오늘 포스트는 Microsoft 보안: “정보보호”의 2번째입니다. 지난 주 공유해 드린 “Microsoft보안: 정보보호” 포스트를 통해 Microsoft가 정보보호를 4 단계 (탐지 – 분류 – 보호 – 모니터링)로 구성된 라이프 사이클을 통해 중요한 정보 자산의 완벽한 보호를 추구한다는 내용을 공유했는데, 오늘은 첫 단계인 “탐지” 작업을 조금 더 자세하게 알아보겠습니다.
정보보호 첫 번째 블로그 링크: https://blog.naver.com/gowit_sps/221377219460
그림 1) 정보보호 4단계 라이프 사이클
1단계: 중요한 데이터 탐지
중요 데이터는 어디에서 생성되는가?
데이터 탐지를 위한 출발은 이 질문에서 시작되어야 합니다 – 우리가 중요하게 관리해야 하는 데이터와 정보는 어디서 만들어지는가? 이죠. 첫 번째 단계인 “탐지”는 결국 기업이 매일같이 생산하는 데이터가 어디에서 만들어지고 누구와 공유되고 어디에 저장되는지를 파악하고 이해하는 과정이라고 정의할 수 있습니다. 전통적 IT 방식인 온-프레미스 환경에서 운영하는 기업은 정보 생성 – 공유 – 저장 – 관리 일련의 과정이 기업 내부에서만 일어났습니다. 하지만, 정보보호 (Part 1)포스트에서 논한 것처럼, 기업이 현재 마주한 그리고 앞으로 만나게 될 환경은 외부와의 연결 및 공유가 일상화되고 복잡도도 크게 증가할 것으로 예상됩니다. 이에 따라, 중요 정보 자산에 대한 노출 가능성과 위험도 같이 증가하죠. 따라서 기존 온-프레미스 환경, Shadow IT (샤도우 IT: 기업이 공식 허용하지 않았지만, 사용자들이 업무에 이용해는 앱 및 SW서비스 등을 의미), 클라우드 그리고 모바일 환경까지 아울러 포괄적으로 접근해야 기업의 정보 자산이 어디에서 생성, 공유, 저장 및 관리되는 흐름을 정확히 파악할 수 있습니다. 첫 번째 결론은 정보보호를 위한 대응 방안을 만드는데 있어 IT인프라의 상황 변화와 이 변화를 주도하는 비즈니스와 사용자 업무 요건을 이해하는 것이 꼭 필요하다는 겁니다.
그림 2) 중요 데이터 탐지의 범위
무엇이 중요(민감)한 데이터인가?
탐지의 출발점이 중요한 데이터 탐지라고 정의했기 때문에, 중요한 데이터의 기준을 정하는 것이 필요하겠죠. 중요한 데이터는 기업마다 다를 수 있습니다. 어떤 비즈니스를 하는가, 어떤 상품을 만들고 어떻게 판매하는가, 주요 고객 및 협력업체는 누구인가 등에 따라 달라지게 됩니다. 핵심 사례로 많이 등장하는 것이 개인 고객 정보입니다. 우리 회사가 온라인으로 고객에게 상품을 판매한다고 가정하면, 고객 정보를 수집하게 됩니다: 이름, 전화번호, 집(혹 회사) 주소, 신용카드번호 등이죠. 금융상품인 경우에는 고객의 주민번호, 신용정보 및 자산정보까지 수집하게 되죠. 그리고 이 정보들이 유출되면 제 3자가 해당 고객을 대상으로 여러 가지 불법 행위를 할 수 있습니다. 이런 가능성 때문에 우리나라도 개인정보보호법을 강화하고 유럽연합은 GDPR (General Data Protection Regulation)이란 한층 강화된 개인정보보호법을 만들어 시행하고 있는 것이죠. B2C 기업보다는 덜하지만, B2B기업에도 많은 정보가 쌓입니다. 고객 및 파트너 직원 정보, 금융거래 관련 은행 및 회계정보 등이죠. 이런 데이터 유출로 2차, 3차의 피해가 예상된다면 그것은 꼭 보호해야 중요(민감) 정보입니다.
중요 데이터 가이드
보호해야 하는 중요 정보가 정해졌다면, 탐지 작업을 진행해야 하겠죠. 개인고객에게 온라인으로 상품 및 서비스를 판매하는 기업이라고 가정하고 정리해 보겠습니다.
(1)기업이 보유한 데이터의 기본 제공 정보 유형을 사용하여 개인식별정보 (PII) 및 건강 및 재무 정보 그리고 기타 중요한 정보들을 검색
예: 우리나라의 개인식별정보(PII) – 주민번호, 전화번호, 신용카드, 의료보험번호 등.
(2)회사가 정의한 중요 정보 유형, 문서 및 고유한 패턴 정보
예: 사용자가 구매한 상품 목록 및 전체 리스트 – 제품 목록을 통해 고객의 특정 생활 습관이나 개인정보를 파악할 수 있다고 판단되는 경우
(3)모바일 & 클라우드 앱 사용 패턴 및 위치 감지, 파일 등의 정보 – 회사가 고객에게 제공하는 클라우드 앱 및 서비스를 통해 얻어지는 고객 데이터에 앱(서비스) 사용 패턴 및 사용 위치 그리고 파일 정보도 민감 정보로 분류될 수 있습니다. 특히, 소비자들의 개인정보보호에 대한 인식이 높아지고 있기 때문에 선행적으로 대응하는 것이 필요합니다.
예: 고객에게 제공한 클라우드 앱 및 서비스의 사용 패턴 및 위치 정보 – 고객의 생활 영역 및 패턴에 관련된 민감한 내역을 파악할 수 있다고 판단되는 경우.
(4)콘텐츠 검색 및 검색 조건 관련 정보 – 요즘 주변에 보면 KT Qook TV, SK브로드밴드나 넷플릭스를 이용한다는 분들이 꽤 있습니다. 넷플릭스의 경우, 몇 번 시청을 한 다음에는 이런 메뉴가 나타납니다. “OOO님의 취향 저격 메뉴!” – 제가 그 동안 시청했던 콘텐트를 분석해서 저의 패턴을 찾아내고 이를 토대로 추천 항목들을 제시하는 거죠. A.I(인공지능) 및 머신러닝 기술을 이용한 추천 시스템은 많이 이용되고 있죠. 서비스 핵심은 고객의 행동 패턴 데이터입니다. 이 데이터도 중요 정보로 분류될 수 있습니다.
중요 데이터 탐지 방법
그럼 이제 남은 것은 위에서 정리한 기준에 따라 중요 데이터를 찾아내는 일이죠. 그런데 어떻게 찾느냐 하는 겁니다. 몇 가지 방법이 가능합니다.
데이터 탐지 사례
기업 사용자 1.3억명이 사용하는 오피스 365가 가장 강력한 개인정보보호법으로 평가되는 유럽연합 GDPR을 어떻게 지원하는지 간단히 살펴보고 오늘 포스트를 마무리하겠습니다. 아래 GDPR 기능은 오피스 365포털에 로그인해서 진행할 수 있습니다.
그림 3) GDPR 도구 상자 기능 화면
그림 3은 GDPR 관련 데이터 탐지를 위해 대상 데이터를 찾는 화면입니다. 기업이 보유한 데이터 중 중요 데이터로 분류된 항목을 포함한 데이터를 중앙 저장소로 이동한 후 개인데이터를 찾는 흐름입니다.
그림 4) 데이터 가져오기 화면
그림 4는 그림 3의 데이터 가져오기 단추를 클릭하면 나타나는 화면입니다. 기업의 데이터 현황을 이메일, 인트라넷, 클라우드 스토리지(원드라이브) 그리고 3rd 파티 제품 등으로 나눠서 분석해 줍니다.
그림 5) 개인 데이터 찾기 화면
왼쪽 그림은 가져온 데이터 중에서 중요 데이터를 찾는 화면을 보여주고 있습니다. 예제 화면에서는 조건 2개를 설정했군요. 첫 번째는 “주민번호, 전화번호, 신용카드 번호” 3개 키워드를 설정했고, 두 번째 조건은 이메일 데이터 중 “받는 사람 – 홍길동” 으로 설정을 해서 중요 데이터를 찾고 있습니다.
오피스 365 예제 화면처럼, MS 하이브리드 서비스를 이용하면 추가 비용과 작업없이 바로 정보보호 작업을 시작할 수 있습니다.
Microsoft 365 알아보기: https://cloud.gowit.co.kr/microsoft-365/
Microsoft 365 도입 및 서비스 지원 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.