[보안칼럼]데이터 보호를 위해 기업이 취해야 할 6단계

비핀 사마르 오라클 데이터베이스 보안 수석 부사장
비핀 사마르 오라클 데이터베이스 보안 수석 부사장

데이터는 생성되면 사라지지 않는다. 다양하게 활용된다. 해커는 이를 노린다. 기업은 사업 규모와 관계없이 데이터를 보호해야 한다. 데이터를 보호하기 위해 새로운 전략이 필요하다. 이를 수월하게 해 줄 6단계를 소개한다.

어떤 데이터를 보유하고 있는가. 회사가 어떤 민감한 데이터를 생성하고 저장하는지 파악하는 일은 간단하게 보인다. 그러나 많은 기업이 이를 제대로 하지 못한다. 데이터 관리자 입장에선 이용자 보호뿐만 아니라 컴플라이언스 규제를 준수하기 위해서도 데이터 관리에 주의해야 한다. 데이터를 제대로 알지 못하면 리스크를 정량화할 수 없고, 자원 우선순위를 정할 수 없다.

데이터는 어디에 위치하는가. 어디에 있는지 모르는 데이터는 보호할 수 없다. 정보기술(IT) 담당자조차 민감한 데이터가 어디에 위치하는지 정확히 알지 못하는 경우가 부지기수다. 보안이 약한 테스트 시스템과 개발, 재해복구, 백업 시스템에 배포된 데이터 복사본은 해커의 타깃이 된다. 민감 데이터는 연결된 시스템과 연결이 끊긴 시스템에 파편화돼 있다. 개인정보를 떠올려보라. 이메일과 워드, 엑셀 파일, 문자 메시지, 포스트잇, 노트에도 적혀 있을 수 있다. 이를 수천명의 직원으로 이뤄진 회사에 대입해 보라. 해커는 그 가운데 단 한 곳에만 접근하면 된다.

누가 접근 권한을 행사하고 있는가. 이용자가 누구인지, 데이터 접근 권한은 어느 정도인지 이해하는 것이 중요하다. 많은 기업이 너무 많은 직원에게 접근 권한을 부여한다. 그러면서 회사 전체에 걸쳐 권한이 있는 인원이 몇 명인지, 정확히 누구에게 권한이 주어졌는지 알지 못한다. 데이터 접근 권한을 최소한으로 줄이고, 권한 부여 시 필요성을 엄격히 따져야 한다.

누가 데이터에 접근했는가. 실제 데이터 접근 현황을 모니터링하고 이상 징후와 허가받지 않은 데이터 이용을 감지해야 한다. 데이터 침입을 감지하면 적절히 조처해서 손실을 줄일 수 있다. 기업은 시스템에 접속한 이용자를 감시하고 무엇을 하는지 추적해야 한다. 그들을 불신해서가 아니라 접근 권한이 있는 직원으로 가장한 해커에 의해 악용될 수 있기 때문이다.

위험 가능성은 왜 열어 두는가. 유리창이 깨져 있거나 옆문에 자물쇠가 약하게 채워져 있는 은행에는 침입하기가 쉽다. 데이터 시스템도 마찬가지다. 구성 설정 검토, 시스템 보완, 쓰지 않는 서비스·포트 중단, 중요한 데이터 잠금 등을 통해 보호해야 한다. 해커는 시스템에 틈새와 취약성이 있는지를 빠르게 검사하는 자동화 도구를 갖고 있다. 시스템의 허점을 악용하기 쉬울수록 해커 투자수익률(ROI)은 더욱 높아진다.

왜 실제 데이터를 쓰는가. 위험 요소를 줄이는 간단한 방법은 테스트와 개발을 위해 실제처럼 보이는 가짜 데이터를 쓰는 것이다. 실제 주민등록번호, 신용카드 번호, 이메일 주소, 재무 정보, 보건 데이터 등의 모든 산출을 전혀 관계없는 무작위 데이터로 대체하는 것이다. 가짜 데이터를 활용하면 실제 데이터를 테스트 실무자와 개발자에게 노출하지 않을 수 있고, 누군가 테스트 시스템에 접근해 발생할 수 있는 피해도 줄일 수 있다.

데이터 보호는 단순히 방화벽을 설치하거나 자주 사용하는 정보기술(IT) 기기에 백신을 설치하는 것이 전부가 아니다. 데이터 생성부터 보유한 데이터와 저장 위치를 인지하는 것, 더 효과 높은 접근 권한을 적용하고 데이터 이용을 추적하는 것이 동반돼야 한다. 기업은 데이터 자산 관리자로서 전략을 고민해야 한다. 현상 유지는 이제 선택 가능한 사안이라고 볼 수 없다. 민감한 데이터를 보호하기 위해 선제 대처하는 것은 신속한 회복과 기나긴 악몽이라는 매우 다른 결과를 초래할 것이다.

비핀 사마르 오라클 데이터베이스 보안 수석 부사장 vipin.samar@oracle.com