기업의 데이터 유출은 외부의 해커 등에 의해서만 발행하지 않는다. 데이터유출로 이어지는 보안 사고의 70% 가량이 내부자에 의해 발생한다는 조사결과도 있다. 이에 기업의 크기와 지역, 산업에 상관없이 심각한 문제로 떠오르고 있는 내부정보 유출을 효과적으로 방지할 수 있는 포괄적인 보안 환경 구축이 필요하다.

오늘날 모든 기업은 중요한 비즈니스 정보, 즉 고객 정보, 계좌 데이터, 트래킹 정보나 인력 기록에서부터 운영 및 재무 관련 데이터를 데이터베이스에 저장해놓고 있다. 그런데 이러한 정보는 해당 데이터베이스에 접근할 수 있는 직원에 의해 의도적이든 실수에 의해서든 한 순간에 위협에 노출될 수 있다.

더 나아가 기업의 보안 수준을 오염시키고 고객의 개인정보를 빼냄으로써 직접 돈을 빼내거나 해당 정보를 미끼로 기업을 협박하는 상황이 벌어질 수도 있다. 그리고 이러한 상황은 단순히 금전적인 손해에서 그치지 않고, 해당 기업에 대한 고객의 신뢰를 완전히 무너뜨리는 결과를 불러올 수 있다.

그런데 기업 데이터 유출은 외부의 해커, 도둑이나 스파이가 네트워크 방어막을 뚫고 들어와 기밀 정보를 훔쳐나가는 시나리오로만 발생하지 않는다. 시장조사 업체인 가트너에 따르면 데이터 유출로 이어지는 보안 사고의 70% 정도가 내부자에 의해 발생한다고 한다. 오늘날과 같이 정보가 곧 가상의 돈과 같이 여겨지는 시대에 기업의 중요 데이터를 유출하려는 시도는 기업의 크기, 지역, 산업에 관계없이 가장 긴급하고 심각한 문제로 떠오르고 있다. 그렇다면 내부정보 유출을 효과적으로 방지할 수 있는 보안 환경은 어떻게 구축할 수 있을까?

기밀 데이터가 어디에서 어떻게 저장되어 있는지 명확히 파악

시만텍이 조사한 바에 따르면 데스크탑이나 공유 파일 서버에 저장된 50개의 파일 중 1개에는 내부 정책과 외부 규제를 모두 위반하는 기밀 정보가 포함되어 있다고 한다. 그러나 대부분의 기업들이 이러한 민감한 정보를 파악하고 격리할 수 있는 시스템을 갖추고 있지 않다.

이로 인해 발생할 수 있는 컴플라이언스 이슈나 잠재적으로는 지적 자산 유출 피해를 최소화하기 위해서는 먼저 이메일, 파일 서버, 문서, 웹 사이트, 데이터베이스 등을 통해 노출된 기밀 데이터가 무엇인지를 정확하게 파악해야 한다. 일단 이것이 파악되면 다음으로는 자동으로 데이터 보호 정책과 암호화, 스토리지 계층화, 아카이빙 시스템을 적용해야 한다. 이러한 능력은 기밀 데이터가 어딘가로 전송될 가능성이 발생하기 이전에 이를 보호하게 되는 것으로, 데이터 유출 방지의 가장 기본이 되는 구조라고 할 수 있다.

모든 데이터 사용의 모니터링

기밀 데이터가 외부로 전송되는 것을 방지하기 위해서 가장 먼저 필요한 것은 다양한 정보 출구와 엔드포인트를 포괄적으로 모니터링하는 것이다. 많은 기업들이 정보 유출의 출구로 이메일을 지목하지만, 이메일은 일부분에 불과하다. 연구에 따르면 유출 사고의 50%가 이메일이 아닌 인스턴트 메시징, 블로그와 같은 인터넷 프로토콜을 통해 일어났다. 하지만 컨텐트 모니터링 솔루션들은 아직도 이메일만을 검사하고 다른 인터넷 프로토콜은 검사하지 않는다.

USB 디바이스, CD/DVD, 아이팟과 같은 저장 장치 역시 기밀 데이터 복사를 위해 쉽게 접근할 수 있는 엔드포인트다. 따라서 보안 시스템에 침투하는 경우만을 모니터링 하는 것도 충분치 않다. 효과적인 데이터 유출 방지 시스템은 노트북, 데스크탑에 저장된 기밀 데이터도 파악해 인벤토리를 생성하고 추가적인 보호를 필요로 하는 고위험 엔드포인트를 우선순위화하며 USB 디바이스, CD/DVD, 로컬 드라이브 다운로드, 첨부파일 등의 채널로 유출되는 것을 막을 수 있어야 한다. 그러나 여기서 주의해야 할 것은 모든 데이터 사용을 모니터링 하는 것이 직원의 프라이버시까지 침해해서는 안된다는 점이다.

직원의 프라이버시도 보호

데이터 유출 방지 시스템은 중요한 연구 및 개발 과정과 결과와 가치 있는 지적 자산, 거래 기밀 등을 보호하고 데이터 유출 사고로 인한 기업 명예의 실추나 금전적인 손해를 방지하기 때문에 시장 리더십을 지키기에는 더할 나위 없이 효과적인 도구다. 그러나 이 시스템은 제대로 관리되지 않을 경우 직원들의 불신과 불만을 조장할 수 있다.

예를 들어 어떤 데이터 유출 방지 솔루션의 경우 모든 트래픽을 수집함으로써 미국과 유럽 연합의 규제를 위반한다. 또 어떤 솔루션은 누가 어떤 데이터를 볼 수 있는지에 제한해주는 역할 기반 접근 제어 기능을 제공하지 않는다. 효과적인 데이터 유출 방지 시스템은 기업 보호와 직원 프라이버시 간의 균형을 맞출 수 있어야 한다. ‘Global Employee Privacy Protection’에 따르면 기업의 데이터 모니터링 시스템은 다음과 같은 요건을 충족시켜야 한다:

·타겟화된, 정책 기반의 모니터링으로 기밀 데이터의 특정한 속성을 정의할 수 있어야 한다.

·목표 데이터를 찾아내는 동시에 오탐지율을 최소화할 수 있는 정확한 탐지 기술이 있어야 한다.

·역할 기반의 제어 기능으로 오직 승인된 구성원만이 격리된 데이터를 볼 수 있도록 해야 한다.

정책 실행 자동화

일단 기밀 정보 유출 리스크가 확인되면 그 즉시 보안팀에서는 이를 수정, 해결할 수 있는 행동을 취해야 한다. 그러나 이를 위한 정책을 일일이 수작업으로 진행하는 것은 엄청난 부담으로 작용할 수 있다. 따라서 가장 좋은 방법은 지능형의 높은 성능을 가진 사고 대응 자동화 시스템을 갖추는 것이다.

예를 들어 최신 분석 및 워크플로우 기술을 활용하면 시스템이 사고의 심각성을 계산하고 자동으로 이에 맞는 정책을 선택, 수행할 수 있게 된다. 이렇게 대응의 수준을 다양하게 함으로써 기업은 사용자의 정책 준수 수준을 더욱 편리하게 개선할 수 있고 컴플라이언스를 준수하며 미래의 리스크까지 제거할 수 있게 된다.

특히 이러한 시스템을 구축할 때 중요한 것은 사고 대응에 대한 제거 워크플로우, 알림, 차단, 격리, 암호화 등의 베스트 프랙티스가 내장되어 있는 솔루션을 택하는 것이다. 이러한 베스트 프랙티스 템플릿을 이용하면 시스템을 구성, 설정하는데 소요되는 시간과 자원을 크게 절감할 수 있기 때문이다.

암호화된 데이터의 가시성과 통제력 확보

효과적인 데이터 유출 방지 시스템은 기업의 암호화 정책을 위반한 데이터가 전송되는 것을 방지하고 모니터링할 수 있어야 한다. 먼저, 외부 배포가 금지되어 있는 암호화된 정보에 대한 가시성과 제어 능력을 가지고 있어야 한다.

예를 들어 직원들이 신제품 프로토타입이나 고객 기록이 담겨 있는 암호화된 파일을 무심코 이메일로 보내거나 게시판에 올렸다고 가정해보자. 만약 이 파일들이 외부 배포가 허가되지 않은 것들이라면 데이터 유출 방지 시스템은 해당 데이터를 검사해 암호화 여부에 관계없이 전송을 막게 된다.

그 다음으로는 외부 배포가 승인된 기밀 정보에 대해 암호화 정책을 자동으로 적용할 수 있어야 한다. 이러한 경우 보호가 필요함에도 불구하고 암호화가 아직 되지 않은 정보를 파악하고 이를 배포되기 이전에 자동으로 암호화 서버로 이동시키게 된다.

정책 중심의 유출방지 접근 필요

그리고 무엇보다 중요한 것은 기업 구성원들이 바로 강력한 내부 정보보호 시스템의 핵심 요소라는 점이다. 가장 좋은 기술과 프로세스를 갖추었다고 해도 직원들이 정보 자산, 리스크 발생시 자신의 역할 등이 얼마나 중요한지를 깨닫지 못한다면 아무 소용이 없다.

지금까지 설명한 효과적인 데이터 유출 방지 시스템의 핵심은, 정보보호 정책 수행 모니터링, 격리, 교육에 이르는 모든 과정을 자동화된 시스템을 통해 관리함으로써 직원들이 자연스럽게 기업의 보안 정책을 익히고 준수할 수 있도록 하는 것이다. 기업들은 이와 같은 기본 원칙을 바탕으로 내부적으로 안전한 정보 유출 방지 시스템이 구축되어 있는지를 검토해 보완해야 한다. 이렇게 포괄적인 내부 정보 유출 방지 시스템을 구축함으로써 기업은 가장 기본적으로는 고객 및 스스로의 피해를 예방할 수 있으며 장기적으로는 브랜드의 가치를 지키고 고객의 신뢰를 얻을 수 있을 것이다.

<글·윤광택 시만텍코리아 SE본부 팀장(patrick_youn@symantec.com)>

[정보보호21c 통권 95호(info@boannews.com)] 

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>