Fasoo의 제품 및 기술 관련 정보를 공유 드립니다.
보안 및 개인정보보호 이니셔티브의
간소화 및 운영
오늘날 많이 사용되는 데이터 손실 예방 (DLP) 및 데이터 보안 분석 솔루션은 도입과 관리에 어려움이 많습니다. 이러한 솔루션들은 잘못 사용되고 있는 데이터를 찾기 위해서 데이터가 이동하는 모든 위치에 복잡한 규정을 적용하고 분석하는 것을 반복합니다. 기존 방식의 공통적인 단점은 다음과 같습니다.
규정 설정과 분석은 모니터링 행위일 뿐 데이터 자체를 보호하지는 못함
보안 담당자가 거짓 양성 (false-positive) 등 경고 알림에 대응하기에는 역부족
규정을 잘못 적용한 경우에 사용자의 업무 진행이 중단됨
이메일, 네트워크, 엔드 포인트, 클라우드 위치에 모두 도입해야 함
보호 우선 접근법 (protect-first approach)에서는 민감한 정보를 포함한 파일을 보호하기 위해서 더 직접적인 경로를 이용합니다. 핵심은 파일 중심(file-centric) 기술입니다. 민감 정보를 포함한 파일을 식별하고, 분류하며, 파일이 생성되는 순간 보안 문서로 변환합니다. 이렇게 검출과 암호화를 동시에 진행하는 방식의 특성은 다음과 같습니다.
강력한 보안을 위해 파일을 암호화 하고 파일 접근 권한을 제한
지속적인 모니터링은 멈추고, 관리자에게 경고 알림 전송
업무 진행에 지장을 주지 않는 투명하고 원활한 보안
서버, 저장 공간, 디바이스에 관계없이 파일 보호
이러한 접근 방식은 파일 수준에서 작업함으로써 데이터의 식별, 분류, 보호, 감사, 정책 관리를 단순화하고 간소화하는 등 전반적인 효율성을 재고합니다. 통합 플랫폼으로 도입하는 경우에는 중앙집중식 제어를 통해 높은 수준의 자동화가 제공됩니다.
기업들이 보안 및 개인정보보호 프로젝트를 빠르게 적용하기 위해서 보호 우선 접근 방식을 어떻게 활용하고 있는지 살펴보겠습니다.
docx, xlsx, jpg, dwg 와 같은
파일 확장자를 검색하는
일반적인 검사를 먼저 진행하면
더 복잡한 보안 및 개인정보보호 검사에 앞서
통찰력을 얻을 수 있습니다.
1년 내에 사용한 이력이 있는 파일이
어떤 파일인지, 그 파일이 어디로 이동했는지,
누가 확인했는지, 어떻게 사용되고 있는지 등
활성 데이터(active data)에 집중해서
먼저 살펴봅니다. 이러한 데이터가
기업에 가장 중요하면서도 보안에 가장
취약한 데이터일 것입니다.
먼저 보안 요구 사항에 집중해야 합니다.
‘민감 정보는 보호한다’라는
단일의 기본 원칙을 적용합니다.
즉각적인 성과를 얻기 위해서는
가장 일반적이고 흔한 형태의 민감 정보를
먼저 찾아서 보호합니다.
데이터 자체를 보호해야 합니다.
모든 서버, 클라우드 서비스, 애플리케이션,
디바이스에서 중복 내용을 삭제하고,
분석 검사는 중단합니다. 분석 검사 결과
발생하는 경고 알림에 대한 부담을
덜어줌으로써 보안 관리자가 더 긴급한
보안 문제에 집중할 수 있도록 해줍니다.
프로세스를 자동화하고 중앙화 합니다.
운영상의 비용을 최소화하고
업무 진행에 최대한 방해가 되지 않으면서
전체 비정형 데이터에
정책을 적용하고 제어합니다.
이제 각 단계별로 프로젝트를 어떻게 진행해야 할지 자세히 살펴보겠습니다.
간단한 초기 식별로 데이터 현황과 보안 공백의 위치를 먼저 파악합니다.
일반적인 확장자 검색을 통해서 어떤 종류의 민감 정보를 보유하고 있는지, 민감 정보가 어디에 위치하고 있는지와 같은 중요한 통찰을 얻을 수 있습니다. 검사 툴은 파일 공유, 데스크톱, 노트북, 기타 엔드 포인트 및 매핑된 드라이브를 검색합니다. 이러한 간단한 검사를 통해서 전체 파일의 위치, 보유한 파일 유형별 용량, 파일 소유자, 파일이 속한 부서, 마지막 사용 날짜를 알 수 있습니다.
기본적인 통찰을 위한 우선순위를 산정합니다.
민감 비정형 정보를 보호하겠다는 기본 목표에 초점을 둔다면, 인사 팀이나 연구 개발 부서, 재무 부서에 속한 파일이 지정된 파일 저장 위치 외부의 여러 곳에 존재한다는 것을 바로 알 수 있습니다. 이런 민감한 파일들이 사용자의 노트북이나 이동식 드라이브에 존재하거나 제3자와 공유되는 경우에는 데이터가 위험에 노출될 확률이 높아지므로, 해당 데이터의 우선 순위를 높게 잡아야 합니다.
기업에서 현재 생성하고, 접근하고, 공유하는 데이터에 집중해야 합니다. 오래된 데이터는 별도의 복원 경로에 저장합니다. 최종적으로 모든 데이터의 가치를 평가하고, 특히 다크 데이터와 중복되거나 (Redundant), 오래되었거나 (Obsolete), 불필요한 (Trivial) 데이터인 ROT 데이터를 구분해야 합니다.
일반적으로 기업 데이터 중 생성된 지 1년 미만인 데이터는 25% 이하 입니다.
현재 사용되는 활성 데이터(active data)는 일반적으로 현재 그 기업에 중요한 데이터이며, 보안 위협을 가하는 상대에게는 가장 가치 있는 데이터일 것입니다. 먼저 전체 데이터 중에서 이런 활성 데이터를 대상으로 정한 후, 경험을 쌓으면서 정책을 미세 조정해 나가야 합니다. 현재 사용하는 데이터를 분류하고 보호하는 프로세스를 먼저 진행해 최대한 빠르게 민감 정보를 보호하고 통제해야 합니다.
오래된 데이터는 별도의 경로에 저장합니다.
활성 데이터의 우선순위를 정하는 한편 장기 미사용 데이터에 대한 다양한 복원 경로를 검토하여 위험에 노출될 가능성을 낮출 수 있습니다. 승인 되지 않은 위치에서 발견된 데이터는 즉시 승인된 파일 공유 위치로 이동시켜야 합니다.
보유하지 않은 데이터는 유출될 수 없습니다.
기업에서 저장하고 있는 데이터 중 52%는 다크 데이터에 해당됩니다. 다크 데이터는 그 가치가 불명확하며, 그 중 33%가 중복되거나 (Redundant), 오래되었거나 (Obsolete), 불필요한 (Trivial) 데이터인 ROT 데이터입니다. 데이터 식별을 통해 검토가 필요한 모든 파일을 확인할 수 있고, 가시성이 높은 파일 기반 방식을 사용하면 중복 및 파생 파일 (파일 이름이나 형식이 변경된 파일)을 식별할 수 있습니다. ROT 문서는 즉시 제거하고, 파일 소유자가 다크 데이터인지 여부를 평가하도록 해야합니다.
여러 이해 당사자들의 이해관계에 흔들려서는 안됩니다.
기업의 데이터에 영향을 미치는 다양한 정보 거버넌스 목적 중에 보안과 개인정보보호는 일부에 불과합니다. 여기에는 다음도 포함됩니다.
데이터 분류 (예시: 판매 계약과 메모 구분)
데이터 속성 (예시: 빅 데이터 웨어하우스 관리)
이해 관계자들은 데이터가 유출되면 브랜드에 부정적인 영향을 미치게 되고, 개인정보보호를 위반하면 과중한 처벌을 받는다는 점과 보안 우선 접근법이 타당하다는 사실을 이해할 것입니다. 여러분이 선택한 툴을 사용함으로써 모든 이해 관계자들의 요구 사항을 지원할 수 있으며, 일단 데이터 보안과 정보보호 조치를 시행한 이후에 그들의 요구사항을 다시 검토할 것이라는 확신을 주어야 합니다.
보안 조치가 간단하면 분류도 간단해집니다.
데이터 분류 결과에 따라 툴이 제어를 진행하게 됩니다. DLP나 데이터 분석처럼 제어를 위해 다양한 요소를 고려하는 보안 방식에서는 분류가 더욱 복잡해집니다.
분류는 간단해야 합니다. ‘민감 정보면 보호한다’와 같은 접근은 복잡성을 제거하고 분류 작업을 간소하게 만들어줍니다.
빠른 분류가 답입니다.
저희의 경험에 따르면 대부분의 민감 정보는 기본적이고 검증된 필터를 사용해 가장 흔한 아래와 같은 데이터 종류를 검색하면 찾을 수 있었습니다. 전체 결과의 80%가 전체 원인의 20%에서 일어난다는 파레토 법칙이 여기에도 적용됩니다.
주민등록번호, 운전면허증 또는 여권 정보
계좌 번호, 신용 카드 번호
의료 코드 및 의료 용어
특허 및 상표권 번호
너무 많은 기업들이 모든 거버넌스 요구사항을 충족하기 위해서 복잡한 필터를 여러 개 사용해서 비정형 데이터를 검사합니다. 그보다는 검증된 필터를 먼저 사용하여 대부분의 민감 정보를 찾아내고, 오탐지를 최소화한 다음에 더 구체적인 검색을 추가하는 것이 좋습니다.
요즘의 DLP 방식이나 직원 모니터링 방식은 데이터 자체를 보호하지 못합니다. 이러한 방식은 누가 데이터에 접근하고, 파일이 어디에 저장되어 있는지 등 데이터를 모니터링하고 잘못 사용되는 경우에 경고 메시지를 발송하지만, 민감한 정보를 포함한 파일 자체를 보호하지는 못합니다.
모니터링 경고 알림은 업무량을 과중 시킵니다.
보안 및 IT 전문가는 최신 솔루션을 도입하기 위해서 수천 건의 경고 메시지를 적극적으로 관리하고 대응해야 합니다. 복잡한 규정과 분석을 적용하면 오탐율이 높아지고, 툴에서 관리자가 어떤 건에 우선순위를 두고 조치를 취하면 좋을지에 대한 전후 사정을 파악하기가 어려운 경우가 많습니다. 이미 과부하가 걸려있는 보안 및 IT 팀에서는 처리가 늦어지게 되고, 데이터 볼륨이 늘어남에 따라 계속해서 효율은 더 떨어질 것입니다.
위치가 아닌 파일을 보호해야 합니다.
전통적인 솔루션은 데이터가 저장되고 이동되는 모든 위치에 규정을 적용하고 분석을 진행합니다. 하지만 요즘의 클라우드 환경, 모바일 인력, 수많은 엔드 포인트 디바이스에 맞추어 이런 솔루션의 규모를 확대하는 것은 매우 어렵고 복잡한 일이 되어가고 있습니다.
기업의 데이터와 상호작용하는 모든 네트워크, 서버, 클라우드 서비스, 엔드포인트 디바이스를 통제하려고 애쓰는 대신 데이터 그 자체를 보호해야 합니다. 여러 위치에 솔루션을 도입할 필요가 없으며 높은 관리 비용도 줄일 수 있습니다.
보호 우선 (protect-first), 파일 중심 (file-centric) 접근 방식은 데이터의 식별, 분류, 보호, 감사, 정책 관리를 통해 문서 보안을 단순화하고 간소화하여 일련의 효율성을 가져다 줍니다. 이러한 접근 방식만이 기업의 목적에 맞게 설계된 자동화된 데이터 중심의 플랫폼을 실현 가능하게 하며, 이러한 플랫폼은 기업의 전체 데이터 저장소에 일원적인 정책을 적용합니다.
복잡성은 제거하고 일관성은 높입니다.
민감 정보를 포함한 파일은 네트워크, 클라우드 서비스, 디바이스에 적용되어 있는 다양한 정책의 영향을 받기 때문에 얼마 가지 않아 민감 파일을 통제할 수 없게 됩니다.
정책 관리를 중앙화 하고, 단일 플랫폼에서 보안, 액세스 제어, 개인정보보호 설정을 관리하고, 즉각적인 조치를 취해서 변경 사항이 전체 민감 데이터에 적용될 수 있도록 합니다.
프로세스를 자동화합니다.
개인정보보호 및 보안 조치가 사용자의 업무 진행을 방해해서는 안됩니다. 전사적으로 일관성 있는 제어를 실시간으로 진행하여 투명하고 원활한 프로세스를 유지해야 합니다.
파일 중심 플랫폼으로 다음 프로세스를 자동화합니다:
식별: 민감한 데이터인지 아닌지를 사용자가 결정하게 하지 말고, 사용자가 파일을 생성하는 순간에 민감 정보를 포함한 파일을 찾기 위해 계속해서 검사를 진행합니다.
데이터 분류: 일관된 정책을 적용하는 자동화 툴로 데이터를 분류하고 태그를 추가합니다.
보호: 분류 결과를 활용해서 즉시 암호화하고 접근 및 권한 제어를 적용합니다.
툴의 무질서한 확장을 없애고, 총 소유 비용을 최소화합니다.
새로 발생하는 모든 보안 및 개인정보보호 위험을 줄이기 위해서 데이터가 이동하는 각각의 위치마다 솔루션을 배치하는 것은 비효율적이고 운영하기에 복잡합니다.
다양한 보안 및 개인정보보호 툴을 위치에 구애 받지 않고, 관리가 효율적이며, 기존의 인프라와 원활하게 어우러지는 하나의 플랫폼으로 통합해야 합니다.
기업들이 직면하고 있는 가장 큰 어려움 중에 하나는 다양한 이해 관계자나 다양한 부서와 협업을 진행하다 보면 데이터 보안과 개인정보보호 관련 문제를 해결하는데 많은 시간이 걸린다는 점입니다. 각자 의견과 우선 순위가 다른 경우에 이니셔티브는 지체되거나 중단되게 됩니다.
다음과 같이 보호 우선 (protect-first), 파일 중심(file-centric) 접근 방법을 통해 민감 정보 이니셔티브를 간소화하여 운영하시기 바랍니다.
Discover to Learn
데이터 식별을 위한 통찰
Divide and Conquer
Divide and Conquer
Classification
데이터 분류
Protect, Not Alert
경고 대신 데이터 보호
Platform Approach
플랫폼 솔루션 도입