공유의 시대에 필요한 기업 데이터 관리법

지금 우리가 살고 있는 시대는 ‘연결’, ‘공유’의 시대입니다. 정보의 이동에 국경이 사라지고, 기업, 사람, 심지어는 사물까지도 모두가 연결되어 자유롭게 정보를 공유합니다. 자유로운 정보 공유는 정보 격차를 감소시키고 모두가 정보 활용의 이점을 얻을 수 있게 하지만, 기업에게는 그렇지 않습니다. 정보 격차가 사라질수록 기업의 독보적인 노하우, 정보자산이 더욱 중요한 경쟁력이 되기 때문에 기업의 데이터 보안이 무엇보다 중요합니다. 공유와 차단, 활용과 보안의 사이에서 기업이 선택해야 하는 기업 데이터 관리법은 무엇일까요?

 

기업 데이터 모을 것인가, 말 것인가?

 

기업 데이터 보안에 가장 큰 위협 중 하나는 다양해지는 업무 툴, 채널이라고 할 수 있습니다. 네이티브 메신저부터 업무 협업용 어플리케이션, 퍼블릭 클라우드 서비스 등 임직원이 기업의 정보를 전송하고 공유할 수 있는 채널은 무수히 많습니다. 이러한 툴들은 업무 효율성을 높이기도 하지만, 반대로 기업 데이터 유출의 홀이 되기도 합니다.

업무 협업툴 대표격 Slack. 자료 공유 등의 기능 뿐 아니라 주요 클라우드 서비스 등과 연동도 되어있어 많은 기업 혹은 팀에서 협업용으로 사용하고 있다. (이미지 출처: ZDNet, FoolPlugins)
업무 협업툴 대표격 Slack. 자료 공유 등의 기능 뿐 아니라 주요 클라우드 서비스 등과 연동도 되어있어 많은 기업 혹은 팀에서 협업용으로 사용하고 있다. (이미지 출처: ZDNet, FoolPlugins)

가트너는 대부분의 클라이언트들이 데이터 보안과 관련해 문의하는 내용으로 데이터를 어떻게 보관해야 하며, 어떻게 보안해야 하는지를 꼽습니다. 어떻게 보관해야 하는지에 대한 질문은 보통 효과적인 보안을 위해서는 데이터를 한곳에 모아두는 게 맞는지 아니면 분산시켜놔야 하는지에 대한 고민입니다.

 

그 고민을 하기 전부터 이미 데이터는 모든 곳에 흘어졌다고 보면 된다. (이미지 출처: Gartner)
그 고민을 하기 전부터 이미 데이터는 모든 곳에 흘어졌다고 보면 된다. (이미지 출처: Gartner)

하지만 이 질문이 근본적인 데이터 보안을 해결해주지는 않습니다. 왜냐하면 우선 기업 모든 기업 데이터가 똑같이 만들어지지 않기 때문입니다. ‘데이터 사일로(Data Silo)’라고 하는 개념에서 알 수 있듯이 한 기업 내에서도 데이터가 통합되지 못하고 팀, 부서, 사업 부문별로 고립되어 활용되는 경우가 많습니다. 이는 기술 발전과 상관없는 국내 기업 환경의 특성이기도 하지만 클라우드 확산으로 IT 인프라의 도입, 구축이 쉬워지면서 데이터 사일로 현상은 더욱 더 심해질 수 있는 상황입니다.

이렇게 데이터 사일로가 존재하는 상황에서는 기업 데이터에 대해 균등하고 지속적인 보안 및 관리가 불가능할 뿐 아니라, 데이터 소유자 간의 소통 부재, 데이터 사용 환경에 따라 데이터가 동기화되지 못해 점점 그 갭이 커지게 됩니다.

 

그럼 데이터 보안에서는 뭣이 중헌디?

 

위에서 언급한 것처럼 기업이 갖고 있는 정보보안에 대한 고민 혹은 노력이 실제 정보보안에서 요구되는 것과 차이가 있는 아이러니한 상황이 발생하는 경우가 많습니다. (‘사이버 공격에 대응하는 기업의 자세’ 포스팅 참고, http://mi.jiransecurity.com/1399) 가트너에서는 이러한 아이러니를 해소할 수 있는 6가지 원칙을 제시하는데, 그 중에서도 기업의 데이터 보안에 대해서는 3가지가 직접적인 연관이 있습니다.

 

datasecurity3

컴플라이언스 준수를 위한 보안에서 리스크 관리를 위한 보안

기업별로 보안 사고가 발생했을 때 당 면하게 될 가장 큰 리스크를 파악하고, 그에 맞는 보안 구축이 필요합니다. 특히 데이터 보안에서는 리스크에 따른 통제의 우선순위를 정하는 것이 중요합니다. 앞서 말한 것처럼 문서가 모두 같지 않기 때문입니다. 데이터의 콘텐츠(내용), 접근 권한, 이해 관계자, 최종 사용자 등 문서별 조건에 따라 우선순위를 정해 그것을 기반으로 데이터 보안 전략을 수립할 필요가 있습니다.

 

datasecurity4

정보 통제, 제어에서 정보 흐름의 이해로

정보가 어디에 어떤 형태로 있는지 알지 못하고는 새로운 유형으로, 급증하는 정보를 감당할 수 없는 것이 현실입니다. 데이터 사일로와 인프라에 상관없이 문서의 흐름을 파악하고 일관된 보안을 적용하기 위해서는 통합DLP 혹은 기업용 DLP 툴을 적극 활용할 필요가 있습니다. 이는 데이터를 중앙 혹은 분산 저장하느냐가 중요한 것이 아니라 정보가 어디에서 누구에 의해 사용되고 있는지를 파악하는 것이 더욱 중요하다는 것을 의미합니다.

 

datasecurity5

기술 중심에서 사람 중심으로

사회공학적 기법을 활용하는 보안 위협이 등장했던 것처럼 사람이라는 취약점을 통해 유입되는 보안 위협이 증가하고 있기 때문에, 궁극적으로는 사람이 스스로 보안하도록 유도해야 합니다. 사람 중심의 보안이라는 것은 사용자가 강압적인 차단이 없더라도 스스로 데이터 관리가 가능하도록 자동 분류, 자동 접근권한 설정 등이 가능하도록 해야 합니다.

 

위 3가지 보안 원칙이 기업의 데이터 보안 수립시 꼭 명심해야 할 기본이라고 할 수 있습니다. 이러한 원칙을 기반으로 어떤 데이터 보안 기술을 적용해야 더 효과적인 데이터 보안 운영이 가능할까요?

 

데이터 보안을 위해 투자해야 할 기술

 

기술적인 부분은 끊임없이 변화하고 발전하고 있기 때문에 정해진 답은 없습니다. 하지만 기업들의 투자 의사, 관심도가 해당 시점에 필요한 솔루션이 무엇인지를 반영하기도 합니다.

 

데이터 보안 기술별 기업 투자율 및 관심도 (이미지 출처: Gartner)
데이터 보안 기술별 기업 투자율 및 관심도 (이미지 출처: Gartner)

가트너의 조사에 따르면 2016년 데이터 보안 기술 중 투자 의사가 있다고 밝힌 기업과 관심이 있다고 밝힌 기업의 비중 모두가 높은 것으로는 클라우드 보안, DLP, 모바일 보안, 데이터 접근 관리 솔루션 등이 있습니다. 현재 주목받는 기술들의 공통점은 데이터 유출 가능성이 있는 루트에 대한 보안 기술이라는 점으로, 변화하는 IT 환경에 대응하기 위해 기업들이 해당 기술들에 관심을 갖고 투자하는 것으로 추측할 수 있습니다. 이 외에도 데이터 무결성 검증 및 저작 보호 등을 위한 DB 감사(DAP), DRM 등의 기술도 기업에 중요한 기술로 인식되고 있으며, 국내에서는 최근 문서중앙화 등의 솔루션이 기업 콘텐츠 보안과 협업을 동시에 충족할 수 있는 대안으로서 다시 주목받고 있습니다.

 

 

데이터 보안 Hype Cycle 2015 (이미지 출처: Gartner)
데이터 보안 Hype Cycle 2015 (이미지 출처: Gartner)

그렇다면 가까운 미래에는 어떨까요? IT 환경 발전에 따라 데이터 보안 기술도 변화할 것으로 예측됩니다. 눈에 띄는 기술은 기존 데이터베이스에 대한 감사는 데이터, 파일 단위로 분산되어 있는 기업 정보에 대한 감사 및 보안으로 좀 더 세분화될 것으로 전망되며, 클라우드에 저장된 데이터에 대한 보안 기술이 크게 주목받을 것으로 예상됩니다.

기업 데이터는 존재할 수 있는 영역은 기업 외부에도 있다. (이미지 출처: Gartner)
기업 데이터는 존재할 수 있는 영역은 기업 외부에도 있다. (이미지 출처: Gartner)

또 가트너는 미래에는 여러 저장소로 구성된 분산 구조가 필연적일 것이라고 전망하며, 클라우드 및 외부 스토리지 등 분산된 환경에서는 데이터의 구조화에 필수적인 메타데이터가 데이터 관리 및 연관성 파악 등에 활용될 것이라고 전망하고 있습니다. 따라서 메타데이터 관리를 중심으로 데이터 관리 전략을 수립하는 것 또한 기업 데이터 보안에 필요한 부분입니다.

 

Garbage In, Garbage Out – 데이터는 힘이다

 

서론에서처럼 기업의 독창적이고 차별화되는 정보, 데이터는 기업의 경쟁력을 좌우하는 시대입니다. 하지만 정작 갖고있는 데이터를 열어보니 실효성이 없는 ‘쓰레기 데이터’만 있다면 어떨까요? 데이터를 선별하지 않고 무작정 지키기만 한다면 오히려 데이터를 분석한 결과가 기업의 의사결정을 잘못된 방향으로 이끌 수도 있습니다.

기업의 데이터 보안과 관리는 정보 유출을 막는 것에도 목적이 있지만, 궁극적으로는 가치있는 데이터를 걸러내고 그 데이터를 잘 유지, 발전시킴으로써 기업의 비즈니스 의사결정 혹은 생산성을 제고할 수 있어야합니다. 따라서 데이터 관리로 고민하고 있는 기업이라면 ‘보안’에 초점을 맞추기 보다 ‘데이터’를 잘 관리하고 활용할 수 있는 방안에 초점을 맞춘다면 보다 현명하고 효율적인 기업 데이터 관리가 가능할 것입니다.

 

[참고자료]

1) Gartner ‘Connection Versus Collection  The Future of Data Management’
2) Gartner ‘State of Data Security’


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

 

목록