자료실

Fasoo의 제품 및 기술 관련 정보를 공유 드립니다.

Protect-First Approach
To Data-Centric Security

데이터 보호를 우선시 하는 접근전략,
데이터 중심의 보안

세 가지 주요 데이터 중심 (data-centric) 보안 방식

오늘날 시장에는 민감한 비정형 데이터의 손실 및 무단 액세스를 방지하기 위한 세 가지 주요 보안 방식이 존재합니다. 각각의 방식은 서로 다르며, 이를 비교 및 대조하기 위한 가장 좋은 방법은 공급 업체의 솔루션이 보호하려는 보안 대상과 주로 사용하는 데이터 중심 도구가 무엇인지 파악하는 것입니다.

방식

데이터 흐름 중심
(Data Flow-Centric)

위치 중심
(Location-Centric)

파일 중심
(File-Centric)

보안 대상

유출입 포인트에 존재하는 데이터

폴더, 파일 공유, 디스크, 클라우드

파일

도구

데이터 유출 방지
(Data Loss Prevention, DLP)

계정 접근 관리
(Identity & Access Management, IAM)

행동 분석
(Behavior Analytics)

지속 암호화
(Persistent Encryption)

계정 접근 관리
(Identity & Access Management, IAM)

오늘날 계속해서 증가하는 위협과 데이터 유출 피해로 인해 더 많은 조직이 데이터 중심 아키텍처의 기반으로 파일 중심 방식을 선택하고 있습니다. 이는 데이터의 이동이나 위치와 상관없이 민감한 데이터에 대한 무단 엑세스를 차단할 수 있는 유일한 방법입니다. 이러한 보호 우선 기반은 데이터를 적절하게 보호하지 못하면 보안 전체가 무너진다는 인식에서 비롯됩니다.

파일 중심 방식은 최전선에서 데이터를 보호하며, 더욱 강력하고 응집력 있는 데이터 중심 보안을 위해 다른 방식들과 결합하여 사용될 수 있습니다. 각 방식의 주요 차이점을 이해하는 것은 솔루션 공급 업체 선정 및 가장 필요한 보호 우선 아키텍처를 구축하는 데 도움을 줍니다.

데이터 흐름 중심

데이터 흐름 중심 솔루션은 기업 인프라의 데이터 유출입 포인트에서 민감한 데이터를 보호하며, 데이터 유출을 막기 위한 데이터 유출 방지 (Data Loss Prevention, DLP) 도구를 사용합니다. 데이터 유출입 포인트에는 서버, 네트워크 엔드 포인트 그리고 클라우드 서비스가 포함됩니다.

오늘날 기업 대부분이 데이터 유출입 포인트를 보호하기 위해 통합 DLP (예: 네트워크 DLP, 전자 메일 서버 DLP, 엔드 포인트 DLP)로 알려진 DLP 솔루션을 배포했지만, 소수의 기업만이 완전한 기업용 DLP (예: 모든 유출입 포인트를 보호하는 완전한 솔루션 제품군)로의 확장을 진행했습니다.

데이터 흐름 중심 방식의 특징

보안 방식

데이터 사용 및 이동에 개입하여 유출 방지

도구

정규식 및 정의된 문자열, 키워드, 패턴, 데이터 사전을 주도적으로 찾는 콘텐츠 매칭
추가적으로 사용 가능한 도구는 지문(인덱싱) 및 이미지 인식

DLP 솔루션은 조건 (conditions), 행동 (actions) 그리고 예외 (exceptions) 규칙을 설정합니다. 그리고 이러한 설정에 따라 메시지와 파일 내용을 필터링하고 즉각적인 수정 조치를 취합니다. 또한, 사용자에게 특정 행동이 위험하다고 경고하거나 행동을 하지 못하도록 차단할 수 있습니다. 예를 들어, 민감한 데이터가 전자 메일을 통해 공유될 때 경고를 보내거나 USB 드라이브로 민감한 데이터를 포함한 파일을 복사하지 못하도록 제한할 수 있습니다.

많은 조직이 전자 메일 DLP를 도입했습니다. 이는 전자 메일이 민감한 데이터의 무단 교환이 발생하기 쉬운 가장 명백한 데이터 유출입 포인트이기 때문입니다. 점점 개선되어 가고는 있지만, 보안 및 IT 관리자는 DLP 솔루션을 구축하고 운영하는 데 있어서 여전히 다음과 같은 문제에 부딪히고 있습니다.

  • 규칙은 복잡하며 여러 차례 잘못된 경고를 보내기도 합니다.

  • 관리자는 사용자 작업 흐름에 지장을 줄까 봐 우려하여 제어를 느슨하게 하고, 차단 메커니즘을 거의 구현하지 않습니다.

  • 경고 기능은 관리자에게 부담을 주며, 백로그 (backlogs)를 해결하는데 몇 주 또는 몇 달의 시간이 소요될 수 있습니다

기업은 너무나 자주 DLP에 대해 부적절한 기대를 하곤 합니다. DLP 도입은 물론 효과적이지만 많은 기업이 기업 환경에 알맞은 정책을 구축 및 조정, 관리하는데 필요한 리소스와 복잡성을 과소평가합니다. 적절한 규칙과 경고를 설정하기 위해서는 반복적인 개선 작업이 필요하다는 것을 예상해야 합니다.

KEY INSIGHT:

데이터 흐름 중심 방식은 위험을 감소시키는 데는 효과적이지만, 강력한 보호 우선 접근 방식은 아닙니다. 이는 데이터 자체를 보호하는 것이 아니라 조직 내 데이터의 흐름만을 보호합니다. 따라서, 유출 사고가 발생하는 경우 데이터가 무단 노출될 수 있습니다.

위치 중심

위치 중심 솔루션은 민감한 데이터가 저장된 위치를 보호하며, 계정 접근 관리 (Identity & Access Management, IAM) 도구를 사용해 보안 틈새와 불일치성을 찾아냅니다. 또한, 사용자 행동 분석 (User Behavior Analytics, UBA)을 통해 민감한 데이터가 무단으로 노출될 수 있는 위험을 감소시킵니다. 위치에는 폴더, 파일 공유, 디스크 그리고 클라우드 서비스가 포함됩니다.

위치 중심 방식의 특징

보안 방식

무단 액세스 및 의심스러운 사용으로부터 폴더, 파일 공유 또는 디스크를 보호

도구

불일치 및 불필요한 제어를 찾아내기 위한 계정 접근 관리 (Identity & Access Management, IAM) 설정 및 정책에 대한 분석 진행
비정상적인 이벤트를 모니터링하고 검출하는 사용자 행동 분석 (User Behavior Analytics, UBA)

콘텐츠를 반복적으로 확인하고 평가하는 DLP 솔루션과 달리 위치 중심 솔루션은 민감한 데이터를 사전에 처리 및 분류, 태깅합니다. 태그는 민감한 데이터가 IT 아키텍처 내 어디에 존재하는지 알려주며 아래 도구를 사용합니다.

  • IAM 도구: 과도하거나 오래된 또는 일관성이 부족한 사용자 권한 및 존재하지 않는 비밀번호를 찾아냅니다.

  • UBA 도구: 권한 및 엔드 유저 액세스를 모니터링해 비정상적인 행동 (비정상적인 메일 활동, 다 수의 폴더 액세스 시도 실패 또는 휴대 저장 장치로의 대량 파일 다운로드)을 검출합니다.

위치 중심 솔루션은 규칙 기반의 데이터 흐름 중심 솔루션에 비해 쉽게 구축이 가능합니다. 이는 작업 흐름을 방해하지 않으며, 로그와 UBA 도구를 사용하기 때문입니다. 위치 중심 솔루션은 데이터 가시성 확보를 우선순위에 두고 있으며, 개인 정보 보호 규정 준수와 감사 및 보고 의무를 수행하는 데 있어서 다른 접근법들보다 우수합니다.

그러나, 다음과 같은 단점이 있습니다.

  • IAM 및 UBA 도구는 특정 위치에 한정됩니다. 따라서, 파일이 한 위치에서 이동해 개인 컴퓨터나 엔드 포인트로 다운로드되는 경우, 데이터에 대한 가시성을 잃게 됩니다.

  • 1테라바이트의 데이터가 50,000개 이상의 폴더로 확산될 수 있기 때문에 폴더 관리가 매우 어려워집니다. 액세스 목록을 항상 최신 상태로 유지하고 수백만 개의 폴더에서 사용자의 활동을 모니터링하는 일은 매우 어려운 일입니다.

  • 데이터 흐름 중심 솔루션과 마찬가지로 경고 기능은 관리자 업무량에 부담을 주며, 적시에 대응할 수 있는 능력을 요구합니다.

위치 중심 솔루션은 난독화 도구를 기본으로 제공하지는 않지만, 일부는 데이터가 특정 위치에 존재하고 사용되는 동안 암호화 기능을 제공합니다. 하지만, 파일이 엔드 포인트로 다운로드되고 개인 클라우드 계정에 저장되어 특정 위치를 벗어나 공유되는 경우, 파일 보호와 데이터 가시성 확보 및 제어는 불가능해집니다.

KEY INSIGHT:

위치 중심 솔루션은 데이터 보호 방식의 기반으로 “보호 우선” 접근 방식이 아닌 “최소 권한” 접근 방식을 사용합니다. 데이터가 원래 위치에서 이동되면서 지속적인 암호화가 불가능해지고, 민감한 데이터가 침해 위험에 노출되면서 심각한 보안 틈새가 발생합니다.

파일 중심

다른 방식과는 다르게 파일 중심 방식은 지속적인 암호화와 계정 접근 관리 (Identity & Access Management, IAM)를 파일 수준에서 제공합니다. 따라서, 이 방식은 네트워크, 서버, 위치, 장치 등에 얽매이지 않습니다.

파일 중심 방식의 특징

보안 방식

오피스 문서 및 CAD/CAE 파일, PDF, 일반 텍스트, 기타 유형의 디지털 미디어 파일 보호

도구

파일 수준에서 지속적인 암호화 및 중앙 집중 관리를 시행
파일 수준에서 계정 접근 관리 (Identity & Access Management, IAM)를 시행

이 방식은 데이터 분류 태그를 사용해 다음을 수행합니다.

  • 파일 콘텐츠 암호화: 민감한 데이터가 유출되는 경우 이를 난독화해 악의적인 사용자에게 가치가 없도록 만듭니다.

  • 승인된 사용자에게만 파일 액세스 허용: 사용자는 개인, 부서, 사업자 단위 또는 직책과 직급으로 정의할 수 있습니다.

파일 중심 솔루션은 과거에는 매우 특정한 사례에 한정되어 사용되었지만, 오늘날 시장에서 다시 전성기를 맞이하고 있습니다. 현대의 솔루션은 RESTful API 및 개방형 운영 체제 표준 등과 같은 최신 소프트웨어 도구로부터 도움을 받아 기업 전반에 걸쳐 투명성을 확보하고 있습니다. 또한, 중앙 집중 정책은 네트워크 및 파일 공유, 장치, 엔드 포인트와 클라우드 서비스 전반에 걸쳐 안전한 액세스를 보장하고 일관된 보안을 제공할 수 있도록 해줍니다.

그리고, 현재로서는 파일 중심 방식이 민감한 콘텐츠에 대한 액세스를 제어하기 위한 가장 훌륭한 “보호 우선” 접근 방식입니다. 다음은 업계에서 선도적인 역할을 하고 있는 분석가가 고객들에게 제안하는 내용입니다.

  • DLP의 보안 가능 범위가 확장되었음에도, “데이터 유출 가능성이 있는 곳에는 틈새가 존재합니다”. 따라서, “가장 좋은 방법은 데이터 자체를 보호하는 데 중점을 맞춘 전략을 사용하는 것입니다”.

  • 암호화는 “황금기”에 진입하고 있습니다. 데이터 도난 및 개인 정보 보호 규정과 정부 감시에 따른 우려가 증가하면서, 보안 전문가들은 디지털 비즈니스 전반에 걸쳐 모든 다양한 형태의 암호화 방식을 더욱 많이 사용하고 있습니다.

  • “아이덴티티 (Identity)”는 배포된 SaaS (Software as a Service)와 기타 여러 클라우드 기반 서비스 세계에서 새로운 경계선 (perimeter)이 되었습니다. 서비스 공급 업체 (service provider)가 아닌 사업체 (business) 주도하에 중앙 집중 관리 및 데이터 액세스 제어에 대한 유지 및 보수가 이루어져야 합니다.

사용자의 개입이 필요 없는 즉각적인 단일 단계의 자동 검출, 분류 그리고 암호화 기능을 제공하는 파일 중심 솔루션을 찾으십시오. 이는 정책 적용에 있어서 생산성과 일관성을 높여줄 것입니다.

KEY INSIGHT:

파일 중심 솔루션은 데이터를 보호하기 위한 기반으로 “보호 우선” 접근 방식을 사용합니다. 이를 통해 파일의 데이터 사이클 전반에 걸쳐 지속적인 액세스 제어와 암호화를 유지할 수 있습니다. 대부분의 개인 정보 보호 규정은 암호화된 파일의 분실은 보고해야 할 의무에서 제외해 주거나, 처벌 수위를 대폭 경감시켜줍니다.

보호 우선, 파일 중심 접근 방식 (PROTECT-FIRST, FILE-CENTRIC APPROACH)

조직은 민감한 비정형 데이터를 안전하게 보호할 가장 좋은 방법을 찾기 위해 여러 공급 업체의 데이터 중심 솔루션 간의 차이점을 이해하려고 노력하고 있습니다. 데이터 중심 보안은 다양한 프로세스와 도구를 포함합니다. 이들 중 다수는 중복된 기능을 제공하지만, 서로 다른 목표를 가지고 있습니다. 이러한 혼란에 더해, 오늘날 클라우드 및 모빌리티 도입과 관련해 틈새 메우기 (gap-filling) 포인트 솔루션(예: CASB, 엔드 포인트 보호)의 출시가 급증하고 있습니다. 기존 데이터 흐름 및 위치 중심 방식에 대한 상당한 투자가 이루어지고 있음에도 불구하고, 오늘날 데이터 침해 문제의 심각성은 정점에 이르렀습니다.

데이터 보안 아키텍처를 위해 보호 우선 및 파일 중심 방식을 도입하십시오. 민감한 비정형 데이터가 어떻게 사용되는지, 누가 공유하는지 그리고 어디에 존재하는지와 상관없이 무단 액세스를 차단할 수 있는 강력한 최전선 방어 체계를 구축하십시오. 그리고, 이를 다른 데이터 중심 방식 및 도구와 통합해 조직의 GRC (Governance, Risk and Compliance) 요구 사항을 충족하는 데이터 보안 인프라를 설계하기 위한 기반으로 사용하십시오. Fasoo 제품은 민감한 비정형 데이터가 어디로 이동하고, 어디에 존재하는지와 상관없이 데이터 라이프 사이클 전반에 걸쳐 검출, 분류, 보호, 모니터링, 제어, 추적, 콘텐츠 액세스 제한과 같은 기능을 제공합니다.

Fasoo의 통합 솔루션은 사용자가 조직 내부와 외부에서 민감 정보를 가지고도 안전하게 협업할 수 있게 해주며, 기업 거버넌스와 규제 요구 사항을 지속해서 준수할 수 있게 도와줍니다. 또한, 고유 식별자 (unique identifier)를 통한 파일 중심 접근 방식은 사용자 작업 흐름을 방해하지 않으면서도 조직이 비정형 데이터에 대한 향상된 가시성 확보와 제어를 할 수 있도록 해줍니다.

현재 Fasoo는 1,500개 이상의 기업과 함께 기업 브랜드와 경쟁력을 능동적으로 보호하고, 계속해서 증가하는 규제 요구 사항을 준수할 수 있게 도와주는 데이터 중심 솔루션을 시장에 안착시키기 위한 여정에 참여해 오고 있습니다.

원문 다운로드