비즈니스가 원활히 운영되기 위해 가장 먼저 확보해야 할 요소 중 하나는 바로 데이터 보안입니다. 직원, 고객, 주주, 파트너 등 다양한 이해관계자가 연결된 글로벌 환경에서는 민감한 데이터가 기업의 자산이자 리스크 요인이 됩니다. 데이터 유출은 단순한 재무적 피해를 넘어 기업 평판과 시장 신뢰에 심각한 타격을 입힐 수 있습니다.
데이터 보안이란?
데이터 보안은 민감한 정보를 무단 접근, 손상, 변조, 오용으로부터 보호하는 모든 절차와 기술을 뜻합니다. 특히 개인정보, 금융 정보, 지적 재산권은 공격자들의 주요 표적이 되기 때문에 강력한 보호가 필수적입니다. 원격 근무, 클라우드 서비스, 다중 디바이스 사용이 일상화된 지금 데이터는 언제 어디서든 유출될 수 있기 때문에 보안 전략은 전사적 차원에서 설계되어야 합니다.
데이터 보안과 혼동하기 쉬운 개념들
데이터와 관련된 세 가지 핵심 개념과 관련하여 종종 혼란을 발생합니다.
- 개인정보보호는 기업이 고객 데이터를 어떻게 수집·활용·보관하는지에 대한 정책과 규정을 말합니다.
- 데이터 보호는 백업과 복구를 통해 데이터 유실에 대비하는 활동을 의미합니다.
- 데이터 보안은 무단 접근이나 침입 자체를 차단하는 기술적·관리적 통제를 의미합니다.
세 개념은 맞물려 있지만, 데이터 보안은 다른 모든 영역의 토대라 할 수 있습니다.
데이터 보안 기술
현대 보안 전략은 다양한 기술과 방법론의 조합으로 구성됩니다.
데이터 마스킹
신용카드 번호처럼 민감 정보를 부분적으로만 노출해 악용을 막습니다.
데이터 암호화
데이터를 무의미한 포맷으로 변환하고, 인증된 사용자만 키를 통해 해독할 수 있게 합니다.
데이터 백업/복구
장애나 공격으로 원본이 훼손되더라도 즉시 복원할 수 있도록 복제본을 유지합니다.
데이터 소거
데이터 소거는 더 이상 필요하지 않은 데이터를 영구적으로 삭제하는 방식입니다. 예를 들어 예전 고객이 더 이상 기업과 거래하지 않는다면 금융 데이터는 삭제되어야 합니다. 또한 특정 고객이 특정 세부 데이터를 삭제해 달라고 요청할 시, 우수한 데이터 정책을 가진 기업은 이를 이행합니다. 삭제된 데이터는 또한 복구가 불가능합니다.
인증과 인가
강력한 암호 정책, 다단계 인증, 역할 기반 접근 제어(RBAC)로 사용자 접근을 관리합니다.
토큰화
토큰화는 실제 특정 민감 데이터는 안전한 곳에 보관하고 토큰으로 쓰일 임의의 문자 시퀀스로 실제 데이터를 대체하는 방식입니다.
데이터 보안 규제
기업이 데이터를 다룰 때는 각국의 규제 준수가 필수입니다.
일반 데이터 보호 규제(GDPR)
일반 데이터 보호 규정은 유럽연합 시민 개인정보를 보호하며 SSN, 이메일 ID, IP 주소, 전화번호, 계좌번호 등 중요한 데이터 요소에 적용됩니다. 기업은 이러한 데이터를 분류하고 만약 개인이 명확히 요청할 경우 이를 삭제해야 합니다. 또한 데이터 유출 사고 발생 시 72시간 내 보고하여야 합니다. 기업은 이 데이터가 어떻게, 어디에, 언제 쓰이는지 명확하고 상세하게 안내할 책임 또한 지고 있습니다.
사베인스 옥슬리법(SOX)
사베인스 옥슬리 규정은 미국 연방법원의 감사 통제수단 관련 법률입니다. 기업은 중요 데이터 포인트, 보안 설정 및 접근 권한을 통제해야 하며 동시에 연간 보고 절차의 일환으로 기업 내부 통제수단 평가를 수행하여야 합니다. 데이터 사용, 데이터 변경 및 권한 업데이트에 대한 정기 보고 역시 사베인스 옥슬리 규정의 적용 대상입니다.
미국 건강 보험 이동성 및 책임법(HIPAA)
미국 건강 보험 이동성 및 책임법은 건강보험을 규제하며 건강 정보에 관련된 기록에 적용됩니다. 민감 데이터 접근 및 권한 변경과 관련된 지속적인 감시 활동은 이 법에 따라 적용됩니다. 해당 법률은 또한 모든 사용자의 상세한 활동을 서면 기록으로 보관하도록 권장합니다.
미국 연방 보안 정보관리법(FISMA)
미국 연방 보안 정보관리법은 연방정부기관이 준수해야 할 가이드라인 및 보안 기준과 관계가 있습니다. 정부와 어떤 식으로든 계약 관계를 맺은 민간 기업 또한 해당 법률의 적용을 받습니다. 지속적인 감시 활동, 리스크 범주화, 보안 통제 및 강력한 시스템 보안 계획을 통해 정부기관은 공격과 발생 가능성이 있는 보안 취약성을 방지할 수 있습니다.
가족 교육권 및 프라이버시에 관한 법률 (FERPA)
가족 교육권 및 프라이버시에 관한 법률은 미국 연방 지원금을 받는 교육 기관에게 적용됩니다. 이 법은 학생의 교육 기록 내 포함된 개인식별정보(PII)를 보호하는 데 초점을 맞추고 있습니다.
지불 카드 기업 데이터 보안 표준(PCI DSS)
신용카드 거래를 처리하는 기업체에게 적용되는 지불 카드 기업 데이터 보안 표준은 강력한 접근 통제수단을 시행하여 카드 소유자 정보를 보호하는 데 중점을 두고 있습니다. 취약성 관리 프로그램, 지속적인 위협 감시 및 보안 전문가 양성이 핵심 요소입니다.
그램-리치-블라일라법(GLBA)
그램-리치-블라일라법은 금융기관 혹은 금융상품이나 서비스를 판매하는 모든 기관이 고객의 개인식별정보(PII)와 비공개 개인정보(NPI)를 안전하게 수집, 공유 및 사용하도록 하게 합니다. 또한 고객에게 그들 정보의 실제 사용처를 알리고 고객이 언제든 개인정보 제공 및 사용을 거부할 수 있도록 하는 것이 기업에게 요구됩니다.
지속적인 규제 준수를 보장하는 5가지 방법
주기적으로 시행하여 데이터 보안을 최상의 상태로 유지할 수 있는 기본적인 방법이 있습니다.
- 규제 준수: 적용 가능한 법률과 규정을 정확히 이해하고 대응하세요.
- 리스크 평가: 주기적인 취약성 점검과 위협 분석하세요.
- 보안 계획: 정책 수립, 직원 교육, 주기적 업데이트하세요.
- 실시간 탐지와 대응: 이상 징후가 발생하면 즉시 경고 및 차단하세요.
- 전문가 협력: 내부 역량으로 부족할 경우 외부 보안 전문가의 지원 활용하세요.
모바일 앱 보안까지 확장 필요
데이터는 클라우드와 서버뿐 아니라 모바일 환경에서도 취급됩니다. 앱 보안이 취약하면 데이터는 쉽게 위협에 노출됩니다.
- 불필요한 데이터는 즉시 삭제하고, 꼭 필요한 데이터만 최소한으로 보관해야 합니다.
- 앱 무결성을 확인하고 위변조를 방지하는 기술이 필요합니다.
- 런타임 보안(RASP) 같은 솔루션을 도입하면 앱 실행 중 공격을 실시간으로 탐지·차단할 수 있습니다.
도브러너는 별도 코딩 없이 모바일 앱을 보호하는 런타임 보안 솔루션을 제공합니다. 금융, 게임, OTT, 이커머스 등 다양한 산업에서 위협을 사전에 차단하고 데이터 유출을 예방할 수 있습니다.
