유럽 일반개인정보보호법(GDPR) 시행이 2개월 여 앞으로 다가왔다. GDPR은 개인정보 적용 범위를 폭넓게 인정하고 있으며, 정보주체의 자기결정권을 강화했으며, 위반 시 막대한 과징금이 부과된다. GDPR 준수를 위해서는 서비스를 설계하는 단계부터 개인정보보호를 적용해야 한다. GDPR 준수를 위해 반드시 고려해야 할 사항을 확인한다.<편집자>
정보유출 사고는 수많은 경로를 통해 이뤄지기 때문에 어느 하나의 포인트만을 지켜서 해결되는 것은 아니다. 특히 클라우드, 모바일, IoT로 인해 비즈니스 경계가 희미해지고 있는 현재 상황에서, 경계보안, 내부보안에만 의존해 개인정보 유출을 막는 것은 결코 바람직하지 않다. 특히 비즈니스 유연성을 극대화하기 위해 데이터의 유통을 자유롭게 하면 데이터 가시성이 떨어지고 통제·관리가 약화돼 데이터 유출 사고가 일어나기 쉽다.
데이터는 어디에나 존재하고, 어디에서나 사용될 수 있어야 하는 비즈니스 현실에서는 데이터 거버넌스 기반의 관리정책이 필요하다. 또한 개인정보보호 수준을 평가하고, 소송이 발생했을 때를 대비하며, 백업, 복구, 암호화, 가명화 등의 요구에도 만족할 수 있어야 한다.
마이크로포커스는 GPDR을 위한 엔드 투 엔드 솔루션을 갖추고 있다. ▲정책 기반 거버넌스와 개인정보 평가를 제공하는 ‘컨트롤 포인트(ControlPoint)’, ‘스트럭처드 데이터 매니저(Structured Data Manager)’, ‘콘텐츠 매니저(Content Manager)’ ▲소송에 대응할 수 있는 ‘ECA’, ‘이디스커버리(eDiscovery)’, ‘리걸홀드(Legal Hold)’ ▲백업·복구 솔루션 ‘데이터 프로텍터(Data Protector)’, ‘커넥티드 백업(Connected Backup)’, ‘CMX’ ▲암호화와 가명화를 지원하는 ‘시큐어데이터(SecureData)’, ‘시큐어메일(SecureMail)’ ▲침해대응 및 보고를 지원하는 ‘아크사이트(ArcSight) SIEM’ 등을 통해 GDPR 대응을 지원한다.
데이터 거버넌스 관점의 보호 전략 필요
GDPR 준수를 위한 개인정보 보호 프로세스를 완성하기 위해서는 고도화된 침해대응 솔루션과 거버넌스, 리스크 관리, 컴플라이언스(GRC) 솔루션이 필요하다. 델EMC RSA의 GRC 솔루션 ‘아처(Archer)’는 개인정보 데이터 처리 작업에 대한 적절한 제어 수단을 식별하고 관리, 구현할 수 있는 프레임워크를 제공한다. 또한 조직이 처리 작업을 그룹화하고 데이터 보호 영향 진단을 수행하며, 데이터 보호 기관에 규정 위반과 데이터 보안 침해를 통지하는 것을 추적할 수 있도록 지원한다.
이와 함께 보안탐지 솔루션 ‘넷위트니스(NetWitness)’는 강력한 침해대응 역량을 제공하는 제품으로, 로그, 패킷, 엔드포인트, 위협 인텔리전스를 활용해 보안침해가 미치는 영향 범위를 감지하고 파악할 수 있도록 지원한다. 또한 난독화와 같은 다양한 제어 수단을 사용해 보안 분석가가 이를 활용해 개인정보보호가 중요한 데이터를 보호하면서 분석 작업을 수행할 수 있다.
개인정보 액세스 보안을 위해 제안되는 ‘시큐어ID(SecurID)’는 위험 분석, 컨텍스트 기반 인식을 활용해 적절한 사용자가 장소 및 디바이스에 관계없이 적절한 액세스 권한을 획득할 수 있도록 지원한다 . GDPR 규정의 데이터 거버넌스와 ID 관리 규정을 감안할 때 이러한 제품은 기본적으로 필요한 ID 및 액세스 확인을 구현하는 데 중요한 역할을 수행할 수 있다.
더불어 비즈니스 중심 보안 전략을 수립하고 고급 보안운영센터(SOC)를 구축할 수 있도록 위험을 진단하고 컨설팅을 지원하며, 침해사고 발생 시 필요한 조치를 지원한다.
사용자 행위 분석해 불법 유출 탐지
개인정보 보호를 위한 방법으로 지능적으로 은밀하게 진행되는 불법 유출 정황을 탐지하는 것이 필요하다. 기존의 내부위협 모니터링 시스템은 키워드나 패턴, 1회 혹은 1일 조회·유출량을 기준으로 하는 임계치 기반 탐지 시스템을 사용했지만, 이 방식은 쉽게 우회할 수 있기 때문에 정밀한 탐지가 가능한 시스템이 필요하다.
공격자는 권한 있는 사용자 계정으로, 정상 프로세스를 이용해 데이터를 빼내기 때문에 룰·패턴 기반 모니터링 시스템으로 탐지할 수 없다. 엔드포인트·네트워크 경계에서 침입을 차단하는 것도 한계가 있으며, 정상 사용자가 정상적인 권한을 갖고 외부로 유출하는 것은 이 방법으로 막을 수 없다.
포스포인트의 ‘은행 및 금융 기관 내부자 위협 완화와 조사’ 보고서에서는 “내부에서 발생하는 위협을 효과적으로 해결하기 위해 조직에서는 직무 분리, 인사이동, 권한 할당, 접근 제어, 외부의 위협 경로를 탐지해야 한다. 또한 이벤트 발생 후 감사 제어만 적용하는 전통적인 보안을 뛰어넘어 인간 행위에 대한 현실적인 이해도를 입증하는 정책과 프로세스를 반드시 제정해야 한다”고 설명하고 있다.
‘포스포인트 인사이더 쓰렛(FIT)’은 엔드포인트에서 사용자 행위를 모니터링하다가 일정 수준 이상 위험도를 가진 이상행위가 발생하면 이를 기록하고 감사팀에 보고한다. 이상행위 점수는 여러 상황을 결합해 판단해 정상적인 업무에 불이익을 받지 않도록 한다.
