자료실

Fasoo의 제품 및 기술 관련 정보를 공유 드립니다.

What Unstructured Data is
Sensitive?

어떤 비정형 데이터가 민감할까?

민감한 비정형 데이터를 대상으로 한 개인정보 침해나 유출 사고가 점점 더 자주 발생하고 있습니다.

기업이 보유한 민감한 비정형 데이터는 사이버 범죄자나 보안에 위협을 가하는 행위자들의 타깃이 되고 있으며, 이러한 범죄에 대한 위험 노출 범위가 급격하게 증가하고 있습니다.

민감한 비정형 데이터의 보안 및 개인정보보호 규제는 그 특유의 어려움이 존재하며, 오늘날의 애플리케이션 보안 및 사이버 보안 프레임워크에 투자하는 방식이나 전통적인 취약성 관리 전략으로는 이를 해결할 수 없습니다.

잘 보호되고 있는 영역에 존재하는 정형 데이터와는 다르게 민감 정보는 오피스 문서, CAD/CAE 파일, 이미지 등과 같은 비정형 형태로 존재하며, 파일 공유, SNS, 이메일을 통해서 배포되거나 공유됩니다. 인사 부서에서 직원의 개인 정보를 수집할 때, 영업 부서에서 CRM 시스템에 고객 연락처를 입력할 때, 기술 부서나 보안 부서에서 제 3자의 지적 재산과 관련하여 협업을 진행할 때 이러한 비정형 데이터가 만들어집니다.

규제 대상이 아닌 민감 데이터
(UNREGULATED SENSITIVE DATA)

  • 신제품 기획서

  • 제품 디자인

  • 고객 정보

  • 공급처 정보 / 제 3자와의 계약서

  • 경쟁사 분석 보고서

  • 고객 설문 조사

  • 소프트웨어 코드

  • 입사 지원서 및 직원 연락처

  • 내부 프로세스 및 절차 매뉴얼

  • 데이터 분석 결과 (구글 애널리틱스, 태블로, 세일즈포스의 보고서)

규제 대상 민감 데이터
(REGULATED SENSITIVE DATA)

  • 캘리포니아 주 소비자 개인정보 보호법 (CCPA)

  • 유럽연합 (EU) 개인정보 보호 규정 (GDPR)

  • 미국 의료 정보 보호법 (HIPAA)

  • 미국 금융 정보 보호법 (GLBA)

  • 캐나다 디지털 개인정보 보호법 (PIPEDA)

  • 뉴욕 주 금융기관에 대한 사이버 보안 규정 (23 NYCRR 500)

  • 지불 카드 산업 데이터 보안 표준 (PCI DSS)

위험한 보안 공백의 발생

면밀하게 모니터링되거나 보안이 적용된 데이터베이스의 외부에 존재하는 정형화되지 않은 형식의 문서를 이용해 민감 정보를 공유하고 저장하는 것은 이제 널리 퍼진 관행입니다. 이는 직원의 부주의, 내부자의 악의적인 행위, 사이버 공격에 의한 무단 유출의 가능성이 매우 커지는 보안상의 공백을 만들어냅니다.

기업들은 이러한 위협에 대처하기 위해서 역량을 모으고 있습니다. 그 첫 번째 단계는 민감한 비정형 데이터의 특성과 중요성, 어려운 점이 무엇인지를 기업이 반드시 이해하는 것입니다. 이러한 내용에 초점을 맞추어 보안 공백을 줄이기 위해서 지금 무엇을, 왜 해야 하는지에 대한 조직의 통찰력을 높여야 합니다.

  1. 1. 민감 비정형 데이터가
    왜 중요한가?

  2. 2. 민감 비정형 데이터의
    종류는?

  3. 3. 민감도는 어떻게
    결정할까?

  4. 4. 그 다음에는
    무엇을 해야할까?

1

민감 비정형 데이터가 왜 중요한가?

민감 정보에 대한 비인가 접근 또는 민감 정보 유출은 기업 경쟁력을 저하시키고, 브랜드 이미지에 손상을 가하며, 규제 위반으로 인해 막대한 처벌을 받을 수 있습니다.

83%

이상의 고객이
정보 유출 이후 제품 소비를 멈추고,

20%

정도의 고객이
해당 브랜드를 찾지 않을 것입니다.

고객 이탈과 잠재적 매출 손실 외에도 단점이 많습니다.

  • 경쟁 기업 정보 유출로 해당 기업에 손해 배상이 발생할 위험이 있으며, 두 기업 간의 관계와 두 기업 모두의 평판에 심각한 영향을 미칠 수 있습니다.

  • 규제 당국은 증가하는 보안 위협과 개인 권리 보호에 대한 대책을 마련하고 있습니다. 현재 전 세계 80 개국이 개인정보 보호법을 공표했습니다. 개인정보 보호법 위반에 대한 처벌이 강화되고 있으며, 더욱 엄격하게 집행되고 있습니다. 기업의 데이터는 중복되고 어쩌면 서로 상충하는 법적인 요구 사항의 대상이 될 수도 있습니다.

  • 기업의 GRC (Governance, Risk and Compliance) 위원회가 민감 정보의 수준과 처리 정책을 정의합니다. 민감 비정형 데이터를 보호하기 위한 시스템 및 절차 구현에 필요한 활동에 가이드를 제공할 수 있도록 새로운 위협과 트렌드는 반드시 정책에 반영돼야 합니다.

  • 보안 및 IT 전문가들은 상당히 오랜 시간 동안 네트워크 경계에서 동작하는 툴에 집중해왔지만, 갭 분석은 비정형 데이터를 보안하기에는 부족합니다. 이를 해결하기 위해서 전문가들은 데이터 중심의 접근 방식과 데이터가 존재하는 장소보다는 데이터 자체를 보호하는 툴로 관심을 돌리고 있습니다.

  • 직원들은 매일 비정형의 오피스 문서와 PDF 문서, CAD/CAE 문서를 생성하고, 이를 내부/외부와 공유하므로, 민감도 수준 (예 : 극비, 대외비, 일반)에 따라 적절하게 콘텐츠를 보호하기 위해 노력해야 합니다.

2

민감 비정형 데이터의 종류는?

무단 유출로부터 반드시 보호해야 한다면 어떤 정보라도 민감 데이터가 될 수 있습니다. 가장 광범위한 구분 방식은 규제 대상인 경우와 규제 대상이 아닌 경우로 나누는 것입니다. 전자는 법률에서 요구하는 대로 민감 정보로 취급되어야 합니다. 후자에는 산업적으로 민감한 정보와 대중에 공개된 데이터가 포함되며, 어떤 내용을 민감 정보로 분류할지는 기업이 결정합니다.

위치 중심 방식의 특징

개인정보보호 규정 (Privacy Regulations)

개인을 식별할 수 있는 정보나 그 개인을 재정,
의료, 기타 데이터와 연결하는
정보를 대상으로 합니다.

산업 규정 (Industry Regulations)

산업적으로 민감한 데이터를 대상으로 합니다.
예를 들면 미 군수품 목록에 대한
국제 무기 규정인 ITAR의 영향을 받는
무기 시스템이나, 북미 전력 신뢰도 관리 기구
NERC의 영향을 받는 중요한
사회 기반시설이 있습니다.

개인 건강 정보 (PHI), 개인 식별 정보 (PI), 지불 카드 산업 (PCI) 데이터 보안 표준은 계속해서 개인 정보 보호의 전통적인 정의가 돼왔습니다. 사이버 범죄자들은 이러한 귀중한 정보에 접근하여 신분을 도용하거나 은행 계좌를 해킹하는 등 쉽고 빠르게 이득을 취할 수 있습니다.

GDPR이나 CCPA 같은 오늘날의 개인정보보호 규정은 규제 대상에 대한 정의를 더욱 확대하였고, 디지털 공간에서 일어나는 개인 간의 거래도 대상에 포함합니다. 이에 따라 기업에도 상당한 의무 사항이 추가로 발생하였습니다.

규제 대상이 아닌 민감 데이터의 종류는 기업이 결정합니다. 이는 기업이 공개를 원하지 않는 데이터이며, 전략적인 데이터, 경쟁력 있는 데이터, 재무 데이터 또는 기업 운영 데이터 등이 될 수 있습니다. 그 예는 다음과 같습니다.

  • 지적 재산 : 특허, 상표, 공식, 연구 개발 계획, 소스 코드

  • 전략적 정보 : 예정된 재정 지출, 진행 중인 기업 인수 합병, 내부 위험 심의

  • 기업 운영 벙보 : 재고 수준, 가격 정책, 고객 목록

오늘날의 사이버 범죄자들은 기회주의적입니다. 시사적인 이슈와 관련된 회사나 확실한 취약점이 존재하여 이를 악용해 최대한의 가치를 얻어낼 수 있는 회사를 고릅니다. 예를 들면 개발 중인 중요한 약물이나 백신에 대한 데이터를 도용하거나, 진행 중인 소송 절차에서 피해를 야기할 수 있는 정보를 유출하는 것입니다.

흥미로운 사실은 규제 대상이 아닌 민감 정보의 유출 사실은 드러내지 않고 숨긴다는 것입니다. 규제 대상 데이터의 경우 공개가 의무이지만, 규제 대상이 아닌 데이터의 경우 유출 사실을 공개할 필요가 없기 때문에 그로 인해 기업 평판이 나빠지는 것을 피하려는 경우가 많습니다.

3

민감도는 어떻게 결정할까?

규제 대상인 데이터는 항상 민감 정보로 분류됩니다. 하지만 규제 대상이 아닌 대부분의 데이터는 공개적인 정보를 포함하므로 민감 정보가 아닙니다.

기업의 GRC 담당 부서 또는 공인 기관에서 어떤 데이터가 민감한 데이터인지를 결정합니다. 내부 및 외부적인 의무 사항, 데이터의 특성, 사용 방법, 유출 가능성, 재정적인 측면과 평판 측면에서 기업에 미치는 전반적인 영향을 모두 고려합니다. 다행히도 정책은 위험을 최소화하는 “템플릿과 툴킷”을 활용하며 산업 전반에 걸쳐 표준화되었고, 사용자는 합리적인 노력을 기울이면 이를 구현할 수 있게 되었습니다.

모범 사례는 3단계 분류 (예 : 극비, 대외비, 일반)이며, 최대 4단계를 권장합니다. 단계가 더 많은 경우에는 구분이 모호해져 직원들이 일관성 없이 주관적인 적용을 하는 결과를 보였습니다.

정책 템플릿을 적용한 후에 유의미한 실행을 끌어내기 위해서는 GRC 부서가 기업 내 보안 및 IT 전문가들을 지원해서 민감 비정형데이터 관련 업무의 우선순위를 정하는 것이 중요합니다. 이때 다음의 요소들에 주의를 기울여야 합니다.

  • 데이터 유출이 모두 같은 것은 아닙니다. 비즈니스에 미치는 영향은 데이터의 민감한 정도와 유출 범위에 따라 달라집니다. 어떤 민감한 데이터가 유출되었을 때 회사의 재정이나 기업 편판에 가장 큰 타격을 주는지 알아야 합니다.

  • 기업의 민감 정보가 어떻게 공유되고 저장되는지 확인하십시오. 유출될 확률이 가장 높은 데이터는 무엇입니까? 모든 위협이 외부에서 오는 것은 아닙니다. 가장 피해 규모가 큰 데이터 침해가 내부에서 발생하는 경우도 있습니다.

  • 직원을 주목하십시오. 버라이즌이 발표한 2020년 데이터 침해 조사 보고서에 따르면 “직원 실수는 적극적인 공격을 가하는 외부 세력과 거의 비슷한 횟수의 정보 유출을 일으킵니다.” 따라서 직원 교육, 자동화, 중앙 집중 제어 시스템은 필수적입니다.

4

그 다음에는 무엇을 해야할까?

민감한 비정형 데이터를 둘러싼 역할 관계가 어렵게 느껴질 수 있지만, 몇 가지 중요한 단계에만 집중해도 의미있는 진전을 이룰 수 있습니다.

1.

현재의 트렌드를 고려하여 모범 사례를
반영하십시오. 대부분의 조직은 어떠한
형태로든 GRC 정책을 보유하고 있지만 정형
데이터의 보안과 처리에 중점을 두고 있습니다.
민감도와 관계없이 비정형 데이터가 발생할 수
있는 잠재적인 요소를 모두 찾아내십시오.
이는 프로세스를 운영하면서 프로젝트를 계속
진행할 수 있도록 도와줍니다.

2.

데이터가 존재하는 장소
(서버 ,노트북, 모바일 디바이스)가 아닌
데이터를 보호하는 데이터 중심의
접근 방식, 프로세스, 툴을 이용해서
보안 인프라의 공백을 찾아내십시오.

3.

직원들이 원하는 단 한 가지는
업무를 완료하는 것입니다. 직원들에게 가장
좋은 방법은 업무 진행에 미치는 영향을
최소화할 수 있도록 민감 데이터의 분류를
자동화하는 것입니다. 정책을 명확하게
전달하고 설명해준다면 직원들은 더 수용적인
자세로 회사의 노력에 동참할 것입니다.

원문 다운로드