[특집 : 데이터 유출 방지 솔루션의 핵심 요구사항]

정보자산보호 위한 정보유출 방지는 성공 비즈니스의 핵심

기업들은 중요한 정보가 어디에 저장되어 있고 어디로 어떻게 이동되며 그로 인한 보안 위험은 어느 정도 수준인지 파악하면 보안 위험을 완화할 수 있다. 또한 기업에서는 이와 같은 정보자산 보호를 위한 데이터 유출방지 솔루션은 필수다. 데이터 유출방지(DLP) 솔루션은 개인 식별 정보(PII), 지적 재산(IP) 및 여타의 비공개 정보(NPI)에 대한 정보보안 침해를 방지하는 것은 물론이고 안전하지 않거나 규정에 어긋나는 전자적 행위에 의해 야기되는 모든 보안 위험을 완화할 수 있어야 한다.

기업 내에서 디지털 정보를 생성하고 공유하는 속도는 하루가 다르게 빨라지고 있다. 이 같은 정보를 어디서나, 누구하고나, 효과적이고 효율적으로 교환할 수 있는 능력은 이제 성공적인 비즈니스를 위한 필수 조건이 됐다. 하지만 기업의 임직원과 고객 및 파트너들 사이에서 이처럼 향상된 수준의 연결성과 협업을 가능케 하는 이메일, 웹, 인스턴트 메신저 같은 기술들이 다른 한편으로는 심각한 보안 위험을 유발하기도 한다. 의도한 것이든 의도하지 않았든 혹은 악의적인 것이든 그 여하를 막론하고 민감한 데이터에 대한 ‘내부자’의 정보 침해는 단 한 번만으로도 기업에 막대한 금전적 피해나 부정적인 언론 보도, 법적 책임이나 브랜드 이미지 실추 같은 손실을 야기할 수 있다.

 

기업들에게는 이와 같은 보안 과제가 민감한 정보의 가치 및 적절한 이용 방식에 대한 직원들의 인식을 제고할 수 있는 기회가 될 수도 있다. 중요한 정보가 어디에 저장되어 있고 어디로 어떻게 이동되며 그로 인한 보안 위험은 어느 정도 수준인지 파악하면 보안 위험을 완화할 수 있다.

데이터 유출방지(DLP) 솔루션은 개인 식별 정보(PII), 지적 재산(IP) 및 여타의 비공개 정보(NPI)에 대한 정보 보안 침해를 방지하는 것은 물론이고 안전하지 않거나 규정에 어긋나는 전자적 행위에 의해 야기되는 모든 보안 위험을 완화할 수 있어야 한다.

 

DLP, 최대 보안 이슈로 뜬다

정보는 가장 중요한 기업 자산 중의 하나이다. 기업들은 어디서든, 어떤 기기로든, 정보에 액세스할 수 있고 누구하고나 협업이 가능하기를 원한다. 하지만 ‘자유로운’ 정보 이용을 바라는 만큼 보안 관리나 위험 관리 측면에서는 수많은 문제가 야기된다.

이제 기업들의 관심은 IT 인프라 보호에서 정보 보호로 옮겨가고 있다. 기업의 정보를 보호하기 위해서는 중요한 데이터가 어디에 저장되어 있고 어디서 이용되는지 파악할 수 있어야만 한다. 여기에 기업 정책 및 각종 규제에 대한 컴플라이언스 요구사항, 개인정보 유출에 대한 고객과 직원들의 우려, 데이터 유출 사고로 인한 손실과 비용의 증가 등은 이와 같은 문제를 한층 더 복잡하게 만든다.

통제의 손길이 미치지 않는 메시지 송수신과 웹 활동 및 파일 이용으로 인한 보안 위험을 완화하기 위해서는 중요한 정보가 어디에 위치해 있고 어디서 어떻게 이용되며 그로 인한 보안 위험은 어느 정도 수준인지 파악해야만 한다. 가장 중요한 것은 민감한 정보가 내부자든 외부인이든 엉뚱한 사람의 수중에 들어가는 일이 없도록 보호하는 일이다. 시중에서 판매되는 DLP 솔루션의 종류도 워낙 많은데다 각각의 솔루션들이 주장하는 데이터 유출방지 성능도 저마다 엇비슷한 상황에서 기업의 보안 위험을 사전 예방적으로 완화하고 민감한 기밀 정보를 보호하기 위해 어떤 솔루션을 선택해야 할 것인지 판단하기가 쉽지 않다.

이에 본고에서는 단순히 보안 침해 사고를 사후에 보고하는 솔루션이 아닌 정보 침해의 발생을 실질적으로 방지할 수 있는 데이터 유출방지 솔루션이 갖춰야 할 8가지 핵심 요구사항을 제시하고자 한다. 유용한 지침을 제공하기 위해 데이터 보안에 가장 민감한 기업들이 가장 중요하게 생각하는 요구사항을 취합하여 정리했다.

[1] 가장 취약한 위험 지점을 식별하고 우선순위를 부여하라

비공개 정보(재무 정보, 사업 정보, 임직원의 신상 정보, 법적 정보 및 규제 정보), 개인 식별 정보(주민번호, 신용카드 번호, 개인 의료 정보) 및 지적 재산(특허, 등록상표, 설계 디자인) 등의 원치 않는 정보유출은 기업 네트워크 곳곳의 여러 지점에서 발생할 수 있다. 기업의 모든 잠재적 보안 위험 지점을 최종적으로 보호할 수 있는 포괄적인 DLP 솔루션이 필요한 이유도 바로 여기에 있다.

DLP 솔루션의 궁극적인 목표는 취약한 모든 사이트를 완벽하게 보호하는 것이지만, 현실적으로는 가장 취약한 데이터와 이들 데이터를 전달하는데 이용되는 메커니즘을 보호하는 것에서부터 시작하는 것이 전술적으로나 경제적으로나 타당하다. 이메일은 모든 기업에서 가장 액세스 빈도나 이용 빈도가 높은 전자 애플리케이션이라는 점에서 대부분의 기업에서 가장 데이터 유출이 발생하기 쉬운 위험 지점이라는 데 의문의 여지가 없다. 평균적으로 일반적인 기업체의 직원 한 사람이 하루에 주고 받는 이메일이 100건이 넘는다는 점을 감안하면 이메일은 민감한 기밀 정보가 유출되는 경로 중의 하나임이 분명하다. 이 같은 보안 위협을 더욱 가중시키는 것은 이메일은 데스크톱 PC와 휴대 기기, 공공 장소의 컴퓨터, 웹 기반의 회사 이메일, 무선 노트북 컴퓨터 등, 어디서나 발송이 가능하며 이들 중 상당수는 보안상의 허점을 노출하고 있다는 사실이다.

전사적 보안 위험을 증가시킨다는 점에서 이메일에 크게 뒤지지 않는 것이 바로 USB, 아이팟, CD/DVD 버너, 무선 노트북 컴퓨터 같은 휴대용 저장 장치로, 이들은 수백 메가바이트의 데이터를 저장할 수 있다. 또한 통제의 손길이 미치지 않는 웹 활동도 데이터 유출 기회라는 점에서 판도라의 상자나 다름없는데, 특히 인스턴트 메신저나 웹 메일, 인터넷 게시판, 블로그, 위키 같은 소셜 네트워킹이나 파일 공유가 주요 원인이다.

이외에도 기업들이 유의해야 할 보안 취약점으로는 스캔 파일 시스템, 파일 리파지토리, 문서 관리 시스템, 민감한 데이터 및 기밀 데이터가 담겨 있는 메일 저장소 등과 함께, FTP, 일반 SMTP, HTTP 같은 통신 프로토콜 등이 있다.

지침 #1 먼저 기업 이메일과 휴대용 저장 장치 및 웹 활동 같은 가장 취약한 위험 지점부터 보호하되 네트워크 경계부, 엔드포인트(데스크톱 PC, 노트북 등), 메시징 애플리케이션에 사용되는 인프라 서버 등의 모든 요소들을 철저히 보호하고 난 후에 여타의 취약점을 감시하고 보호하는 쪽으로 옮겨가야 한다.

[2] 포괄적이고 정확한 내용분석 수행이 관건이다

단순한 내용 중심의 분석 기법은 정해진 어휘 사전과 비교하는 방식(lexicon-matching)을 이용해 데이터 유출 위험을 탐지하는데 보안 침해 위험을 식별하는 과정에서 수많은 정상적인 이벤트에 대해서도 경보 신호가 표시된다. 조사해야 할 이벤트 대기열이 탐지 과정의 ‘긍정 오류(false positive)’로 가득 찬 상황에서 관리자가 취할 수 있는 방법이라고는 합법적인 이벤트가 대부분인 수백 건의 이벤트를 일일이 수동으로 조사하여 진짜 보안 침해를 가려내거나 아니면 보안 정책 자체를 완화하는 것뿐이다.

이처럼 단순한 탐지 방식을 이용할 경우, 진짜 보안 침해는 놓치기 쉽고 너무나 많은 이벤트에 대해 경보 신호가 표시되어 심각한 운영상의 비효율이 초래되기 때문에 데이터 유출 가능성은 커질 수 밖에 없다.

잠재적인 보안 정책 위반에 대해 안전하게 대응하는 유일한 방법은 사용자 계정(identity) 및 비즈니스 규칙을 인식하여 합법적인 비즈니스 활동은 허용하면서도 진짜 정책 위반만 가려낼 수 있는 분석 기법을 이용하는 것이다. 이와 같은 수준의 포괄적인 정확성은 단순히 핵심 단어나 어구와의 일치 여부를 비교하여 내용 및 문맥을 조사하는 방식에서 벗어나, 전사적 위계(hierarchy)와 최종 사용자의 계정을 고려할 때에만 가능하다. 특히 문맥은 잠재적 데이터 침해와 합법적인 활동을 구분하는 데 결정적인 역할을 한다. 정확한 분석을 위해서는 어떤 파일이나 메시지에 대해 경보 신호를 표시해야 할 것인지 여부를 판단하는 과정에서 탐지 기준에 해당하는 긍정 ‘이벤트’에 표준화된 평가 점수를 부여하는 기능 외에도 가중치를 부여하거나 차감하는 기능도 필요하다.

가령 하나의 문서나 메시지에서 연속되는 6자리, 7자리 숫자가 50개 발견될 때 개인정보 침해로 정의하는 주관적인 임계치를 설정했다고 하자. 그렇다면 연속되는 6자리, 7자리 숫자가 48개만 포함된 경우는 어떻게 해야 할 것인가? 그냥 통과시켜도 무방할 것인가? 아마도 통과시켜서는 안될 것이다. 문서의 작성자, 이메일 송수신자 및 조직 내에서의 그들의 역할 같은 사용자 계정을 고려하는 것은 어떤 파일이나 메시지가 진짜 데이터 유출 위험인지 여부를 판단하는 데 도움이 되는 또 다른 핵심적인 분석 기법이다.

지침 #2 현재 사용중인 DLP 솔루션이 포괄적이고 정확한 내용 분석을 수행할 수 없다면 해당 기업은 수많은 탐지 오류 중에서 진짜 보안 침해를 가려내거나 시정할 수 없을 것이다. 경보 신호가 표시된 수많은 이벤트 중 대다수는 합법적인 활동이기 때문에 이처럼 유효성이 떨어지는 탐지 시스템으로는 잠재적 데이터 유출 위험을 사전에 안전하게 방지할 수 없다.

[3] 포괄적으로 미리 정의되고 검증된 정책을 고집하라

포괄적이고 정확한 분석을 기법을 사용하여 주어진 이벤트에 대해 올바른 대응을 제공하는 광범위한 효과적인 정책 카탈로그는 DLP 솔루션에서 없어서는 안될 기초다. 정책을 쉽고 빠르게 생성하고 적용하는 것도 중요하지만 적용된 정책이 기업의 비즈니스 규칙과 베스트 프랙티스를 효과적으로 포착하는 것도 그만큼 중요하다.

DLP 솔루션은 커스터마이징이 가능한 일련의 미리 정의된(pre-built) 검증된 정책들을 활용할 수 있어야 하며 이들 정책은 다양한 보안 문제나 컴플라이언스 문제를 처리하는 동시에 특정 위험 영역을 정밀하게 겨냥할 수 있어야 한다.

대부분의 정책은 이메일과 웹 및 인스턴트 메신저 등을 포함한 모든 중요한 취약 지점에 언제든 즉각적으로 적용할 수 있어야 한다. 일부 정책은 개별 기업의 고유한 환경에서 최적의 운영을 보장하기 위해 각 기업별 요구사항에 맞는 구성이 필요할 수도 있다. 어떤 경우든 DLP 정책을 설계, 우선순위 부여, 개발, 적용하는 데 소요되는 시간과 노력을 크게 줄일 수 있다.

이상적인 정책 카탈로그는 누가 관련되어 있고 어떤 일이 발생했으며 무엇이 탐지됐는가에 따라 정책 위반에 적절하게 대응할 수 있는 옵션을 제공할 검증된 방법론과 청사진을 갖춰야만 한다.

지침 #3 정책 구성이 아무리 쉽다고 해도 정책 기능이 지나치게 단순하거나 기능적으로 제한된 DLP 솔루션은 의미 있는 데이터 유출 방지를 제공할 수 없다. 따라서 신속한 적용이 가능하면서도 폭 넓고 완벽한 보호 범위를 제공하는 포괄적인 종류의 미리 정의된 검증된 정책을 사용해야 한다.

[4] 민감한 데이터와 기밀 데이터만 보호해서는 안 된다

DLP 솔루션은 개인 식별 정보(PII), 지적 재산(IP) 및 기타 비공개 정보(NPI)에 대한 보안 침해 방지 외에도 안전하지 않거나 규정에 어긋나는 전자적 행위로 인해 야기되는 모든 보안 위험을 완화할 수 있어야 한다. 이 같은 전자적 행위로는 직원들의 부적절하고 공격적인 행위, 여러 가지 규제 요구사항이나 법적 요구사항에 위배되는 통신 활동, 합법적 활동이나 전략을 침해할 수 있는 행위, 통제되지 않은 재무 거래, 고객 불만에 대한 부적절한 처리 등이 포함될 수 있다. 또 정부 규제 요구사항부터 산업별 규정에 이르기까지 폭 넓고 다양한 규제 및 기업 컴플라이언스 요구를 처리할 수 있어야 한다.

지침 #4 효과적인 DLP 솔루션은 민감한 정보 및 기밀 정보를 보호하는 데에서 더 나아가, 다양한 정보 위험 문제를 해결하는데 이용될 수 있어야 한다. 대부분의 기업들은 먼저 DLP 관련 문제들을 처리하는 것에서부터 출발하여 점차 정보 남용 같은 여타 영역으로 보호 범위를 확대해간다.

[5] 각각의 인시던트별로 적절하게 대응하라

일단 어떤 이벤트에 대해 정책 위반이라는 판단이 내려지면 DLP 솔루션은 차단, 검역, 경고, 암호화, 통지 등의 적절한 조치를 통해 실시간으로 대응한 후, 즉각적인 시정에 필요한 적절한 추가 조치를 취할 수 있어야 한다. 모든 대응 조치는 정책 위반의 종류 및 심각성에 따라 각기 개별적으로 결정되어야 하며 특히 관련된 사용자가 누구인지를 고려해야 한다.

가령 CEO의 규칙 위반은 영업 사원이나 연구원의 규칙 위반과는 다르게 처리해야 할 수도 있다. 이외에도 적절한 대응 조치로는 해당 메시지나 사용자를 회사의 보안 정책에 관한 안내 웹 페이지로 연결하거나, 해당 작업을 바로 완료할 수 있는 절차상의 지원을 제공하거나, 관련 메시지나 파일을 정해진 규칙에 따라 분류하거나, 인시던트 대시보드를 업데이트하거나, 의심스러운 활동을 포착하여 조용히 감시하는 것 등이 있다. 또 사용하지 않는 휴지 상태의 모든 파일은 이동이나 복사, 삭제 또는 표시가 가능해야 한다.

보안 침해의 발생 위치와 상관없이 적절한 처리를 보장하기 위해서는 데스크톱 PC와 메시지 서버, 네트워크 경계부, 파일 리파지토리 등을 비롯한 모든 잠재적 취약 지점에서 대응 조치를 실행할 수 있어야 하며 과거의 이벤트를 불러 분석하는 과정에서도 실행이 가능해야 한다.

지침 #5 무차별적이고 획일적인 접근방식으로는 의심스러운 모든 활동에 대한 마구잡이식 차단이나 수동적인 사후 조사밖에 제공할 수 없다는 점에서 각각의 정책 위반 인시던트에 대해 개별적으로 적절한 조치를 취할 수 있는 유연성을 제공하는 DLP 솔루션이 필요하다.

[6] 인시던트 대응 프로세스를 최적화하라

데이터 유출과의 전쟁에서 절반을 차지하는 것은 탐지 과정에서의 긍정 오류(false positive)를 최소화하고 진짜 정보 유출을 탐지하는 것이다. 나머지 절반은 의심스러운 보안 침해를 효율적으로 시정하고 완벽하게 해결하는 것이다. 비즈니스 워크플로우에 지장을 주지 않으면서도 이와 같은 목표를 완수하기 위해서는 감독자와 운용관리자가 의심스러운 활동을 조사, 감사, 에스컬레이션, 주석 추가(annotate), 보고 및 해결할 수 있게 도와주는, 커스터마이징이 가능한 자동화된 대응 애플리케이션이 필요하다.

최적화된 대응 프로세스를 위해서는 특정한 정책 위반 이벤트를 어떤 관리자가 조사할 것인지 안전하게 결정하는 자체적인 가시성 통제 기능이 필요하다. 또, 적절한 조치가 원활하게 이루어지기 위해서는 웹 기반의 대응 애플리케이션에 구성이 가능한 원클릭 조사 버튼을 포함시켜 이벤트 전반을 손쉽게 평가할 수 있도록 해야 한다. 여기에는 감사 추적을 자동화하고 각각의 인시던트를 언제, 누가, 어떻게 처리했는지 기록할 수 있는 기능이 포함된다. 조사자는 해당 메시지 전문이나 해당 파일 전체 및 첨부 파일 등을 원래 포맷 그대로 조회하는 등, 모든 관련 정보를 조회할 수 있어야 할 뿐 아니라 관련 인시던트를 자동 혹은 수동 방식으로 손쉽게 검색하여 조사에 활용할 수 있어야 한다.

별도의 써드파티 케이스 관리 툴을 사용해야 하거나 모호하고 불분명한 시스템 활동 로그를 처리하는 작업이 필요해서는 안 된다. 또 필요한 경우, 조사 애플리케이션이 자동으로 발송하는 안전한 메시지를 통해 문제의 파일이나 메시지를 작성하거나 발송한 사용자에게 인시던트의 상태나 필요한 조치를 통보할 수 있어야 한다.

지침 #6 DLP 솔루션은 모든 정책 위반 인시던트를 찾아내야 함은 물론이고 신속하고 효율적인 시정 조치도 제공할 수 있어야 한다.

[7] 지속적인 사용자 교육 및 자체 시정 조치 필요

효과적인 DLP 솔루션은 직원들이 주어진 활동이 왜 부적절한지 이해하고 스스로 시정 조치를 취하며 향후 재발을 막을 수 있도록 직원들과 상호작용이 가능해야 한다.

지속적인 사용자 교육은 올바른 행동 양식을 강화하고 사용자들이 회사의 다양한 정책을 위반했을 때 야기되는 결과에 대해 충분히 이해할 수 있도록 돕는다. 직원들과 적시에 적절한 상호작용이 가능하다면 직원들에게 회사의 보안 정책 및 기타 정책들을 각인시켜 데이터 유출 방지에 대한 직원들의 인식을 극대화할 수 있다. 더 나아가 이와 같은 차원의 교육은 전자 통신, 인사 관리, 기업 윤리, 전자 정책 및 기타 직원 교육 분야에 대한 기존의 교육 및 인식 제고 노력을 원활하게 보완할 수 있다.

기업들이 ‘결정적인 순간’(즉, ‘전송’ 버튼을 클릭하는 순간)의 데이터 유출 위험에 대한 직원 교육을 강화하면 정책 위반을 크게 줄일 수 있고 그에 따라 기업의 보안 위험과 IT 부담 및 금전적 비용과 시간 낭비도 최소화할 수 있다.

지침 #7 대부분의 데이터 유출 사고가 의도하지 않은 실수에 의한 것이기는 하지만 지속적인 사용자 교육은 자신들의 활동이 감시당하고 있다는 사실을 인식시킨다는 점에서 악의적인 활동을 계획하는 사용자들에게도 영향을 미칠 수 있다. 또 우연한 실수나 부주의로 인해 정책을 위반하게 된 사용자들은 지속적인 사용자 교육 덕분에 스스로 시정 조치를 취할 수 있게 된다.

[8] 모듈식 분산형의 유연한 아키텍처를 구현하라

모듈식의 분산형 데이터 분석 기능으로 구성된 DLP 솔루션은 기업들이 가장 시급한 요구사항을 신속하고 경제적으로 처리하는 한편으로 보안 요구의 변화에 따라 필요한 새로운 통제 기능을 손쉽게 추가할 수 있게 해준다. 이와 같은 유형의 플랫폼 아키텍처는 시스템 운용관리자가 전사적 보안을 위해서는 어떤 통제 요소들을 조합해야 할 것인지 결정할 수 있게 해준다. 어떤 경우에는 데스크톱 PC나 노트북 컴퓨터에 대한 통제 기능만 필요할 수도 있지만 또 다른 경우에는 네트워크에 대한 통제 기능이 필요할 수도 있다. 그런가 하면 또 어떤 상황에서는 전사적인 데이터 유출 방지 목표를 달성하기 위해 서버 기반의 통제 기능과 데스크톱 통제 기능 및 네트워크 통제 기능을 결합해야 할 수도 있다.

모듈식 접근방식은 신속한 구현과 적용이 가능하고 SPOF(Single Point of Failure)를 방지하며 500명에서 50만명의 직원까지 확장이 용이하다. 엔드포인트 또는 클라이언트 요소들은 중앙 서버나 기업 네트워크와의 연결이 해제된 경우에도 보호를 보장할 수 있어야 한다. 사용자가 기업 네트워크에 다시 연결했을 때 새로운 정책을 자동으로 다운로드하고 포착된 인시던트를 원활하게 업로드할 수 있어야 한다.

사용자들이 인식하지 못하는 동안에도 적절한 정책이 적절한 위치로 신속하고 안전하게 배포될 수 있도록 자동화된 정책 배포 기능을 제공해야 한다. 또 사용되는 정책의 수나 통제 지점의 수와 관계없이(5만 대의 데스크톱 PC 또는 5개의 네트워크 출구 등) 모든 기능이 지원되어야 한다. 뿐만 아니라 DLP 솔루션은 데스크톱 PC와 네트워크, 메시지 서버 및 데이터 리파지토리 등의 다양한 위치에서 어떠한 순서로든 작동이 가능해야 하며 추후 필요한 보완적 모듈을 손쉽게 추가할 수 있어야 한다. 새로운 유형의 데이터나 통신 채널 및 프로토콜이 등장하더라도 변화하는 요구사항에 적응할 수 있어야 한다.

지침 #8 유연성이 떨어지는 경직된 솔루션이나 검증되지 않은 솔루션보다는 현재와 미래의 정보 보안 요구를 지원할 수 있는 탁월한 유연성과 확장성, 성능 및 장애허용성(fault tolerance)을 갖춘 모듈식 분산형 아키텍처의 솔루션을 선택해야 한다.

<글 : 조상원 한국CA 보안 시니어 컨설턴트(sangwon.cho@ca.com)>

[월간 정보보호21c 통권 제106호 (info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>