[데이터넷] 경제 불확실성은 보안위협을 높인다. 경기를 예측할 수 없는 기업이 신규 채용을 줄이면 기존 인력이 과로하게 되고, 퇴사로 이어진다. 퇴사자로 인한 데이터 유출 사고가 늘어나고 기업 신뢰가 하락한다. 이러한 악순환을 막기 위해서는 내부자 보안을 강화해 보안위협을 낮춰야 한다. 강력한 통제 중심 보안이 아니라 사람들의 행위를 분석하고 이해해 정책위반을 줄이는 한편, 데이터가 유출된다 해도 비즈니스를 보호할 수 있는 방법이 필요하다.<편집자>

클라우드에서 데이터 보호를 위협하는 문제는 협업을 위해 암호화되지 않은 데이터가 여러 조직에 공유된다는 점이다. 예를 들어 기술문서를 공동작업한다고 했을 때, 회사 내 개발조직과 외주 개발사, 회사의 기획부서와 홍보·마케팅 부서와 디자인 부서, 이를 도와주는 외부 에이전시 등이 문서 편집 플랫폼에 함께 접근하게 된다.

이들에게 문서 편집 권한을 부여하고 업무가 끝나면 권한을 회수하는 방법으로 협업을 진행하면 문제될 것이 없어 보이지만, 권한 발급과 회수에 있어서 실수가 종종 발생하기 때문에 위험하다. 관리자 실수로 권한 없는 사용자에게 권한을 발급하거나 과도한 권한을 부여한 경우, 동명이인이나 자동완성 기능으로 사용자를 잘못 선택해 권한이 부여된 경우, 프로젝트 종료 후 회수되지 않은 경우 등 다양한 데이터 위협 사례가 있다.

협업 과정에서 암호화되지 않은 데이터를 몰래 빼돌릴 가능성도 있기 때문에 공동작업하는 사람들의 도덕성만 믿고 일을 할 수는 없다. 작업자가 나쁜 의도를 갖지 않았다 해도, 작업 내용에 관한 것을 검색엔진이나 챗GPT에서 반복적으로 검색할 경우에도 위협이 발생할 수 있다. 공격자는 사용자의 검색 키워드와 챗GPT 입력 내용을 통해 중요 정보를 유추하거나 접근 권한 탈취 방법을 알 수 있다.

배환국 소프트캠프 대표는 “데이터 주권을 보장하기 위해서는 클라우드 데이터가 어떤 상황에 있다 해도 암호화 상태를 유지해야 한다. 그런데 저장중, 이동중 데이터는 암호화할 수 있지만 사용 중 데이터는 암호화할 수 없다. 공동 작업자에게 권한에 따른 키를 부여하고 회수하는 과정이 매우 복잡하며, 키를 탈취한 공격자의 접근을 막지 못하는 경우도 있다”며 “사용중 데이터도 중단없이 암호화하는 기술이 필수”라고 말했다.

모든 업무·데이터 환경 위한 제로 트러스트 이행

소프트캠프는 DRM을 클라우드에 최적화 한 ‘실DRM(ShielDRM)’과 클라우드 협업 중에도 암호화 상태를 유지할 수 있도록 돕는 ‘실드라이브(SHIELDrive)’를 통해 클라우드 데이터를 보호한다. 소프트캠프의 클라우드 데이터 보호 제품군은 소프트캠프의 오랜 엔터프라이즈 고객은 물론이고, M365를 사용하면서 데이터 보안을 강화하고자 하는 금융사와 일반 기업에 공급돼 안정적으로 사용되고 있다.

특히 실드라이브는 국가 핵심 기술을 취급하는 조직에서 사내 구성원과 핵심기술 취급 구성원 간 협업할 수 있게 하며, 컴플라이언스 대응을 가능하게 한다. DRM으로 보호된 문서를 클라우드에 업로드해 사용할 수 있어 소프트캠프 DRM을 사용하면서 클라우드 마이그레이션하려는 기업에게 좋은 평가를 받고 있다. 또 사용자가 직접 암호 키를 통제할 수 있어 데이터 주권을 지킬 수 있으며, 클라우드 스토리지, NAS 등 다양한 스토리지를 보호할 수 있다

배환국 소프트캠프 대표는 “CSP가 제공하는 암호화와 키관리를 사용하면 해당 CSP에 종속될 수밖에 없으며, 그 CSP에 종사하는 직원이 ‘선량한 관리자의 의무’를 충실히 이행할 수 있다고 믿을 수 없다. 제로 트러스트 원칙의 데이터 보호는 CSP에 대해서도 적용해야 한다”며 “사용자와 데이터, 암호화, 키관리를 분리해 사용자가 데이터 주권을 갖고 데이터 보호 전략을 펼쳐야 한다. 소프트캠프는 클라우드 환경에서도 고객이 데이터 주권을 확보한 상태에서 데이터를 안전하게 보호하고 활용할 수 있도록 돕는 솔루션을 지속적으로 제공할 것”이라고 말했다.

한편 소프트캠프는 제로 트러스트 원칙의 업무환경 보호를 위한 보안접속 솔루션 ‘실드게이트’와 원격 브라우저 격리(RBI) 솔루션 ‘실덱스 리모트 브라우저’, 문서의 악성 매크로 등 악의적인 요소를 제거해 무해화하는 CDR 솔루션 ‘실덱스’ 제품을 모두 클라우드 환경에 최적화 해 적용함으로써 온프레미스와 멀티·하이브리드 클라우드에서 지속적인 검증과 모니터링이 가능한 환경을 만들고 있다.

배환국 대표는 “소프트캠프의 제로 트러스트 제품군이 서서히 고객들에게 인식되기 시작했다. 소프트캠프의 충성도 높은 고객이 국내 대형 글로벌 기업들이기 때문에 고객을 통해 성공사례가 퍼지면서 시장의 관심을 받고 있다. 클라우드나 온프레미스 상관없이 업무를 안전하게 수행하고 데이터를 보호할 수 있도록 제로 트러스트 기반 기술을 지속적을 고도화하고 성숙시켜 제공하겠다”고 말했다.

양자컴퓨팅 대응 위해 암호화 민첩성 높여야

데이터 보호에서 가장 뜨거운 이슈는 양자컴퓨팅이다. 양자컴퓨팅은 아주 먼 미래의 이야기가 아니라, 현실로 다가온 이슈다.

양자컴퓨팅이 지금 당장 위협이 되지 않는다 해도 공격자들은 ‘지금 수집해 나중에 해독한다(HNDL)’는 생각으로 암호화된 데이터를 수집해 쌓아두고 있다. 국가 보안, 인프라, 의료기록, 지적재산 등의 데이터를 수집한 후 양자컴퓨팅으로 암호를 해독할 수 있게 되면 이를 모두 복호화해 공격할 수 있다.

그래서 양자내성암호(PQC)가 빠르게 확산되어야 한다는 주장이 힘을 받고 있다. 미국에서는 국립표준원(NIST)이 PQC 표준 후보로 ▲일반 암호화 기술 크리스탈-카이버(CRYSTALS-Kyber) ▲디지털 서명 크리스털 딜리슘(CRYSTALS-Dilithium), 팔콘(FALCON), 스핑크스플러스(SPHINCS+) 등 4가지를 선정했으며, 내년 최종 표준을 결정할 것으로 예상된다. 그 외 다른 국가들도 PQC와 관련된 연구에 속도를 내고 있으며, 우리나라에서도 양자내성암호연구단(KPQC)과 여러 기업들이 사용화 가능한 PQC 기술 적용 보안 제품을 공급하고 있다.

암호화 기술 기업들은 암호화 민첩성을 높여서 여러 암호화 방식을 유연하게 지원할 수 있게 하기 위해 다양한 연구를 지원하고 있다. IBM의 경우 ‘퀀텀 세이프 로드맵’을 발표하고 새로운 암호화 인프라와 솔루션을 구현할 수 있도록 돕는다고 밝힌다.

●검색(Discover)

검색 단계에서 조직은 소스 코드와 개체 코드를 스캔해 암호화와 관련된 모든 아티팩트와 종속성을 찾는다. 정적 코드 인벤토리를 생성하고 종속성, 가져오기, 플랫폼 및 구성에 존재하는 양자 보안 위험을 해결함으로써 조직은 애플리케이션 보안을 관리할 수 있다. 암호화 자재명세서(CBOM)를 만들어 준비하는 것이 필요하다.

●감시(Observe)

감시 단계에서 네트워크·보안 스캐너와 통합된 CBOM에서 수집되고 정책 기반 강화 기능으로 강화된 메타데이터 감사를 수행한다. 실시간 암호화 사용과 위험 데이터 흐름을 관찰할 수 있는 포괄적인 암호화 인벤토리를 구축한다. 업계별 규정 준수 정책, 비즈니스 우선 순위, 리스크에 따라 취약성의 우선 순위 목록을 제공해 암호화 인프라, 관련 데이터 솔루션을 적절히 업데이트할 수 있도록 해야 한다.

●혁신(Transform)

혁신 단계에서 한 가지 핵심 이니셔티브는 문제 해결 패턴을 살펴보고 비즈니스 시스템과 자산에 미칠 수 있는 잠재적 영향을 파악한다. 문제 해결을 통해 양자 안전 알고리즘, 인증서 및 키 관리 서비스를 통해 최적의 패턴을 구현할 수 있다. 운영이나 예산에 큰 영향을 미치지 않으면서도 변화하는 정책과 위협에 신속하게 대응하는 암호화 민첩성을 가질 수 있다.