제로 트러스트 원칙 데이터 보호 전략 필수
[데이터넷] 제로 트러스트는 복잡하고 어렵지만, 현대 비즈니스를 보호하기 위해서는 반드시 이행해야 한다. 넓어지는 공격표면, 분산된 업무환경을 보호하는데 기존 경계기반 보안은 많은 한계를 갖고 있기 때문이다. 가장 쉬운 것부터, 가장 중요도가 낮은 것부터 차근차근 전환하면, 성공적인 제로 트러스트 여정을 진행할 수 있다.<편집자>
제로 트러스트 최후의 보루 ‘데이터’
제로 트러스트를 통해 지키고자 하는 핵심 자산이 ‘데이터’이다. 모든 보안 경계를 침해당한다 해도 데이터를 지킬 수 있으면 최악의 피해는 막을 수 있다. 그런데 최근 IT 환경은 데이터를 보호하기 매우 어려운 상황에 놓여있다. 디지털 트랜스포메이션을 전개하면서 데이터가 온프레미스와 클라우드 다양한 환경에 분산되고 있으며, 직원이나 파트너 개인 기기에도 데이터가 저장된다.
보호하기 어려운 데이터를 공격자들이 훔친 후 공개한다고 협박하면서 금전을 요구한다. 마이크로소프트 조사에 따르면 사용자 기기에서 데이터를 탈취하는 사례가 지난해 11월 이후 2배 증가했으며, 최근 몇 년간 랜섬웨어와 데이터 유출·공개 협박을 함께 하는 다중갈취 공격이 크게 늘어나고 있다.
마이크로소프트는 특히 인간이 운영하는(Human-operated) 랜섬웨어에서 데이터 유출 사례가 두드러진다고 설명했다. ‘인간이 운영하는 랜섬웨어’는 공격자가 직접 피해 조직에 침투해 활동하는 것을 말하며, 지난해 9월 이후 이러한 공격이 2배 이상 증가했으며, 마이크로소프트가 탐지한 랜섬웨어의 40%가 인간주도 랜섬웨어였다. 이러한 랜섬웨어 공격자들이 보안 시스템을 정교하게 우회해 데이터를 유출하고 협박에 나선다.
데이터 공개 협박 집중하는 공격자
최근 공격자들은 데이터 암호화보다 탈취·공개 협박에 더 집중하고 있는데, 랜섬웨어 탐지 기술이 발달하면서 암호화 시도를 빠르게 식별하고 차단하고 있기 때문이다. 보안 기술을 우회해 암호화하려면 시간과 리소스가 많이 소요되기 때문에 처음부터 데이터 유출을 시도하는 것이다.
이러한 추세를 가장 잘 보여주는 것이 의료기관과 교육기관을 타깃으로 하는 랜섬웨어 공격이다. 의료·교육기관은 공격자들이 좋아하는 민감정보를 대규모 보유하고 있으며, 다른 산업에 비해 보안 대응 수준이 부족하고 보안에 대한 인식도 낮은 편이기 때문에 쉽게 공격할 수 있다. 특히 의료기관의 경우, 데이터 유출과 함께 의료시스템을 중단시켜 환자의 생명을 위협하면 몸값 협상에 나설 수밖에 없기 때문에 공격자들이 선호한다.
클라우드는 데이터 탈취에 매우 취약한 환경이다. 직접 공격을 당하지 않고 클라우드의 잘못된 설정으로 데이터를 공개하는 실수를 저지르기 쉽다. 마이크로소프트가 과도하게 허용된 공유 액세스 서명(SAS) 토큰으로 인해 내부정보를 유출하는 사고를 일으키기도 했다.
암호화·키관리로 데이터 보호
멀티·하이브리드 클라우드는 광범위한 네트워크에 데이터가 분산 저장되기 때문에 데이터 가시성과 통제력을 확보하기 어렵다. 그래서 데이터를 암호화하고 키에 대한 통제권을 확실하게 갖는 것이 매우 중요하다.
탈레스는 암호화 키관리를 통한 데이터 주권 확보를 강조한다. 데이터가 어디에 저장돼 있든 암호화 키를 정보주체가 소유하고 있으면, 권한 없는 사용자의 데이터 무단 접근을 막을 수 있다. 암호화 데이터는 키 없이 열어볼 수 없기 때문에 데이터의 영구 삭제가 필요하다면 암호화 키를 삭제해 데이터에 아무도 접근할 수 없게 한다.
탈레스는 멀티·하이브리드 클라우드 환경 전반에서 정형·비정형 데이터의 체계적인 보호 기술을 제공한다. 더불어 자체 제공하는 암호화 키, 클라우드 사업자의 키 관리, 그리고 고객이 직접 키를 관리하는 BYOK까지 지원해 모든 환경의 키라이프사이클을 안전하게 지키도록 한다.
제로 트러스트 데이터 보안 플랫폼 필수
우리나라에서는 파수가 ‘제로 트러스트 데이터 보안 플랫폼’ 전략을 제시하면서 데이터 보호 역량을 높이고 있다. 이 전략은 제로 트러스트 아키텍처에서 데이터의 활동 단계에 따라 필요한 다양한 보안 솔루션을 하나의 플랫폼처럼 통합 지원하는 것이다.
이 플랫폼은 데이터 식별, 분류, 관리, 보호, 공유, 감사, 모니터, 분석 등 데이터의 활동 단계에 따라 필요한 주요 기능 위한 최적의 솔루션으로 구성돼 있으며, 콘텐츠 ID, 정책, 로그를 통합적으로 일관되게 관리할 수 있도록 지원한다.
파수는 문서 보안 솔루션 ‘파수 엔터프라이즈 디알엠(FED)’, 데이터 식별·분류 솔루션 ‘파수 데이터 레이더(FDR)’, 엔터프라이즈 문서 플랫폼 ‘랩소디(Wrapsody)’, 외부 협업 솔루션 ‘랩소디 에코(Wrapsody eCo)’, 문서추적·통합로그 관리 솔루션 ‘FILM’ 등의 연동 기능을 확대, 각 솔루션이 하나의 시스템처럼 구동된다.
파수 데이터 보안 플랫폼을 도입한 사회복지법인 굿네이버스는 다양한 문서가 생성되는 시점부터 유통, 폐기되기까지의 모든 과정에서 문서를 보호하고, 개인정보 등의 민감 정보를 철저하게 관리할 수 있게 됐다. 굿네이버스는 FED를 통해 문서가 생성되는 시점부터 자동 암호화하고 설정된 권한에 따라 열람, 편집, 인쇄 등을 제한하고 문서 사용 이력을 추적 및 관리한다. 스크린 워터마크, 화면 캡처 방지, 인쇄 보안, 개인정보 마스킹 등의 기술을 더해 모든 데이터를 안전하게 관리한다.
