DLP 솔루션을 활용한 유통업계의 데이터 부정사용 방지

대부분의 기업들은 자신들이 어떤 데이터를 보유하고 있는지조차 정확히 파악하지 못하고 있고 조직 내의 민감한 데이터를 보다 효과적으로 파악할 수 있는 방법을 필요로 하고 있다. 유통업체의 데이터 유출 방지(DLP, Data Loss Prevention)를 위해서는 먼저 내부적으로 어떤 중요한 데이터를 보유하고 있는지 탐색하고 파악해야 한다. 일부 엔터프라이즈급 DLP 솔루션은 이와 같은 기능을 제공하고 있지만 확장성이나 정확성은 솔루션에 따라 천차만별이다. ID(Identity) 기반의 DLP 툴은 전사적으로 민감한 정보를 찾아내고 관리하는 데 도움을 준다.

현재 유통업체들은 여러 가지 어려움에 직면해 있다. 시장 경쟁은 날로 심해지고 원가는 상승하는데다 계속되는 경기 침체로 인해 소비자들은 지갑 열기를 꺼리고 있기 때문이다. 하지만 이런 다양한 어려움 중에서도 많은 유통업체들이 더욱 우려하는 것은 아마 고객의 신용카드 정보 유출 및 그로 인해 야기될 수 있는 부정사용 범죄일 것이다.

유통업계 종사자라면 지난 2007년 발생했던 의류 및 가정용품 업체인 위너스(Winners)와 홈굿즈(HomeGoods), 대형 의류할인점 TJ맥스(T.J. Maxx)와 마샬(Marshalls) 등을 소유한 미 대형 할인 유통업체인 TJX사(TJX Cos.)에서 발생한 4,500만 건 이상의 신용카드 정보 유출 사건을 기억하고 있을 것이다.

대규모 정보유출 사고에 언론 및 감독당국은 물론 입법부와 법조계의 관심이 집중됐고 이 사건으로 말미암아 TJX와 그 자회사들은 막대한 경제적·법적 피해는 물론이고 기업 이미지 실추까지 감수해야 했다.

지금까지 유통업체들은 고객정보 보호에 초점을 맞춰왔지만 사실 유통업계는 고객정보 외에도 민감한 기업 정보를 비롯한 지적 재산 전반에 대한 보호와 관리에 어려움을 겪고 있다. 정보 유출이나 정보 남용 사고가 적발되지 않은 채 넘어가는 경우도 적지 않지만 이 같은 정보유출은 기업의 비즈니스에 장기간 부정적인 영향을 미칠 수 있다.

데이터 유출 원인은 대부분 ‘단순 실수’

유통업체를 비롯한 대다수 기업체의 직원들은 어떤 데이터가 민감한 데이터인지 민감한 데이터가 어디에 저장되어 있는지 어떤 관련 법규나 규제 요구사항을 준수해야 하는지 모르는 경우가 많다. 정보를 보호·관리하고 데이터 유출 및 부정사용을 방지하기 위해서는 사용자에 대한 교육이 필수적이다. 그나마 다행스러운 것은 효과적이고 효율적인 방식으로 정보를 보호·관리하고 사용자에게 적절한 통지를 제공할 수 있는 기술이 존재한다는 사실이다.

의외로 대부분의 데이터 유출 사고(내부자 유출 사고의 70~80 80%)는 USB 키나 노트북 컴퓨터 분실, 이메일 전송 실수 같은 단순한 실수로 인한 것이다. 실제로 데이터 유출사고는 온라인 결제 시스템이나 전사적자원관리(ERP), 고객관계관리(CRM), 인사관리 시스템 등과 같은 통제된 애플리케이션에 포함된 데이터가 노트북이나 이동식 저장 매체, 이메일과 같은 통제되지 않은 시스템으로부터 ‘흘러나온’ 경우가 대부분이다. 많은 기업들이 협업 및 생산성 향상을 위해 이용하고 있는 이메일이나 USB 키와 같은 기술이 불행히도 다른 한편으로는 데이터 유출의 원인이 되기도 한다.

데이터 유출 방지 방법

대부분의 기업들은 자신들이 어떤 데이터를 보유하고 있는지조차 정확히 파악하지 못하고 있고 조직 내의 민감한 데이터를 보다 효과적으로 파악할 수 있는 방법을 필요로 하고 있다. 유통업체의 데이터 유출 방지(DLP, Data Loss Prevention)를 위해서는 먼저 내부적으로 어떤 중요한 데이터를 보유하고 있는지 탐색하고 파악해야 한다.

일부 엔터프라이즈급 DLP 솔루션은 이와 같은 기능을 제공하고 있지만 확장성이나 정확성은 솔루션에 따라 천차만별이다. ID(Identity) 기반의 DLP 툴은 전사적으로 민감한 정보를 찾아내고 관리하는 데 도움을 준다.

다음으로 필요한 것은 내부 정책 개발 및 사용자 교육이다. 이때 중요한 것은 사용자 교육과 기술 솔루션을 함께 병행해 보안 침해 가능성이 있는 순간에 사용자들에게 정책 위반 사실을 인식시키는 것이다. 효과적인 DLP 솔루션이라면 단순히 모니터링이나 접속 차단에 그치지 않고 다양한 조치를 취할 수 있어야 한다. 대부분의 상황에서는 사용자에 대한 경고 메시지 같은 제지 조치만으로도 위험을 완화시키고 비즈니스 지원 사이에서 충분한 보안 효과를 제공한다.

가령, PCI 정보가 포함된 이메일을 전송하려는 사용자가 전송 버튼을 클릭할 때 사용자에 대한 경고 메시지를 띄우면 사용자가 보안 침해 가능성을 인식하고 스스로 잠재적 위반을 시정할 수 있게 된다. 이와 같은 기능을 통해 사용자들이 본의 아니게 실수로 데이터 유출이나 남용 같은 보안 침해를 저지르지 않도록 방지하고 적시에 보안 정책 및 데이터 이용 정책을 사용자들에게 인식시킬 수 있다.

마지막으로 유통업체들이 데이터를 보다 효과적으로 관리하고 통제하기 위해서는 데이터의 내용만이 아니라 그 이상을 처리할 수 있는 포괄적인 보안 솔루션이 필요하다. 조직 내에서 민감한 데이터의 사용 현황을 심층적으로 파악하고 적절한 조치를 취하기 위해서는 데이터 전송의 맥락과 개념 및 사용자 계정(ID)을 인식할 수 있는 DLP 솔루션이 있어야 하기 때문이다.

누가 언제 어디서 어떻게 데이터를 사용하고 있는지 파악하면 정밀하고 구체적인 정책을 수립할 수 있다. 어떤 맥락에서 데이터가 사용되는지 파악할 수 없다면 비용과 부담을 최소화하는 선에서 적절한 데이터 관리 정책을 집행하고 필요한 인원을 배치하기란 불가능하다. 가령, 인사 팀 관리자라면 민감한 개인 신상 정보를 전송할만한 합법적이고 합당한 사유가 있을 수도 있겠지만, IT 관리자가 개인 정보를 전송해야 할 이유는 아마 없을 것이다. 이처럼 데이터 트랜잭션의 내용과 맥락을 심층적으로 이해하면 정보 유출이나 남용 또는 부정사용과 관련된 조직적 요구를 충족시키는데 도움이 될 것이다.

유통업계가 데이터 부정사용의 위험을 완화하기 위해서는 ID 기반의 정확한 모듈식 DLP 솔루션이 필요하다. 이 같은 솔루션 없이는 끊임없이 증가하는 방대한 양의 비즈니스 정보를 효과적으로 보호하기란 불가능하고 그로 인해 유통업체나 그 고객들은 데이터 부정사용 위험에 노출될 수밖에 없다.

[조상원 한국CA 보안 시니어 컨설턴트(sangwon.cho@ca.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>