English

자료실

Fasoo의 제품 및 기술 관련 정보를 공유 드립니다.

Sensitive Data Everywhere: Find It, Classify It, Manage It, and Protect It

비즈니스 운영에 따라 조직 내 데이터는 빠르고 자연스럽게 증가하고 있습니다. 조직 내 직원들과 비즈니스 파트너들은 민감하고 독점적인 정보를 포함한 파일과 자료, 규제 대상 데이터를 포함한 기록 그리고 개인 정보 보호 의무와 관련해 점점 더 민감해지고 있는 개인 식별 정보를 포함한 작업물을 끊임없이 만들어 내고 있습니다. 현재 생성되는 데이터는 대부분 비정형 데이터이기 때문에 기존 데이터베이스와 애플리케이션만을 통제하는 방식은 더는 효과적이지 않습니다. 텍스트 파일, 스프레드시트, 발표 자료, 비즈니스 서신 등을 포함한 비정형 데이터는 엔드 포인트, 공유 폴더 그리고 클라우드 인스턴스와 같은 IT 인프라의 모든 지점에 산재해 있습니다. 하지만 최근까지 이러한 비정형 데이터를 관리하려는 노력은 미미하였으며, 무단 사용이나 도난으로부터 보호하려는 조치도 거의 취해지지 않았습니다.


유럽의 GDPR (General Data Protection Regulation), 캐나다의 PIPEDA (Personal Information Protection and Electronic Documents Act), 브라질의 LGPD (General Law for Protection of Personal Data) 그리고 캘리포니아의 CCPA (California Consumer Privacy Act)와 같은 개인 정보 보호를 위한 규정들은 민감 정보를 찾아내고 관리할 수 있는 새로운 도구와 기술의 개발을 가속화했습니다. 이러한 도구들은 비정형 데이터의 확산과 관련해 개인 정보 보호 규정을 준수하고 사이버 보안 위험을 감소시킬 기회를 조직에게 제공하고 있습니다. 가장 눈길을 끄는 솔루션들은 이제 빠르게 비정형 데이터의 관리를 시작하고 보호할 수 있게 해주는 기능들을 제공하고 있습니다. Impact Brief는 조직 내 비정형 데이터의 보안과 조직의 전반적인 사이버 보안 전략에 민감 데이터 식별, 분류, 관리 그리고 보호 방법을 추가하기 위한 권고 사항들을 제공합니다.

INTRODUCTION

비즈니스 운영에 있어 데이터의 증가는 자연스러운 현상입니다. 예를 들어 John은 백 오피스 애플리케이션에서 제품 판매 수익을 검토하고 스프레드시트를 작성하기 위해 민감 정보인 내부 가격 데이터를 추출합니다. 그리고 검토 및 수정을 위해 여섯 명의 동료들에게 작성한 스프레드시트를 전송하고 각 동료는 마스터 스프레드시트에서 데이터를 통합하기 위해 변경 사항들을 다시 John에게 전달합니다. 이러한 검토 과정을 두 번만 거쳐도 27개 이상의 스프레드시트 사본이 로컬 또는 공유 드라이버에 존재하게 됩니다. 그리고 모든 사본은 경쟁사나 비즈니스 파트너에게 노출될 경우 잠재적으로 브랜드 손상을 초래할 수 있는 데이터를 포함하고 있습니다. 일반적으로 John은 원본 스프레드시트에 온라인 협업 작업을 위한 링크를 게시했겠지만, 다른 사용자와 부서는 더 빠르고 편하게 정보를 주고받기 위해 전자 메일에 파일을 첨부하는 방식을 정기적으로 사용합니다.

 

또 다른 예로 마케팅 전문가인 Heidi는 고객 관계 관리(Customer Relations Management, CRM) 시스템에서 고객 데이터를 추출해 새로운 금융 서비스 상품에 대한 마케팅 캠페인을 기획합니다. 이 캠페인은 글로벌 캠페인이므로 추출한 데이터는 유럽 시민들의 개인 정보 데이터를 포함하고 있습니다. 그녀는 추출한 데이터를 캠페인 업무에 할당된 11명의 다른 직원들에게 공유합니다. CRM 애플리케이션 내 데이터는 GDPR 요구 사항을 준수하도록 관리 및 통제되지만, 추출된 데이터들은 개인 노트북에 저장되고 공유 드라이브에 백업됩니다. 따라서 통제 및 모니터링하지 못하는 외부 환경으로 데이터가 이동함에 따라 데이터 정보 주체 접근 요청 (Data Subject Access Request, DSAR)을 수행하는데 문제가 발생하게 됩니다.

 

이 외에도 조직 내 민감 데이터의 관리와 보호를 어렵게 하는 수많은 유사한 데이터 이동 시나리오들이 존재합니다. 시민의 개인 정보를 적시에 식별하도록 하는 GDPR의 엄격한 요구 기준과 이를 위반할 시 부과될 수 있는 적지 않은 벌금은 데이터 식별과 분류를 위한 새로운 도구와 솔루션의 개발을 가속화 시켰습니다. 이제 이러한 도구들 중 일부는 조직에게 단순한 데이터 식별 및 분류를 넘어서서 데이터 거버넌스 및 제어 그리고 암호화를 포함한 기본 데이터 보안을 적용할 수 있도록 기능을 제공합니다.

 

Impact Brief는 데이터 식별과 관련해 최근 이루어진 기술 혁신을 살펴보았으며, 한 거대한 금융 서비스 조직이 어떻게 조직의 비정형 데이터 환경을 제어하기 시작했는지 보여주는 사례 연구를 포함하였습니다. 이 Impact Brief는 주로 최고 정보 보안 책임자 (Chief Information Security Officers, CISOs) 및 데이터 프라이버시 책임자, 데이터 거버넌스 업무를 수행하는 팀을 위해 작성되었으며, 단순한 규정 준수를 넘어서서 민감한 비정형 데이터의 확산과 관련된 위험을 감소시키는 방법에 초점을 두고 작성되었습니다.

METHODOLOGY

Impact Brief는 데이터 식별과 분류 및 관련 데이터 보안 활동에 참여하고 있는 북미 지역 기술 회사 10명의 대표 담당자들과의 인터뷰에 기반해서 작성되었습니다. 또한, 우리는 데이터 거버넌스 계획을 실행하거나 고려 중인 5개의 금융 서비스 회사 대표 담당자들과도 대화를 나누었습니다. 그리고 여기에 여러 Fortune 500 및 Global 1000 기업에서 데이터 보안 솔루션을 기획하고 권장, 구현, 관리한 경험이 있는 저자의 경험을 더해 작성했습니다.

THE MARKET

2017년부터 데이터 식별과 거버넌스를 위한 새로운 제품과 기술 개발이 가속화되어 왔습니다. 이는 GDPR 및 관련 국제, 지역 그리고 현지 개인 정보 보호법 준수의 필요성과 이를 위반할 시 발생할 수 있는 상당한 금액의 벌금을 전제로 한 것입니다. 2018년 5월 25일 GDPR이 발효됨에 따라 많은 GDPR 준수 의무 기관들은 기존의 수동 데이터 식별 과정을 자동화해줄 제품과 기술에 상당한 투자를 진행했습니다. 왜냐하면 이전의 수동 방식은 주체 데이터 접근 요청 (subject data access requests)과 개인 정보 삭제 요구 권리에 기반한 고객 데이터 삭제 요건을 충족시킬 확장성을 갖추지 못했기 때문입니다. 새로운 개인 정보 보호 기반 데이터 식별 제품과 도구들은 기존 데이터 거버넌스 도구와 겹치는 부분이 존재합니다. 기존의 데이터 거버넌스 도구들은 주로 데이터 관리, 개인 정보 보호와는 관련 없는 규정 준수, 데이터 최적화 그리고 기존 데이터 저장소로부터의 가치를 창출하기 위한 목적으로 설계되었습니다.

2020년 9월과 10월에 진행한 개인 정보 보호 기술 회사들과의 논의에서 Aite Group은 그들의 시장 규모 추정 방법 및 예상 매출액을 검토했습니다. 여기에 대기업과 중견 기업을 위한 샘플 가격 및 라이선스 데이터를 검토해 정보를 보완했습니다. Aite Group은 2020년 말까지 개인 정보 보호 규정 준수를 지원하도록 만들어진 제품의 판매가 10억 달러를 초과할 것이며, 적어도 향후 3년 동안 꾸준히 매출이 증가할 것으로 전망하고 있습니다. 개인 정보 보호 기반 제품이 추가적으로 데이터 거버넌스 및 보안 기능을 지향함에 따라 시장은 계속해서 발전해 나가고 있습니다 (표 A 참고).

표A: The Market

시장 동향 (Market trends)
결과 및 영향(Implications)
개인 정보 보호에 초점을 맞춘 데이터 식별 및 분류 도구는 계속해서 발전하고 있으며 기존 데이터 거버넌스 솔루션들과도 빠르게 통합되고 있습니다. 이제는 비정형 데이터에 대한 새로운 시각이 생겨났습니다.
기존 데이터 거버넌스 도구들은 일반적으로 최고 정보 보안 책임자 (CISO)와 개인 정보 책임자의 관리 영역에는 포함되지 않았습니다. 하지만 이제는 최고 정보 보안 책임자와 개인 정보 보호 책임자들도 단순히 개인 정보 보호 규정의 요구 사항을 준수하는 것을 넘어서서 데이터 식별 및 분류 도구를 통해 민감 데이터를 신속하게 식별하고 분류할 수 있습니다.
데이터 식별 및 분류 도구 중 일부는 이제 개별 파일을 암호화하거나 고유 투명 마커를 적용함으로써 민감한 비정형 데이터를 보호할 수 있는 기능을 제공합니다.
이러한 도구들은 최고 정보 보안 책임자 (CISO), 데이터 개인 정보 보호 책임자 그리고 데이터 거버넌스 전문가들에게 데이터 관리에서 더 나아가 파일별 데이터 보호를 구현할 수 있는 기능을 제공합니다.
향상된 데이터 식별 및 분류, 암호화 기능은 비정형 데이터의 세분화된 관리와 보호를 가능하게 합니다.
조직은 이제 이러한 도구들을 “모든 것을 안전하게 보호”하는 접근 방식이 아닌 가장 중요하고 민감한 정보를 포함한 파일에 대해 더욱 엄격하고 비용 효율적인 제어를 적용하게 해주는 조력자로 간주할 수 있습니다.
미국 내에는 국가적 차원의 데이터 개인 정보 보호 법규가 없기 때문에, 서로를 강화해주고 보완해 주는 여러 개인 정보 보호법들이 패치워크 (Patchwork)식으로 존재합니다. 업계 개인 정보 보호 및 데이터 보호 규정 준수 의무와 결합한 이러한 법들을 준수하는 일은 금융 서비스 조직의 지속적인 과제가 될 것입니다.
계속되는 규정 준수의 복잡성과 비정형 데이터 내 중요 파일들을 보호해야 할 필요성은 보안, 개인 정보 보호 그리고 데이터 거버넌스 관련 업무를 수행하는 팀들로부터 향상된 데이터 식별 및 분류 그리고 파일 보안 도구 및 제품에 대한 지속적인 관심과 혁신을 끌어낼 것입니다.

THE VALUE OF UNSTRUCTURED DATA CONTROLS

오늘날 조직 내에서 생성 및 사용되는 대부분의 데이터는 데이터베이스나 정의된 데이터 구조 내에 존재하는 것처럼 정형화되어 있지 않습니다. 비정형 데이터는 조직에게 규정 준수 및 데이터 보호라는 두 가지 과제를 제시합니다. 데이터는 IT 인프라의 모든 지점으로 퍼져나가며, 데이터 유지 관리와 관련된 정책을 철저하게 시행하는 것은 매우 어려운 일입니다. 이처럼 데이터는 정기적으로 생성되지만 체계적으로 파기되는 경우는 거의 없습니다. 지금까지 대부분의 조직은 민감 데이터가 서버와 엔드 포인트에 저장된다는 가정하에 서버 및 엔드 포인트에 광범위한 보안 제어를 적용해 왔습니다. 이러한 제어는 매우 민감한 데이터(예: 재무, 인사, 경영진)를 일상적으로 다루는 부서와 그렇지 않은 데이터(예: 시설, 관리, 특정 백 오피스 기능들)를 생성하는 부서에 동일하게 적용되었습니다.

 

데이터의 이동 및 파일 생성으로 인해서 특정 유형의 민감 데이터가 승인되지 않은 외부 장소에 저장될 수도 있습니다. 예를 들어 신용 및 직불 카드 번호가 조직에서 정의한 PCI (Payment Card Industry) 영역 외부의 장치에 저장될 수 있습니다. 이는 의도치 않게 PCI 범위를 확장하고 규정 위반의 위험을 높일 수 있습니다. 사회 보장 번호나 급여 정보와 같은 직원의 개인 정보는 비정형 데이터 형태로 유통될 수 있는 데이터의 또 다른 예이며, 오남용되거나 손상되는 경우 법적인 소송 또는 평판 문제로 이어질 수 있습니다.

 

개인 정보 보호 기술 및 데이터 거버넌스 부문의 기술과 도구들은 조직이 특정 유형의 데이터를 광범위하게 검사 및 분류할 수 있는 기능을 제공하고, 규정 준수 보고 이행 및 적절한 조치를 취할 수 있도록 지원하며 성장해 왔습니다. 데이터 검사는 미리 설정된 일정에 수행되거나, 필요할 때 또는 거의 연속적으로도 수행될 수 있습니다. 데이터를 어떻게 분류할 것인지는 조직의 특정 규칙에 기반을 둔 템플릿 또는 사용자 정의 정책을 통해 결정될 수 있습니다. Aite Group은 다른 여러 소프트웨어 제품들의 경우와 마찬가지로 이런 도구들이 정밀하게 기능을 조정하고 자동화하기 위해 기계 학습법 및 인공 지능을 사용하고 있는 것을 확인할 수 있었습니다. 또한, 배포 모델은 순수 SaaS (Software-as-a-Service) 기반 도구 및 온프레미스 (On-premises) 옵션, 에이전트 기반의 온 디바이스 (On-device) 구현으로부터 확장됩니다.

GO BEYOND COMPLIANCE TO REDUCE CYBER RISK

최근까지 데이터 개인 정보 보호 기술의 주요 관심사는 규정 준수를 지원하는 것이었습니다. 시장 동인 (Market drivers)들은 개인 정보 보호 규정 위반으로 부과될 벌금과 제제의 위험 가능성을 줄이기 위해 설계되어 왔습니다. 2020년 10월, 영국의 ICO (Information Commissioner ‘s Officer)는 2018년에 발생한 사이버 공격으로 40만 고객의 개인 정보가 유출된 사건에 대해서 영국 항공 (British Airways)에 2천만 파운드의 벌금을 부과했습니다. 이는 2018년 5월 GDPR 발효 이후 2020년 10월 중순을 기점으로 현재까지 공개된 유럽 데이터 보호 당국이 부과한 GDPR 벌금 사례 400건 중 하나입니다. 이러한 벌금 부과 사례들은 데이터 검사와 보고 그리고 규정 준수 관리를 강조한 개인 정보 보호 기술 시장과 규정 준수 도구의 개발을 촉진해왔습니다.

 

개인 정보 보호 규정 준수 관점에서 세분화된 데이터 검사에 대한 높아진 관심과 대량의 비정형 데이터가 가진 잠재적 위험에 대한 인식의 증가는 이제 도미노 효과 (knock-on effect)를 가져왔습니다. 이제 우리는 더욱더 세분화된 데이터 보안 기능을 위해 발전해 나가고 있는 도구 및 방법들을 마주하고 있습니다. 이제 조직은 발전된 데이터 검사와 적절한 분류를 통해 비정형 데이터에 대한 포괄적인 분석을 수행할 수 있으며, 무엇보다도 암호화와 정밀한 데이터 손실 방지 규칙 그리고 고유 파일 식별 코드 자동 삽입 방법 등을 통해 파일 수준의 데이터 보안을 수행할 수 있게 되었습니다. 특히, 파일에 삽입되는 고유 식별 코드는 사용자에게 직접적으로 드러나지는 않지만, 파일 사용과 이동을 추적하는데 있어서 유용하게 사용됩니다.

 

이제 이러한 향상된 데이터 보안 기능을 통해 조직들은 무분별하게 증가하는 비정형 데이터를 관리하고 데이터 검사 및 분류에서 더 나아가 세분화된 파일 수준의 보안을 적용할 수 있습니다.

CASE STUDY

Aite Group은 45,000명 이상의 직원이 근무 중인 글로벌 은행의 최고 정보 보안 책임자 (CISO)와 대화를 나누었습니다. 그는 데이터 보안에 있어서 “신념 기반 (faith based)”의 접근 방식을 뛰어넘기를 원했습니다. 즉, 조직 내 민감 데이터가 어디에 존재할지에 대한 광범위한 가정에 기반해 패치워크 (patchwork)식 제어 방법을 데이터 보안을 위해 적용하기보다는 보안 위험을 줄일 수 있는 보다 구체적이고 효율적인 접근 방식을 구현하고 싶어 했습니다. 특히 해당 은행의 경영진은 개인 워크 스테이션 및 네트워크 공유 드라이버에 존재하는 Microsoft Office 문서를 포함한 비정형 데이터에 대해 우려를 나타냈습니다.

 

CISO는 몇 가지 후보 제품 및 솔루션들을 검토한 후 최종적으로 Fasoo Data Radar (FDR) 제품을 선택했습니다. 특히 그는 FDR 제품이 다른 제품들과 비교했을 때 훨씬 더 적은 비용으로 “단계별” 데이터 식별 및 분류 작업을 진행할 수 있다는 점을 높게 평가했습니다. FDR은 유연한 수동 및 자동 데이터 검사, 해당 은행의 요구 사항에 맞춘 데이터 분류를 위한 정책 기반 템플릿 그리고 민감 데이터 보호를 위한 기본 파일 수준에서의 암호화로 이루어진 강력한 기능 조합을 제공합니다. 또한 FDR은 추적 및 고급 관리에 사용할 수 있는 고유 파일 ID를 각각의 파일에 부여합니다. CISO는 특히 FDR의 데이터 보호 기능에 깊은 인상을 받았으며, 이는 다른 개인 정보 보호 및 데이터 거버넌스 제품들과 차별화되는 점이라고 언급했습니다.

 

FDR의 초기 배포는 6개월 동안 해당 은행의 북미 인프라에서 진행되었습니다. 이는 은행에 처음으로 도입되는 기능이었기에 은행의 기준을 맞추기 위해 매우 보수적이고 체계적인 방식으로 구현되었습니다. CISO는 제품의 배포가 매우 매끄럽게 진행되었으며, 배포 프로세스에 이론상 소요될 시간의 절반밖에 걸리지 않음을 확인할 수 있었습니다. FDR은 2020년부터 해당 은행에서 사용되어 왔으며, 지금까지 어떠한 문제도 보고되지 않았습니다. 또한, 은행의 담당 직원을 위한 초기 FDR 교육은 3시간도 채 걸리지 않았으며, 해당 교육은 전담 파수 담당자가 진행했습니다.

 

성공적인 FDR의 초기 배포와 은행 이사회의 긍정적인 피드백을 기반으로 CISO는 파수의 고급 데이터 보안 솔루션인 FED (Fasoo’s Enterprise Digital Rights Management)를 추가 도입하기로 결정했습니다. FED 또한 현재 구축되어 사용 중이며 해당 은행의 정책 및 규제 요구 사항에 맞춰 민감 데이터가 포함된 개별 파일을 암호화 및 제어, 추적할 수 있는 추가 기능을 제공하고 있습니다.

 

특히 CISO는 초기 제품 평가 및 배포 단계에서 파수와의 원활한 협업 과정과 FDR과 FED 제품의 도입 효과를 최대한으로 끌어낼 수 있도록 지속적으로 지원해준 부분을 언급했습니다. 그는 북미에서의 성공 사례를 기반으로 은행의 글로벌 인프라에도 FDR과 FED를 배포할 계획이라고 밝혔습니다.

RECOMMENDATIONS

Aite Group은 조직이 비정형 데이터와 관련해 새롭게 등장한 기술에 기반해 다음과 같은 조치를 취할 것을 권장합니다.

  • 조직의 사이버 보안 전략에 대한 포괄적인 검토를 진행하여 조직의 리스크 수용 범위 (risk appetite)와 비정형 데이터 보호의 필요성을 평가하십시오.
  • 조직에서 개인 정보 보호 규정 준수를 위한 기술 사용을 고려하고 있는 경우, 데이터 검사 및 분류에서 더 나아가 기본 및 고급 파일 수준의 데이터 보안 기능을 제공하는 도구들을 살펴보십시오.
  • 개인 정보 보호 기술 및 비정형 데이터 식별을 위한 조직의 예산이 완전히 확정되지 않은 경우, 비정형 데이터 관리와 보안의 가치를 검증해 보기 위해 비교적 초기 비용이 낮은 “단계별” 기능 도입을 고려해 보십시오.

CONCLUSION

  • GDPR 및 기타 개인 정보 보호 준수 의무에 더해 위반 시 부과될 수 있는 상당 금액의 벌금은 데이터 식별 및 분류를 위한 새로운 도구와 기술의 개발을 촉진하였습니다.
  • 개인 정보 보호 기술과 기존 데이터 거버넌스 도구들이 통합되고 있으며, 이는 조직이 이제 단순한 규정 준수 목적에서 한 걸음 더 나아가 비정형 데이터를 더 잘 관리할 수 있도록 해줄 것입니다.
  • 이러한 도구 중 일부는 데이터 식별 및 분류를 넘어 조직의 전반적인 사이버 보안 전략을 강화할 수 있게 해주는 파일별 데이터 보안 기능을 제공합니다.

CONTACT

For more information on research and consulting services, please contact:

Aite Group Sales
+1.617.338.6050
sales@aitegroup.com

For all press and conference inquiries, please contact:

Aite Group PR
+1.617.398.5048
pr@aitegroup.com

For all other inquires, please contact: