[데이터넷] 경제 불확실성은 보안위협을 높인다. 경기를 예측할 수 없는 기업이 신규 채용을 줄이면 기존 인력이 과로하게 되고, 퇴사로 이어진다. 퇴사자로 인한 데이터 유출 사고가 늘어나고 기업 신뢰가 하락한다. 이러한 악순환을 막기 위해서는 내부자 보안을 강화해 보안위협을 낮춰야 한다. 강력한 통제 중심 보안이 아니라 사람들의 행위를 분석하고 이해해 정책위반을 줄이는 한편, 데이터가 유출된다 해도 비즈니스를 보호할 수 있는 방법이 필요하다.<편집자>

클라우드는 내부자 위협 수준을 한층 더 높인다. 클라우드는 쉽게 사용할 수 있어 직원이나 부서가 임의로 SaaS 계정을 만들고 데이터를 이관한 후 관리하지 않고 방치하는 사례가 많다. 기업이 사용하는 SaaS 앱은 200개 이상이며, 이 중 절반은 계정만 만들고 사용하지 않거나 허가되지 않고 관리되지 않은 것이다. 여기에 있는 데이터 역시 보호받지 못한다.

탈레스의 ‘데이터 위협 보고서(Data Thread Report) 2023’에서는 응답자의 49%가 클라우드의 복잡성이 데이터 보안을 더 어렵게 만든다고 답했다. 62%의 응답자는 5개 이상의 키 관리 시스템을 운영해 데이터 보호에 필요한 정책이 너무 많고 복잡해 빠르게 변하는 비즈니스 환경에 대응하지 못한다고 답했다.

구병춘 탈레스 수석매니저는 “가트너는 ‘복잡한 데이터 환경에서 데이터를 안전하게 관리하기 위해 데이터 보안 플랫폼으로 마이그레이션 해야 한다. 특정 환경에서만 동작하는 개별 보안 제품이 아니라, 다양한 환경에서 중앙 집중적인 보안을 적용할 수 있는 플랫폼이 필요하다’고 권고했다”며 “데이터를 정확하게 분류하고, 정책을 적용하며 보호할 수 있는 단일 플랫폼이 현재 비즈니스 환경에 맞는 데이터 보호 전략”이라고 설명했다.

방대한 멀티·하이브리드 클라우드 환경에서 가장 이상적인 데이터 보호는 ‘식별, 분류, 정책 적용’을 데이터 라이프사이클에 맞게 적용하는 것이다. 보호해야 할 데이터를 모두 빠짐없이 식별하고, 데이터의 종류와 중요도, 위험도에 맞게 분류하며, 접근권한을 설정하고, 필요한 경우 암호화를 수행하며, 키를 안전하게 관리해야 한다.

클라우드 책임공유모델에 따라 데이터 보호 책임 범위를 확실하게 한 후 데이터의 위치를 확인하고 사각지대에 데이터가 있는지 살핀다. 데이터의 위치 제약 없이 민감 데이터를 보호할 수 있도록 안전한 암호화와 키관리가 있어야 하며, 데브섹옵스의 속도를 유지하면서 데이터 보호 컨트롤을 애플리케이션에 배포할 수 있어야 한다.

중단없는 암호화로 클라우드 데이터 보호

클라우드 데이터는 가시화하고 통제하기 어렵기 때문에 암호화해야 한다. 탈레스 조사에 따르면 95%의 데이터 유출 사고는 암호화되지 않은 데이터로 인한 것으로 나타났다. 데이터가 어디에 있든 중단없이 암호화 상태가 유지되어야 유출됐을 때 피해를 예방할 수 있으며, 관련 규제도 준수할 수 있다. 랜섬웨어 공격을 당해도, 암호화된 데이터는 공격자가 무단으로 변경할 수 없어 안전하다.

그런데 암호화 데이터의 키를 관리하지 않으면 암호화의 의미가 없다. 도어락이 없던 시절, 현관 열쇠를 현관 옆 화분에 숨겨둔 것과 마찬가지로, 공격자는 암호화된 데이터와 키를 함께 가져가기 때문에 데이터를 암호화했다 해서 안전한 것은 아니다.

클라우드 데이터를 암호화할 때, 사용자의 편의를 위해 클라우드 서비스 사업자(CSP)가 제공하는 키관리 서비스를 이용한다. 키에 접근할 수 있는 사용자 혹은 권한을 탈취한 공격자가 데이터와 키를 함께 가져가면 암호화의 의미가 없다. 하이브리드 클라우드와 여러 SaaS를 사용하는 환경에서 CSP가 제공하는 키관리 서비스는 매우 제한적이다. 해당 클라우드 서비스에 있는 데이터를 암호화 보호할 수 있지만, 다른 서비스의 데이터는 보호하지 못하기 때문이다.

그래서 암호화된 데이터의 키는 데이터 주체가 직접 관리하는 것이 이상적이다. 데이터가 어디에 있든지 암호화 키를 정보주체가 통제할 수 있다면 암호화 데이터와 키가 함께 유출되는 것을 막을 수 있다.

클라우드 서비스 사업자들은 데이터 저장위치를 알려주지 않기 때문에 개인정보 국외이전을 막는 개인정보보호법을 위반하고 있을 수도 있다. 국내에 개인정보를 저장한다 해도 백업 데이터는 해외 데이터센터에 분산저장하고 있을 수 있기 때문에 개인정보 보호 규제를 어기는 결과로 이어질 수 있다.

클라우드 데이터 주권 보장 받아야

클라우드 데이터는 정보주체가 ‘주권’을 가질 수 없다는 치명적인 문제가 있다. 클라우드 책임공유 모델에서 데이터는 모든 환경에서 ‘사용자’의 책임으로 명시돼 있다. 그런데 정보주체는 자신의 데이터가 어디에 저장되는지, 어떻게 분산되어 관리되는지 알지 못해 정보주권을 가질 수 없다.

그래서 데이터 암호화 방식과 암호키를 정보주체가 직접 관리하는 BYOE, BYOK/HYOK가 필수다. 특히 키를 사용자가 갖고 있으면 암호화 데이터가 어디에 저장돼 있든 상관없이 통제할 수 있으며, 불필요한 데이터나 침해당한 데이터는 키를 삭제해 영원히 데이터에 접근할 수 없게 만들 수 있다.

구병춘 탈레스코리아 수석매니저는 “데이터 암호화와 강력한 중앙집중적인 키관리 인프라 구축은 클라우드 데이터 보호를 위한 핵심 전략이다. 특히 최근 사용이 증가하고 있는 SaaS 환경에서는 데이터 주체가 직접 키를 통제하는 BYOE, BYOK/HYOK를 유지해야 한다”며 “더불어 식별, 보호, 통제의 데이터 보호 사이클을 모든 환경에서 지속적으로 운영해 증가하는 위협에서 데이터를 안전하게 보호할 수 있다”고 말했다.

탈레스는 효율적인 BYOE, BYOK/HYOK를 구축할 수 있는 ‘사이퍼트러스트 데이터 시큐리티 플랫폼(CDSP)’로 다양한 환경에서 민감 데이터를 중단없이 보호할 수 있게 한다.

탈레스는 세이프넷, 보메트릭, 탈레스 이시큐리티가 통합된 CPL 조직에서 데이터 보호를 위한 통합 플랫폼을 제공한다. CPL을 이루는 각각의 기술은 40년 이상 축적된 업계 최고의 보안 역량을 갖추고 있으며, 전 세계 1만여 이상, 국내 1200여 이상 고객에게 공급해왔다.

탈레스 CPL은 암호화 및 키 관리 분야에서 오랜 기간 축적된 기술력과 노하우를 바탕으로 기존 제품을 CDSP이라는 플랫폼으로 통합했으며, 쿠버네티스 환경에서도 투명한 암호화를 제공한다. CTEE-K8s와 DPG, 랜섬웨어 대응 제품 CTE-RWP도 공급해 다양한 데이터 보호 수요를 만족하고 있다.

탈레스 데이터 보호 플랫폼을 도입한 국내 OTT 서비스 기업은 처음부터 클라우드로 개발된 서비스를 제공하고 있으며, 다양한 서비스와 기술, 개발언어가 적용돼 있었고, 암호화도 각 서비스 별로 각각 적용돼 있어 복잡성이 높았다.

이 기업은 보안성 제고를 위해 암호화 내부 표준을 수립하고, 분산관리하던 암호키의 중앙집중 관리를 위해 탈레스의 ‘사이퍼트러스트 매니저(CipherTrust Manager)’를 도입했다. 사전 검증을 통해 사이퍼트러스트 매니저가 사용중인 클라우드 환경에 최적화됐다는 사실을 확인했으며, 레스트풀API를 통한 암호화, 키 관리 환경을 구축하고, 보안 요건 충족과 표준화된 암호화 관리를 통한 보안성 향상 효과를 누렸다.