[데이터넷] 코로나19 위기 상황에서 ICT는 오히려 빛을 발하며 한 단계 더 진화해 성장을 이어 나갔다. 비즈니스 환경이 급변하고 디지털 트랜스포메이션이 다양한 산업 분야로 확산되며 ICT의 중요성이 더욱 커졌기 때문이다. ICT 기술 분야별 분석과 평가를 통해 2023년 ICT 시장을 전망한다.<편집자>

삼성전자, LG전자, 엔비디아 등 글로벌 기업들이 ‘랩서스’라는 신흥 범죄조직에게 중요 데이터를 탈취 당하는 피해를 입었다. 랩서스 해킹 사고는 전 세계 보안 시장에 큰 파장을 일으켰다. 보안 투자가 잘 된 글로벌 기업들이 너무나 쉬운 수법의 공격에 당했기 때문이다.

안랩의 ‘2023년 5대 사이버 보안위협 전망’에서는 앞으로 ‘기생형 공격’이 대세를 이룰 것이라고 예측했다. 과거와 같이 시스템을 파괴하거나 유출한 데이터를 공개하면서 여론의 주목을 받고 유명세를 높이려고 하기보다 인프라를 장악한 후 장기간에 걸쳐 핵심기술이나 민감 정보를 유출할 것이라는 분석이다. 공격 방식도 계정정보 수집은 물론 화면캡처, 영상 녹화·음성 녹음 등 광범위하게 확대될 수 있다.

트렌드마이크로는 조직의 71%가 중요 데이터를 침해 당할 가능성이 있다고 느끼는 것으로 분석했으며 ▲인적 자원(직원) 파일 ▲비즈니스 커뮤니케이션(이메일) ▲재무정보 ▲변호사-고객 특권 정보 등이 유출될 수 있 다고 밝혔다.

데이터 유출은 금전적 피해로 이어진다. 기밀 데이터를 유출당하면 기업의 경쟁력에 피해를 입는 것은 물론이고, 심각할 경우 기업의 존폐를 걱정해야 할 위기에 처할 수 있다. 고객 데이터를 유출당하면 고객에 대한 피해보상, 규제준수 위반으로 인한 벌금·과징금, 각종 소송비용과 시장과 고객의 신뢰를 회복하기 위해 쏟아부어야 하는 비용 등이 발생한다.

IBM 조사에 따르면 우리나라 기업의 데이터 유출 피해액은 43억3400만원에 이르며, 전 세계 평균은 43 만달러로 17년간 조사한 이래 최대 금액을 기록했다. IBM 보고서에서는 데이터 유출 피해가 일회성에 그치 지 않고, 장기적으로 영향을 미친다고 분석했는데, 조사에 참여한 기업의 83%가 1회 이상 데이터 유출 피해 를 경험했고 이로 인한 비용 중 절반이 사건 발생 1년 이후에 나타나는 등 오랫동안 후유증을 남기는 것으로 분석됐다.

중견기업 원격근무 시 데이터 침해 잦아

데이터 유출 사고는 보안에 상대적으로 소홀한 중소·중견기업과 재택·원격근무 환경에서 더 쉽게 일어난다. 가트너 조사에 따르면 중견기업이 원격근무로 침해사고를 당했을 때 평균 107만달러가 필요하고, 직원 50% 이상이 원격지에서 근무할 때 침해사고 대응에 135일 걸리는 것으로 나타났다.

데이터 유출 피해는 규모가 점점 더 커지고 있다. 데이터는 기하급수적으로 증가하고 있으며, 특히 비정형 데이터가 크게 늘고 있다. 문서, 이미지, 음성, 영상 등 다양한 형태의 데이터가 생성되고 있으며 여기에 기밀 정보나 개인식별정보가 포함돼 있어 관리하기가 매우 어렵다.

클라우드로 데이터를 이전하면서 데이터 저장위치를 정확하게 파악하지 못해 데이터 관리의 어려움이 가중된다. 클라우드에 데이터를 업로드하면서 접근권한을 제한하지 않은 실수가 자주 일어나고 있으며, 개인 정보를 해외 서버에 저장하거나 다른 나라 고객의 정보를 우리나라 서버에 저장해 규제위반으로 제재를 받을 수 있다.

암호화되지 않은 데이터가 클라우드와 외부, 고객사와 파트너사로 이동하면서 공격자의 접근을 허용하며, 이 과정에서 관리가 제대로 되지 않아 외부 서버에 방치된 상태로 남기도 한다. 가트너가 알린 한 사건은 보안이 적용되지 않은 단일 DB 인스턴스로 인해 5억6000만개 이상 로그인 정보가 노출됐다.

데이터, 활용과 보호 동시 만족해야

데이터 보호를 위해서는 암호화가 필수이며, 암호화는 키관리가 핵심인데, 규제준수 의무가 아니면 암호화를 꺼리며, 키관리도 제대로 되지 않는다. 암·복호화에 컴퓨팅 리소스가 많이 들뿐만 아니라 접근이 불편해 생산성이 떨어지기 때문이다. 암호화 키 역시 제대로 관리되지 않아 키 탈취를 통한 개인정보 유출 사고가 이어지고 있다.

데이터 암호화는 데이터를 자유롭게 활용하기 어렵게 만들기 때문에 암호화하지 않으려 한다. 특히 협업 플랫폼에서는 암호화된 데이터를 공유하는 것이 번거롭기 때문에 암호화하지 않고 접근통제로 보호할 것을 권고한다. 그런데 접근권한을 탈취한 공격자의 접근을 막기 어렵고, 실수로 잘못 배포된 권한으로 인한 사고 우려도 높다. 대량의 데이터를 각각 접근통제하는 것도 비현실적인 일이다.

개인정보 활용성을 높이기 위한 마이데이터 사업이 전개되면서 데이터 보호에 대한 관점도 바뀌고 있다. 모든 데이터를 암호화하고 통제하기보다 자유롭게 활용하면서도 보호할 수 있는 방법을 연구하게 됐다.

마이데이터는 개인정보 자기결정권을 강화하면서 개인정보를 보호하고 활용할 수 있도록 한 서비스로, 마이데이터 서비스 사업자에게 개인정보 사용동의를 하면, 이 사업자를 통해 다양한 서비스가 이 사람의 개인정보를 활용해 여러 유용한 서비스를 제공하게 된다. 개인정보 공유를 중단하고 싶으면 서비스 사용을 중단하면 되고, 자신의 정보를 어떻게 이용했는지 알기를 원하면 활용 내역을 요구하면 된다.

마이데이터의 개인정보 보호를 위해 사업자들은 필수 보안 시스템과 정책을 갖춰야 한다. 개인의 동의를 받지 않은 개인정보는 비식별화 처리하고 사용할 수 있는데, 여러 서비스와 결합됐을 때 식별 가능하게 되면 그 정보는 사용할 수 없다.

정부는 마이데이터의 실효성을 높이기 위해 전 산업으로 마이데이터를 확장시키고 있으며, 마이데이터 표준화를 진행하고 있다. 한국인터넷진흥원은 마이데이터 종합지원 플랫폼을 구축해 서비스 제공과 이용을 한층 편하게 한다.

강화되는 개인정보 보호 규제

데이터 경제가 중요해지면서 개인정보를 이용하고자 하는 기업의 수요는 매우 높다. 그러나 개인정보는 공격자도 원하는 것이기 때문에 강력하게 보호해야 하는 것도 맞다. 그래서 각국 정부는 개인정보 보호 규제를 강화하면서 기업의 개인정보 보호 의무를 강제하고 있다.

우리나라 개인정보보호법도 2023년 개정을 앞두고 있는데, 개인정보 유출 사고 시 매출의 최고 3%까지 과징금을 부과할 수 있게 하며, 개인정보 유출 사고와 관련없는 매출은 과징금 기준에서 제외하되 관련성 여부는 기업이 직접 입증하도록 하는 방향으로 가고 있다.

개인정보보호 규제가 강화되면서 관련 솔루션 시장도 성장을 이어가고 있다. 지란지교데이터는 PC, 모바일, 서버, 애플리케이션 등에서 개인정보를 식별하고 보호하는 솔루션을 제공하고 있으며, 개인정보 비식별화 솔루션 ‘아이디필터(IDFILTER)’로 개인정보 보호와 활용의 수요를 만족하도록 한다. 아이디필터는 인메모리 기반 파일 전송으로 빠른 데이터 전송을 지원하며, 22가지 비식별 알고리즘 지원, AI 적용 고도화된 보안 기술을 지원한다.

파수는 문서보안 전문성을 기반으로 데이터 전반의 보호와 활용을 지원한다. 파수의 개인정보 비식별 솔루션 ‘애널리틱 DID’는 국내에서 가장 먼저 출시된 솔루션으로 가장 많은 기업·기관에 공급됐다. 솔루션 구축과 컨설팅 경험을 축적해 업계에서 가장 전문적인 비식별화 사업을 진행한다.

파수는 데이터 보안 플랫폼에 다양한 기술을 적용하면서 여러 종류의 데이터를 보호할 수 있게 한다. 엔터프라이즈 DRM, 민감정보 통제·관리 ‘데이터 레이더’, 문서 추적과 통합 로그 관리 ‘FILM’, 사용자 행동 기반 위험 관리 ‘리스크 뷰’, 엔터프라이즈 문서 관리 ‘랩소디’ 등을 통해 분산된 환경의 데이터를 보호한다.

파수는 AI 기반 자연어 처리 기술을 사용해 비정형 개인정보 탐지 정밀도를 높인다. 주어진 단어에서 다음 등장할 단어의 확률을 예측해 개인정보를 자동으로 식별하고 문장 속 맥락을 기반으로 이해해 개인정보를 인지한다.

데이터 보호 솔루션 전문기업 스파이스웨어는 데이터 중심 제로 트러스트 보안 정책을 강조한다. SWG를 통해 데이터에 접근하는 사람의 접근권한과 접속환경을 파악해 허용·차단하며, AI를 적용해 데이터 이상접근과 비정상 행위를 탐지한다.

재택근무, 데이터 유출 취약

데이터는 ‘원유’라고 부르는데, 실제 기업 환경에서 원유를 어떻게 관리하는지 살펴보면 그다지 효과적인 관리가 이뤄진다고 하기어렵다. 기업은 보유하고 있는 데이터의 현황과 성격, 저장된 위치를 정확하게 파악하지 못하며, 보안 정책이 잘 적용되어 지켜지고 있다고 확신하지 못한다.

클라우드와 재택근무로 데이터 관리는 더 어려워지고 있으며, 사용자 개인 단말이나 허가되지 않은 클라우드에 저장된 데이터가 보호받지 못하고 유출되고 있다. 이렇게 유출된 개인정보는 지하시장에서 판매되는데, 노드VPN에 따르면 우리나라 신용카드 가격은 평균 4788원, 전체 평균 8630원이었다. 다크웹에서는 한국인 개인정보를 ‘벌크’로 판매한다는 게시글이 자주 눈에 띄는데, 수만건에서 수백만건의 개인정보를 판매한다고 주장한다.

이들이 판매하는 개인정보 중에는 오래 전에 이미 공개된 정보로 지금은 사용되지 않는 정보가 많다. 그러나 일부는 실제 개인의 민감정보이기 때문에 공개적으로 판매되는 정보는 개인에게 피해를 줄 수 있다. 이 개인의 정보를 이용한 피싱, 보이스피싱 공격이 이어질 수 있으며, 공격자가 목표로 하는 기업에 초기 액세스를 위해 사용될 수도 있다. 많은 기업이 재택근무를 했던 코로나19 기간 동안 VPN 관리자 계정이 다크웹에서 절찬리에 판매되기도 했다.

재택근무 환경에서는 취약한 홈 네트워크를 이용해 공격자가 침투할 수 있다. 공격자는 사용자의 업무용 기기에 잠입했다가 VPN으로 업무 시스템에 접속할 때 함께 들어간다. 회사 네트워크에 성공적으로 잠입한 공격자는 오랫 동안 머무르면서 중요 시스템을 찾아 권한을 상승시키고 데이터에 접근해 빼돌린다. 재택근무 시 보안에 소홀하기 쉽기 때문에 안전하지 않은 웹사이트 방문, 보호되지 않은 네트워크 사용, 취약한 암호 사용 등으로 공격자의 침투가 더 쉬워질 수 있다.

내부자에 의한 데이터 유출 위협도 언제나 심각한 상황이다. 고의를 가진 내부자의 데이터 유출 시도를 막는 것이 매우 어려운 일이다. 합법적으로 데이터에 접근할 수 있는 사람이 장기간에 걸쳐 조금씩 빼내면 이상행위 모니터링 시스템으로 막을 수 없다.

사일로화 된 데이터 보호 기술 통합해야

가트너의 ‘2023년 데이터 보안 플랫폼(DSP) 도입을 위한 전략적 로드맵’에서는 현재 기업의 데이터 보호 전략은 잠재적인 공격자와 악의적인 내부자로부터 데이터를 보호하기 위해 중요 데이터를 식별·분류해 자 동으로 정책을 적용하는데 초점을 맞추고 있다고 진단 했다.

이러한 과제를 달성하는 것도 어려운 일인데, 비즈니스 변화가 빨라지면서 추가적으로 필요한 과제가 산적 해 있다고 지적했다. 예를 들어 데이터를 공유하고 재사용·재공유하는 상황까지 고려한 정책 마련이 필요하며, 아예 검색되지 않도록 해 유출 가능성을 제거하는 방법까지 고민해야 하는 상황이 됐다고 설명했다.

가트너는 ‘데이터 보호 플랫폼(DSP)’에 데이터 자체를 보호하는 기술뿐 아니라 컴플라이언스와 거버넌 스까지 고려한 데이터 위험 분석 평가와 대안 마련이 필요하다고 강조했다. 특히 사일로화 된 데이터 보호 기술, 솔루션을 통합해 플랫폼 관점의 보호와 활용이 필수라고 설명했다.

가트너는 DSP의 4가지 범주로 ▲광범위한 스펙트럼 DSP(bDSP) ▲데이터 보안 형상 관리(DSPM) ▲데이터 유출 방지(DLP) ▲데이터 액세스 거버넌스(DAG)가 있다고 설명했다. 이 기술은 각각 따로 작동하는 것이 아니라 플랫폼 정책으로 구동돼 데이터 전반의 보안 위협을 통제할 수 있어야 한다.

EDR 접목 DLP 필수

데이터 유출 방지(DLP)는 데이터 보호의 필수 솔루션으로, 엔터프라이즈 DLP(EDLP), 이메일, SWG, EPP 등 다른 보안 서비스에 통합되는 DLP(IDLP), 그리고 SaaS와 퍼블릭 클라우드 데이터를 보호하는 클라우드 DLP로 구분되어 진화하고 있다.

DLP 시장은 시만텍이 브로드컴에 인수된 후 주목 할만한 변화를 찾기 어려운 상황이지만, 클라우드·하이브리드 환경에서의 다양한 데이터 유출 방지를 위한 차세대 기술로 진화해야 한다는 요구는 매우 높은 편이다.

DLP 전문기업 디지털가디언의 경우, EDR을 접목한 차세대 DLP를 제공하면서 독자적인 시장 공략을 이어가고 있다. 디지털가디언은 모든 비정형 데이터 사용 로그를 서버로 수집하고, 데이터 유출입 채널에 대한 인·아웃바운드 흐름상에 데이터 행위를 탐지하고 제어한다.

원본 파일의 중요성 여부를 사전에 분류해 데이터가 변조되더라도 분류된 중요 데이터의 흐름을 추적하고, 원본파일의 중요성을 기준으로 유출 전에 탐지하고 차단할 수 있다.

악성코드로 인한 데이터 유출과 랜섬웨어 방어 전략을 수준 높게 적용하고 중요 데이터를 보호하며, 스테가노그라피와 같은 안티 포렌식 기술까지 탐지·제어한다. 블루투스 마우스, 키보드 등의 장비를 사용 하면서 데이터 유출에 대한 탐지·제어도 수행한다.

접근제어·문서중앙화로 데이터 보호

효과적인 데이터 보호 방법으로 접근제어가 있다. 정형 데이터에 대한 접근제어는 피앤피시큐어의 ‘디비세이퍼’가 가장 높은 점유율을 차지하고 있다. 피앤피시큐어는 U-IAM 전략을 전개하면서 DB, 시스템, 애플리케이션, OS에 대한 접근통제 기술을 적용해 데이터와 시스템, 애플리케이션을 보호하고 있다. 또 피앤피시큐어는 개인정보 접속기록 관리 시스템 ‘인포세이퍼’, DB·파일 암호화 ‘데이터크립토’, 재 택·원격근무자를 위한 안면인식 보안 솔루션 ‘페이스락커’를 제공한다.

접근제어의 한 방법으로 문서중앙화도 있다. 모든 문서를 중앙 관리서버에 저장해 개인 PC를 통한 유출 을 막고 기업의 중요 문서를 체계적으로 관리하는 시스템이다. 중앙관리서버는 온프레미스로 구축할 수 있고, 클라우드에 저장해 문서 활용의 유연성을 높일수 도 있다.

이스트시큐리티의 ‘시큐어디스크’는 외부 해킹이나 내부자의 실수 혹은 고의에 의한 정보유출을 막는다. 시스템에 접근하는 사용자 계정, 에이전트 무결성, IP/MAC 정보 유효성을 검증해 접근을 허가하며, 접근 승인 후에도 보안정책에 따라 사용자별로 데이터 접근을 각각 통제하고, 문서 속성에 맞게 작업 권한을 강제화 해 적합한 프로세스 수행만을 허용한다.

이스트시큐리티는 EDR에서 축적한 프로세스 행위 탐지와 이벤트 추적 기술을 시큐어디스크에 적용해 사용자가 발생시키는 다양한 행위와 트래픽을 축적 하고 트래킹한다. 사용자 계정을 중심으로 접속 단말기와 네트워크, 데이터의 정보, 시스템 내 데이터 이동 경로, 사용된 프로세스 정보까지 상세하게 추적한다.