2024-03-28 18:20 (목)
[DLP 바로알기③] 클라우드에 저장된 개인정보도 개인정보! 클라우드 DLP
상태바
[DLP 바로알기③] 클라우드에 저장된 개인정보도 개인정보! 클라우드 DLP
  • 길민권 기자
  • 승인 2018.07.04 15:01
이 기사를 공유합니다

▲ 소만사 제공.
▲ 소만사 제공.
최일훈 소만사(대표 김대환) 연구소장의 <DLP(Data Loss Prevention) 바로알기> 칼럼을 연재하고 있다. 짧고 쉬운 문체로 설명한 만큼, DLP에 대한 이해도를 높이고 내부정보유출방지를 목적으로 DLP 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. [편집자 주]

클라우드 서비스는 두 가지 버전으로 나눌 수 있어. 프라이빗 클라우드와 퍼블릭 클라우드로 말이지. 프라이빗 클라우드는 사내 데이터 센터 안에 직접 전용환경을 구축하는 환경이라고 보면 될 것 같아. 회사가 원하는 정책에 맞추어 환경을 구축할 수 있고 사내 데이터 센터 안에 있기 때문에 보안수준도 높은 편이지. 하지만 운용하는데 비용이 소요된다는 단점이 있어.

퍼블릭 클라우드는 클라우드 사업자가 만든 클라우드 시스템에 여러 기업들이 사용료를 지불하고 임대하는 형식이야. 클라우드 사업자의 데이터 센터에서 운용되기 때문에 외부에 있을 때도 접속이 원활하고 상대적으로 관리비에 대한 부담이 적은게 장점이야.

현재는 대기업을 제외하고는 대부분 퍼블릭 클라우드 서비스를 이용하는 것이 대세야.

◇편리하지만 사내 임직원 모두가 접근할 수 있기에 보안조치가 필요한 퍼블릭 클라우드 서비스

클라우드는 이용하기에 참 편해. 회사내부/외부에서 팀원들과 문서를 공유하는데 최적화 되어있지. 임직원들 모두가 접근하기도 쉬워. 하지만 보안 담당자의 입장에서는 바로 그 점이 문제가 되더라. 보안사고가 많이 일어나고 있거든.

내가 아무 생각 없이 올린 고객명단이나 인사기록카드가 암호화 안된 상태로 떡 하니 올려져 있다면? 그리고 나쁜 마음 먹은 누군가가 그걸 다운받아서 외부에 팔아 넘긴다면? 클라우드 서비스에 로그인 된 직원PC에 해커가 들어와서 정보를 덤프째로 다 빼내간다면? 퍼블릭 클라우드에도 고수준의 보안기능이 있지만 여러 변수를 다 통제하기 위해서는 반드시 적절한 보안조치가 필요해. 특히나 회사 밖에서의 다운로드 통제가 필요할거야.

◇퍼블릭 클라우드 서비스 내 방치된 개인정보를 모두 검출하는 클라우드 DLP

클라우드 보안은 비교적 최근에 나온 이슈야. 이전까지는 클라우드 서비스를 잘 사용하지도 않았을 뿐만 아니라, 사용하더라도 대기업에서 주로 이용했기 때문에 대부분 프라이빗 클라우드 형식으로 이용했지. 사내 데이터 센터 안에 정보가 저장돼 있으니 서버 DLP로 해결이 가능했어.

그러나 시간이 지나면서 Dropbox, Office365, Onedrive같은 퍼블릭 클라우드 형태의 서비스 사용이 대중화 되기 시작했어. 여러 문서와 정보가 클라우드 서비스 안에 저장되기 시작했고 그 안에 기밀정보, 개인정보도 포함됐지. 단 한 건이라도 유출될 경우 회사와 보안담당자 입장에서는 큰 문제이기 때문에 보안 중요성이 대두되기 시작했어. 물론 클라우드 서비스 내에도 자체 탑재된 보안기능이 있지만, 내부 서버처럼 보안조치를 취하는 것이 필요해진거야. 그렇게 나오게 된 것이 클라우드 DLP야.

DLP의 기본은 개인정보가 얼마나 있는지 현황 파악을 하는거야. 전문용어로 Discover라고 해. 단어 뜻 그대로 개인정보를 발견하는 거야. 그 다음에 필요 없는 정보라면 삭제조치가 필요할 거야. 필요하지만 권한 있는 사람의 접근만 허용해야 한다면 암호화해야 할거고. 그리고 프록시 기능을 이용해서 클라우드로 개인정보를 업로드하고 다운로드하는 것을 지속적으로 통제해야 해.

보안 담당자는 개인정보 삭제뿐만 아니라 그 외의 기술적 보호조치도 내부서버를 운용할 때처럼 높은 수준으로 통제해야 할거야. 개인정보 유출은 보관장소, 시간을 가리지 않으니까.

모든 것은 다 위험요소를 품고 있어. 하지만 보안관리만 잘 한다면 어느 대기업 못지 않은 난공불락의 개인정보 보호요새를 갖게 될거야.

글. 최일훈 소만사 연구소장 / acechoi@somansa.com

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★