[개인정보 보호와 활용④] GDPR, 개인정보 가시성 확보가 먼저

홈 > 뉴스 > 뉴스 > 보안

[개인정보 보호와 활용④] GDPR, 개인정보 가시성 확보가 먼저

온프레미스·클라우드에 산재된 개인정보 파악·분류해야…머신러닝으로 민감정보 자동 학습·보호

관련기사

[개인정보 보호와 활용①] 심각해지는 개인정보 유출 사고

[개인정보 보호와 활용②] 지능화되는 개인정보 탈취 범죄

[개인정보 보호와 활용③] 강력해지는 개인정보 보호 규제

2018년 08월 14일 11:04:49

김선애 기자

iyamm@datanet.co.kr

개인정보와 보호와 활용을 ‘양날의 검’으로 비유하는 것은 적절하지 못하다. 돈이 되는 ‘고급 개인정보’를 훔치려는 사이버 범죄자들이 늘고 있다. 이에 대응하기 위해서는 개인정보를 철저하게 보호해야 한다. 그러나 개인화 서비스가 발달한 현재, ‘개인정보 보호’에만 집중하면 경쟁력있는 서비스를 제공하지 못한다. 개인정보를 안전하게 보호하면서 적법하게 활용할 수 있는 환경이 시급히 필요하다.<편집자>

GDPR 대응 위한 데이터 중심 보호 전략

현재 가장 강력한 개인정보 보호 규제로 꼽히는 GDPR은 개인정보의 범위를 포괄적으로 규정하고 있으며, 정보주체의 자기결정권을 강화했다. 폭넓은 데이터의 활용을 용인하면서도 심각한 유출 사고가 발생하면 막대한 벌금을 부과한다는 원칙을 세워 기업의 정보보호 책임을 강화했다.

GDPR 대응을 위해 가장 먼저 해야 할 일은 개인정보 보호 솔루션을 구입하는 것이 아니라 보호해야 할 데이터의 기준을 수립하고, 이 데이터가 어디에 있는지 확인하고 분류하고 보안 정책을 세우는 것이다. 시만텍은 GDPR 대응을 위해 다음과 같은 단계를 거치는 것이 중요하다고 조언한다.

◆ 1단계 준비: 클라우드에서 개인 데이터가 어디에 있는지 파악한다. 클라우드 애플리케이션이 GDPR과 관련된 핵심 보안 특성을 충족하는지 확인한다. 개인 데이터를 탐색하고 분류한다.

◆ 2단계 탐지: 위험한 상태의 개인 데이터 보유 현황과 해당 데이터의 유출 여부를 확인한다. 비정상적인 사용자 행위와 악성코드를 탐지한다.

◆ 3단계 보호: GDPR과 관련된 핵심 보안 특성에 부합하지 않는 애플리케이션을 차단한다. 클라우드 데이터 정책을 정의한다. 클라우드와 온프레미스 모두에 일관성 있는 데이터 유출 방지 정책이 적용됐는지 확인한다. 위험한 사용자, 활동, 데이터를 파악한다. 리스크 탐지 임계값을 설정한다.

◆ 4단계 대응: 위험한 개인 데이터와 사용자를 격리한다. 개인 데이터 업로드와 다운로드를 차단한다. 파일 공유에서 위험 노출 문제를 해결한다. 정책 위반 알림을 설정하고, 관리자/사용자에게 발송한다. 72시간의 통지 기한 내에 사후 분석과 대응을 실시한다. GDPR 컴플라이언스 현황을 점검할 수 있는 대시보드와 리포트를 준비한다. 강력한 보안을 위해 필드 레벨 또는 파일 레벨에서 개인 데이터를 토큰화 또는 암호화한다. GDPR 컴플라이언스를 위한 섀도우 IT/섀도우 데이터를 모니터링하고 제어한다.

클라우드에서도 일관적인 개인정보 보호

시만텍은 데이터 보호 플랫폼 ‘ICS(Information Centric Security)’가 데이터 중심 보호 전략을 기반으로 한 개인정보 보호 요건을 만족시킬 수 있다고 주장한다. ICS에 포함된 내부정보 유출방지(DLP) 솔루션은 중요 데이터의 가시성을 확보하고 리스크를 평가·모니터링한다. 커스터마이즈 가능한 컴플라이언스 지원을 제공해 GDPR, 개인정보보호법 등을 준수할 수 있도록 지원하며, 데이터의 생성, 이동, 저장의 모든 과정을 모니터링해 규제준수 위반 여부를 감지해준다.

클라우드 암호화 서비스 ‘ICE’를 이용해 정책 기반 암호화와 액세스 관리, 토큰화 등을 통해 데이터가 어디에 있든지 보호할 수 있도록 하며, 사용자나 시스템의 비정상 행위를 파악하고 악의적인 내부자 혹은 계정 도용을 밝혀내는 한편, 침해 의심정황이 바생했을 때 즉시 관리자에게 알려 빠르게 조치할 수 있도록 한다.

ICS는 클라우드 접근 보안 중개(CASB) 솔루션 ‘클라우드SOC(Cloud SOC)’와 통합돼 섀도우 클라우드와 섀도우 데이터 문제를 해결할 수 있다. 클라우드SOC는 사용자 행위분석(UBA) 기술을 이용해 기업이 사용하는 모든 클라우드 애플리케이션을 분석하며, 클라우드에 저장하고 있는 개인 데이터의 유형과 위치를 파악해 클라우드 전반의 데이터 가시성을 제공한다.

클라우드 애플리케이션의 이벤트를 정밀 분석해 이상행위를 찾아내고 악성코드에 감염된 애플리케이션까지 감지한다. 오피스365, 암호화·토큰화로 클라우드 개인 데이터를 보호하며, SSL 암호화 트래픽에 숨어 진행되는 데이터 유출 시도까지 감지할 수 있다.


▲시만텍 DLP와 CASB 2.0 통합 다이어그램

‘시만텍 DLP 15.0’은 머신러닝 기반의 지능형 OCR 엔진을 통해 어떠한 문서 양식이라도 즉각적으로 인지하고 중요한 텍스트를 골라 보호할 수 있으며, 강화된 엔드포인트와 네트워크 기반 데이터 보호 기능으로 사용 중인 데이터를 효과적으로 제어한다. DLP 콘솔에서 클라우드SOC를 관리할 수 있어 클라우드까지 통합된 데이터 중심 보호를 실현할 수 있다.

최재우 시만텍코리아 이사는 “GDPR은 개인정보의 강력한 보호 뿐만 아니라 익명화를 통한 자유로운 활용까지 보장하고 있다. 이러한 요건을 만족시키기 위해서는 클라우드와 통합된 데이터 보호 프로세스가 반드시 필요하다”며 “시만텍은 DLP와 암호화·토큰화 기술(ICE), CASB가 모두 통합·연동되는 데이터 보호 전략으로 GDPR 뿐만 아니라 개인정보·중요정보 보호 규제를 만족시킨다”고 설명했다.