Cover Story

Q 3. 어떤 암호화 정책으로 전송된, 또는 저장되는 데이터를 보호할 것인가?

우선, 가능한 가장 강력한 암호화 수준을 추구하고 고집해야만 한다.

이것이 약 1년 전 Mozy 온라인 데이터 스토리지와 백업 서비스를 사용하기로 결정했던 비영리 재단 ‘프리 더 칠드런 인 토론토(Free The Children in Toronto)’의 IT 및 멀티미디어 책임자 에이머블 무가라(Aimable Mugara)에게 결정적인 요인이었다.

현재 128bit SSL 암호화가 상당히 일반적인 반면 Mozy(EMC 산하)는 448bit의 Blowfish 온-디스크 암호화를 제공한다. 무가라는 “이것은 매우 드문 경우”라고 말했다. Mozy는 또한 자사의 서비스가 HIPAA의 컴플라이언스 표준을 충족시킨다는 것을 보장하기 위한 조치를 취해왔으며, 이 점이 또한 무가라에게 보다 깊은 신뢰를 갖게 했다.

기업 데이터 감사 및 보호 회사 티저 시스템즈(Tizor Systems)의 창립자이자 기술총책임자 프랫 모그헤(Prat Moghe)도 또한 공급자들이 고객별 데이터를 어떻게 저장하는지 살펴보는 것이 중요하다며 “만일 침해가 있다면 그것을 어떻게 잡아낼 것인가? 그리고 만일 데이터가 외부로 반출된다면 그것은 암호화 될 것인가?”라고 예를 들었다.

확인할 필요가 있는 또 다른 질문은 ‘그 회사에 어떤 침해 사건들이 있었는가, 만일 있었다면 그것을 어떻게 처리했는가?’이다. 한편, 데이터 보호에 관해 SaaS 공급자의 정책을 검토하는 방법 중의 하나는 SAS 70 감사 리포트의 사본을 요청하는 것이다(‘SAS 70’ 참고).

보안 기술 서비스 공급자 어큐먼 솔루션즈(Acumen Solutions)의 글로벌 서비스 관리 책임자 샐리 스탠리(Shally Stanley)는 자신의 팀은 자사 고객들이 뒤로 물러나 저장되어야 할 데이터의 유형을 숙고하도록 한다고 말했다. 스탠리는 “이러한 고찰은 주로 위험에 대한 기업의 태도와 처리되는 데이터의 유형에 의해 좌우된다”고 말했다.

스탠리는 또 “어떠한 상황에서든 그 누구도 봐서는 안 되는 매우 민감한 데이터를 가지고 있는 기업들이 있다. 그들의 태도는 유출된다 하더라도 막대한 피해를 주는 것은 아닌 기밀 정보를 갖고 있는 다른 기업들과는 다를 수밖에 없다”고 덧붙였다.

<글·헤더 클랜시(Heather Clancy)>

[정보보호21c (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>