2008년 정보유출방지가 보안 시장의 핫이슈로 등장했다. 특히 지난해 9월 발생한 GS칼텍스의 고객정보유출 사고는 정보유출방지에 대한 관심에 기름을 끼얹은 사건. GS칼텍스의 콜센터 운영 자회사 GS넥스테이션 직원에 의해 대량의 고객정보가 유출됐기 때문이다. 이에 GS칼텍스는 올해 초 해킹에 의해 대량의 고객정보유출을 겪었던 옥션과 같이 대형 손해배상 청구소송에 휘말리게 됐다.

오늘날 보안 사고의 대부분은 외부 침입이 아닌 내부로부터 발생한다. 각종 시장조사 기관의 보고에 따르면, 보안사고의 70%가 내부로부터의 정보유출이란 보고도 있다. 정보유출방지와 관련해 관심을 끄는 것은 바로 DLP(Data Loss Prevention) 솔루션이다. DLP 솔루션은 데이터의 흐름을 모니터링, 정보유출을 방지한다는 개념으로 보안 프로세스를 강화해 내부로부터의 고의나 실수로 인한 정보유출을 방지할 수 있다.

내부에 의한 사고, DLP 각광
과거에는 콘텐츠 보안 등의 다름 이름으로 불리기도 했지만, 시만텍 등 글로벌 기업들이 DLP란 이름의 솔루션을 출시하면서 일반화된 DLP는 크게 네트워크단에서 이메일 첨부파일 발송, 웹게시판 업로드 등의 행동을 탐지함으로써 정보유출을 방지하는 네트워크DLP와 USB메모리 등에 의한 정보유출까지 탐지하는 엔드포인트DLP로 나눌 수 있다.

엔드포인트DLP의 영역에서는 블루문소프트, 워터월시스템즈, 트렌드마이크로 등이 활동하고 있으며, 네트워크DLP 영역에서는 이네트렉스를 비롯해 소만사, 엑스큐어넷, 컴트루테크놀로지, EMC RSA 등이 경쟁하고 있다. 그리고 시만텍, 맥아피 등은 엔드포인트와 네트워크를 모두 어우르는 DLP를 확보해 경쟁우위를 내세우고 있다.
엔드포인트 DLP 솔루션을 보유하고 있던 맥아피는 최근 DLP 어플라이언스 기업인 레커닉스(Reconnex)를 인수, 기존에 보유한 엔드포인트 DLP를 보완하면서 네트워크 DLP로의 확장을 노리고 있으며, 초기 네트워크 DLP에서 출발한 시만텍 본투 또한 현재는 엔드포인트 DLP까지 아우르고 있는 상황이다. 나아가 시만텍 본투는 네트워크DLP의 영역을 정보가 흐르는 네트워크, 정보가 저장되는 스토리지로 보다 더 세분화하고 있다.

윤광택 시만텍코리아 부장은 “예를 들어 노트북 이용자의 경우에는 외부에서 사용할 때 네트워크 방식으로는 차단할 수 없어 엔드포인트 DLP가 필요하다. 마찬가지로 파일서버에 저장된 중요 정보의 흐름을 파악하기 위해서는 스토리지 DLP가 필요하며, 협력사 직원처럼 엔드포인트 DLP가 적용되지 않은 사용자에 의한 정보유출 방지 등 보다 완벽한 기업의 정보유출방지를 위해서는 엔드포인트 DLP의 보완책으로 네트워크 DLP가 요청된다”고 설명했다.

국내 기업들의 경우에는 엔드포인트DLP, 혹은 네트워크DLP에 국한된 솔루션을 출시하고 있는 상황이다. 하지만, 국내기업들 역시 상호 연동을 통해 네트워크부터 엔드포인트를 어우르는 작업을 수행하고 있다. 워터월시스템즈와 이네트렉스의 경우, 프로젝트에서 상호연동을 실현해 완성된 DLP를 선보인 것으로 알려진다.

2009년 시장 확대 ‘기대’
DLP의 이점은 보안 프로세스를 정립해 실수에 의한, 혹은 무의식중에 발생하는 보안사고를 봉쇄한다는 것에 있다. 사용현황이 모니터링되고, 이를 사용자가 인지하고 있기 때문에 정보 전송에 보다 신중할 수밖에 없게 된다. 그동안 보안 정책을 의식하지 않고 정보를 사용하던 사용자가 보안 규정을 다시 한 번 생각하는 자기검열을 거치도록 만듦으로써 실수 등에 의한 사고를 방지할 수 있게 되는 것이다.

워터월시스템즈에 따르면, 한 고객사는 보안 정책에 위배되는 데이터 유출 시도가 매월 680건에 달했지만, DLP 도입 6개월 후에는 165건으로 75% 이상 감소했다. 이는 DLP의 구성원들에게 보안에 대한 경각심을 일깨워 정보 유출 사고를 방지할 수 있는 DLP 특성을 보여주는 결과다.

DLP가 관심을 끌고 있지만, 아직은 초기 단계라고 말할 수 있다. DLP의 개척자들은 지난 2000년대 초반부터 등장하기 시작했지만 크게 확산되지는 못했다. DLP 분야의 선도 기업중 하나인 본투의 경우에도, 200여개 기업에 공급사례를 구축했다고 하나 그 영역은 북미 지역에 국한됐으며, 국내 시장에서도 워터월시스템즈 등의 기업이 일찍부터 시장을 개척했지만, 기존 보안과는 전혀 다른 개념으로 인해 큰 성장을 이뤄내지는 못했다.

워터월의 경우, 국내 시장에서 150여개 이상의 레퍼런스를 구축했지만, DLP를 범용화시켰다고는 말하기 힘들다. 맥아피 또한 다음커뮤니케이션, ING투자금융 등 인터넷 포털과 금융 시장에서 대형 레퍼런스를 확보하며 약 20여개의 레퍼런스를 보유하는 등 발빠른 움직임을 보였지만, 활성화를 이뤄냈다고는 평가하기는 어렵다.

그러나 최근 막강한 마케팅 능력을 갖춘 시만텍, 맥아피 등 글로벌 기업들의 시장 개척과 더불어 정보유출에 대한 고객의 인식 개선으로 인해 DLP에 대한 인지도가 점차 확산되고 있다. 특히 지난 9월 GS칼텍스의 보안 사고 이후 DLP에 대한 관심은 급격히 높아져 기업들의 문의가 이어지고 있다는 것이 업계의 진단이다.

이에 DLP 기업들은 2009년 시장의 폭발적 성장을 예견하고 있다. 기업의 문의 중 상당수가 도입에 적극적인 의지를 표명하고 있지만, 올해는 예산 미비 등의 이유로 내년 도입을 약속하고 있다는 것이다. 또한 최근의 공공기관 망 분리 역시도 DLP 성장의 촉진제로 평가된다. 내외부 네트워크가 분리는 망 분리의 경우, 외부 공격으로 인한 피해는 크게 감소시킬 수 있다. 따라서 내부정보의 유출방지 프로세스가 중요한데, 이러한 측면에서 DLP가 필수 솔루션으로 각광받는 것이다. 이미 공정거래위원회, 국가경쟁력강화위원회, 국토해양부, 기획재정부, 농림수산식품부, 문화체육관광부, 환경부 등 7개 기관이 DLP를 도입했으며, 올해 최대 19개 기관에서 망 분리와 함께 DLP를 도입할 것으로 기대된다.

핵심 정보파악 ‘중요’
DLP 솔루션은 서버나 스토리지 등에 저장된 중요 정보에 태깅한 후 파일 이동, 복사, 열람 등 이 정보가 유통되는 모든 과정에 대해 모니터링을 수행하는 솔루션이다. 이를 바탕으로 외부 유출되는 트래픽을 검사해 중요정보의 유출 여부를 파악할 수 있게 하며, 정책에 따른 차단도 수행한다.

예를 들어 중요정보를 포함한 파일을 외부 반출 금지로 지정한다면, DLP 솔루션은 이 파일을 어떤 경우에도 유출되지 않게 만들 수 있다. 사용자가 내부에서 파일명이나 확장자를 변경하더라도 DLP 솔루션은 이를 추적해 파일의 유출방지를 실현할 수 있다.

또한 파일에 직접 태깅하는 경우가 아니더라도 외부 반출되는 트래픽을 직접 검사해 정보유출을 막을 수 있다. 주민등록번호로 의심되는 13자리 숫자 등이 10개 이상 포함되는 경우에 외부 반출을 금지하도록 정책을 설정했다면, 이메일 첨부파일 발송시 이를 검사해 차단할 수 있게 된다. 물론 주민번호 뿐 아니라 카드번호, 전화번호, 이메일 등도 사전 정책 설정에 따라 동일한 프로세스를 통해 탐지·차단이 가능하다. 정리하면, DLP 솔루션은 시그니처, 메타데이터, 키워드 등 다양한 방법을 통해 데이터 유통을 모니터링함으로써 중요정보의 유출을 방지하게 되는 것이라고 말할 수 있다.

성공적인 DLP 구축에 있어 보다 중요한 것은 적절한 정책 설정이다. 과도한 보안 수준 설정은 지나치게 많은 경고·차단을 발생시킴으로써 관리를 까다롭게 하거나 업무를 방해할 수 있게 된다. 따라서 적절한 수준의 정책을 설정함으로써 업무에 미치는 영향을 최소화하면서 보안을 강화할 수 있는 방안에 대한 고려가 필요하다.

또 정확한 정보의 파악 능력도 중시된다. 어디에 어떤 정보가 위치해 있는가를 먼저 파악하고, 이 중 어떤 정보가 보호해야할 중요한 정보인가를 파악하는 것이 중요하다. 따라서 이를 위한 철저한 준비가 요구된다. 즉 기업의 현실에 맞춤화된 보안 정책 설정이 성공적 DLP 도입의 필요충분조건이라고 할 수 있다.

신수정 SK인포섹 전무는 “정보중심 보안을 구현한다는 측면에서 DLP 솔루션의 효용성은 뚜렷하다”고 전제하면서도 “하지만 성공적 DLP를 위해서는 기업의 현실에 대한 명확한 파악이 중요한데 현재 DLP 솔루션의 완성도가 이를 충족한다고는 보기 어려우며, 이에 DLP 도입을 위해 보안 컨설팅을 함께 수행하는 것이 필요해 보인다”고 조언했다.

---

DLP 전문가 기고
변화하는 비즈니스 환경 위한 선택
윤광택 // 시만텍 SE본부 부장·patric_youn@symantec.com

저장 용량이 500GB에 달하는 노트북이 일반적이고, 열쇠고리 크기의 USB 메모리 장치에 기업의 고객 DB를 모두 담을 수 있는 시대다. 사용자는 어디서든 무선 네트워크에 접속해 민감한 정보를 이메일이나 기타 다른 방식으로 전송 또는 공유한다. 이러한 환경에서는 사용자 행동을 제한하거나 정보를 걸어 잠그는 것은 해결책이 될 수 없다. 다양한 기업 활동을 차단하기보다 정보 보호에 손상을 주는 행위만을 차단해야만 한다. 이를 위해 이동성과 적용성이 뛰어나며 동시에 영향이 적은 정보보호 솔루션이 필요하다.

DLP는 이를 위한 가장 효과적인 솔루션으로 각광받고 있다. DLP는 사용자의 서비스 및 툴 사용을 제한하지 않고 이동식 저장장치부터 온라인에 이르는 다양한 위치의 정보에 대해 콘텐츠 기반의 인공지능 보호를 제공한다. DLP 솔루션은 중앙 정책과 포괄적 콘텐츠 분석 기능을 통해 저장 또는 이동 및 사용 중인 데이터를 식별, 모니터링 및 보호할 수 있어야 한다. 엔드포인트 DLP는 저장, 이동, 사용 중인 데이터를 모두 보호할 수 있도록 한다. 우선 콘텐츠 검색 과정으로 엔드포인트에 저장돼 있는 데이터를 보호한다. 민감한 데이터가 노트북이나 데스크톱, 혹은 이동식 미디어로 복사나 이동되는 것을 추적한다.

그 다음은 사용 중인 데이터 보호로 DLP에서 가장 어려운 부분이다. 즉, 잘라내기/붙여넣기 중이거나 애플리케이션으로 또는 애플리케이션에서 이동하는 데이터, 심지어는 암호화 및 기업 DRM 작업 중인 데이터 등 데스크톱에서 사용중인 콘텐츠를 모니터링하고 보호하는 것이다. 마지막으로 엔드포인트 DLP는 기업 네트워크 외부의 랩톱과 같이 네트워크 DLP의 보호 범위를 벗어나는 시스템을 위해 이동 중인 데이터에 대한 보호를 제공한다.

DLP 요구 사항의 변화
언급한 바와 같이 초기 DLP 시장은 네트워크 상에서 기업들이 정보 보안 정책을 세우고 이메일 트래픽을 감시하며, 정책 위반 사례를 파악할 수 있는 네트워크 DLP가 주를 이뤘다. 네트워크 DLP는 특히 방문자 노트북PC와 같이 정보보안 정책에 의해 관리되지 않는 시스템 역시 보호할 수 있으며, 기업의 모든 데스크톱과 서버를 손대지 않아도 되므로 구축이 용이하다. 또한 콘텐츠 보호 정책 설정 시 그 수나 종류에 제한이 없고, 기업의 워크플로우에 따라 다양한 방식으로 이메일과 통합할 수 있으며, 보호 대상이 되는 프로토콜의 범위가 다양하다는 이점을 갖고 있다.

그러나 엔드포인트 상의 콘텐츠 검색과 USB 저장장치를 통한 데이터 손실 방지의 필요성이 증가함에 따라 엔드포인트 DLP에 대한 고객의 요구 역시 커졌다. 콘텐츠 인식 기능 없이 단순히 USB를 차단하는 툴이 DLP 솔루션으로 소개되는 경우를 많이 볼 수 있다. 초기의 엔드포인트 DLP 솔루션은 검색과 콘텐츠 인식 기반의 이동식 미디어/USB 장치 제어 문제 해결에 집중하는 양상을 보였다.

엔드포인트 DLP 성장의 또다른 주요 원인은 시스템이 기업 게이트웨이 외부에 위치할 경우 네트워크 정책 지원 문제다. 이동성이 증가하는 현대 비즈니스 환경에서 사용자의 물리적 위치나 인터넷에 접속하는 방식에 상관없이 일관된 정책을 지원해야만 하기 때문이다. 악의적인 데이터 손실을 줄이기 위해 보다 심화된 정책을 지원할 수 있는 DLP가 요구된다. 예를 들어 사용자는 특정 콘텐츠가 암호화 툴과 같은 특정 애플리케이션으로 옮겨지는 것을 방지할 수 있다. 이러한 방식의 일부는 복사/붙여넣기, 프린트스크린/팩스와 같은 기능을 제한하거나 자동 암호화와 DRM 권리 적용과 같은 보다 향상된 보안 기능을 작동시키기 위해 사용된다.

심층적 콘텐츠 분석
DLP가 다른 보안 솔루션과 구별되는 기능은 바로 중앙 정책 기반의 심층적 콘텐츠 분석이다. 이점이 암호화 또는 USB 차단 등의 이동식 장치 제어 기능과 뚜렷한 대조를 이룬다. 여기서 모든 콘텐츠 분석 기술을 언급할 수는 없지만 보다 일반적인 기술에는 부분적 문서 매칭, 데이터베이스 핑거프린팅(정밀 데이터베이스 매칭), PCI 컴플라이언스와 같이 정책기반의 개념적, 통계적이고 사전 정의된 카테고리, 그리고 이 모든 것의 조합 등이 있다. 이러한 기술은 단순한 키워드 및 일반적 표현 매칭보다 훨씬 심층적인 분석을 가능케 한다. 이 외에도 엔드포인트 DLP 솔루션은 정보보호 정책이 위반된 후 경고하는 것이 아니라 위반을 방지할 수 있는 예방적 제어 기능을 갖춰야 한다.

엔드포인트 DLP 에이전트가 갖춰야 할 기본적 기능을 살펴보면 ▲정책 위반에 대해 저장된 콘텐츠를 스캐닝하는 콘텐츠 검색 ▲파일 작업의 모니터링 및 적용 실행하는 파일 시스템 보호 ▲네트워크 작업의 모니터링 및 적용 실행 ▲엔드포인트가 기업 네트워크를 벗어나 있을 때 게이트웨이 DLP와 유사한 보호 기능 제공하는 네트워크 보호 ▲잘라내기/붙여넣기, 프린트스크린/팩스 제한 상태와 같이 사용중인 데이터 보호를 위한 GUI/커널 보호 등이 있다.

콘텐츠 분석은 기업의 정책 유형에 따라 대량의 리소스가 소요되는 작업일 수 있다. 따라서 일부 엔드포인트 DLP는 콘텐츠 분석과정에서 중앙의 관리 서버에 보다 의존해 에이전트의 과부하를 방지한다. 엔드포인트에서 모든 분석을 실시하기보다 콘텐츠를 서버로 보내고 분석 결과에 따라 조치를 취한다. 이러한 방식은 엔드포인트가 기업 네트워크에서 이탈해 있는 경우 정책을 실행할 수 없고 대역폭을 소비한다는 면에서 바람직하지 않다. 그러나 대규모 기업 데이터베이스의 핑거프린팅 실시처럼 엔드포인트 상에서 실행이 불가능한 정책을 실시할 수 있다는 장점이 있다.

최근에는 엔드포인트의 위치에 따라 정책을 변형시키는 방식이 대안으로 떠오르고 있다. 예를 들어 사용자가 기업 네트워크 상에 있을 때 대부분의 정책은 게이트웨이에서 실행되며 사용자가 기업 네트워크 외부에서 인터넷에 접속하는 경우에는 다른 정책이 적용된다.

엔드포인트를 위한 정책 생성은 저장 또는 이동 및 사용 중인 데이터를 대상으로 포괄적이고 일관성 있게 적용할 수 있도록 중앙 DLP 정책 프레임워크와 완벽하게 통합돼야 한다. 따라서 정책은 데이터의 위치가 아닌 콘텐츠 중심이어야 하는데 통합 DLP 스위트 제품의 경우 개별 제품에 비해 이런 점에서 단연 우위를 갖는다.

정책 관리에 있어 기업은 보호할 콘텐츠를 정의하고 대상 채널과 적용할 실행 작업을 선택해야 한다. 예를 들어 고객의 계좌번호를 보호하기 위한 정책을 세운다면 우선 데이터베이스 핑거프린팅 정책 설정에서 시작해야 한다. 이것이 바로 콘텐츠를 정의하는 단계다.

그리고 해당 정책을 모든 직원에게 동일하게 적용하기 위해선 암호화되지 않은 이메일에 계좌번호가 포함된 경우 전송 차단, HTTP 및 FTP 트래픽 차단, 차단이 불가능한 다른 채널에 대해 경고 제공과 같은 네트워크 보호를 위한 실행 작업을 정의해야 한다. 콘텐츠 검색을 위해 등록 및 허용된 서버 외에 다른 위치의 계좌 번호를 포함하고 있는 파일을 격리시킨다.

엔드포인트에 대해서 사용자가 기업 네트워크 외부에 있어 정책 서버가 역할을 할 수 없을 경우 일반적 표현을 검색하는 규칙 기반 정책으로 변경해 암호화되지 않은 파일, 이동식 저장장치 또는 네트워크 커뮤니케이션의 계좌 번호 복사, 이동 등을 제한할 수 있다.

통합형 솔루션의 이점
업무 환경에서의 이동성 증가로 인해 중요성이 커지고 있지만 엔드포인트에 대해서만 DLP 솔루션을 구축하는 것은 분명 한계가 있다. 엔드포인트 DLP는 에이전트 설치가 가능한 시스템만을 보호할 수 있다. 계약직 또는 아웃소싱 인력이 기업 네트워크를 사용하거나 서버를 이용해 기업 네트워크 외부로 데이터를 전송하는 경우에는 아무런 보호를 제공하지 못한다.

일부 콘텐츠 분석 정책은 프로세서와 메모리 소모가 매우 크기 때문에 리소스가 부족한 엔드포인트에서 실행하기에 문제가 있을 수 있다. 또한 대규모 SAN 상에서의 검색 실행과 같이 콘텐츠 분석을 위해 로컬 엔드포인트 에이전트 설치가 바람직하지 못한 상황도 있다.

여기에 통합 DLP 솔루션 스위트를 도입해야 하는 이유가 있다. 네트워크 DLP는 기업 네트워크상에서 관리가 가능한 시스템과 불가능한 시스템, 서버, 워크스테이션으로부터 데이터 손실을 방지한다. 엔드포인트 DLP가 기업 네트워크를 벗어난 시스템을 보호해 네트워크를 우회하는 모든 위험요소로 인한 위협을 줄이는 사이 콘텐츠 검색 기능은 전체 엔터프라이즈의 저장된 데이터를 발견, 보호한다.

데이터 손실을 방지할 수 있는 최상의 방법은 엔드포인트, 네트워크 및 스토리지 시스템을 위한 보호 계층을 포괄적으로 적용하는 것이다. 이러한 계층형 아키텍처는 각각을 위해 생성할 필요 없이 단일 정책, 워크플로, 관리 서버를 통해 관리돼야 할 것이다.