내부 유출 증가로 데이터 보호 방안 부상 … DLP·DRM 등 데이터 보안 다각도 모색
2003년 6건에 불과하던 산업기술 유출 사고는 2004년 26건, 2005년 29건, 2006년 31건 등으로 지속적으로 증가하고 있으며, 범위 역시 반도체, 휴대폰 등 첨단 IT 분야에서 정밀기계, 생명공학 등 산업전반으로 확산되고 있다. 이러한 정보유출은 특히 기업 내부로부터 이뤄져 핵심 정보가 유출됨으로써 피해가 더욱 큰 특징이 있다.
더불어 최근 모비일 기기 보편화 등에 힘입어 게이트웨이 기반의 네트워크 보안을 우회하는 공격도 성행해 새로운 보안 패러다임 창조가 요구되고 있다. 이러한 요구에 대응하는 것이 바로 데이터 보안. 기존 네트워크 보안에 의존하던 것과 달리 데이터 자체를 보호함으로써 기업의 핵심정보를 보안하는 것이 데이터 보안의 목적이다. 데이터 보안에 대해 알아본다. <편집자>
제 1부 데이터 보안 현황
제 2부 전문가 기고
데이터 보안, 피할 수 없는 과제 … 피해규모 예측 불가
내부로부터의 위협 보안책 마련 필요 … 기밀정보 외부유출 ‘빗장수비’
오늘날 공격의 궁극적인 목표는 금전적 이득이다. 이를 위해서 시도되는 것은 크게 두 가지. 하나는 서비스거부공격(DoS/DDoS) 등 기업의 정상적 비즈니스를 방해하는 활동을 통해 기업을 위협하고, 돈을 갈취하는 방법이며, 다른 하나는 민감한 정보를 빼내어 판매하는 방법이다. 이 중 데이터 보안을 위해서는 기존 전통적 방식과 다른 새로운 유형의 방법이 시도되고 있다. 기존의 전통적인 보안 방법이 공격을 게이트웨이단에서 차단함으로써 기업의 IT 인프라와 정보를 동시에 방어하는 것이었던 반면, 감염된 모바일 기기를 통한 우회공격과 기업 내부로부터의 정보유출사고 증가로 인해 데이터 자체를 보호할 수 있는 데이터 보안이 관심을 끌고 있다. | 오현식 기자·hyun@datanet.co.kr |
기업과 개인의 민감한 정보 데이터는 공격의 궁극적 목표 가운데 하나다. 하지만, 기존까지는 이러한 데이터 보호가 네트워크 단에서만 이뤄졌던 것이 사실이다. 게이트웨이 단에서 침입을 차단, 악의적인 공격자가 내부로 들어오는 것을 막음으로써 기업의 네트워크 인프라와 기업의 정보를 동시에 보호하고자 했던 것이다.
그러나 오늘날 다양하고 진화된 공격은 기존 게이트웨이 보안 방법을 보완할 수 있는 새로운 보안 방안을 요구하고 있다. 모바일 기기의 보편화로 외부에서 감염된 모바일 기기를 통해 내부 데이터를 빼내어 가는 공격 등에 기존 방식은 한계를 지니기 때문이다. 또 내부 직원의 실수, 혹은 회사에 불만을 품은 직원이나 협력사 직원에 의한 정보유출에도 대응해야 할 필요성도 제기되고 있다.
이에 요구되는 것이 바로 데이터 자체를 보안할 수 있는 데이터 보안이다. 기존에는 네트워크 보안에 의존했던 것과 달리 데이터에 대한 별도의 보안 체제 구축을 통해 모바일 기기를 통한 외부 우회 공격은 물론, 내부자에 의한 정보 유출까지 방지할 수 있는 방안이 주목받고 있는 것이다.
실제로 2003년 6건에 불과하던 산업기술 유출 사고는 2004년 26건, 2005년 29건, 2006년 31건 등으로 지속적으로 증가하고 있으며, 범위 역시 반도체, 휴대폰 등 첨단 IT 분야에서 정밀기계, 생명공학 등 산업전반으로 확산되고 있는 상황이다.
2007년 기술 유출 적발 사례를 보면, 6천억원을 들여 개발한 P사의 와이브로 관련 핵심기술이 전직연구원에 의해 유출이 시도됐으며, H자동차에서는 현직 직원 2명에 의해 자동변속기 기술이 유출돼 중국과의 자동차 기술격차가 10년에서 3년 수준으로 단축되는 일도 벌어졌다. 또 K자동차는 전·현직 직원 및 협력업체 직원에 의해 자동차 조립 핵심기술이 유출돼 4조7천억원의 피해를 입을 것으로 추정되고 있으며, 조선과 철강 분야에서도 전직 직원에 의한 기술 유출 시도가 이뤄져 수백, 수천억원의 개발비가 투자된 핵심 기술이 새어나가는 피해를 입기도 했다.
이처럼 내부 직원, 혹은 협력사 직원에 의한 기밀 정보 유출 사례는 적발 사례가 갈수록 늘어나고 있고, 특히 이러한 내부정보유출사고의 경우에는 핵심정보가 대량으로 반출되는 특성이 있어 피해규모가 큰 특징이 있다. 이에 데이터 보안은 이제 피할 수 없는 과제로 자리매김하고 있다.
이러한 흐름에 의해 데이터 보안 시장은 비약적인 성장이 예상되고 있다. 2007년 9월 골드만삭스는 기업의 최고정보보안책임자(CISO) 중 50% 이상이 데이터 유출이 보안 비용 지출의 가장 큰 비중을 차지하는 이슈가 될 것으로 전망하고 있다는 설문조사 결과를 발표했으며, IDC는 정보보호 및 제어 시장이 매년 33% 가량 성장해 2011년에는 32억달러 규모에 달할 것으로 예측하고 있다.
DLP, 고공비행 ‘준비 완료’
데이터 보안에 대한 관심 증가로 인해 주목받는 것이 바로 유출방지솔루션, 즉 ‘DLP(Data Loss Prevention/Data Leak Prevention)’다. 특히 DLP는 최근 시만텍, 맥아피, 트렌드마이크로 등의 글로벌 보안 기업들이 연이어 관련 솔루션을 국내시장에 출시하면서 시장의 관심이 크게 증가하고 있는 상황이다. IDC의 경우, 2007년 DLP 부문 세계시장규모가 1억9천400만달러에서 2009년까지 4억3천500만달러 시장으로 급속 성장할 것이라는 전망을 밝히기도 할 정도로 DLP 시장의 가능성을 높게 점치고 있다.
맥아피 등의 글로벌 기업들은 2006년과 2007년 관련 기술을 갖고 있는 기업을 인수해 DLP 기술을 확보, 이를 고유의 보안 기술과 통합시켜 지난해 하반기부터 솔루션을 출시했다. 한국맥아피가 지난해 하반기 ‘맥아피 DLP(Mcafee Data Loss Prevention)’를 선보인 것을 필두로 시만텍코리아가 ‘본투 DLP 8(Vontu Data Loss Prevention 8)’을, 한국트렌드마이크로가 ‘리크 프루프(Leak Proof)’를 연이어 선보이면서 국내시장에서도 DLP에 대한 관심을 불러일으키고 있다.
한국맥아피 강하라 차장은 “본격적인 영업은 2007년 4분기 시작됐지만 이미 5곳의 레퍼런스를 확보하는데 성공했다”며 “데이터 보안에 대한 관심이 급증하고 있고, DLP에 대한 인지도도 높아지고 있어 하반기부터 수요 급증을 기대하고 있다”고 밝혔다.
글로벌 기업들이 속속 뛰어들면서 DLP에 대한 시장의 관심이 급속도로 증가하고 있는 상황이지만, 사실 국내 시장에서 DLP는 낯선 개념은 아니다. 이미 워터월시스템즈 ‘워터월(WaterWall)’를 필두로 블루문소프트 ‘그라디우스(Gradius)’ 등의 국산 솔루션이 존재하고 있기 때문이다.
특히 지난 2001년부터 솔루션 공급을 시작했을 정도로 이른 시기부터 시장에 참여, 국내 DLP 시장의 개척자로 꼽히는 워터월시스템즈는 지금까지 150여개의 레퍼런스 사이트를 확보해 앞선 성과를 자랑하고 있다. 블루문소프트의 경우에도 10여개의 레퍼런스 사이트를 확보하는 성과를 거뒀다. DLP 시장이 아직은 초기라는 점을 고려하면, 다수의 레퍼런스 확보는 국내 기업들이 갖는 경쟁우위 요소 중 하나라고 할 수 있다.
이에 국내 기업들은 글로벌 기업들의 시장 참여에 긴장하기 보다는 환영하고 있다. 막강한 마케팅 능력을 갖춘 글로벌 보안 기업들의 시장 진출은 초기 시장인 DLP 시장을 크게 확산시킬 수 있는 계기가 된다는 것이다. 물론 이러한 환영은 성능과 기능이 외산 제품에 비해 결코 뒤지지 않는다는 자신감의 표현이기도 하다.
워터월시스템즈 신강우 이사는 “영업초기 경쟁사들이 없어 어려움을 많았지만, 데이터 보안에 대한 기업의 관심이 점차 높아지면서 지난해에만 40여개 신규 사이트를 확보했을 정도로 수요가 급증하고 있다”며 “마케팅 능력이 뛰어난 글로벌 기업들의 참여는 시장을 더욱 확대할 수 있는 계기가 될 것”이라는 기대를 전했다.
국내외 기업들이 DLP 솔루션을 쏟아내고 있지만, 기능은 대부분 대동소이하다. 국내외 제품 모두 디지털DNA를 통해 데이터의 흐름을 추적하고, 정보가 유출되는 주요 통로인 이메일, 메신저, 웹, 이동식 저장매체 등을 감시함으로써 정보유출을 방지하게 되는 것. 데이터 흐름을 추적하다가 위험정보의 유출이 발생하면, 보안 정책에 따라 사용자 경고, 차단, 기록 생성 등을 수행하게 된다.
데이터 통합보안 구현 ‘핵심키’
초기 시장임에도 다수의 솔루션이 존재하고 있지만, 기능은 대동소이하다. DLP 솔루션을 출시하고 있는 기업들의 소개를 들어보면, 모두 데이터에 대한 정교한 판별 및 추적 능력을 바탕으로 이메일, 웹, P2P, 이동식 저장매체, 프린터 등에 대한 모니터링, 제어 기술을 덧붙여 실질적인 차단을 수행하거나 데이터 흐름에 대한 기록을 남겨 사후 감사 자료로 활용될 수 있도록 한다고 소개하고 있다.
다소 차이가 있는 솔루션은 맥아피다. 다른 여타의 솔루션이 데이터에 대한 암호화를 수행하고 있지 않은 반면, 맥아피DLP는 암호화까지 포함하고 있다는 점을 변별점으로 내세운다. 한국맥아피 강하라 차장은 “모바일 기기가 많이 사용되고 있는 오늘날 모바일 기기 분실에 따른 정보유출도 문제로 제기되는데, 맥아피 DLP는 암호화까지 제공해 분실 시의 정보유출에도 대응할 수 있도록 하고 있는 가장 포괄적 범위의 보호를 제공하는 DLP 솔루션”이라고 강조했다.
시만텍의 경우에는, 본투 외에도 다양한 통로를 감시하는 유출방지솔루션을 갖췄다는 점을 차별점으로 내세웠다. 시만텍코리아 윤광택 부장은 “본투 외에도 시만텍은 시만텍 엔드포인트 프로텍션, 시만텍 엔드포인트 인크립션, 시만텍 메일시큐리티 8300, 시만텍 IM매니저 등 기업 내외부 커뮤니케이션을 포괄하는 다양한 분야의 솔루션을 갖고 있다”며 “본투는 이들을 모두 포괄하는 솔루션일 뿐 아니라 시만텍은 이들 솔루션에 본투의 기술을 통합시켜 정보유출을 방지하는 포괄적인 그림을 완성한다는 로드맵을 갖고 있다”고 설명했다.
트렌드마이크로는 정교한 문서 추적을 강점으로 내세웠다. 트렌드마이크로 리크프루프는 지문인식, 시그니처, 메타데이터, 키워드 등으로 이뤄진 복합적인 데이터DNA 기법을 이용해 문서를 90% 이상 변형하는 경우에도 이를 끝까지 추적하는 정교함을 갖고 있다는 것이다.
박수훈 한국트렌드마이크로 지사장은 “정교한 문서DNA 기법은 리크프루프만의 변별점으로 이를 통해 기밀자료의 외부 유출을 최대한 방지하면서도 오탐은 최소화했다”고 강조했다. 아울러 박 지사장은 “오프라인 모드에서의 동작, 스텔스 기법 등도 리크프루프의 특징”이라고 덧붙였다.
트렌드마이크로, 맥아피, 시만텍 등은 모두 안티바이러스 솔루션으로 명성을 쌓아온 기업들. 나아가 안티바이러스 솔루션들은 안티스파이웨어, 안티스팸 기능은 물론 NAC, 개인방화벽, 개인IPS 등의 기능을 결합하면서 통합화되는 경향으로 나아가고 있다. 이에 DLP 또한 궁극적으로는 이들 에이전트에 통합될 것이라는 게 전문가들의 예측이다.
복잡해진 IT로 인해 기업의 클라이언트PC에도 다수의 에이전트가 설치돼 관리 부담을 느끼고 있는 상황이기에 통합에 대한 요구는 더욱 증가하고 있는 상황이라는 것은 이러한 예측에 힘을 실어주는 부문이다. 맥아피의 경우, 에이전트단의 통합은 아니지만, 관리콘솔인 ‘e폴리시센터’에서 DLP까지 통합 제어할 수 있도록 관리단 통합은 이뤄낸 상황이다.
박수훈 트렌드마이크로 지사장은 “DLP 솔루션의 에이전트 크기는 그리 크지 않아 충분히 통합될 수 있다”며 “트렌드마이크로 뿐 아니라 시만텍, 맥아피 등 경쟁사들도 통합을 예정하고 있을 것”이라고 전망하기도 했다.
또 다르게는 이들 글로벌 기업들은 비전에 더욱 힘을 싣고 있다. 시만텍, 맥아피, 트렌드마이크로 모두 다양한 보안 솔루션을 보유한 글로벌 기업의 강점을 바탕으로 전사적 통합보안의 한 구성요소로, 정보중심 보안이란 비전을 완성시키는 주요 구성요소로 제시함으로써 고객 수요를 촉진시키는 전략을 펼치고 있는 것이다.
이러한 측면에서 EMC RSA는 강력한 다크호스다. 지난해 7월 타블러스를 인수해 DLP 기술을 확보하고, 일부 시장에서 DLP를 출시한 EMC는 RSA 정보보안사업부의 역량 집중화 차원에서 아직 국내시장에서는 이를 선보이지 않고 있다.
현재 국내 출시 예정 시점은 2009년 초다. 하지만, 데이터 흐름을 살피고, 이를 통제하는 DLP 기술은 EMC가 그리는 보안의 큰 그림인 ‘정보중심보안’의 핵심 구성요소로써 타블러스 인수가 갖는 의미를 고려하면 커다란 잠재적 경쟁자임은 틀림없다. 특히 타블러스는 데이터 분류 등에 강점을 갖고 있어 EMC의 기존 정보관리 솔루션인 인포스케이프와 결합한 시너지도 기대된다.
DLP 도입 효과 ‘뚜렷’
워터월시스템즈 등 국산 보안 기업들은 앞선 레퍼런스를 내세웠다. DLP 솔루션들의 기능이 대동소이한 가운데 레퍼런스는 제품의 실망에서의 성능을 검증받은 사례라는 것이 이들의 주장이다.
특히 150개 고객사를 확보, 국내 DLP 시장의 개척자로 꼽히는 워터월시스템즈는 글로벌 기업들의 참여를 더욱 반기고 있다. 경쟁우위를 자신하기 때문이다. 그동안 경쟁 제품이 없어 시장을 홀로 개척해야 했지만, 글로벌 기업들의 참여로 확대될 관심은 앞선 구축경험과 서비스 제공능력을 갖춘 워터월시스템즈 측에 더욱 시장을 확대할 수 있는 기회가 될 것이라는 기대감이다.
워터월시스템즈 신강우 이사는 “수만명이 존재하는 기업에 DLP 솔루션을 적용하는 것을 결코 쉽지 않은 일”이라고 지적한 후 “150여개 고객사를 보유한 워터월은 LG전자, 국방부, 신한카드 등 제조, 국방, 금융 등 다양한 분야의 대형 사이트를 구축한 앞선 노하우를 갖고 있다”고 강조했다. 또한 신 이사는 “일본 도요타, 히다치 등에도 워터월이 공급되는 등 해외에서도 기술력을 인정받고 있다”면서 “글로벌 기업들보다 정보유출 분야에서는 보다 앞선 기술력을 갖고 있다고 자부한다”고 덧붙였다.
넥센, 삼광공업, 금성정공 등 10여사에 그라디우스를 공급한 블루문소프트 또한 글로벌 기업의 솔루션과의 경쟁에서도 결코 밀리지 않을 것이라는 자신감을 보였다. 지난 2004년부터 제품을 개발, 출시해 2.5버전에 이른 만큼 안정성과 보안성, 성능 측면 모두 강력한 기능을 갖고 있다는 것이 블루문소프트 측의 자신감이다.
블루문소프트 김대영 사장은 “초기 버전은 안정성이 조금 부족해 그다지 매출확대에 주력하지 않았고, 2.5버전이 출시된 11월부터 본격적인 영업을 시작했음에도 10여개의 레퍼런스를 확보해 빠르게 시장에 안착하고 있다”면서 “올해 30여개 이상의 고객사를 확보해 성장의 발판을 마련할 것”이라고 목표를 밝혔다.
다른 한편, DLP 시장의 성장세는 예측하기 쉽지 않다. 워낙 초기 시장인 까닭이다. 2~3년 전부터 내부정보유출방지 솔루션이란 이름으로 시장에 조금씩 알려지기는 했지만, 시장 참여 기업이 적어 전파 속도는 빠르지 않았다. 따라서 DLP 시장은 아직은 초기라는 것이 보다 정당한 평가이다. 지난해 시장 규모 또한 100억원을 형성하지 못했다고 평가된다.
시장 영향력이 큰 글로벌 기업들의 참여와 함께 기업의 정보유출방지에 대한 관심도 높아져 시장 형성이 기대되지만, 예측은 여전히 어렵다. 일부 관계자는 하반기부터 시장 확산을 자신하고 있는 반면, 일부 관계자는 올해는 확산을 위한 기초에 그치고 내년부터 본격적인 시장 형성을 예상하고 있다.
그러나 시점이 언제든 DLP 확산은 시간문제로 전망된다. DLP의 효과가 분명하기 때문이다. 블루문소프트 이강건 이사는 “DLP는 직접적인 보안 효과도 있지만, 직원들에게 보안 규정 준수에 대한 경각심을 일깨우는 효과도 있다”고 강조했다.
보안 규정에 적합하지 않은 데이터의 외부 유출 시도 시 경고창이 발생함으로써 보안에 대한 경각심을 일깨우고 임직원 스스로 보안 규정을 준수하는 효과를 거둘 수 있으며, 이를 통해 보안 규정 준수가 높아짐으로써 의도하지 않은 보안 사고를 상당수 줄일 수 있게 된다는 것이다.
시만텍코리아 측은 “포춘 100대 기업 중 하나는 본투 적용 이후 데이터 유출 사고 발생 건수가 90% 감소했으며, 고객 기록 노출 사고 발생률이 2년간 99.7% 이상 감소하는 효과를 거뒀다”고 밝혔으며, 워터월시스템즈는 “초기 680건에 달했던 유출 시도가 6개월 후에는 165건으로 75% 이상 감소할 정도로 뚜렷한 도입 성과를 거둘 수 있다”고 전했다.
DRM, 공존과 경쟁 사이
DLP가 주목받고 있지만, 걸림돌은 존재한다. 바로 DRM(Digital Rights Management)이 그것이다. 이미 국내 시장에서는 기업용 DRM이 DLP의 목표인 내부정보보호 솔루션으로 확실히 자리매김한 상황이다. 파수닷컴, 소프트캠프 등의 기업용 DRM 기업들은 지난해 100억원 이상의 매출을 기록하는 등 DRM 시장은 가파른 상승세를 지속하고 있다.
이에 힘입어 국내 기업용 DRM 시장은 지난해 280억~300억원의 시장을 형성한 것으로 추정되고 있다. 2006년 200억원 남짓한 규모를 형성했다는 것을 고려한다면, 30%가 넘는 괄목할 만한 성장을 이뤄낸 것이다.
파수닷컴의 경우, 대법원, 한국철도공사 등 공공기관을 시작으로, 금호아시아나항공, 동부정보기술, 롯데건설, 한국항공우주연구원, G마켓, 다나와닷컴, 교보증권, 동부생명 등 다양산 산업군의 레퍼런스 확보하는 성과를 올렸으며, 소프트캠프는 하나금융그룹 7사의 표준 DRM 솔루션으로 공급한 것을 비롯해 한진중공업, 현대자동차 등 대기업 그룹사와 새한미디어, 오스텐인플란트 등 중소·중견기업에 공급하는 등 레퍼런스를 크게 확대하는 결실을 거둬들였다.
이러한 급격한 성장 요인으로는 내부정보보호에 대한 기업의 요구 증대가 결정적 요인임은 두말할 필요가 없다. 서두에 언급했듯 기업의 민감한 정보유출은 계속 증가하고 있으며, 주된 경로는 외부로부터의 침입이 아닌 전·현직 직원이나 사업 파트너 등 내부로부터의 유출로 나타나고 있는데, 기업 내부로부터의 유출을 방지하는 방안으로 DRM이 주목받으면서 성장이 본격화된 것이다.
나아가 DRM 기업들은 초기 문서 영역에 그쳤던 보안 영역을 소스코드, CAD 등으로 지속적으로 확대하고 있는 상황이다. 문서보안이란 굴레를 깨고 소스코드, 지리정보나 설계도면과 같은 그래픽 데이터 등 다양한 분야로 영역을 확대하는 경향이 보다 뚜렷이 나타나고 있는 것. 이러한 확장은 지난해 하반기부터 본격화됐기에 매출성장에 기여한 측면이 크지 않지만, 유출시 큰 피해가 발생할 수 있는 설계도면, 디자인도면 등에 대한 보안 요구가 높아 향후 시장 확산의 기폭제 역할을 담당할 것으로 기대되고 있으며, 이를 통해 기업용 DRM은 모든 영역의 기업 내부정보를 보호하는 토탈 솔루션으로 나아가고 있는 것이다.
따라서 기업의 민감한 데이터를 지키는 지킴이의 역할을 노리면서 시장에 진입하고 있는 DLP 솔루션은 이미 DRM이 장악한 시장을 돌파해야 하는 과제가 남아 있다고 평가된다. 접근방법, 효과 등이 다르지만, 목적은 동일하기에 고객의 입장에서는 DRM과 DLP를 동일 선상에 놓고 고려할 가능성이 높다.
경쟁적인 측면에서는 DRM에 맞춰진 고객의 시각을 어떻게 DLP 쪽으로 끌어들이는가가 관건이라고 할 수 있다. 고객이 DRM과 DLP를 동일선상에 놓고 비교한다면, 한정된 예산을 끌어오기 위해 경쟁관계가 될 것이기 때문이다.
하지만, 다른 한편에서는 목적은 동일하지만, DRM과 DLP의 접근 방법, 보안 단계, 기대 효과 등이 상이하기 때문에 충분히 공존 가능하다는 관측도 있다. DLP가 기업 내부에서 이메일, 메신저 등 다양한 정보유출 경로와 USB메모리, 이동식 HDD 등 다양한 매체를 감시, 통제하고, 허가된 사용자에 의한 내부 정보의 불법 유출을 추적, 차단하는 솔루션인 반면, DRM은 허용된 권한 범위 내에서만 허용된 방법으로 콘텐츠를 활용하도록 한다는 점에서 차별화된다. 즉, DLP가 외부 반출 방지에 초점을 두고 있는 반면, DRM은 외부 반출은 보다 자유롭지만 외부 반출 시에도 사용이 불가능하도록 만들어 민감한 기밀 정보를 보호하는 것이다.
이러한 차이는 실제 활용이 측면에서 큰 차이를 보일 수 있다. 예를 들어 파트너 사에 자료를 전달한다고 할 때는 DRM이 유용하다. DLP의 경우, 외부로 이미 반출된 데이터에 대해서는 통제가 불가능하기 때문이다. 반면, DRM은 애플리케이션 의존적이여서 구축이 까다로운 단점이 존재한다. DRM이 초기 문서 영역에 국한됐던 이유도 애플리케이션 의존성 때문이다. 하지만, DLP는 애플리케이션에 의존하지 않아 보다 구축이 간편하다. 또 데이터 흐름을 알 수 있어 기밀 데이터의 보안 상태를 보다 세밀하게 통제할 수 있다.
이러한 차이로 인해 DRM과 DLP의 목적은 동일하지만, 서로 상이한 활용처를 보일 것이며, 공존도 가능하다는 관측도 힘을 얻고 있다. 한 관계자는 “DRM은 협업이 많이 필요하면서도 높은 보안성이 요구되는 연구소 등에 적용될 가능성이 높은 반면, DLP는 전사적인 보안 정책 준수 수준을 향상시켜 컴플라이언스 이슈에 대응하는 측면으로 활용될 수 있다”고 예상하기도 했다.
데이터 보안 완성
공존과 경쟁의 관건은 고객의 인식이다. 데이터 보안에 대해 얼마만큼 인식이 향상돼 있는가가 두 솔루션의 공존, 경쟁을 가를 수 있는 가늠자가 될 수 있는 것이다.
데이터 보안이 전혀 고려되지 않고, 네트워크 보안에 의존했던 것이 불과 몇 년 전이다. 데이터 보안, 컴플라이언스 준수 등에 대해 고객의 필요성이 증가된다면, 서로 다른 접근 방법, 기대 효과를 지닌 DRM, DLP 공존이 가능하겠지만, 반대의 경우라면 한정된 데이터 보안 예산을 놓고 두 솔루션의 경쟁이 불가피하다.
그러나 내부정보유출방지가 시장 이슈로 떠오르고, 데이터 보안이 중시되면서 두 솔루션의 공존 가능성은 매우 크다고 전망된다. 전체 보안 인프라에서 데이터 보안이 차지하는 역할은 점차 그 중요성을 높여가고 있다는 것이 업계 관계자들의 한결같은 지적이다. 이처럼 가치를 더해가고 있는 데이터 보안의 완성을 위해서는 종합적인 데이터 보안의 인프라스트럭처를 구성하는 일이 보다 더 중시되기 때문이다.
- 전문가 기고
DLP, ‘선택 아닌 필수 요소’
효율적 보호 프로세스 구현 … 공격 변화에 대응한 보안 체제 변화 요구
데이터 보안은 중요한 과제다. 특히 오늘날에는 외부로부터의 위협 보다 내부로부터의 위협이 보다 높은 위험성을 갖고 있다. 발달된 기술은 손톱만한 USB메모리에도 수 기가바이트의 정보를 담아 외부로 유출할 수 있도록 한다. 이에 데이터 보안이 중시되는 것. 데이터 보안 방안으로 최근 주목받는 것은 바로 DLP다. DLP의 필요성과 기능에 대해 알아본다.<편집자>
강하라 한국맥아피 차장 hara_kang@mcafee.com
전통적인 보안 위협이란 늘 외부에서 내부로 유입되는 것이라 인식돼 왔다. 실제로 수많은 기업들은 이러한 외부 위협으로부터 내부 시스템과 네트워크 인프라를 지켜내기 위해 매년 막대한 규모의 보안 투자 예산을 집행하고 있다. 하지만 최근 자주 알려지고 있는 기업 데이터 유출사례를 살펴보면, ‘기 구축된 보안 솔루션과 프로세스로가 과연 데이터 유출에 대해서 적절한 대응책인가’란 근본적인 의문을 갖게 한다. 물론 외부 침입과 침투에 주로 대응하는 기존 보안 제품들(방화벽, SCM, IPS, 백신 제품 등)이 데이터 유출과 같은 비구조적인 내부의 위협에 대해 잘 대응해 줄 것이라 기대하는 보안 관리자는 없겠지만 매체제어 기능을 제공하는 PC보안 솔루션이나 문서보안으로 대변되는 DRM(또는 ERM)과 같은 기존 솔루션조차도 이 문제에 대한 명료한 해답은 내놓지 못하는 듯하다.
내부 직원을 먼저 단속하라
국내외 관련 조사 결과에 따르면 대부분의 기업 데이터 유출 사고는 내부자에 의한 것이라는 것을 알 수 있다. 국내 조사 결과는 전체 데이터 유출사고의 약 80% 정도를 퇴직자 포함 내부자에 의한 것으로 파악하고 있고 해외의 자료에서는 61%에서 70%까지를 내부자에 의한 데이터 유출 사고로 집계하고 있다. 결국 보안 관리자의 데이터 유출 방지를 위한 감시 및 보호는 안에서 밖으로 나가는 데이터 및 그 이동 경로가 우선돼야 함을 알 수 있게 하는 결과다.
실제 최근 데이터 유출 사례들을 예를 들면 닷컴 기업의 주요 서비스를 겨냥한 인바운드 해킹을 통한 회원 개인 정보 유출도 사회적 쟁점이 됐지만 그 보다 더 많은 데이터 유출 사례들은 내부 직원 및 퇴직자에 의한 핵심 기술자료 유출, 기업 운영 관련 기밀 자료 유출 등 내부에서 유출된 사고들임을 알 수 있다.
대부분의 기업이 외부 악의적인 해커에 의한 데이터 유출 시도를 막기 위한 침입차단, 방지 솔루션들에 많은 투자를 했으나 내부로부터 데이터 유출 방지 솔루션의 구축에는 관심과 투자가 결여됐던 것이 현실이다. 이는 기업과 직원간의 신뢰관계를 중요시하는 이상적인 기업문화의 명분 속에서 간과돼 왔기 때문이다.
그러나 사고는 항상 극히 일부 조직 내 불만자 혹은 퇴직자에 의해 예고없이 자행되기 마련이고 이로 인한 심각한 결과를 예방하기 위해서는 전체 2/3의 유출 사고가 발생되는 내부로부터의 데이터 유출 채널을 보호하는 것이 시급한 과제라 할 수 있다.
모바일 환경은 곧 위협의 증가다
어떤 경로를 통해 기업 데이터가 외부로 빠져나가는 것일까? 데이터도메인의 통계조사 결과에 따르면, 응답자들은 중요도 순으로 이동식 저장매체, 회사 메일, 모바일기기, 인쇄, 전화/팩스 등을 꼽았다. 상위 세 가지 정보 유출 채널로 중요시 되는 것은 기반 기술로 분류하면, 이동식 저장 매체(Removable storage media), 회사 전자 메일(Corporate email)과 노트북, 스마트폰 및 외부 무선랜 연결과 같은 모바일 컴퓨팅 기반 기술이라고 말할 수 있다.
이 세 가지 중에서 회사 전자 메일은 관리자가 콘텐트 필터링을 통해 쉽게 통제권을 확보할 수 있으므로 메일 서버 단에서 데이터 유출 방지 기능을 손쉽게 구현할 수 있지만 최근 사용빈도가 높아지고 다양한 신규기기가 쏟아져 나오는 저장매체 및 모바일기기(스마트폰 등)에 대해서는 이를 통합해 효과적으로 제어할 수 있는 방안이 없다고 많은 보안관리자들이 난색을 표명하고 있다.
실제 2007년도 매스컴을 떠들썩 하게 했던 기업 데이터 유출 사고들 대부분이 대용량 저장매체를 이용한 것이었으며 따라서 향후 기업 데이터 유출 방지의 관건은 이동식 저장매체와 모바일기기들을 얼마나 효과적으로 제어할 수 있는지에 있다고 해도 과언이 아니다.
DLP 솔루션의 진화
최근 다양한 형태의 DLP(Data Loss Prevention)솔루션 들이 시장에 소개되고 있으며 저마다의 독특한 기능과 특징으로 기존 제품들과의 차별화를 꾀하고 있다.
초창기 기업 데이터 유출 방지 기능을 제공하는 솔루션들은 인터넷과 모바일 컴퓨팅이 대중화되기 시작한 1990년대 후반부터 출시됐다. 초기 1세대 솔루션은 에이전트가 엔드포인트에 설치돼 PCMCIA, USB, 무선랜카드 등을 제어하는 매체제어 제품을, 2세대 솔루션은 인터넷 게이트웨이 단에 전용 장비/서버를 설치해 SMTP 메일과 HTTP 웹 트래픽에서 대외비 정보 유출을 감시, 추적하는 메일/웹 발신 통제 시스템을 들 수가 있다. 실제로 이 두 가지 솔루션은 국내 수많은 기업에서 도입해 사용하고 있다.
그러나 최근 이동식 저장매체 및 노트북 사용의 대중화로 데이터 유출 경로가 다양해짐에 따라 매체 및 네트워크 뿐 아니라 애플리케이션에 대한 고도의 감시, 제어 및 보다 정교한 매체제어, 다양한 서비스/프로토콜에 대한 네트워크 감시 기능을 갖춘 3세대 DLP솔루션이 각광받고 있다.
과거 DLP솔루션은 SMTP, HTTP와 같이 잘 알려진 채널만을 감시, 보호할 수 있었으나 최근 발전된 형태의 솔루션은 FTP 및 메신저/P2P의 통신까지 감시하는 등 광범위한 프로토콜을 지원하며 데스크톱, 노트북 등을 이용한 물리적 유출 채널들을 통합 보호하기 위해 보다 정교한 정책을 지원함으로 사용자가 회사 내에 있을 때 뿐 아니라 회사 밖에서 공중망, 광대역 인터넷 등에 연결된 경우도 주변장치/저장매체, 애플리케이션의 대외비 정보 액세스에 대한 지속적인 감시/차단 기능을 제공한다.
과거에는 ACL이나 문서의 암호화 기능을 통해 대외비 데이터의 유출로부터 주요 정보를 보호했으나 이러한 방식은 적절한 권한을 소유한 내부자에 의한 유출에 취약하다는 점과 암호화에 따른 추가작업 및 성능의 오버헤드로 인해 최근에는 정보의 흐름을 투명하게 감시하고 제어하는 DLP제품이 유출 방지 솔루션으로 주목받고 있다.
기술 보다 프로세스가 중요
DLP뿐 아니라 모든 영역에서 성공적인 보안을 위해서 갖춰야 할 거시적 요구조건으로는 정보 시스템을 구축하고 운영할 인력과 이를 적절히 뒷받침해줄 프로세스, 그리고 기술이다. 여기에는 데이터 등급분류, 유지 및 사용배포에 대한 프로시저와 가이드라인을 개발하는 것이 포함된다.
필드에서 고객이나 파트너들과 일하다 보면 국내 정보보안 시스템 구축/운영에 있어서 가장, 지나치게 강조되는 부분이 ‘기술’이다. 마치 기술력 뛰어난 제품만 도입되면 모든 문제가 해결될 것처럼 조급하게 접근하는 경우를 자주 보게 되는 것이다.
하지만, 가장 모범적인 정보 보안 시스템을 구축/운영하고 있는 글로벌 기업들의 경우, 직원 및 운영인력에 대한 교육/훈련 및 보안 목표의 성공을 위해 필요한 프로세스적인 지원이 확실하며 인력, 절차, 기술의 삼박자가 절묘하게 균형을 이뤄 운영되고 있음을 배울 수 있다.
데이터 보안을 위해서도 이는 예외가 아니어서 빈틈없는 데이터 유출 방지 체계를 구축하는데 필요한 것은 기술력 뛰어난 제품뿐만 아니라 이러한 제품이 잘 운영될 수 있도록 하는 토양을 먼저 다져 놓는데 있다.
이를 위해서는 우선 정보의 흐름 및 유출 허용 범위에 대한 사내 보안정책을 명문화하고 이를 컴플라이언스화해 기업 내 조직 및 협력사범위까지 부여된 규칙을 준수토록 해야 하며, 다음으로는 기업 내의 핵심 가치를 지닌 정보를 파악해 내어 해당 정보에 대한 등급 및 속성을 부여하는 정보 분류가 필요하다. 마지막으로는 정보 저장장소의 제한이 요구된다. 이는 개인의 직무상 알 필요의 원칙(Need-to-know)에 따른 접근제어목록(ACL)을 구성하고, 필요한 경우 암호화와 보관/이동이 이뤄져야 하는 부분이다.
데이터 유출 방지 솔루션 구축의 성패는 기업 데이터에 대한 제어권을 제대로 확보할 수 있는지에 달려있다고 할 수 있다. 잘 분류된 대외비 데이터들이 반드시 지정된 장소에 저장돼야만 정보 흐름에 대한 확실한 제어권을 가질 수 있을 것이다.
DLP 요구 조건
DLP솔루션 업체별로 쏟아져 나오는 제품 설명서와 각종 스펙 문서의 홍수에서 옥석을 가려내는 일은 쉬운 일이 아니다. 향후 기업의 데이터 유출 방지를 총체적으로 구현하게 될 제품을 선정함에 있어 아래의 기준을 선정 기준으로 삼는다면 현재 잘 알려진 유출 위협 뿐만 아니라 향후에 나타나게 될 새로운 잠재적 위협(새로운 저장매체의 출현, 새로운 애플리케이션을 통한 유출 등)까지 보호할 수 있는 강력한 솔루션을 도입할 수 있을 것이다.
1) 포괄적인 유출 경로 지원 : 일상적 유출 경로로 사용되는 메일, 웹브라우저 뿐만이 아니라 메신저, P2P, 웹메일, 블로그, 웹하드 등 다양한 애플리케이션 및 화면캡쳐, 복사/붙여넣기, 저장매체 복사로의 유출을 감시하고 차단할 수 있어야 한다. 특정 제품의 경우 매체제어에만 국한된 제어 능력을 가지고 있거나 알려진 네트워크 프로토콜에 대해서만 감시 기능이 제공되는 등 그 보호 기능이 부분적인 경우가 많다. 이 경우 모든 경로 지원을 통해서는 에이전트를 여러 개 설치함으로 배포 비용이 증가하고 시스템에 과부하를 주거나 복수개의 콘솔을 운영함으로 관리의 복잡성이 증가하는 경우가 있으므로 가급적 이 모든 경로를 하나의 에이전트로 제어할 수 있는 포괄적 기능을 가진 제품을 선정하는 것이 좋다.
2) 콘텍스트 및 콘텐츠 인식 능력 : 키워드나 주민번호/카드번호를 대표하는 정규식(regular expression)에 의한 콘텐츠 인식에 의한 흐름 감시, 차단 기능과 이를 콘텍스트(파일 형식/확장자)를 기준으로 선별적으로 감시/통제하는 기능으로 사용자 업무 생산성을 저해하지 않는 범위 내에서 선별적인 감시 및 통제를 수행할 수 있다. 모든 보안 솔루션과 같이 DLP제품 역시 보안성 수준이 높아질수록 사용자 편의/사용성은 저하되는 경우가 있다. 가령 사용자들이 빈번히 사용하는 웹브라우저를 통한 파일 업로드 시, 모든 파일을 검사하고 차단하게 된다면 많은 사용자 불편과 혼란이 발생할 것이다. 이때 대외비로 인식되는 데이터만 유출을 차단하거나 USB저장매체도 일반 데이터 복사는 허용하되 대외비 데이터만 단속한다면 사용자 가용성 및 기밀성이라는 두 마리 토끼를 동시에 잡을 수 있다.
3) 강력한 매체 제어 기능 : 다양한 유출 경로 중에 가장 빈번하게 위반이 발생되는 경로는 역시 저장매체이며 모바일 컴퓨팅이 증가함에 따라 블루투스, 무선랜 등의 외부 통신이 가능한 PnP 기기 사용빈도도 높아지고 있다. 따라서 이러한 저장매체 및 통신 매체를 얼마나 효과적으로 제어하고 가시성을 확보하느냐는 DLP 의 기능 요건 중 가장 중요한 부분이라 해도 과언이 아니다. 효과적이 매체제어 기능은 현존하는 모든 저장매체 및 통신 매체를 제어할 수 있어야 하며 저장매체의 경우 사용 감시/읽기전용 및 차단(또는 대외비 데이터만 선별적 감시/차단)기능을 제공해 유연하고 세밀한 정책 적용이 가능해야 한다. 또한 새로운 신규 기기가 출시됐을 때 이를 클래스ID, 벤더ID, 제품ID 등 다양한 기준에 의해 손쉽게 정의해 제어 대상에 포함시킬 수 있어야 할 것이다.
4) 애플리케이션 종속성 고려 : 메일 클라이언트 소프트웨어, 웹브라우저에 국한되던 외부와의 통신 기능이 최근에는 다양한 메신저, P2P 및 액티브X방식 등으로 확대되고 있으며 실제 업무와 무관한 애플리케이션들에 의해 많은 유출이 자행되고 있는 것이 현실이다. 따라서 기존의 범용 애플리케이션 뿐 아니라 신규 애플리케이션/사내 애플리케이션 및 실행 파일의 버전업그레이드에 대해서도 간단한 등록만으로 대응이 가능한 제품이어야 애플리케이션 환경 변화에 따른 보호 기능의 공백을 막을 수 있을 것이다.
5) 다계층 방어 : 소프트웨어 솔루션의 경우 대부분 윈도우 운영체제만을 지원함으로 맥킨토시 및 리눅스시스템 등은 보호 대상에서 제외된다. 또한 하드웨어 어플라이언스 개념의 제품은 노트북을 사용하는 모바일 사용자나 이동식저장매체, 통신매체에 대한 제어는 제공하지 못한다는 단점이 있다. 따라서 이 두 가지 솔루션을 동시에 구축함으로 다계층 방어를 구축할 수 있으며 소프트웨어 방식/하드웨어 방식간 상호보완적 시스템을 구축할 수 있다.
6) 지속적인 보호 기능 : 대외비 파일에 대한 압축, 암호화와 같은 탐지 회피나 이름변경, 파일 포맷 변환, 복사 및 붙여넣기 등 다양한 케이스에 대해서 지속적인 보호가 가능해야 한다. 또한 사내에서 뿐 아니라 가정 혹은 사외로 나가더라도 오프라인 정책의 적용을 받아 사내에서와 동일한 또는 더 놓은 수준의 보호가 지속돼야 한다. 에이전트 자체에 대한 프로세스, 서비스 중지방지, 사용자 임의제거 방지 등 자체보호 기능도 필수적이다.
7) 중앙 정책 관리 : DLP제품은 비구조화된 사용자의 수만가지 유출 시도에 대응하기 위한 다양한 정책 및 조직별 별도 정책 운영 등의 요인으로 관리의 복잡성이 쉽게 증가할 수 있기 때문에 중앙 관리 기능이 무엇보다 중요시된다. 조직 내 그룹화/단계적 정책관리를 위해 액티브 디렉토리와의 연동과 같이 기존 관리 인프라와의 통합 역시 매우 중요한 요소이다.
8) 유출 이벤트의 가시성 확보 및 보고서 기능 : 다양한 유출시도에 대한 상세한 이벤트 표시 기능은 물론이며 관리자, 유출당사자에 대한 경고 기능, 유출당사자의 유출 시도 문건에 대한 상세한 이력(문서형식, 파일이름, 경로 등) 및 파일을 증거물로 수집하는 기능을 제공해야 한다. 관리자를 이를 이용해 사후 제재의 근거로 활용하거나 감사추적 용도로 사용할 수 있다. 또한 이사진 보고용의 통합 보고서 기능을 통해서 한눈에 파악이 가능한 도식화된 보고서 기능을 제공해야 한다.
DLP, 선택 아닌 필수
이제까지 정보보안은 외부로부터 유입되는 공격을 막는데 주력했었지만 기업 데이터 유출로 인한 사고가 끊이지 않고 있고 모바일 컴퓨팅으로 인한 새로운 위협요인이 증가하는 최근에는 내부로부터 데이터 유출을 감시하고 통제하는 DLP 솔루션이야말로 정보 보안 0순위 과제라 할 수 있을 것이다.
또한 기존 정보 유출 방지 솔루션에 대해서 위의 DLP요구 조건에 부합하는지를 살펴보고 보다 사용자에게 투명하게 작동하면서 생산성을 저해하지 않는 범위 내에서 최상의 유출 방지 기능을 제공하는 보다 진보된 제품으로 업그레이드나 기능 개선도 필요할 것이다.
에이전트 방식의 호스트 제품들은 설치 즉시 광범위한 기능을 제공하며 오프라인 시에도 감시 기능을 제공한다는 장점이 있기 때문에 필수적인 DLP구성요소로 우선적인 구축의 대상이 된다. 그리고 게이트웨이 방식은 에이전트 미설치 게스트 시스템이나 비 윈도우계열 시스템으로부터 나가는 데이터를 감시해 줌으로 에이전트 방식 솔루션에 보완적 관계로 선택적으로 도입될 수 있다.
대부분의 DLP제품들은 기존 암호화 방식, ACL방식에 비해서 직관적인 인프라(서버 - 에이전트 구조)를 유지하며, 설계/구축에 대한 노력과 비용이 저렴할 뿐 아니라 운영적 측면에서도 많은 편의성을 제공하기 때문에 기존에 마치 SI프로젝트의 규모와 구축기간으로 진행하던 정보유출방지 인프라 구축 비용을 크게 절감할 수 있을 것이다. 맥아피 DLP의 경우, 호스트 방식(에이전트)과 게이트웨이 방식을 동시에 제공, 기업 보안 관리자가 사내 기밀 데이터의 사용 현황과 흐름을 한눈에 파악할 수 있게 함으로써 안전한 데이터 사용 정책을 전사적으로 적용하는 핵심키의 역할을 수행한다.
그렇지만 적절한 솔루션과 유출에 대한 가시성을 확보한 기업과 그렇지 않은 기업의 보안담당 부서 및 담당자의 심리적 안정감 및 유출 실태 파악 능력을 엄청난 차이가 있을 것이다. 또한 만약의 사고 발생 시에 자칫 공들인 브랜드 가치나 회사의 이미지 하락으로 인한 손실 금액을 산정해 본다면 DLP솔루션은 이러한 기업의 위험에 대해 가장 현명하게 대처할 수 있는 대안이라 판단된다.
