엔터프라이즈 데이터 보안 모범 사례
복잡한 기업 보호를 위한 진화
엔터프라이즈 데이터 보안은 항상 중요한 데이터를 보호하고, 이러한 중요한 데이터가 권한이 부여되지 않은 사람의 손에 들어가지 않도록 하는 것이 관건이었습니다. 즉 외부의 공격, 구성 오류, 심지어 내부자에 기인해 발생할 수 있는 유출을 방지하는 것이 주된 목표입니다.
모든 데이터가 엔터프라이즈 데이터센터 내부에 보관된 경우, IT 보안 스태프는 중앙의 한 위치를 지정받아 유한하고 예측 가능한 대상을 보호합니다. 하지만 현재는 데이터가 사용자 디바이스나 엔터프라이즈 데이터센터 내부에만 상주하던 시절에서 다른 시대로 넘어갔습니다. 데이터가 엔터프라이즈의 관리하에 있던 실제 디바이스나 위치에서 점점 벗어남에 따라, 엔터프라이즈 데이터 보안에 큰 변화가 발생하는 것은 놀랄 일이 아닙니다.
현재 엔터프라이즈 데이터의 위치는 어디인가요?
오늘날 엔터프라이즈 데이터는 최종 사용자 디바이스, 온프레미스 데이터센터와 여러 개의 클라우드 등 다양한 위치에 보관되어 있습니다. 데스크톱 기반의 애플리케이션을 사용하지 않는 사용자도 많습니다. 화면에 입력되는 단어마다, 확실한 것은 오직 최종 사용자 컴퓨터는 모든 데이터가 잠재적으로 클라우드에 존재하는 키 스트로크라는 사실입니다.
따라서 전반적인 의미에서 데이터는 더 이상 엔터프라이즈 한 곳에서 관리하는 잘 정의된 위치 내에 존재하는 정적인 무언가가 아닙니다. 그보다, 이제 데이터는 여러 환경과 다양한 지역을 넘나들며 이동하는 경우가 많습니다. 오늘날의 데이터는 말 그대로 어디에나 있을 수 있고 실제로 어디에나 있으므로 보안을 확보하기가 훨씬 복잡해졌습니다.
암호화만으로는 최신 위협에 대응하기 역부족
예전에는 대부분의 기업에서 데이터 손실은 대체로 해커나 악의적인 제삼자 탓이라고 생각했기 때문에 데이터를 암호화하면 리스크를 배제할 수 있다고 여겼습니다. 안타깝게도 최근 확연히 드러난 사실은, 기업 내에서 발생하는 데이터 유출 사건 중 상당수가 외부 소스에서 기인한 것이 아니라 내부자 탓이라는 점입니다.
이런 경우 암호화는 보호 효과가 없습니다. 내부자는 데이터가 암호화되었다 하더라도 모든 데이터에 액세스할 수 있기 때문입니다. 암호화는 제삼자로부터 보호할 뿐, 조직 내에서 근무하거나 데이터에 대한 액세스 권한을 보유한 사람은 차단할 수 없습니다.
보안을 확보해야 하는 중요 데이터 파악
엔터프라이즈 데이터 보안 부문에 오랫동안 존재해온 문제점은 어느 데이터가 중요하고 꼭 보호해야 하는지 식별하기 어렵다는 것입니다. 이전에는 각 회사가 특정 데이터와 파일 형식에 대하여 규칙을 만들어 이 문제를 해결했습니다. 시간이 흐르면서 그러한 규칙이 조정되기도 했고, 기업에서 자체적으로 카테고리를 만들어 어느 정보가 중요한지 정의를 내리기도 했습니다. 하지만 데이터는 수많은 위치에서 생성 및 공유되는 반면, 수동 접근 방식은 시대에 맞게 확장되지 않습니다.
이제는 머신 러닝(ML) 기술 덕분에 중요한 데이터를 식별하는 작업을 가장 정확하고 빠르고 큰 규모로 수행할 수 있습니다. 입니다. ML을 사용하면 중요한 데이터를 대상으로 자동 분류를 생성할 수 있습니다. 또한 분류 자체도 이제는 데이터 보호를 위해 수작업으로 카테고리를 만드는 데 그치지 않고, 콘텐츠 인식형 검사를 위주로 발전해 왔습니다.
콘텐츠 인식형 검사를 활용하면 콘텐츠를 소스나 외부에 노출된 속성(예: 파일 이름)과 같은 기준에 따라 레이블을 지정하지 않고 데이터 보호 기술이 파일 내부를 들여다보고 포함된 내용이 무엇인지 판단합니다. 콘텐츠 분석은 머신 러닝 모델로 지원되어 콘텐츠에 반드시 보호해야 하는 중요한 데이터가 있는지 판단합니다.
수동 데이터 분류 방식도 여전히 유용한 측면이 있지만, 조직에서 콘텐츠 인식형 검사를 이용하면 좀 더 자동화되고 정확하며 확장 가능한 접근 방식을 적용할 수 있습니다.
DLP와 SASE를 활용한 최신 엔터프라이즈 데이터 보안
엔터프라이즈 데이터 보안 기술의 핵심적인 구성 요소인 DLP(Data Loss Prevention)도 시간이 흐르면서 발전했습니다. 최신 DLP는 SASE(Secure Access Service Edge) 아키텍처에 통합하여 엔터프라이즈 보안을 강화할 수 있어야 합니다.
SASE가 필요한 이유
데이터가 모든 곳에 편재하고 사용자가 모든 위치에서 연결하는 시대에, SASE는 보안 레이어를 제공하여 기업, 사용자와 이들이 보유한 데이터를 보호하는 역할을 합니다. SASE는 클라우드 내 네트워크 액세스를 보안 서비스로 연결하므로 사용자가 장소나 시점에 구애받지 않고 엔터프라이즈가 보호된 상태에서 연결하도록 지원해 줍니다.
SASE 보호에는 Threat Prevention, CASB(Cloud Access Security Broker) 기능과 데이터 보호 등이 포함됩니다. SASE는 SD-WAN이나 ZTNA(Zero Trust Network Access)와도 교차하는 부분이 있습니다. 그런 의미에서 DLP(Data Loss Prevention)는 어디서나 사용자 상호작용을 보호하는 대규모 서비스 스위트의 일부분인 셈입니다.
엔터프라이즈 데이터 보안을 개선하기 위한 더 많은 단계
보안 리더가 엔터프라이즈 데이터 보안 강화를 위해 취할 수 있는 몇 가지 조치가 있습니다.
최고위 경영진에게 보고합니다. 디지털 시대에는 어느 기업에서나 데이터 보안을 최우선 우려 사항으로 여겨야 합니다. 데이터 보안과 개인정보 보호는 임원급, 이사진 수준에서 논의해야 하는 사안입니다. 회의 안건에 이 주제가 포함되어 있지 않다면 즉시 포함해야 합니다.
다중이해관계자 접근 방식을 따릅니다. 데이터 보안을 성공적으로 확보하려면 다중이해관계자(multistakeholder)의 노력이 필요합니다. 건실한 모범 사례로, 데이터 보안 전략을 마련하고 조직 전반을 망라하여 다양한 구성원으로 조합한 일종의 운영 위원회를 수립하는 것이 좋습니다. 이 위원회에서 목표를 논의하고 비즈니스 전체에서 입수한 다양한 의견을 바탕으로 데이터 보안에 대한 접근 방식을 결정하는 것입니다.
최신 도구를 사용합니다. 십 년 전에 만들어 배포한 데이터 보호 기술로는 오늘날의 엔터프라이즈 데이터 현실에 도저히 발맞출 수 없습니다. 기업에서는 데이터 보호를 다시 생각하고, 최신 도구를 구비하여 현대적인 접근 방식을 유리하게 활용해야 합니다. IT 리더에게는 레거시 온프레미스 시스템을 차세대 버전으로 교체할 책임이 있습니다. 이제는 클라우드를 사용하고 AI와 머신 러닝을 기반으로 중요한 데이터를 자동으로 보호하고 분류할 수 있는 데이터 보호 솔루션에 집중해야 합니다.
거의 모든 비즈니스의 생존이 데이터에 좌우되는 시대입니다. 지금 이 시대에 중요한 데이터를 보호하지 않고, 개인정보 보호 대세에 발맞춰갈 수 없는 기업은 중장기적으로 생존할 확률이 낮습니다. 다행히 지금 이런 목표를 이룰 여러 가지 효과적인 방법이 있습니다