“잇단 개인정보 유출…데이터 보호 패러다임 바뀌어야“
상태바
“잇단 개인정보 유출…데이터 보호 패러다임 바뀌어야“
  • 김선애 기자
  • 승인 2022.10.03 23:34
  • 댓글 0
이 기사를 공유합니다

가트너 ‘데이터 보호 플랫폼’에 요구되는 새로운 기술 범주 제안
제로 트러스트 원칙 데이터 보호 기술로 bDSP·DSPM·DAG 소개

[데이터넷] 삼성전자 미국법인이 고객정보 유출 사고를 당했으며, 호주의 통신사가 해킹으로 980만여명의 개인정보를 유출당했다. 틱톡은 부모 동의 없이 13세 미만 어린이 데이터를 유출한 혐의로 영국으로부터 2900만달러의 벌금을 부과받았다. 우리나라에서는 신당역 살인사건의 가해자가 직위해제된 후 회사 전산망에 접속해 피해자의 집 주소와 근무지를 알아냈다는 사실이 밝혀졌다.

개인정보 유출 사고는 끊임없이 일어난다. 유출된 개인정보는 피해자의 목숨을 위태롭게 하기도 하고, 재산 피해를 입히기도 한다. 피싱·보이스피싱 등 각종 사기에 이용당하기도 하며, APT 공격에 필요한 권한계정 정보를 알아내는데 사용되기도 한다.

클라우드로 인해 개인정보 유출 사고 피해 정도가 더 심각해진다. 비즈니스가 클라우드로 확장되고, 클라우드에 개인정보가 이전되고 있지만, 클라우드에 맞는 데이터 보호 정책이 명확히 확립되지 않은 상황이다. 기업·기관은 온프레미스에 적용한 데이터 보호 정책과 기술을 클라우드에 그대로 적용하고자 하지만, 클라우드의 민첩성·유연성에 기존 기술과 정책은 맞지 않다. 클라우드의 장점을 유지하면서 데이터를 보호하기 위한 다양한 방법이 제안되고 있지만, 온프레미스, 프라이빗 클라우드 환경에서도 동일한 정책을 적용해야 한다는 전제를 만족시키지 못하는 상황이다.

전 세계적으로 개인정보 보호법이 강화되고 있으며, 주요 골자는 개인정보 활용에 대한 법적 근거를 마련하되, 유출 시 모든 책임은 기업이 지도록 되어 있다. EU GDRP의 경우, 전 세계 매출액의 최대 4%를 과징금으로 부과하도록 하는 등 무거운 책임을 강제하고 있기도 하며, 우리나라에서도 개인정보 활용 범위를 넓히는 동시에 기업에 더 많은 책임을 지도록 하는 방향으로 규제가 강화되고 있다.

▲가트너 ‘데이터 보호 플랫폼(DSP)’의 4가지 주요 범주
▲가트너 ‘데이터 보호 플랫폼(DSP)’의 4가지 주요 범주

컴플라이언스·거버넌스 위한 데이터 보호 플랫폼 필요

기업·기관은 데이터의 활용성을 높여 비즈니스 경쟁력을 제고하는 동시에 모든 환경에서 보호해야 한다는 난제에 부딪힌 상황이다.

현재 데이터 보호는 잠재적인 공격자와 악의적인 내부자로부터 데이터를 보호하기 위해 중요 데이터를 식별·분류해 자동으로 정책을 적용하는데 초점을 맞추고 있다. 이러한 과제를 달성하는 것도 어려운 일인데, 비즈니스 변화가 빨라지면서 추가적으로 필요한 과제가 산적해 있는 것도 현실이다. 예를 들어 데이터를 공유하고 재사용·재공유하는 상황까지 고려한 정책 마련이 필요하며, 아예 검색되지 않도록 해 유출 가능성을 제거하는 방법까지 고민해야 하는 상황이 됐다.

가트너의 ‘2023년 데이터 보안 플랫폼(DSP) 도입을 위한 전략적 로드맵’에서는 DSP에 데이터 자체를 보호하는 기술뿐 아니라 컴플라이언스와 거버넌스까지 고려한 데이터 위험 분석 평가와 대안 마련이 필요하다고 강조했다. 특히 사일로화 된 데이터 보호 기술, 솔루션을 통합해 플랫폼 관점의 보호와 활용이 필수라고 덧붙였다.

가트너는 새로운 DSP의 4가지 범주로 ▲광범위한 스펙트럼 DSP(bDSP) ▲데이터 보안 형상 관리(DSPM) ▲데이터 유출 방지(DLP) ▲데이터 액세스 거버넌스(DAG)가 있다고 설명했다.

bDSP는 클라우드에 위치한 데이터베이스의 구조화된 데이터를 강력하게 통합하는 기술로, 미국 사이버보안 및 인프라 보안국(CISA)이 제안한 제로 트러스트 데이터 보안 원칙을 지키기 위한 필수 요소로 꼽혔다.

bDSP는 데이터베이스 작업 모니터링과 데이터 마스킹·토큰화·암호화 등이 포함되며, 형식 보존 암호화(FPE), 동적 데이터 마스킹(DDM), 개인정보 보호 평가 등의 기술로 진화하고 있다. 클라우드로 중요한 데이터베이스를 이관하는 추세가 본격화되면서 bDSP 수요가 늘고 있는데, 이 분야 전분기업인 이뮤타(Immuta)는 올해 10억달러의 시장 규모를 형성하고 있다고 예측한 바 있다.

클라우드 마이그레이션 단계 맞춘 데이터 보호 전략 마련해야

DSPM은 멀티·하이브리드 클라우드 전체에서 데이터의 보안 상태를 관리하는 솔루션으로, 중요한 데이터의 위치, 해당 데이터에 액세스할 수 있는 사용자, 데이터 사용 방법, 데이터 저장소 또는 애플리케이션의 보안 상태를 파악하고 조치할 수 있도록 제안한다.

가트너는 최근 데이터 검색·분류 시장에서 나타나는 두 가지 중요한 변화로 ▲개인식별가능 정보(PII)를 발견하는 개인정보 관리·데이터 추적 기술 ▲AI/ML을 이용해 컨텍스트 기반 PII 분류 등을 들었다. 후자의 예를 들자면, 29라는 숫자가 도어락 비밀번호인지, 집안의 온도인지 지능적으로 알아차리는 기술을 말한다. DSPM은 이러한 상황까지 고려해 데이터의 보안 상태를 확인한다.

DSPM을 ‘차세대 DLP’로 분류하는 시각도 있는데, 가트너는 일단 DLP를 별도의 독립된 영역으로 분류했다. DLP는 정형 데이터 뿐 아니라 비정형 데이터 보호 기술도 포함하며, 모니터링, 경고, 차단, 검역의 기능을 제공하고, 컨텍스트를 기반으로 사용중인 데이터이 보안 정책을 적용한다.

DAG는 비정형 데이터에 대한 보안 액세스 정책 구현에 초점을 맞추고 있으며, 향후 RDBMS까지 확장하는 추세에 있다. DSPM의 진화방향이라고 분석하는 의견도 있으며, 사내·클라우드 모두에서 비정형 데이터에 대한 자격관리를 지원한다.

새로운 DSP는 일시에 턴키 방식으로 적용할 수 있는 것이 아니다. 클라우드 마이그레이션 단계에 맞춰 적용해야 하며, 제로 트러스트 전략에 포함시켜 데이터 전반의 보안을 강화해 나가야 한다. 가장 먼저 bDSP를 구현해 클라우드 기반 데이터베이스를 보호하고, 멀티·하이브리드 클라우드에서 비정형 데이터에 대한 DSPM을 평가하며, 데이터 보안 정책과 데이터 보호 프레임워크를 업데이트해 새로운 환경에 적합한 상황으로 만들어야 한다.

중기적으로는 AI를 위한 개인정보 보호 목표, 클라우드 마이그레이션·데이터 호수 프로젝트와 일치시켜 정책을 수립, 운영한다. 장기적으로는 데이터 사이언스서비스(DSaaS)를 적용해 데이터를 비즈니스 자산으로 활용하는 것을 가트너는 제안했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.