[데이터넷] 마이데이터의 핵심 보안 요구사항인 개인정보 보호를 위해서는 민감한 정보를 암호화하고, 법적 근거 없이 수집한 개인정보는 삭제해야 한다. 그래서 웹·서버·PC 등에 있는 개인정보를 파악하고 정책을 위반하는 데이터는 조치하며 자동 암호화하는 솔루션이 필요하다.

지란지교데이터는 ‘피씨필터’, ‘서버필터’, ‘웹필터’ 등 민감·개인정보 보호 솔루션과 개인정보 비식별 솔루션 ‘아이디필터’로 개인정보를 보호한다. 또한 민감·개인정보 적정성 평가 도구를 제공해 비식별 데이터의 보호 수준을 향상할 수 있다.

사용중 데이터까지 보호하는 컨피덴셜 컴퓨팅

저장된 데이터와 이동중 데이터는 암호화 해 보호할 수 있지만, 사용중인 데이터는 암호화 하기 어렵다. 그래서 강력한 접근통제로 보호하지만, 정상 사용자 계정으로 접근하는 공격자와 악의를 가진 권한사용자로 인한 리스크를 막을 수 없다.

활용중인 데이터를 보호하는 기술로 컨피덴셜 컴퓨팅(Confidential Computing)이 있다. 컨피덴셜 컴퓨팅의 대표적인 예가 인텔 SGX로, CPU에 암호화 샌드박스(Enclave)를 두고 중요한 데이터를 분석·연산해 데이터를 활용 중에도 암호화 상태를 유지할 수 있다.

OS·애플리케이션으로 침투한 공격자나 특권권한 사용자의 불법적인 행위나 오남용으로 인한 위협을 방지할 수 있다. 연산중인 데이터를 메모리 덤핑해 복제한다 해도 암호화된 상태로 복제되기 때문에 불법적으로 복호화 할 수 없다.

마이크로소프트는 컨피덴셜 컴퓨팅 컨소시엄(CCC)의 일원으로, 클라우드 플랫폼 ‘애저(Azure)’에 컨피덴셜 컴퓨팅을 내재화 해 사용중, 저장중, 전송 중 데이터를 보호한다. 애저는 오픈 엔클레이브 SDK를 제공하며, 기존 애플리케이션을 보안 엔클레이브에 적용시켜 애플리케이션 수준에서 데이터의 기밀성을 보장한다. AKS(Azure Kubernetes Service)에서 지원하는 컨테이너를 보호하며, 관리형 HSM과 함께 애저 키 볼트(Azure Key Vault)를 사용해 키를 기밀성 있게 관리한다.

마이크로소프트의 데이터 보호 솔루션은 모든 환경에서, 어떤 종류의 데이터라도 적절한 보안을 적용해 생산성과 보안성을 모두 만족할 수 있게 한다. 비즈니스 전반에서 데이터를 가시화하고, 데이터의 중요도, 업무의 특성 등을 고려해 보안정책을 적용해 라벨링하며, 변경·이동·삭제 등 라이프사이클 전반을 추적한다. 또 민감한 데이터는 암호화·워터마킹·마스킹·토큰화를 적용해 보호한다. 데이터 인텔리전스를 활용해 데이터 보호 수준을 자동으로 분류하며, 정책관리와 보안을 적용한다.

신호철 한국마이크로소프트 매니저는 “개인정보 보호를 위해 암호화만이 정답이라고 생각하는 경향이 있는데, 결코 그렇지 않다. 암호화할 수 없는 개인정보도 있고, 암호화하지 말아야 할 업무도 있다. 모든 데이터를 암호화해 키관리 등 복잡한 데이터 보호 요구 사항을 증가시키는 것은 데이터를 더 위험하게 만드는 것”이라며 “모든 데이터를 가시화하고 자동으로 분류하며, 데이터가 어떻게 흐르고 이용되고 있는지 라벨링을 통해 추적하면서 필요한 경우 적절한 보안 조치 를 취해야 한다. 그래야 진정한 데이터 보호가 될 수 있다”고 강조했다.

단일 플랫폼서 데이터 보호 기술 제공

금융 IT 서비스를 제공하는 에스케어는 미국의 데이터 보안 기업 포타닉스의 ‘컨피덴셜 컴퓨팅 매니저(CCM)’로 마이데이터 보안 시장에 뛰어든다.

정경원 에스케어 대표는 “기존 암호화 기술로는 활용 중인 데이터를 보호하지 못한다. 토큰화·비식별화를 통해 개인정보를 보호할 수 있다고 하지만, 데이터를 변환하고 추출하는데 상당한 시간이 걸리기 때문에 시간이 생명인 금융상품 개발과 서비스에 활용하기에 제약이 있다”며 “포타닉스는 실시간에 가깝게 CPU 레벨에서 암호화하기 때문에 속도가 중요한 서비스를 제공할 때에도 제약 없이 안전한 데이터 서비스가 가능하다”고 말했다.

포타닉스는 데이터 보호를 위한 모든 기술을 단일 플랫폼으로 제공한다. 키관리, 암호화, 토큰화, 기밀 정보 관리, 커스텀 코드 등이 단일 플랫폼에서 제공되며, 멀티·하이브리드 클라우드, 데브옵스·데브섹옵스 등 다양한 클라우드 환경에서도 애플리케이션 수정 없이 데이터를 보호한다. 이는 데이터 보호는 물론 EU GDPR, 개인정보보호법 등 개인정보 보호 규제 문제도 해결 할 수 있다.

포타닉스를 도입한 기업들은 목적별로 분리돼 있던 암호화 솔루션, 키관리 시스템(KSM), 하드웨어 보안 모듈(HSM)까지 통합해 관리 효율성을 높였다고 평가한다. 포타닉스 플랫폼은 또한 세분화된 액세스 제어, 키 수명주기 관리, 성능이 향상된 암호화, 마이크로 서비스 환경을 위한 보안 기밀 보호 등을 제공한다. AWS, 애저, GCP 등 퍼블릭 클라우드와도 통합 되며, 추가 분석을 위한 다른 보안 툴과도 원활하게 통합된다.

프랭크 유(Frank Yoo) 포타닉스 매니저는 “현재 비즈니스는 이전과 완전히 다른 환경에서 운영되기 때문에 기존의 레거시 기술로 보호할 수 없다. 혁신적인 환경에 맞춰 새롭게 개발된 스타트업의 기술이 현재와 미래 비즈니스를 보호할 수 있다”며 “전 세계적으로 탁월한 기술을 가진 스타트업에 대한 신뢰가 매우 높아지고 있다. 포타닉스가 다수 글로벌 기업의 데이터 보호 플랫폼으로 채택된 것이 그러한 이유다. 한국의 고객들도 포타닉스의 장점을 이해하고 적극 받아들여 주기를 바란다”고 말했다.

안전한 키관리·접근제어 필수

데이터를 가장 안전하게 보호하는 방법은 암호화이며, 암호화는 키관리와 접근제어가 보장돼야 안전하다. 암호화 키는 암호화 데이터와 분리된 네트워크에 안전하게 보관해야 하며, 강력한 접근제어가 적용돼야 한다. 보안을 더 강화하기 위해 키 혹은 마 스터키는 하드웨어 보안 모듈(HSM)을 사용하는 것이 권고된다.

엔트러스트는 검증된 HSM 솔루션을 이용해 마이데이터 시장을 공략한다. HSM은 암호화가 사용되는 모든 곳에 필요한 키관리 시스템으로, 가장 수준 높은 암호화 알고리즘과 강력 한 접근통제 기능을 갖추고 있어 키를 안전하게 관리 할 수 있다.

엔트러스트는 신원, 결제, 데이터 보호 분야 선도업체로 글로벌 HSM 공급업체 가운데 처음으로 KCMVP 인증을 획득했다. 우수한 성능의 엔트러스트 엔실드 HSM은 안전하고 통합이 용이한 HSM 솔루션으로, 규제준수를 지원하고 기업·금융·공공기관에 최고 수준의 데이터 및 애플리케이션 보안을 제공한다.

‘엔실드 HSM’은 KCMVP 인증 외에도 미국 국립표준기술원(NIST) 암호 기술 기준인 FIPS 140-2 레벨 3 인증 하드웨어를 통해 중요 루트 CA 키를 보호하고, 국제 표준인 공통 기준 인증 EAL4+도 취득했다.

엔트러스트는 행정안전부 5000만 전자서명을 관리하는 사업, 한국인터넷진흥원 차세대 사업, 다양한 분산ID 사업 등에 HSM 솔루션을 공급했으며, 마이데이터 사업자의 데이터 보안을 위해서도 공급됐다.

통합 접근제어로 빈틈없는 데이터 보호 지원

중요 데이터를 저장한 데이터베이스와 시스템, 애플리케이션 전반에 대한 접근통제도 필수다. 데이터 유출은 데이터베이스에 직접 접속하는 권한 사용자에 의해서도 유출될 수 있으며, OS와 애플리케이션, 시스템 등의 취약점을 이용해서도 탈취될 수 있다.

피앤피시큐어는 개인정보 DB와 시스템, 애플리케이션, OS, 계정·접근관리(IAM) 등 개인정보에 접근할 수 있는 모든 영역에서 강력한 통제를 제공한다. 단일 통합 플랫폼 U-IAM에서 접근제어 관련 기술을 모두 제공하며, 조직의 상황에 따라 모듈을 선택할 수 있 다. 비용과 관리 포인트가 줄어들고 벤더의 기술지원 이 즉각적으로 이뤄지며, 클라우드로 확대된 비즈니스 환경까지 지원할 수 있다.

강필성 피앤피시큐어 솔루션사업부 금융사업팀장은 “피앤피시큐어의 통합접근제어 솔루션은 국내 마이 데이터 사업에 핵심 보안 솔루션으로 공급되고 있다. 이미 대다수의 마이데이터 사업자들이 피앤피시큐어 의 통합접근제어 솔루션으로 구축을 진행했다. 특히 국내 최대 마이데이터 사업인 K사 마이데이터 사업에 DB접근제어, 시스템 접근제어 계정관리 제품이 통합 된 ‘디비세이퍼(DBSAFER)’ 제품군을 구축, 마이데 이터 사업에서 필수적인 강력한 보안 체계를 구축하고 있다”고 말했다.

다중인증으로 사용자 접근 통제 강화

본인인증과 접근제어 강화를 위해 다중인증(MFA)도 필요하다. MFA는 주로 스마트폰을 사용해 모바일 기기의 생체인증이나 PIN 번호, SMS·SNS, OTP 등을 이용해 안전하고 편리하게 진행하게 된다.

RSA는 MFA 솔루션 ‘시큐어ID(SecurID)’가 가장 간편하고 안전한 본인인증을 제공할 수 있다고 소개한다. 특히 40년 이상 암호화와 보안을 제공해 온 기업의 평판을 기반으로 하고 있기 때문에 안전성은 충분히 검증됐다고 강조한다.

조남용 RSA 코리아 이사는 “MFA는 앱 보안이 가 장 중요하다. 보안에 취약한 앱을 사용하면 MFA의 의미가 없어진다. ‘시큐어ID’는 업계에서 가장 높은 보안 수준을 인정받은 앱을 통해 안전한 인증번호를 부여한다. 거의 대부분의 모바일 기기를 지원해 간편하게 구축하고 이용할 수 있다”고 설명했다.

마이데이터 사업자인 한국신용데이터는 ‘시큐어ID’를 도입해 임직원의 계정을 안전하게 보호함으로써 중요 데이터에 대한 접근을 통제하고 있다. 현재 인터넷망에 적용된 시큐어ID는 향후 내부업무망과 자회사 등에도 확대 적용할 계획이다.

전해성 한국신용데이터 CISO는 “한국신용데이터는 고객들의 중요한 정보를 다루기 때문에 사용자 계정을 탈취한 공격자의 접근을 차단하는 것 뿐 아니라 정상 권한 사용자의 오남용도 막을 수 있어야 했다. 정교한 행위분석을 통한 인증 우회공격 차단, 제로데이 공격 등 알려지지 않은 우회공격 탐지 등이 필요했으며, 지능형 SIEM과 연계한 정밀한 모니터링으로 지능적인 위협에 대응해야 했다”며 “RSA ‘시큐어ID’는 이러한 문제에 대응할 수 있는 솔루션”이라고 밝혔다.