[기고] 정보 유출 방지에 주목하자


사람&전문가 칼럼	[기고] 정보 유출 방지에 주목하자 기자명 \| cdnews@cdnews.com

승인 2009.06.17 17:01:46



	▲ 김종덕 블루코트 코리아 지사장

몇몇 기업에서의 개인 정보 유출 사고, 국내 기업의 임직원이 주요 기술을 중국으로 유출, 신용카드사 직원이 고객 정보를 유출.

앞의 3 가지 사건의 공통점은 무엇일까? 바로 정보 유출이다. 정보 유출은 이처럼 개인과 기업 모두가 민감해하는 부분이다. 포털 사이트와 같이 많은 방문자를 가진 사이트가 정보 유출이 됐다는 기사만 나오면, 모두 해당 사이트를 방문해 자신의 정보가 유출되었는지를 확인하며 지인들끼리 정보 유출에 대해 이야기 꽃(?)을 피우는 모습을 아마 한번쯤 은 봤을 것이다.

기업은 또 어떠한가? 정보의 시대라는 말에 걸맞게 중요한 정보는 한 회사의 흥망을 좌우하기 까지 한다. 이 때문에, 기업은 메신저를 차단한다거나 한메일, 핫메일, 네이버 등 암호화 된 외부 사설 메일 서비스를 차단하거나 하는 조치를 취하고 있다. 다만, 기업이 이렇게 과도하게 차단을 하다 보면, 직원들의 업무에 지장을 주는 경우도 발생하게 된다. 왜냐하면 이를 통해 업무 효율성을 극대화하는 소위 착한 직원도 많기 때문이다.

이런 추세를 반영하여, 정보 유출 방지에 대한 기업의 관심은 높아만 가고 있다. 세계적인 리서치 기관인 오스터만(Osterman)이 지난 해에 실시한 설문 조사에 따르면, 대중소기업의 53%가 2009년 상반기 중에 데이터 유출 방지 솔루션에 대한 추가 투자를 할 것이라고 한다. 하지만, 그 많은 정보 유출 방지 솔루션 중에 어떤 제품을 선택해야만 할까? 정보 유출에 효과적인 데이터 유출 방지(Data Leakage Prevention) 솔루션이 갖추어야 할 조건이 무엇인지 알아보자.

첫째, 무조건 차단만 하는 솔루션은 지양한다.

사실 정보 유출을 예방하는 가장 좋은 방법은 외부와 내부의 커뮤니케이션 자체를 단절하는 것이다. 하지만, 기업에게 있어서 외부와의 커뮤니케이션은 매우 중요하기 때문에 완벽한 차단하는 것은 불가능하다. 많은 솔루션이 정보 유출과 민감한 부분은 무조건 차단하는 성향을 띠고 있다. 예를 들면 암호화된 이메일을 통해 정보가 유출되었다면 암호화 이메일 사용 자체를 차단하는 것이다.

물론, 효과는 분명히 있다. 하지만, 네트워크 관리자라면 이런 생각을 할 것이 분명하다. “혹시, 효과는 유지하되 암호화된 이메일 만큼은 편하게 사용하게 해 줄 수 있는 솔루션은 없을까?”라고 말이다. 시중에 출시되어 있는 솔루션 중에는 이런 사용자의 요구를 만족시켜주는 솔루션이 출시되어 있다. 암호화된 이메일 등의 트래픽에 대한 모니터링을 통해 이를 구분함으로써, 중요한 정보가 유출되려고 할 때는 차단하고, 업무 관련 일 경우에는 사용하도록 해주는 것이다. 쉽게 말하면, 입구와 출구에서 문지기 역할을 해주어 죄수는 못 나가도록 하고, 방문객은 나갈 수 있도록 문을 열어 주는 솔루션이라고 생각하면 이해가 쉽게 될 것이다.

둘째, 맬웨어와 같은 웹 기반에 대한 방어가 없는 솔루션은 무의미하다.

네트워크를 오가는 콘텐츠에 대해서 모니터링이 가능하다고 가정해보자. 위에서 언급한 대로 나쁜 것은 차단하고 좋은 것은 보내면 된다. 그런데, 여기서 발생하는 문제가 하나 있다. 최근에는 웹을 통해 유입되는 맬웨어가 사용자도 모르는 사이에 다시 웹을 통해 정보를 유출하는 경우가 많이 있다. 불행하게도 이렇게 정보 유출을 유도하는 맬웨어는 모니터링만으로는 구분이 힘든 경우가 많다. 이렇기 때문에, 정보 유출 방지 솔루션은 맬웨어와 같은 웹 기반의 위협에 대한 보안 기능을 가지고 있어야만 한다.

셋째, 정보 유출 방지 솔루션은 기업의 정책을 유연하게 적용할 수 있어야 한다.

기업의 정책은 매우 유동적이다. 지금까지는 아무렇지 않게 오가던 유형의 트래픽이 하루 아침에 차단의 대상이 될 수도 있다. 또 기업이 주력하는 사업이나 프로젝트에 따라 중요 정보의 순위도 변동되고 이를 보호하는 정책들도 변하게 된다. 훌륭한 정보 유출 방지 솔루션이라면 이렇게 업데이트된 정책을 유동적으로 신속하게 반영할 수 있어야만 한다. 정책은 모든 정보를 판단하는 기준이다. 이러한 기준이 애매모호하다면 효과적인 정보 유출 방지가 이루어질 수 없다.

위와 같이 정보 유출 방지 솔루션을 선택하기 위해 반드시 고려해야만 할 사항을 언급해보았다. 새로운 정보 유출 솔루션의 구매 고려시, 위의 사항들을 확인하는 것만으로도 매우 효과적인 정보 유출 방지 솔루션을 구축할 수 있을 것이다.

[글 : 블루코트 코리아 김종덕 지사장, jd.kim@blucoat.com]