최근 출시된 보안 제품들은 네트워크 어디서나 데이터 유출 방지(Data Loss Prevention: DLP)에 초점을 두고 있지만, 제대로 효과를 발휘하려면 아직 인간의 손길이 필요하다.
기업에서 가장 소중한 데이터를 빼내기 위해 준비된 사람들은 어디에나 존재한다. 조직적인 사이버 범죄자들, 움직이는 랩톱을 훔치려는 도둑들, 데이터베이스 전체를 빼낼 수 있는 웹 애플리케이션을 사용하는 침입자들, 귀중한 정보를 몰래 빼낼 방법을 모색하고 있는 악의적인 내부인들 등 이 나쁜 사람들 모두가 기업의 소중한 데이터를 노려보고 있다.
물론 데이터를 안전하게 보관하기 위해 만들어진 모든 필요조건들, 즉 PCI, HIPAA, 소비자 프라이버시 법안, 기업에 영향을 미칠 수 있는 그 어떤 규정이든 당신은 충실히 따르고 있을 것이다. IT 폴리시 컴플라이언스 그룹(IT Policy Compliance Group)에 따르면, 데이터 유출로 인한 손실액과 규정 준수에 대한 지출을 비교할 때 최악의 경우에는 같은 금액이 되고, 최선의 경우에는 규정 준수에 소모되는 비용의 최고 10배까지 절약할 수 있는 것으로 드러났기 때문에 이것은 분명 효과가 있는 일이다.
규정 준수와 여기에 수반되는 위험 감소는 도움이 되긴 하지만, 그렇다고 해서 모든 게 해결되지는 않는다. 무턱대고 감사나 규정 준수 수단들이 표준이나 법안에 포함돼 있다고 해서 무턱대고 이들을 받아들일 수는 없는 일이다. 최대한의 절감 효과와 위험 감소 효과를 거두기 위해서는 자신의 환경에 특수한 위협에 맞설 수 있는 적절한 방안을 이용해 데이터를 능동적으로 보호해야 한다.
이러한 방어벽을 구축할 수 있도록 나와 있는 툴은 전혀 부족함이 없다. 데이터 보안에 대해 기사를 만들고 있다고 말했을 때 제품을 보내 온 회사들은 자그마치 100여 곳 이상이었다. 하지만 궁극적으로 보안이라고 할 때는 데이터 보안을 말하는 것이기 때문에 이것은 당연히 있을 수 있는 일이기도 하다. 액세스 제어, 암호화 및 네트워크 모니터링 같은 전통적인 보안 방안들에서도 이것은 자명한 상황이다. 그러나 우리가 지금 주의를 집중시키고 있는 것은 데이터 유출의 위협에 초점을 둔, 가장 최근에 등장하고 있는 제품들이다.
어떤 데이터가 어디로 갔나
데이터 유출 방지는 침입 방지(extrusion prevention), 콘텐츠 필터링, 정보 누출 방지 및 데이터 누출 방지 등 여러 가지 이름으로 불리고 있다. 민감한 데이터를 식별하고, 이것이 어디로 가는지를 모니터링하고, 누가 거기로 액세스하는지 감사하고, 그리고 이러한 액세스를 제한하는 등의 기본적인 작업은 종단지점, 데이터베이스, 모바일 장비, 네트워크 게이트웨이 및 파일 저장소 등 네트워크 어디에서나 이뤄질 수 있다. 그리고 이들 각각의 위치에서 이런 작업을 수행하고자 하는 별도의 제품들이 있다. 하지만 이렇게 많은 선택들을 두고 어디서부터 과연 시작을 해야 할까?
대부분의 만족스러운 여행에서와 마찬가지로, 이것도 자기 인식에서 비롯된다. 즉 자신의 필요조건과 우선순위를 먼저 정해야 한다. 자신의 데이터에 어떤 정책과 분류(classification)가 필요한가? 자신의 환경에서 의료 데이터, 재정 데이터, 거래 기밀, 혹은 다른 민감한 데이터를 처리하고 있는가? 대부분의 조직들은 여러 가지 종류의 민감한 데이터를 다루고 있다. 데이터의 분류를 열거한 다음, 각각을 보호하기 위해 어떤 종류의 제어가 이뤄져야 하는지 결정하는 작업은 어떤 종류의 기술적 제어든 이행되기 이전에 놓쳐서는 안 될 중요한 첫 단계다.
데이터를 식별하고 분류하는 과정에서는 놀랄만한 일이 없도록 보장하는 작업이 포함된다. 지난 해 수백만 재향 군인의 기록이 담긴 랩톱과 외장형 미디어를 도난당한 재향 군인회 직원은 처음에는 허가없이 이것을 집으로 가져갔기 때문에 고소됐지만, 그후 허가를 받은 것으로 밝혀졌다. 암호화되지 않은 민감한 데이터가 오프사이트로 옮겨지는 것을 방지하고, 모든 직원들이 제대로 알고 이해하고 있는 든든한 정책이 있다면 이러한 일이 발생하는 것을 막을 수 있을 것이다.
다양한 보안 기술을 분석할 때는 한 가지 유형의 위협으로부터 데이터를 보호해주는 방안이 다른 것과는 다른 경우가 많으며, 심지어 다른 종류의 위협으로부터 보호해주는 방안을 소용없게 만들어버릴 수도 있다는 사실을 명심해야 한다. 암호화된 드라이브의 복구키가 유출되는 것은 얼마든지 발생할 수 있는 상황이다.
이런 위협에는 같은 드라이브가 기업 네트워크 외부에서 사용됐을 때 노출되는 것으로부터 보호하는 데 필요한 메커니즘(암호화된 상태로 데이터를 다시 가져다 주는 세션에서의 타임아웃이나 위치 기반 관리)과는 전혀 다른 형태의 보호(키 에스크로나 백업)가 필요하다.
이것은 특히 종단지점에서 로컬로 돌아가는 것으로 데이터 전송을 식별 및 차단하기 위해 네트워크에서의 활동을 모니터링하는 DLP 제품을 비교할 때 명심해야 할 점이다. 네트워크 기반 솔루션들은 내부인 위협에 보다 취약한 경향이 있다. 내부인은 암호화나 스테가노그래피(steganography: 이미지나 사운드 파일안에 숨겨진 텍스트처럼, 다른 데이터 포맷안에 데이터가 숨겨지는 기술)를 이용해 네트워크를 통해 데이터를 빼낼 수 있다. 혹은 USB 키를 꽂아서 파일을 복사하고 유유히 사무실을 나갈 수 있기 때문에, 네트워크 기반 DLP 제품이 이런 범죄를 탐지해내기가 사실상 불가능하다.
종단지점 DLP 제품은 이런 활동을 막을 만한 가능성이 더 많긴 하지만, 아무리 기술이 떨어지는 내부인이라 하더라도 휴대전화나 디지털 카메라를 이용해 화면에 있는 문서 사진을 찍을 수는 있을 것이다. 이것을 막을 수 있는 DLP는 어떤 형태도 없다.
악의적 내부인도 탐지 가능
정직한 DLP 업체라면 진지한, 그리고 숙련된 내부인이 데이터를 꺼내가는 것을 막을 수 없다는 사실을 쉽게 인정할 것이다. 이들의 진정한 가치는 우발적으로 데이터를 유출하는 직원을 찾아내는 데 있다.
물론 이 직원은 이것이 정책에 위반되는지 모르거나 자기 일을 하기 위해 위험스러운 지름길을 가고 있는 사람이다. 물론 신중하지 못하거나 제대로 알지 못하는 악의적 내부인도 물론 탐지될 수 있다.
직관적이지 못해 보이긴 하지만, 정확히 적용되기만 한다면 차단 기능이 없이 모니터링만 하는 방안이 방지 솔루션들보다 더 효과적일 수 있다. 그 이유는 차단이 가능한 솔루션은 프로세스의 마지막처럼 보이는 경우가 많기 때문이다. 결국 DLP 솔루션이 데이터 유출을 차단하기만 하면 자기 일을 다 하는 것일까?
그렇긴 하지만 그렇다고 해서 상황이 모두 종료되는 것은 아니다. 이것은 무엇이 누구에게 전송되고 있는지 뿐만 아니라 누가 전송하고 있는지를 밝혀내는 조사 프로세스의 시작에 불과하다.
정당한 업무적 용도로 데이터가 전송되고 있었는데, 이것을 전송하는 사람이 정확한 프로시저를 따르지 않았는가? 아니면 누군가 회사 정책을 제대로 알지 못해서 거기에 위반되도록 전송하고 있었는가? 혹은 그 사람이 좋지 못한 의도를 갖고 있었는가? 차단은 데이터를 안전하게 지켜주긴 하겠지만 이런 질문에 대답을 해주지는 못한다. 모니터링 전용 솔루션에서는 당신의 작업이 당신을 위해 진행되고 있다는 환상을 가질 필요가 없다.
DLP 솔루션은 모든 데이터를 로케이팅하고 분류하는 힘든 일을 완전히 자동화하지 못하는 것처럼, 청소에서 힘든 부분, 즉 사람들이 자신의 업무를 할 수 있도록 보안 프로세스를 개발하고 사용자를 교육시키는 일도 처리하지 못한다. 궁극적인 목표는 민감한 모든 데이터가 네트워크를 돌아다니지 못하게 막는 게 아니라, 민감한 데이터가 네트워크를 돌아다닐 때 이것이 안전하도록 보장하는 것이 돼야 한다.
데이터 보호 대들보, ‘암호화’
암호화는 데이터 보호의 대들보나 마찬가지다. 전통적인 방안들도 다양하게 많이 나와 있긴 하지만, 엔터프라이즈 권한 관리라고도 하는 EDRM(enterprise digital rights ma nagement)은 암호화에서 보다 젊고 세련된 방안으로서, 데이터 보안을 유지하면서 동시에 순수한 암호화가 가진 유용성 문제를 일부 해결해준다.
예를 들어 마케팅 팀에서 신제품 발표를 문서로 작성하고, 기술팀에서는 이것을 검토해서 기술적인 정확도를 높이며(적어도 꿈은 꿀 수 있는 일이다), 마케팅 팀에서는 바뀐 부분을 듣기 좋게 바꾼다. 그리고 이것은 아마도 법률이나 재정팀으로 넘어가 배포되기 이전에 최종 검토를 거칠 것이다. 전통적인 암호화에서는 문서가 각각의 검토 과정 이전에 암호해지가 된 다음 검토 후 다시 암호화돼야 할 것이다.
EDRM은 암호화 단계가 클라이언트 기계에 있는 문서 편집 소프트웨어나 에이전트(agent)에 의해 투명하게 처리될 수 있게 이 프로세스를 자동화한다. 문서는 각 개인이 갖는 서로 다른 액세스 권한을 규정하는 허가 세트와 함께 열리며, 이러한 허가는 심지어 파일이 그 환경에 있는 여러 장소로 전송되더라도 여전히 시행된다.
성장의 고통
새로운 통신 채널이 점점 인기를 더해가면서 DLP 솔루션도 거기에 맞게 동기화를 유지해야 하게 됐다. 블로그와 위키를 생각해 보라. 최근 설문조사에서 마켓아이큐(Market IQ)는 블로그와 위키에 콘텐츠 보안 방안을 적용시키는 데 대해 염려하고 있는 응답자는 600명 중 5%에 불과하다는 사실을 발견했다. 이것은 아마도 블로그나 위키가 전자우편보다 덜 쓰이기 때문이기도 하겠지만, 이런 말로 관심의 부재를 다 설명하기는 힘들다.
그보다는 조직들이 이러한 새 보관함에 담긴 콘텐츠가 얼마나 민감한지를 깨닫지 못하고 있고, 이들을 보호할 만한 기술 솔루션들이 성숙하지 못했다는 게 더 설득력 있게 들린다. 코드그린네트웍스(Code Green Networks)의 CI-750 콘텐츠 인스펙션 어플라이언스(Content Inspection Applia nce)는 위키 콘텐츠를 지문 데이터베이스에 통합하기 위해 맞춤 코드를 쓸 때 필요한 위키를 스캐닝할 때 이 점을 잘 보여준다.
또 한 가지 DLP 배치를 저해할 수 있는 고통스러운 현실은 폴스 포지티브(false positives) 문제다. 다른 것들보다도 여기에 덜 취약한 기술들이 있긴 하지만, 대부분의 제품에는 사회보장번호나 신용카드 같은 특정 유형의 구조화된(structured) 데이터를 인식할 수 있는 능력이 미리 탑재돼 있다. 불행히도 사회보장번호는 임의로 보여지게 되는 경우가 너무도 많다.
어떤 임의의 9자리 숫자든 네 번 중 한 번은 유효한 사회보장번호일 가능성이 있는데, 그 이유는 신용카드 번호와 달리 이들에게는 체크섬(checksum)이 들어 있지 않기 때문이다. 게다가 기술이 보호되고 있는 콘텐츠 조각을 식별하기 위해 적극적으로 애를 쓰면 쓸수록, 보호되지 않는 콘텐츠를 트리거링할 가능성도 커진다.
각각 문제 독립적 해결
침입 탐지의 세상에는 네트워킹을 모니터링하는 두 가지 서로 다른, 그리고 따로 떼어놓을 수 있는 목적이 존재한다. 그 첫째는 지금 현재의 문제를 가리키고, 한밤중에 호출기를 요란하게 만들어줄 매우 정확한 경보를 위한 것이다. 두 번째는 보다 포렌직 기반 방안으로서, 하나의 특정 종단지점이나 개인에게 문제가 있다고 가정하고 가능한 많은 정보를 수집하기 위한 것이다.
첫 번째 목적을 위해서는 아주 낮은 폴스 포지티브율이 필요한 반면(능동적 DLP 제품의 경우 정당한 통신이 실수로 차단되지 않도록 낮은 폴스 포지티브율을 원하는 것과 같다), 두 번째는 매우 낮은 폴스 네거티브율을 필요로 한다. 두 번째의 가치를 알고 싶다면 듀퐁사의 직원으로서 전 고용주로부터 거래 기밀을 훔친 혐의로 최근에 실형을 선고 받은 게리 민의 경우를 보면 된다.
이것은 포렌직 데이터와 좋은 감사 로그가 얼마나 유용한지를 보여주는 완벽한 예다. 민감한 데이터로의 액세스를 가진 사람에 대한 회사의 기본 출입 프로시저에는 이들이 액세싱한 문서의 감사가 포함돼야 한다. 이 경우에는 너무나 확실하게 드러난 게리 민의 과도한 액세스가 듀퐁으로 하여금 FBI를 부르도록 자극했다.
DLP 솔루션을 배치할 때는 경보와 포렌직 방안이 모두 중요하지만, 각각은 서로 다른 문제를 위한 것이다. 하나의 제품을 사용하든, 하나 이상을 사용하든, 각각의 문제를 독립적으로 해결할 수 있도록 해야 한다.
데이터 유출 방지 향후 전망
작은 통합 : 리커넥스(Reconnex)가 올해 초 종단지점 제품을 이용해 자사의 네트워크 기반 제품을 확장시킨 것처럼, 데이터 유출 방지 업체들은 기존의 제품에 여러 가지 DLP 방안들을 계속해서 추가하고 있다. 전반적으로 기능들이 추가됨에 따라 네트워크나 탐색, 종단지점, 혹은 데이터베이스같은 한 가지 영역에만 타깃을 두는 제품은 줄어들 것이다.
큰 통합 : 순수 DLP 솔루션들이 보안과 IT 부문의 대형 업체들에 의해 채택됨에 따라(시스코 시스템즈, 맥아피, 시만텍 및 RSA 등이 모두 지난 해에 구입을 했다), 스탠드얼론 제품은 줄고 관리, 보안 모니터링 등 다른 제품으로 DLP 기능성 통합이 늘어날 것이다. 맥아피와 시만텍은 올인원 종단지점 보안 소프트웨어로 이것을 처리할 것이다.
자동화 주장 : 침입 방지 시스템에서와 마찬가지로, 분류하고 조정하고 관리하는 일에 따르는 고통은 업체들이 자사 제품을 ‘자동’이며, 어떠한 튜닝도 필요치 않다고 주장하게 만드는 장본인이다. 이것이 적용될 수 있는 데이터 유형들이 몇 가지 한정적으로 있긴 하지만, 전반적으로 볼 때 이러한 주장은 네트워크 모니터링 소프트웨어보다 DLP 제품에 훨씬 더 적용이 안 된다는 사실이 밝혀질 것이다. 결국 특정 환경에 있는 데이터는 네트워크에서 돌아가는 프로토콜보다 고유의 것일 가능성이 훨씬 많기 때문이다.
