 않은 네트워크를 통해 이동되고, 무단 또는 허용되지 않은 애플리케이션에서 사용됩니다. 이러한 모든 것들이 기업의 감시 및 감독으로부터 멀어졌습니다.
개인 정보 보호 규정은 개인의 권리를 최우선에 두고 있습니다. 알 권리 (right to be informed), 잊혀질 권리 (right to be forgotten) 그리고 데이터 상주 (data residency) 요구 사항은 데이터 가시성 및 추적, 제어, 보고에 있어 새로운 과제를 제시하고 있습니다.
레거시 보안 및 데이터 아키텍처는 오늘날의 요구 사항을 충족시키는데 필요한 심층적 단계의 데이터 가시성과 지속적인 추적 기능을 제공하지 않습니다.
경계 보안을 위해 설계된 데이터 유출 방지 (Data Loss Prevention, DLP) 및 계정 접근 관리 (Identity and Access Management, IAM) 솔루션은 클라우드로 이동된 데이터나 원격 작업자가 다운로드한 데이터를 추적하지 못합니다. 개인 정보 보호 및 합법적인 이디스커버리 (e-discovery) 애플리케이션이 파일 매핑 (file mapping) 기능을 제공하는 경우도 있지만, 제공된 기능들은 상호 고립되어 파일의 상호 작용을 추적하지 못할 뿐 아니라 다수의 데이터 세트들 또한 연결되어있지 않고 불완전한 상태입니다.
파일에 내장되어 파일과 함께 이동하는 고유 ID는 전반적인 라이프사이클에 걸쳐 지속해서 파일을 추적하고 상호 작용에 대한 자체 리포팅 (self-reporting)을 할 수 있도록 해줍니다. 이 방법을 사용하면 다음과 같은 이점을 얻을 수 있습니다.
다수의 시스템에서 발생한 패치 작업 로그 (patch-work logs)를 사용한 작업 제거
감사 및 규제 목적을 위한 단일 정보 저장소 (single source of truth) 제공
효율적이며 시기적절한 사고 대응 및 개인 정보 보호 가능
조직이 기존에 사용하던 데이터 중심 (data-centric) 도구들은 임베디드 ID (embedded ID) 방식을 도입해 함께 사용함으로써 더 나은 성능을 발휘할 수 있습니다. 식별 검사 (Discovery scan)만으로는 복사 및 복제된 파생 파일 간의 연관 관계를 파악하기에 부족합니다.
임베디드 ID (embedded ID)를 통해 원본 파일의 파생 파일들은 복제 또는 이름 변경 여부와 상관없이 상위 ID 태그 (parent ID tag)와 모든 보안 및 거버넌스 정책을 상속받습니다.
임베디드 ID (embedded ID)는 보안 및 개인 정보 보호, 합법적 이디스커버리 (e-discovery) 애플리케이션 내 추적 도구를 포함해야 하는 필요성을 없앰으로써 도구의 무분별한 확산을 줄일 수 있도록 해줍니다. 모든 애플리케이션은 파일 추적 및 상호 작용을 이해하는데 있어서 단일 정보 저장소 (single source of truth)로부터 도움을 받을 수 있습니다.
파생 파일
데이터가 라이프 사이클에 걸쳐 변화하는 이유는 원본 파일이 복사되거나, 이름이 변경되거나 또는 다른 형식으로 저장되기 때문입니다.
식별 검사 (discovery scan)는 비정형 데이터를 찾아내지만 후속 검사를 통해 이전에 검사를 완료한 파일과 파생 파일 간의 연관 관계를 파악할 방법을 제공하지 않습니다.
추적에 실패한 파생 파일은 개인 정보 보호 규정 위반 위험을 초래하고, 중복된 민감 데이터가 여러 위치에 불필요하게 보관되므로 조직의 위험 노출 범위 (threat surface)를 증가시킵니다.
임베디드 ID (embedded ID)를 통해 파생 파일은 원본 파일과 동일한 ID를 상속받습니다. 이는 IT 인프라 전반에 걸쳐 가시성을 확보하고 보안 분류 및 후처리 제어를 지속해서 가능하게 해줍니다.
개인 데이터 권리
개인 정보를 추적하려면오늘날의 개인 정보 보호 규정을 준수하기 위한 지속적인 가시성 확보와 보고 과정이 필요합니다.
데이터 정보 주체 접근 요청 (Data Subject Access Request, DSAR)에 대응해 조직은 모든 고객의 개인 정보를 파악하여 특정 기간(예: 30일) 내에 보고해야 합니다.
개인과 관련된 모든 파일은 라이프 사이클 전반에 걸쳐서 고려되어야 합니다.
임베디드 ID (embedded ID)를 사용하면 시간 소모적인 파일 포렌식 작업을 하지 않아도 됩니다. 조직은 최신 상태의 심층 데이터 가시성을 확보하도록 도와주는 단일 정보 저장소 (a single source of truth)를 통해 오늘날의 까다로운 개인 정보 권리와 관련된 규정을 준수할 수 있습니다.
제3자 제어
데이터 가시성을 잃는 경우는 기업 네트워크 외부에서 공급망 업체, 외부 법률 및 재정 전문가와 파일을 공유할 때 발생합니다.
데이터를 적절하게 보호하도록 책임을 부여하는 규제 기관의 규제에 따라 제3자 관리하에 데이터 침해 사고가 발생하면 이를 반드시 보고해야 합니다.
안전하면서 규정을 준수하는 공유란 관리하고 있는 네트워크 내의 가시성과 제어를 제3자에게로 동일하게 확장하는 것을 의미합니다.
임베디드 ID (embedded ID)는 파일이 내부에 있을 때와 마찬가지로 제3자 위치에서도 추가 제어를 통해 파일 만료일을 설정하고 파일 액세스 권한을 언제든지 폐기할 수 있도록 해줍니다. 이러한 기능은 “알 권리와 잊혀질 권리 (rights to be informed and forgotten)” 규정 준수에 있어서 핵심 요소입니다.
사용자 행동 모니터링
데이터에 누가 접근하는지, 어떻게 사용되고 있는지, 그리고 어디로 이동되고 있는지는 데이터 오용 및 정책 위반 검출에 초점을 맞춘 모니터링 솔루션에 있어 매우 중요한 정보입니다.
데이터가 조직 외부의 이동식 드라이브로 이동되어 클라우드 서비스로 대량 업로드된다면 이는 악의적인 내부자 위협에 대한 초기 경고 신호일 수 있습니다.
사용자 행동 분석이 가장 효과적인 경우는 데이터 가시성 도구가 모든 애플리케이션과 저장소 위치에서 사용자 활동에 대한 완전한 관점을 제공할 때입니다.
임베디드 ID (embedded ID)는 데이터 활동에 대한 매우 세분된 정보를 제공함으로써 사용자 행동 분석을 통해 내부자 위협을 조기에 탐지할 수 있도록 해줍니다. 이러한 데이터 통찰력은 이동식 드라이브로의 데이터 복사를 제한하는 등과 같은 보안 방법을 적기에 실행할 수 있도록 도와줍니다.
임베디드 ID (embedded ID)와 함께 파일 중심 방식 (file-centric method)을 사용하는 것은 데이터 가시성 확보를 위한 가장 좋은 선택입니다. 이는 여러 네트워크 및 엔드 포인트에 중복으로 설치된 도구들을 제거하고, 암호화와 액세스 제한을 통해 데이터 자체를 보호하는 보호 우선 보안 접근 (a protect-first security approach) 방식을 가능하게 해줍니다.
민감 데이터를 위한 심층적 데이터 가시성을 확보하고 최전선에서 방어할 수 있게 해주는 파일 중심 방식 (a file-centric method)을 통해 “개인 정보 보호”와 “보안”, 그 두 세계를 연결하고 격차를 해소하십시오.