전체메뉴

[애플경제 이보영 기자] 사이버 공격이 난무하는 현실에서 기업의 데이터를 보호하려면 어떤 보안 대책을 세워야 할까. 최근 시이버 공격과 보안에 관한 전문가들은 이에 대해 다양한 모범 사례나 대책을 제시하고 있다. 국내 전문가들은 물론, 사이버리즌, 테크레이더, 사이버시큐리티, 테크타깃 등 해외 사이버 전문매체들과 전문가들의 견해를 종합하면 대략 10가지 안팎의 데이터 보안 전략으로 요약된다.

우선은 기업용 데이터 카탈로그를 작성하는 것이다. 데이터를 보호하려면 어떤 데이터가 존재하는지 아는 것부터 중요하다. 데이터는 데이터 센터, 네트워크 연결 스토리지, 데스크톱, 모바일 및 원격 사용자, 클라우드 서버 및 애플리케이션으로 구성된 분산 네트워크 내에서 흐르며 유지됩니다. 이들 데이터가 생성, 사용, 저장 및 파기되는 방법을 이해하는게 첫 번째다. 특히 그런 데이터가 어떻게 사용되고 있는지를 파악해야 한다. 그래서 “데이터가 차지하는 여러 상태와 모드 간에 데이터가 어떻게 전환되는지 이해하고, 이동 방법이나 이동 시기, 처리 및 저장 방법을 알면 한층 보안을 최적화할 수 있다”는게 전문가들의 조언이다.

데이터의 가치를 매기고, 정확히 분류하는 것도 중요하다. 즉 데이터를 인벤토리하고 그 용도를 파악한 후 데이터에 값을 입력하고 분류한 후 태그를 지정하는 것도 그런 이유다. 분류 레이블을 통해 적용된 값에 따라 데이터를 보호하되, 이를 위한 분류 용어가 정확해야 한다. 예를 들어 ‘공용’ 여부, ‘내부자료’ 여부, ‘민감한 정도’, ‘기밀사항’ 등이 그런 것들이다. 이를 통해 일관성 있고 적절한 데이터 분류를 통해 데이터를 언제, 어디에 저장해야 하는지, 데이터를 보호하는 방법이나 액세스 권한을 가진 사용자를 결정할 수 있다.

‘데이터 마스킹’을 사용하는 것도 필수다. 데이터 손실에 대한 강력한 무기는 도난당한 정보를 공격자가 사용할 수 없게 만드는 것이다. 기밀 유지 도구는 이를 위해 필요하다. 즉, ‘데이터 마스킹’을 통해 사용자는 실제 데이터를 요구하거나 노출하지 않고, 실제 데이터를 기반으로 기능적으로 포맷된 데이터에 대한 작업을 수행할 수 있다. 데이터 마스킹 기술에는 암호화, 문자 셔플링 및 문자 또는 단어 치환이 포함된다. 가장 인기 있는 기술 중 하나는 ‘토큰화’인데, 실제 값을 독자적 기능을 갖춘 ‘더미 데이터’로 대체한다. 예를 들어 PII 또는 신용카드 번호와 같은 데이터는 필요한 사용자만 액세스할 수 있도록 하는 것이다.

‘암호화’는 암호화 알고리즘과 비밀 키를 사용하여 의도된(인증된) 접속자만 데이터를 읽을 수 있도록 한다. 암호화는 드라이브, 응용프로그램 내 또는 전송 중인 데이터에 사용된다. OS, 애플리케이션, 클라우드 플랫폼뿐만 아니라 독립 소프트웨어 프로그램에서도 널리 사용할 수 있다. 공격자가 암호화된 데이터를 도난당한 경우 데이터를 읽을 수 없으므로 공격자가 데이터로부터 값을 얻을 수 없다. 그렇다고 “암호화가 데이터 보안의 중요한 요소로 간주되어서는 안 되지만 중요한 정보를 보호하는 가장 좋은 방법임엔 틀림없다”는 전문가들의 견해다.

‘강력한 액세스 제어’도 필요하다. 가치가 있거나 규제의 적용을 받는 데이터는 작업을 수행하기 위해 접근 권한이 필요한 사람만 사용할 수 있어야 한다. 특정한 주체가 어떤 데이터에 접근할 수 있어야 하는지 파악하고, 그러한 주체의 권한을 관리하고 정기적으로 검토하기 위한 강력한 접근 제어 메커니즘이 중요하다. 권한을 부여하거나, 액세스를 제어하는 방법은 ‘암호’와 ‘감사 로그’에서 다중 요인 인증, 권한 있는 액세스 관리. 필수 액세스 제어에 이르기까지 다양합니다. 어떤 메커니즘이든, 최소 권한 원칙에 따라 엔티티를 검증하고 액세스 권한을 부여해야 한다.

데이터 보안을 위해선 또한 ‘데이터 수집’과 ‘보존 시스템’을 생성할 필요가 있다. 이는 데이터 관리, 보호와 관련된 표준을 설정한다. 즉 △ 수집해야 할 데이터, △보관 시기와 방법 △암호화해야 하는 데이터 △ 정보에 접근할 수 있는지 여부 등이다. 이런 데이터 사용과 보존 수칙을 준수하지 않는 데이터는 삭제해야 한다.

평소 보안의식을 고취시키기 위한 교육도 필수적이다. 즉, 데이터 보호는 사이버 보안과 마찬가지로 조직 차원의 문제다. 데이터에 액세스할 수 있는 직원과 사용자에 대한 데이터 보안이 그 만큼 중요하다는 의미다. 교육을 통해 데이터 보안에 대한 역할과, 사용자가 수집하고 저장해야 하는 데이터, 공유해서는 안 되는 데이터 등을 깊이 인식시켜야 한다.

‘데이터 백업’ 또한 필수다. 가용성과 무결성은 기밀성만큼이나 보안에도 중요한데, 데이터 백업은 이러한 기능을 제공한다. 백업은 다른 위치에 있는 데이터의 복사본이며, 작업 복사본을 사용할 수 없거나 삭제 또는 손상된 경우 데이터 검색을 가능하게 한다. 그래서 예약된 기반에 따라 백업을 수행하되, 완전한 데이터 복제 또는 데이터에 대한 변경 사항만 저장하는 증분 백업일 수도 있다. 물론, 백업 자체가 공격의 대상이 될 수 있으므로 항상 유의할 필요가 있다는 지적이다.

‘DLP’, 즉 ‘데이터 손실 방지’ 플랫폼을 구축해야 한다. 이는 모든 데이터 보안 전략의 핵심 요소로서, 중요한 데이터의 추적을 자동화하는 기술, 제품, 기술로 구성된다. DLP 보호 장치는 규칙을 사용하여 전자 통신이나 데이터 전송을 하도록 한다. 데이터가 회사 네트워크를 벗어나거나 정책 범위를 벗어난 내부 리소스로 라우팅되는 것을 방지하는 것이다. DLP는 또한 기업 데이터가 확인되지 않은 엔티티로 전송되거나, 불법 전송 방법을 통해 전송되는 것을 방지하는 데 사용될 수도 있다.