[데이터넷] 클라우드에서 가장 큰 보안위협을 묻는 질문에는 언제나 ‘데이터’가 1위에 오른다. 실제로 데이터 유출 사고도 빈번하게 겪고 있다.

탈레스의 ‘2022년 데이터 위협 보고서’에 따르면 아시아 태평양 지역 기업·기관의 33%가 지난 12개월 동안 클라우드 데이터, 애플리케이션과 관련해 데이터 유출을 경험했거나 감사에 실패했다고 응답했다. 또 51%의 응답자가 온프레미스 환경보다 클라우드 환경의 개인정보 보호와 데이터 보호 규정이 관리하기 더 복잡하다고 답했다.

클라우드에서 데이터 보호의 문제를 안고 있으면서도 조직은 클라우드에 데이터를 저장하지 않을 수 없다. 탈레스 조사에서 51%의 응답자가 40% 이상 데이터를 외부 클라우드에 저장하고 있다고 답했고 19%는 60% 이상 클라우드에 저장하고 있다고 답했다.

클라우드 위한 새로운 보안 전략 필요

클라우드 데이터를 보호하기 위해서는 전체 클라우드의 데이터를 식별하고 분류해 적절한 정책을 적용해야 하며, 새로 생성되거나 수정, 이동, 삭제되는 데이터에 대해서도 정책을 마련해 자동으로 적용될 수 있도록 해야 한다. 보호해야 하는 데이터의 종류와 형식, 중요도를 객관적으로 판단하며, 이미지, 동영상 등 비정형 데이터에 대해서도 동일한 보안 정책이 적용되어야 한다.

가트너의 ‘2023년 데이터 보안 플랫폼(DSP) 도입을 위한 전략적 로드맵’에서는 하이브리드 업무 환경에서 데이터를 공유하고 재사용·재공유하는 상황까지 고려한 정책 마련이 필요하며, 아예 검색되지 않도록 해 유출 가능성을 제거하는 방법까지 고민해야 한다고 설명하며 새로운 데이터 보호 전략의 필요성에 대해 언급했다.

이 보고서에서는 하이브리드·멀티 클라우드 환경에서 정형·비정형 데이터 보호와 컴플라이언스·거버넌스까지 고려한 데이터 위험 분석 평가, 대안 마련이 필요하다고 강조했다. 특히 사일로화 된 데이터 보호 기술, 솔루션을 통합해 플랫폼 관점의 보호와 활용이 필수라고 덧붙였다.

멀티·하이브리드 일관된 데이터 보호 정책 필요

클라우드에 저장하는 데이터는 암호화하는 것이 원칙이지만, 모든 데이터를 암호화하는 것은 비현실적이다. 가트너 보고서에서는 정형 데이터에 대해서는 광범위한 스펙트럼 DSP(bDSP) 정책을 적용, 암호화, 토큰화, 마스킹 등의 기술을 적용하고 지속적인 모니터링을 수행할 것을 조언했다.

멀티 클라우드 환경에서 데이터 암호화가 쉬운 일은 아니다. 탈레스 보고서에 따르면 조직의 31%가 50개 이상 SaaS를 사용하고 있으며, 16%는 100개 이상, 3%는 무려 500개가 넘는 SaaS를 사용하고 있다고 답했다. 각각의 SaaS마다 데이터 보호 정책 관리 환경이 다르기 때문에 개별 앱에 따라 일일이 정책을 설정해야 한다.

또한 데이터의 중요도와 형태에 따라 각각 다른 암호화 알고리즘과 기술을 적용하며, 접근통제, 추적, 읽기 권한만 부여 등의 정책을 적용해 데이터 보호 정책을 효율화 하는 것도 필요하다.

데이터 보호 정책을 보다 용이하게 하는 방법으로, 데이터를 암호화·토큰화 한 후 키를 사내에서 관리하는 방법이 제안되지만, 수많은 키를 관리하는 것도 암호화 데이터를 관리하는 것 만큼 어려운 일이다. 여러 클라우드 제공업체마다 제공하는 암호화 키와 ID관리를 요구하고 있는데, 이를 자동화하는 것도 쉽지 않다.

탈레스 조사에서는 아태지역 조직의 39%는 5~7개의 키관리 솔루션을 사용하고 있으며, 11%는 8~10개의 키관리 솔루션을 사용하고 있는데, 너무 많은 종류의 키관리 솔루션, 클라우드 사업자마다 다른 암호화와 키관리 정책으로 어려움을 겪을 수밖에 없다.

탈레스를 비롯한 암호화 솔루션 제공 기업들은 멀티·하이브리드 클라우드 전반에서 일관된 데이터 보호가 가능한 통합 데이터 보호 플랫폼을 제공한다. 모든 데이터를 식별, 분류하고, 중요한 데이터는 암호화하며, 이동, 삭제, 수정 등에 대한 로그를 기록한다. 암호화 키는 사용자가 선택할 수 있는데, 가장 권장되는 방법은 사용자가 중앙에서 키를 관리해 분산된 이종 클라우드의 암호화 데이터를 통제할 수 있도록 하는 것이다.

모든 환경서 일관된 데이터 보호

암호화는 데이터를 보호하는 가장 확실한 방법이지만, 모든 데이터를 암호화하기 어렵다. 특히 클라우드 협업 환경에서는 암호화하지 않고, 대신 데이터 접근통제를 강화할 것을 권장한다. 마이크로소프트 정보보호(MIP)는 저장·이동 데이터에 대한 암호화를 제공하지만, 사용중인 데이터, 문서 등 다양한 비정형 데이터를 보호하는데 한계가 있다. MIP가 지원하지 않는 애플리케이션이 많고, 공동작업 환경에서는 암호화를 해제해야 업무가 가능하기 때문에 데이터 유출 위협이 있다.

동훈아이텍이 공급하는 디지털가디언은 엔드포인트 위협 탐지 및 대응(EDR)과 DLP를 통합한 차세대 DLP로, 멀티·하이브리드 클라우드 환경 전체에서 데이터를 식별·분류하고, 일관된 통제를 지원한다. 기업·기관에서 사용하는 거의 대부분의 애플리케이션과 SaaS를 지원하며, 개인식별정보를 자동으로 탐지해 규제에 맞는 보호 대책을 자동으로 적용한다.

동훈아이텍은 디지털가디언의 SaaS ‘ARC’ 국내 출시와 함께 매니지드 보안 서비스(MSS)를 시작한다. 디지털 포렌식·엔드포인트 보안 전문가로 구성된 MSS 전문조직을 통해 고객이 직면한 데이터 보호 문제를 해결하는데 도움을 준다는 계획을 밝힌다. 동훈아이텍은 현대기아차 본사와 글로벌 사무소 전체에 디지털가디언 솔루션을 구축·운영했으며, 이 과정에서 쌓은 경험을 토대로 다양한 규모, 다양한 산업군의 고객에게 MSS를 제공할 계획이다.

소프트캠프는 클라우드 환경에서 제로 트러스트 원칙으로 중단없는 문서 보안을 유지할 수 있는 솔루션을 잇달아 출시하고 있다. 특히 어떤 환경에서도 문서 암호화를 유지할 수 있도록 해 데이터가 유출된다 해도 불법적으로 사용하지 못하게 보호한다.

소프트캠프는 클라우드 DRM ‘실디알엠(SHILEDRM)’, 클라우드 저장소에서 지속적인 암호화를 유지하면서 협업 중에도 DRM을 유지한 상태로 업무할 수 있도록 하는 ‘실드라이브(SHIELDrive)’를 클라우드 데이터 암호화의 대표 솔루션으로 제안한다. 이 제품군은 마이크로소프트365의 팀즈, 원드라이브 등 서비스에서 암호화 상태를 유지한 상태로 협업할 수 있게 한다.

또한 소프트캠프는 차세대 엔드포인트 DRM과 클라우드 네이티브 DRM을 출시할 계획이며, SCK·베스핀글로벌 합작회사 에쓰핀테크놀러지와 리셀러 계약을 영업을 확대할 계획이며, 클라우드 MSP 사업도 확대할 계획이다.