[데이터넷] 마이크로소프트가 과도하게 허용된 토큰으로 인해 내부 팀즈 메신저 내용, 직원 정보 등을 유출시키는 사고를 일으켰다. 클라우드 보안을 위해 많은 투자를 하고 있는 클라우드 서비스 사업자(CSP)도 사소한 실수로 데이터 유출 사고를 일으킨다.

빈번하게 발생하는 클라우드 데이터 유출과 클라우드 기반 서비스 사업자의 클라우드 사용자 데이터 오남용을 막을 수 있는 방법이 요구되면서 ‘데이터 주권’에 대한 논의가 빠르게 진행되고 있다. 데이터 주권은 데이터 소유자가 클라우드에 저장한 자신의 데이터를 투명하게 관리할 수 있도록 권리를 보장하는 것을 말한다.

탈레스의 ‘2023 데이터 위협 보고서’ 중 아시아태평양(APAC) 지역 조사 중 ‘디지털 주권 및 트랜스포메이션에 대한 관점과 경로’에서는 96%의 응답자들은 디지털 주권을 위해 전체 데이터 암호화 의향이 있다고 답했다. 그런데 응답자의 57%가 키 관리를 직접 수행하는 것이 아니라 CSP의 키관리 도구와 암호키를 사용하면서 CSP에 전적으로 의존하고 있다고 답해 키 통제권을 완벽하게 갖고 있지 못한 것으로 나타났다.

기업이 CSP에 의지할 수밖에 없는 이유는 여러 데이터 암호화 솔루션을 사용하면서 키 관리 복잡성이 높아지기 때문이다. 58%의 응답자는 5개 이상 엔터프라이즈 키관리 시스템을 보유하고 있다고 답했으며, 54%는 관리자를 5~10명 두고 있으며 여러 클라우드에서 데이터를 일관성 있게 관리하기 어렵고 비용이 많이 든다고 답했다.

모든 환경 데이터 보호 기술 지원

암호화 키관리를 통한 클라우드 데이터 주권을 보장해야 한다는 주장은 탈레스가 적극적으로 펼치고 있다. 탈레스의 데이터 보안 솔루션은 중앙에서 직관적으로 데이터 식별과 분류, 정책 적용, 암호화와 키관리 등을 관리할 수 있게 한다. 데이터가 온프레미스나 클라우드, 하이브리드 어디에 있든 상관없이 일관된 데이터 보호 전략을 수립할 수 있게 한다.

정형·비정형 데이터, 저장데이터와 이동중 데이터까지 모두 보호하며, 국내 개인정보보호법 준수를 위한 민감데이터 검출과 자동 보호를 지원한다. 강력한 키관리 시스템과 HSM을 제공해 암호키에 대한 확실한 보호를 지원하며, 고객이 어떤 암호화 플랫폼을 운영하든 상관없이 중앙집중적이며 체계적인 키관리가 가능하도록 한다.

HSM 시장에서 탈레스와 경쟁해 온 엔트러스트는 제로 트러스트 관점의 강력한 키관리 시스템으로 데이터를 보호한다. 엔트러스트 키관리는 키 라이프사이클 관리와 안전한 RoT 지원, 분산된 키 저장소, 컴플라이언스 관리 대시보드를 통해 복잡한 하이브리드 클라우드의 데이터 보호와 규제 문제를 해결할 수 있게 한다.

데이터 식별·분류로 데이터 보호 정책 효율화

클라우드 데이터는 암호화를 원칙으로 하지만, 모든 데이터를 암호화하는 것은 효율적이지 않다. 가장 이상적인 데이터 보호전략은 보호해야 할 모든 데이터를 식별하고, 중요도에 따라 분류하고, 최적의 정책을 설정하며, 모든 환경에서 중단없이 보호될 수 있도록 관리하는 것이다.

기업·기관은 이미 여러 데이터 보호 솔루션을 사용하고 있다. PC, 서버, 이메일, 클라우드 환경을 위한 정형·비정형 데이터 암호화와 접근제어, 유출방지 솔루션, 데이터 마스킹 등의 솔루션을 각각 도입해 사용하고 있다.

너무 다양한 솔루션을 사용하면 관리의 문제가 생긴다. 일관되지 않은 정책 적용으로 혼란이 발생하고, 여러 솔루션 사이에서도 관리되지 않은 사각지대가 발생한다. 새로운 유형의 위협이 발생했을 때 어떻게 대응해야 하는지 혼란을 겪게 된다. 또한 다양한 클라우드 서비스를 사용하면서 각각의 CSP들이 제안하는 데이터 보호 솔루션 운영 환경과 정책 설정 방법이 달라서 관리의 어려움이 생긴다.

탈레스 조사에서는 클라우드 사용 조직 당 평균 2.3개의 CSP를 사용하고 있으며, 팔로알토 조사에서는 기업이 사용하는 SaaS는 100개가 넘는다. 여러 클라우드를 사용하면 그만큼 정책 운영이 복잡해지고 결국은 데이터 보호에 실패하고 만다.

소프트캠프는 상이한 클라우드, 온프레미스 환경에서 데이터 보호 전략이 일관적으로 유지될 수 있는 오케스트레이션 기능을 제공한다. 소프트캠프가 제안한 ‘문서보안 오케스트레이션’은 모든 환경에서 데이터가 가진 보안 수준이 유지될 수 있도록 자동으로 정책을 변경시키는 것을 말한다.

예를 들어 설명하면, 엔드포인트 DRM에서 암호화된 문서를 원드라이브, 셰어포인트, 팀즈 등 클라우드 저장소에 저장하거나 공유할 때, 마이크로소프트 애저의 인포메이션 프로텍션(AIP) 정책으로 자동 변환된다. 이로써 온프레미스와 클라우드 사이에서 단절 없는 보안과 사용성을 제공할 수 있다.

클라우드 네이티브 기술로 개발된 접근제어

모든 보안 솔루션이 그렇듯, 레거시 환경을 기반으로 설계된 보안 솔루션은 클라우드에서 제대로 작동하지 않는다. 데이터 보호 솔루션 역시 마찬가지다. 클라우드 네이티브는 자동 확장, 데브옵스, 멀티 클라우드, 세밀한 접근제어, 원격근무 등에서 레거시 환경과 다른 접근방법을 요구한다.

클라우드 데이터 보호 플랫폼(CDPP) ‘쿼리파이’를 제공하는 체커가 클라우드 네이티브 환경과 레거시 환경에서 달라지는 데이터 보호 기술에 대해 자세히 설명했다. 예를 들어 클라우드는 리소스를 자동 확장하거나 줄이는데, 클러스터 내 DB CPU 사용률이 70%를 초과하면 DB 추가, 30% 미만이면 제거하는 정책을 운영할 때 데이터 기밀성과 무결성을 해결하지 못한다. 레거시 솔루션은 이 문제를 해결하지 못하며 관리자가 직접 리소스를 추가, 삭제하고, 쓰레기값을 일일이 제거해야 한다.

AWS, 애저, GCP에서 제공하는 각각 다른 데이터베이스를 지원하는 문제나, 멀티 클라우드에서 하나의 계정원장으로 단일 권한 정책을 통해 데이터를 통제하고 관리하는 문제도 레거시 솔루션은 해결하지 못한다. 데브옵스에 참여하는 개발자들도 운영 환경의 다양한 조회가 가능해야 하는데, 레거시 솔루션은 사전에 검토된 보안 승인 내에서만 접근할 수 있어 개발 활동에 제약이 있다.

원격근무를 도입하면 모든 위치와 상황에서 사용자가 중단없이 데이터에 접근할 수 있어야 하며, 별도의 DB IDE나 서버 CLI 편집기 없이 OS에서 기본 제공되는 웹브라우저에서 접근, 통제 로깅할수 있어야 한다. 레거시 솔루션은 이 문제도 해결하지 못한다.

체커의 쿼리파이는 클라우드 네이티브 환경을 기반으로 개발된 CDPP로, 클라우드 환경에서 관리되는 데이터베이스, 시스템 등의 리소스를 효과적으로 관리하고 보호한다. 클라우드의 여러 DB를 한번에 관리하고, 중요 데이터과 시스템에 대한 정책을 수립할 수 있으며, 모든 행위를 기록하고 모니터링함으로써 기업 내 중요 자산을 안전하게 보호한다.

하이브리드 클라우드 데이터 접근제어 최적화

국내 데이터 접근제어 시장은 피앤피시큐어의 ‘디비세이퍼(DBSAFER)’가 압도적인 점유율을 갖고 있다. 디비세이퍼는 국내 주요 금융시장에 독점에 가까운 점유율을 갖고 있으며, 대형 엔터프라이즈와 공공 시장에서도 높은 점유율을 유지하면서 시장장악력을 높이고 있다. 국내 주요 클라우드에서 운영을 지원하며, 마켓플레이스에 등록돼 다양한 고객이 편리하게 사용할 수 있게 한다.

디비세이퍼는 온프레미스, 하이브리드 클라우드에서 접근제어가 필요한 모든 영역의 기술을 통합 제공하는 ‘유니파이드 IAM(Unified-IAM)’을 제안한다. 유니파이드 IAM은 DB와 시스템, OS·DB 통합 계정관리, OS 접근제어를 유기적으로 통합 제공해 접근제어와 관련된 솔루션 구축, 운영 리소스를 줄이고 전반적이 비용을 절감할 수 있다.

모든 접근제어 시스템에서 사용자 행위를 지속적적으로 추적·감사 가능해 잠재된 이상행위를 식별하고 사고를 예방할 수 있다. NoSQL을 포함한 34종의 DB를 지원하며, 데이터베이스 접근 인증 워크플로우 통합, 보고, 감사 기능을 갖추고 있다. 또한 안면인식 솔루션 ‘페이스락커(FaceLocker)’와 결합해 업무 수행 중에도 지속적으로 본인인증을 할 수 있게 했다.

다양한 보안 사용 사례 지원하는 DLP

다양한 클라우드 환경을 지원하는 데이터 유출방지(DLP)도 데이터 보호를 위해 필수적이다. 에스에스앤씨가 국내에 공급하는 포스포인트 DLP는 데이터 분류와 유출 방지, 내부자 위협 보호, 조사 등의 기능을 제공한다. 다양한 보안 사용사례를 지원하며, 개인정보 보호를 위한 확장된 기능도 탑재하고 있다.

데이터 인지 SSE를 강조하는 스카이하이시큐리티 역시 탁월한 DLP 기능으로 클라우드 데이터를 보호한다. 스카이하이 DLP는 클라우드 네이티브 기술 기반으로 설계돼 저장된 데이터, 사용중인 데이터, 이동중 데이터를 중단없이 보호한다. 엔드포인트, 웹, 클라우드, 이메일, 개인메일을 포괄하는 스카이하이 DLP는 모든 데이터에 대한 가시성과 고급 위협 보호, 통합 데이터 보호 기능을 제공해 모든 사용자 환경에서도 일관된 데이터 보호 정책을 유지할 수 있게 한다.

DLP 시장의 전통적인 강자는 시만텍이다. 시만텍 DLP 클라우드는 단순 DLP 기능뿐만 아니라 CASB와 결합시켜 클라우드 전반의 가시성과 통제 기능을 강화한다. 모든 클라우드 앱의 가시성을 제공하며, 모든 채널에서 데이터의 이상 행위를 감지하고 멀웨어 차단과 리스크 관리를 지원한다