암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 이한 유출 사고의 발생빈도가 높습니다. 데이터 침해사고는 기업의 중요 데이터와 민감한 고객정보 등을 유출시킴으로써, 기업의 비용손실은 물론, 신뢰도 저하 및 고객 이탈 그리고 법적인 문제에 휘말릴 수 있습니다.
중요한 데이터를 다루는 기업은 당연히 암호화를 통해 데이터를 보호할 것입니다. 하지만 2019년도 Ponemon의 ‘Global Encryption Trends Study’에 따르면, 암호화 전략을 채택한 기업은 45% 정도에 지나지 않습니다. 올바른 암호화 전략은 암호화를 통한 데이터 보호뿐만 아니라 컴플라이언스 준수에도 도움이 됩니다.
암호화 전략
최근 Forrester의 연구에 따르면, 데이터와 분석 기반의 비즈니스는 전세계 GDP 보다 최소 7배 빠른 성장을 보인 것으로 나타났습니다. 즉, 데이터의 수집•분석•가공•분배를 통한 경제적 가치는 그만큼 높다는 것을 의미합니다. 이러한 데이터 생명주기에 의한 경제적 가치를 달성하기 위해서는 무엇보다도 데이터의 안전성이 전제되어야 합니다.
따라서 민감한 데이터를 다루는 기업은 데이터를 안전하게 보호할 수 있는 기술을 적용하고, 규제당국이 요구하는 컴플라이언스를 준수함으로써 책임을 다할 필요가 있습니다.
하지만 보안 전문가들은 아직까지도 많은 기업들이 데이터를 효과적으로 보호하기 위한 충분한 기술과 역량을 보유하고 있지 않으며, 일반적인 보안전략 수립은 잘 하고 있으나 데이터 암호화 전략 수립에 있어서는 이해도가 부족하다고 생각합니다.
데이터 암호화 전략은 민감정보를 포함한 중요 데이터 암호화, 강력한 접근제어 구현, 암호화 키의 안전한 관리 등의 기술적인 부분과 데이터 보호를 위한 컴플라이언스 준수를 포함하고 있습니다.
데이터 보호
데이터 암호화는 침해사고로 인한 데이터 유출시에 최후의 수단으로서 데이터를 무용지물로 만들어 버리는데 그 목적이 있습니다.
데이터 보호의 시작은 데이터가 어디에 있는지 파악하고, 보호 할 데이터를 식별하는 것입니다. 고객 및 재무정보와 같은 데이터는 식별이 용이하지만, 일부 데이터는 그렇지 않은 경우도 있습니다. 지난 10년간 개인정보 및 민감정보에 대한 많은 변화를 겪으면서 많은 기업들이 여전히 데이터 식별에 어려움을 겪고 있습니다.
민감한 데이터를 식별한 이후, 데이터의 안전한 암호화 및 관리방안에 따라 암호화 전략을 실행합니다.
△암호화 키는 안전한 장소에 데이터와 분리하여 저장
△각 산업 분야별 적합한 키 교체 모범 사례를 반영한 주기적인 암호화 키 교체
△디바이스 데이터 보호를 위해 하드웨어 기반 Self-Encryption 기법 적용
△세부적인 데이터 접근 및 삭제를 위해, 매체, 파일, 데이터베이스간의 계층적 암호화
△외부와 공유되는 개인정보를 익명화하기 위해 데이터 마스킹 및 토큰화 기술 사용
데이터 암호화 외에 데이터 접근제어와 모니터링을 통해 권한이 부여된 특권 사용자에게만 접근을 허용하며, 데이터에 대한 빠르고 안정적인 접근을 보장합니다.
보안위협 대응을 위한 암호화
대부분의 보안전문가들은 데이터 침해사고와 랜섬웨어 등의 보안위협에 대해 인지하고 있으며, 기업의 최우선 과제 역시 이러한 보안위협을 차단하는 것입니다. 하지만 여전히 이러한 공격들은 유효하며 지속적으로 발생하고 있습니다.
지속적으로 증가하는 랜섬웨어 공격과 데이터 침해사고를 막기 위해, 기업은 많은 투자와 노력을 기울이고 있습니다. 하지만 끊임없이 취약점을 연구하고 호시탐탐 운영 실수 및 오류 등의 공격기회를 노리는 해커들의 공격을 100% 막는 다는 것은 불가능에 가까운 일입니다.
데이터 침해사고를 완벽하게 차단하지 못하는 것에 회의적일 필요는 없습니다. 보호하려는 데이터를 암호화함으로써 침해사고 발생시 데이터를 무의미하게 만든다면, 그러한 보안위협에 대한 대응방안으로 충분할 것입니다. 즉, 암호화는 클라우드 및 온프레미스 환경에 산재한 데이터를 내·외부의 공격으로부터 보호하며, 민감한 고객의 데이터를 안전하게 지킬 수 있는 필수 불가결한 선택입니다.
컴플라이언스 준수를 위한 암호화
국가와 정부 그리고 산업 컨소시엄이 개인정보보호의 중요성을 인식함에 따라, GDPR(Global Data Protection Regulation), CCPA(California Consumer Protection Act), ISMS-P(Information and Privacy Security Management System), PIA(Privacy Impact Accessment) 등과 같은 컴플라이언스를 제정하고 있으며, 지키지 않을 경우 무거운 벌금을 부과하도록 하고 있습니다.
하지만 기업의 입장에서는 어떤 데이터가 어떤 컴플라이언스에 저촉되는지, 침해사고시 신고조항이나 규제 미준수에 따른 법적 책임 등에 대한 요건들은 전부 이해하고 준수 하기란 만만치 않은 일입니다.
암호화는 여러 보안 컴플라이언스에 대한 미준수를 해결하는데 도움을 줍니다. 중요하고 민감한 데이터가 도난 당했을 경우, 데이터를 무용지물로 만듦으로써, 데이터 보호라는 컴플라이언스 요건을 충족시킬 수 있습니다. 추가적으로, 협력사 또는 지사와의 데이터 공유시 민감한 데이터의 마스킹 처리 또는 토큰화 등과 같은 방법을 통해 컴플라이언스 요건을 준수할 필요가 있습니다.
맺음 말
암호화 전략을 수립하고 적용하기 위해서는, 데이터를 파악하고 민감한 데이터를 식별하며, 데이터의 규모나 중요성에 따라 적정한 암호화 솔루션을 도입할 필요가 있습니다. 또한 개인정보보호법, 정보통신망법, 신용정보보호법, 의료법 등 많은 법적인 요구사항 분석을 통해, 조직과 비즈니스에 적합한 최적의 보안정책 수립과 운영이 동반되어야 합니다.
[글. 이강석 보안칼럼리스트 / ksbebob@gmail.com]
★정보보안 대표 미디어 데일리시큐!★