자료실

Fasoo의 제품 및 기술 관련 정보를 공유 드립니다.

Six Vulnerable Points
In Your Data Security
Architecture
and How You Can Protect Them

데이터 보안 아키텍처의 6가지 취약점을
보호하는 방법

어떤 부분이 가장 취약한 지 아시나요? 이제 주요 취약점을 확인하실 때입니다.

1.
하이브리드와
멀티 클라우드
2.
프라이버시
3.
내부자 위협
4.
보안 공백
5.
원격 근무인력
6.
외부 파트너 협업
1

하이브리드와 멀티 클라우드 (Hybrid and Multi-Cloud Environment)

Flexera의 “State of the Cloud 2020 리포트”에 따르면, 기업들은 평균적으로 2.2개의 공용 및 사적 클라우드 회사를 이용합니다. 이는 데이터를 다음과 같은 위험에 노출시킵니다.

신원식별/접근관리 (IAM)

“신원 확인은 영역 기반 보안의
새로운 방법”이라는 말 들어보셨나요?
“새로운 영역 기반 보안”이라는 것은 사용자,
기기, 그리고 클라우드 서비스 세 가지의
교차점에 있다고 할 수 있습니다. 코로나19와
강화된 규정으로 인해 세계의 많은 회사들은
직원들에게 내부 시스템, 애플리케이션 그리고
데이터에 얼만큼의 접근을 허용할지
다시 고민하게 됐습니다.

보안

거버넌스 팀, 위험 규정 관리 팀,
IT 보안팀, 인사팀에게 가장 최근 위험에
대응할 데이터 중심 보안 툴을 사용하도록
교육해야 합니다. 궁극적으로 데이터 유출은
회사의 브랜드 평판과 재무적 측면에
막대한 손실을 끼치기 때문입니다.

데이터 보관 (Data Residency)

클라우드 환경은 경계가 없고
세계의 어느곳에서도 위치할 수 있습니다.
데이터가 보관되어 있는 나라나 지역에
반드시 지켜야 할 데이터에 대한 법적 규정이
생겼습니다. 민감한 비정형 데이터가
어디 저장되어 있는지 (사내 혹은 외부)
확인한 뒤 적절한 대책을 세워야 합니다.

고려해야할 솔루션:
데이터 중심 보안 접근은 모든 채널에 일관성을 유지하기 위해 중앙 관리 시스템에서 파일을 식별하고 안전하게 보호합니다. 민감 데이터를 식별하는 파수의 FDR은 특정 태그를 이용해 클라우드에서 데이터가 어디 있는지 알아내고 분류하는데 도움을 줍니다.
2

프라이버시(Privacy)

오늘날 개인정보 보호 규정은 개인 데이터에 대한 더욱 큰 가시성과 컨트롤을 요구합니다. 다음과 같은 규정이 있습니다.

 

  • 개인의 권리에 대한 대응 : General Data Protection Regulation (GDRP) 및 California Consumer Privacy Acr (CCPA)와 같은 규정은 개인에게 개인 데이터에 대한 더 큰 권리를 부여합니다. 데이터 주제와 동의 권리는 개인에 대해 수집된 모든 정보와 연관되어야 합니다.

  • 접근과 철회 : 저장된 데이터에 대한 모든 파일 접근 (시스템, 사용자)은 추적돼야 합니다. 개인은 언제, 어떻게 자신의 데이터가 사용될 지 선택할 수 있습니다. “잊혀질 권리”는 모든 데이터의 삭제와 대부분의 트랜잭션의 삭제를 요구합니다. 회사의 채용팀은 개인 프라이버시와 감사 요청에 적절하게 대응해야 합니다. 정보 유출 고지 기한에 관한 규정은 더욱 까다로워 졌습니다. (GDPR 및 CCPA는 72시간 이내 고지)

고려해야할 솔루션:
Fasoo RiskView는 비정형 민감 데이터의 전 생명주기 동안 접근 정보를 수집합니다. 제한된 데이터를 보여주거나 포렌식 혹은 여러 로그파일을 가지고 연관관계를 찾아야 하는 전통적인 툴 사용은 피해야 합니다.
3

내부자 위협 (Insider Threat)

외부 위협 해커나 사이버 범죄는 기사 헤드라인을 장식합니다. 하지만 신뢰하는 내부자일지라도 이들은 비정형 민감 데이터에 더 큰 위협이 됩니다. 전통적인 보안 인프라는 방화벽, 악성 바이러스 방시 프로그램, 침입 방지와 같은 보안 솔루션을 통해 외부 침입만 막아 왔습니다. 이러한 솔루션은 직원, 인턴 혹은 외부 파트너 업체가 허가되지 않은 사용자에게 민감 데이터를 유출하는 것을 막지 못합니다.

돌발 사고 (Accidental)

직원이나 인턴이 실수로 민감 정보를
허가되지 않은 사람에게 공유할 수도 있습니다.
담당자의 손에서 파일이 떠나면 민감 정보는
퍼져 나가며 개인정보 보호법을 위반하게 되거나
회사는 경쟁력 있는 위치를 놓칠 수도 있습니다.

부주의

IT 혹은 보안 관리자가 방화벽 보안 패치나
업데이트를 잊기도 합니다. 이러한 부주의는
비정형 민감 데이터를 침입자에게
노출 시킵니다. 대체로 적은 수의 IT 및
보안 직원들이 초과근무를 하는 환경에서
간과되기 쉬운 부분입니다. 또한 사용자가
고의로 보안정책을 따르지 않고
일하는 상황도 있습니다.

악의적 의도 (Malicious)

직원, 인턴 그리고 파트너 중에
회사에 피해를 입힐 의도를 가지고 있거나
가치가 있는 민감 정보를 경쟁사에게 팔아
돈을 벌려는 사람도 있을 것입니다.
회사의 많은 직원이 타당한 이유를 가지고
비정형 민감 정보에 접근하기 때문에
이런 종류의 내부자 위협은 막기 어렵습니다.

고려해야할 솔루션:
파일을 암호화하고 파수의 EDRM을 사용해 허가되지 않은 사용자가 비정형 민감 데이터에 접근하는 것을 막으세요. 만약 해커나 사이버 범죄자가 파일을 빼내더라도 파일은 암호화되어 보호되고 있기 때문에 무용지물일 겁니다. 민감 정보를 빼내려 하는 내부 직원이나 외부 파트너도 마찬가지죠.
4

보안 공백 (Security Gaps)

보안 인프라와 데이터 손실 방지에 많은 투자를 함에도 불구하고 데이터 유출은 항상 많이 일어납니다. 유출을 하려는 사람들은 비정형 데이터가 많은 사용자 PC 같은 종단이나 서버에서 더 큰 유출 성공 확률을 가집니다. 확인하고 개선해야 할 부분은 다음과 같습니다.

 

  • 예방보다 중요한 것 : 데이터 손실 예방 (Data Loss Prevention, DLP)은 민감 정보 사용 활동을 보호하지만 데이터 자체를 보호하지 못합니다. 때문에 데이터 유출 사고는 계속 생기는 것이지요. 많은 회사 및 규정을 만드는 전문가들은 이런 문제를 해결하기 위해 데이터 자체에 암호화 하는 것을 추천합니다.

  • 위반이 아니다 : 많은 규정은 데이터의 암호화 여부를 중요시 생각합니다. 상황에 따라 큰 금액의 벌금이 줄어들 수도 있습니다.

  • 랜섬웨어 : 회사의 정말 민감한 정보가 공개적으로 유출 되거나 누군가 금전적 이득을 노리고 다른 회사에게 민감 정보를 유출한다면 회사는 사업을 중단해야 할 수도 있는 위험이 있습니다. 암호화를 통해 보호된 데이터는 이런 위험을 없앱니다. GDPR, CCPA, New York State Department of Financial Services (23 NYCRR 500)과 같은 최근 규정은 데이터 암호화를 필수로 지정하고 있습니다.

고려해야할 솔루션:
Fasoo Data Security Framework를 통해 데이터 유출 방지에 대한 투자를 늘려 민감 데이터를 암호화 하세요. 중앙화 된 암호화 키 관리로 파일이 어디 있든지 보호하고 컨트롤 할 수 있습니다.
5

원격 근무인력 (Remote Workforce)

원격 근무는 코로나19로 인해 생겨난 중요한 트렌드입니다. 회사에서 사용되는 보안과 프라이버시 수준은 각자의 집에서 똑같이 적용되지 않습니다. 현재 회사의 보안 정책이 아래 내용을 모두 관리하고 있는지 확인하세요.

홈 오피스 / 가상 근무환경

제대로 관리되지 않는 공유 디바이스,
안전하지 않은 네트워크 환경,
그리고 허가되지 않은 앱에서
업무를 보는 일이 많습니다.

늘어난 다운로드

느린 네트워크 트래픽,
업무와 파일 공유의 간편함 -
이러한 부분들이 사용자 PC에
비정형 민감 데이터의 양을 증가시킵니다.

내부자 위협

보안 수칙에 대한 주의가 없으면
의도치 않은 민감 정보 노출이 증가합니다.
특히 집에서 일하는 악의적인 의도를
가진 직원이 있다거나 허가되지 않은
이동식 저장 장치나 프린터를
사용하는 경우에는 더욱 위험합니다.

고려해야할 솔루션:
Fasoo Smart Print와 같이 데이터 저작권 관리가 가능한 툴을 사용해 불법적인 인쇄와 이동 매체에 민감 정보가 저장되는 것을 막으세요.
6

안전한 외부 파트너 협업 (Secure Third-Party Collaboration)

외부 파트너와 고객 정보를 공유했는데 유출된 경우 누가 실제로 유출했던지 상관없이 책임은 회사에 있습니다. 이런 문제가 생기는 이유는 다음과 같습니다.

통제 상실

민감 정보가 회사 밖으로 나가게 되면
인지하지 못한 채로 다른 사람에게 공유되거나
경쟁사가 악의적으로 민감 정보를
사용할 수도 있습니다.

화면 공유

Zoom, Skype, Google Chat,
Google Meet, MS Teams 및
무료 화상 회의 툴을 사용할 때
다른 사람이 스크린 캡처를 할 수도 있습니다.

완료된 프로젝트

민감 정보는 프로젝트가 끝난 뒤
종종 외부 파트너에게 보호되지 않은 채로
남아 있기도 합니다.

고려해야할 솔루션:
Agentless 방식의 브라우저 협업 도구인 Wrapsody eCo를 통해 파일을 추적하고 보호하세요. 온라인 협업 회의 시 민감 정보의 화면 노출 방지를 통해 민감 정보 손실을 예방할 수 있습니다. 또한, 외부 파트너의 데이터 접근이 더 이상 필요없게 되면 그 즉시 권한을 회수할 수 있습니다.

시장을 선도하는 기업들은 비정형 민감 데이터를 보호하는 것이 얼마나 가치 있는지 알고
위의 6가지 취약점에 미리 대비하고 있습니다.

1.
새로운 가이드라인을 만족하는
GRC 정책을 업데이트 하세요
2.
현재 사용중인 인프라의
보안 취약점에 대한 분석을 진행하세요
3.
직원들이 새로운 보안 위협의 종류에 대해
인지 할 수 있도록 교육하세요