예전에는 데이터 보호의 선(禪)과 아트(Zen and the Art of Data Protection)에 대해 얘기했었다. 좀 과한 소리로 들리겠지만 대부분의 조직에서 데이터 보호를 위한 비즈니스 드라이버(Business Driver)는 규제준수에 관한 반작용이다. 전략적인 데이터 보호의 접근 방법에는 규제준수로 동기를 부여 받는 반작용적 우뇌 접근 방법과 논리적인 좌뇌 접근 방법의 두 가지 주장이 대결을 벌인다고 할 수 있다. 이러한 대결의 결과에 돈을 걸어야 한다면 필자는 좌뇌가 승리할 것이라 믿는다.

많은 사람들은 보통 양쪽 뇌를 모두 사용하여 문제를 분석한다. 종종 초기 반응은 뇌의 반작용 부분에서 기인한다. 필자는 이를 우뇌라 하겠다. 일단 우뇌가 이러한 문제를 파악하고 나면 우리는 두 가지 중 하나를 행하게 된다. 즉 문제에 대해 우뇌의 초기 반응대로 행동하거나 뇌의 논리적 부분에서 문제의 숨겨진 기회를 찾도록 하는 것이다.

대결은 문제에 빠르게 반응하는 우리의 본능과 장기적인 해결책을 위한 계획 사이에 시작된다. 이는 종종 데이터 보호의 문제이기도 한다. 우뇌는 규제준수와 같은 문제를 해결하기 위해 반응적 접근 방법을 주도하는 반면 좌뇌는 장기적인 데이터 중심의 보안을 위한 좀 더 전략적인 접근 방법을 주도한다고 할 수 있다. 

규제준수를 위한 정보보호

다양한 전 세계의 관련 규제와 규정을 준수하는 것은 무척 힘든 일이다. 예를 들어 금융 기관은 다양한 데이터 보호 법안뿐 아니라 SOX, GLBA 및 PCI DSS 등을 이해하고 준수할 필요가 있다. 또한 회사가 운영되고 있는 각 국가에서 부여하는 규제들이 있다. 이러한 규제사항을 준수하지 않는 경우 벌금을 물거나 처벌을 당하고 법적 책임을 지게 된다.

규제준수는 엄청난 과제 사항을 안겨주기 때문에 조직은 IT 직원 규모의 반을 할당해서라도 규범을 준수하기 위하여 노력한다. 이러한 노력들은 모호한 법률 언어를 해석하고 특이한 요구 사항에 대한 해결책을 제시하며 업데이트되는 규제 사항을 모니터하고 그에 대응하며 준수 사항의 기한을 충족하고 요구 사항을 보고하는 다양한 감사를 관리하는 일들을 포함한다.

이러한 환경에서 전통적인 우뇌 접근 방법은 별개의 프로젝트로서 각각의 다른 준수 규제에 대응하고 이를 따로 이행한다. 그 결과는 기술의 적체, 일관성 없는 기업 정책, 그리고 기껏해야 벌금이나 처벌을 면하는 정도를 성공이라고 말할 수 있는 전술적이고(전략적이 아니라) 종종 불필요한 처리과정으로 나타난다. 또한 우뇌 접근 방법은 계속 ‘순종’적으로 만들고 이를 유지시키는 비용 및 복잡성을 상승시킨다.

데이터 중심의 정보보호

규제준수와 같은 문제에 직면할 경우 좌뇌는 조직의 모든 중요한 정보를 보호하는데 있어 장기적인 기회를 찾는다. 한 가지 기회는 규제준수에 필요한 초기 투자가 보다 넓은 요구 사항을 처리하기 위해 확장될 수도 있음을 인식하는 것이다. 좌뇌를 통해 규제준수에 접근함으로써 전향적인 데이터 보호 전략을 구축하고 조직이 성장함에 따라 커가는 모든 중요한 정보에 대해 대비할 수 있다. 

예를 들어 한 주요 항공사는 규제 사항을 준수하기 위해 신용 카드, 이메일 주소 및 주민등록번호 등과 같은 고객의 개인정보를 보호할 필요가 있었다. 이러한 국부적인 부분만을 해결하기 위한 기술과 정책을 시행한 대신 이 회사는 조직 전반적으로 접근하거나 공유할 필요가 있는 다른 민감한 정보를 살펴보기로 결정했다. 그들은 공항 청사진, VIP 여행 일정 및 행동 연구 등과 같은 추가 정보를 찾았다. 이는 그들이 접근 할 수 있는 데이터베이스와 애플리케이션에 있는 데이터를 보호할 뿐 아니라 문서, 도표 및 스프레드시트에서 발견되는 민감한 정보도 보호할 수 있음을 의미한다.  

그들의 좌뇌는 단기적인 준수 드라이버에 반응하려는 충동에 저항하고 보다 폭넓은 데이터 보호 전략을 아우르기 위해 프로젝트에 투자를 확대했다. 그들은 특정한 데이터 유형이 존재하는 곳에 암호를 적용하는 솔루션을 선택했다. 바로 세이프넷 데이터씨큐어(SafeNet DataSecure)이다.

이러한 적절한 관리로 이 조직은 집중화된 핵심 관리 및 정책 관리와 더불어 그러한 암호화가 실질적으로 특정 비즈니스를 영위할 수 있도록 해주는 비즈니스 실행주체(Business Enabler)가 됨을 믿을 수 있게 되었다. 그들은 인증받은 눈으로만 볼 수 있다는 확신을 가지고 필요에 따라 중요한 정보를 공유할 수 있다.

진부하게 들릴 수도 있지만 이는 중대한 시사점을 지닌다. 이제 친화적이지 않고 적대적이거나 혹은 신뢰할 수 없는 환경은 더 이상 문제가 아니다. 왜냐하면 데이터가 보호되기 때문이다. 암호화를 통해 데이터가 어디에 있든지 또는 어디로 이동을 하든지 데이터가 보호된다. 또한 접근 제어가 발효되는 경우에 믿을 수 있는 실체만이 분명하고 투명하며 협력적인 방식으로 민감한 데이터를 볼 수 있다.

이것이 무엇을 의미할까? 이 조직이 그들의 투자비용을 보다 넓은 영역과 데이터 유형으로 확대하고 집중화된 보고와 감사, 그리고 관리로 획득된 효율성을 통해 규모의 경제를 달성할 수 있을 뿐 아니라 생산성 증가를 위한 협력적 환경을 전향적으로 보호할 수 있다는 것을 의미한다.  

위험 관리에 대해 생각하는 방법

규제가 의도하는 위협은 실질적이고 조직에 즉각적이며 상당한 영향을 미칠 수 있다. 위험 관리 관점에서 규제준수를 해결함으로써 법조문을 준수할 뿐 아니라 정보 위험을 관리하고 운영, 고객 만족, 대중의 신뢰 및 인식, 그리고 주주가치에 미치는 영향을 강화하기 위해 조직은 공동의 플랫폼과 인프라로 보다 확장된 데이터 보호 역량을 획득할 수 있다. 과거엔 IT 지배구조, 위험 관리 및 규제준수는 많은 조직 내에서 지하에 존재하는 별개의 세 가지 원칙이었다. 

그러나 오늘날 최고로 관리되는 조직은 더 이상 이러한 관행을 별도의 기능으로 보지 않는다. 오히려 이들은 세 가지 중요한 영역 사이에 많은 공통점과 상호관계가 존재한다는 것을 인식하고 있다. 규제준수 구상안이 업종별 프로세스와 연계되면 데이터 보호는 조직의 성장에서 비즈니스 실행주체가 된다. 그리고 조직은 차세대 데이터 보호에 대해 그리고 세이프넷의 데이터씨큐어(DataSecure)가 어떻게 도움이 될 수 있는지에 대해 생각하는 하나의 두뇌로 통합될 수 있다.

<글 : 데렉 터물락(Derek Tumulak) 부사장 세이프넷 Product Management (derek.tumulak@safenet-inc.com)>

[월간 정보보호21c 통권 제116호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>