[보메트릭 최고경영자 앨런 케슬러. 사진] 전세계적으로 사이버 보안분야에서 데이터 암호화에 대한 관심과 논의가 뜨겁다. 미국에서는 ‘국제 사이버 보안 인식의 달(National Cyber Security Awareness Month, NCAM)’이었던 지난해 10월 한 달 간, 가장 많이 거론이 되어야만 했던 주제가 바로 암호화였으며, 이제 암호화는 기업이 고객, 파트너, 직원 및 주주들에게 신뢰감을 주는 데 있어 가장 중요한 전략 중 하나가 되었다.
 
그도 그럴 것이 애플과 구글은 각각 자사의 iOS8 소프트웨어와 안드로이드 스마트폰을 위한 새로운 패치에 데이터 암호화를 자동으로 수행하는 기능을 포함시켰다. 이와 관련해 팀 쿡 애플 CEO는 “각 개인들은 자신의 사생활을 지킬 권리가 있으며, 앞으로 1년 이상의 기간 동안 이는 매우 중요한 주제로 떠오를 것”이라고 말했다.
 
이에 향후 저장 데이터에 대한 완벽한 암호화를 목표로 하고 있는 기업들을 위해 기술 및 비즈니스적으로 고려해야 할 핵심적인 사항들을 몇 가지 공유하고자 한다.
 
◇다양한 데이터 형태에 따른 유연성을 확보하라
기업들은 자사의 암호화 솔루션이 다양한 데이터 형태를 모두 포함할 수 있는지 확인해봐야 한다. 일반적으로 기업이 보유하고 있는 하나의 데이터 집단은 다양한 저장 공간에 데이터베이스 데이터, 비정형 데이터 및 빅데이터 등 서로 다른 형태로 저장돼있기 때문이다. 즉, 암호화 작업을 시작한다면, 자사의 데이터가 하나의 형태이고 모두 같을 것이라는 생각은 버리는 것이 좋다.
 
◇기업시스템의 확장성을 고려하라
과거 대부분의 암호화 솔루션은 고립돼 있었다. 일반적으로 각 서버 및 데이터베이스에 별도로 구축돼 있었으며, 여러 가지 다양한 솔루션이 혼재해 있었다. 그러나 오늘날과 같이 운영의 단순함을 원하는 시대에는 몇 개에서 수 백 및 수 천 개의 서버 및 애플리케이션까지 확장 가능한 솔루션이 주목 받고 있다. 즉, 기존과는 완전히 새로운 조건이 요구되고 있으므로 기업은 자사의 솔루션이 충분한 확장성을 갖추고 있는지 점검해봐야 한다.
 
◇우선적인 과제부터 해결하라(Executive Buy-In)
임원들은 암호화 솔루션 구축에 있어 자사의 최우선 과제가 무엇인지 생각해봐야 한다. 예를 들어 팀이 효율적으로 운영되고 있는지, 조직 구성원들에게 암호화의 이점이 잘 전달됐는지, 또한 구축 프로젝트의 데드라인과 스케줄에 맞춰 진행이 가능한지 등을 확인해야 한다. 
 
◇데이터를 분류하라
한편 암호화 솔루션 구축은 오래된 데이터를 제거하는데도 좋은 자극제가 될 수 있다. 이러한 점까지 고려한다면 데이터 분류 모델이 답이다. 예를 들어, 가장 민감하다고 분류한 데이터는 최우선 순위로 보호해야 하며, 두 번째로 민감한 데이터는 암호화를 적용하되 덜 긴급하게 진행할 수 있다. 마지막으로, 3단계로 분류된 데이터에 대해서는 암호화를 진행할 필요가 없으며, 필요에 따라서는 삭제해도 무방하다.
 
◇강력한 관리 권한 및 오너십을 부여하라
암호화 감독을 위한 전반적인 관리 권한 및 오너십을 부여하는 것이 어렵다면, 과연 현재 암호화가 자사의 조직을 위한 최상의 전략이 맞는지 면밀히 살펴볼 필요가 있다. 또한, 기업은 글로벌 데이터 보호 및 보안을 책임지는 중앙집권화된 임원직을 마련해야 한다. 이를 통해, 기업은 공통적인 아키텍처 및 접근 방식을 활용하면서 조직의 비즈니스 목표와 데이터 보안 정책을 보다 쉽고 효과적으로 연계시킬 수 있다.
 
◇운영 비용을 절감하라
운영 비용 측면에서, 20개의 서로 다른 암호화 솔루션보다 단일의 단순한 암호화 솔루션이 낫다는 것을 기억해야 한다. 너무 많은 독자적인 솔루션들은 결국 기업의 손익 구조에 부담으로 작용하는 상당한 운영 비용을 초래할 것이다.
 
◇인프라에 대한 영향을 최소화하라
기업들은 암호화 프로세스로 인한 성능 영향을 고려해야 한다. 오늘날 정교한 컴퓨팅 플랫폼은 인텔의 AES NI와 같이 종종 하드웨어 기반의 암호화 기능을 제공하기도 한다. 그럼에도 불구하고, 기업들은 트랜잭션, 빅데이터 및 백업 등 다양한 시나리오 하에서 솔루션을 운영하기 위해 폭넓게 암호화 플랫폼을 구축하고자 한다. 그러나 중요한 것은 20~30% 또는 그 이상의 계산 용량을 요하는 암호화 솔루션을 도입하는 것은 거의 대부분의 기업에 있어 바람직하지 않는다는 것을 염두에 두어야 한다.
 
◇운영 시스템의 유연성을 확보하라
모든 기업들은 시스템, 애플리케이션 및 데이터베이스 등 다양한 유형의 데이터를 보유하고 있다. 따라서 이러한 모든 종류의 데이터를 포괄하기 위한 운영 시스템이 필요하다. 만약 약 20가지의 플랫폼을 사용할 경우, 20개의 서로 다른 암호화 플랫폼을 사용할 것인지 아니면 폭넒은 운영 시스템 및 데이터베이스 환경을 지원할 수 있는 단일의 암호화 플랫폼의 도입으로 비용을 절감할 것인지는 기업의 선택에 달렸다.
 
◇운영 환경의 변화에 대응하라
기업들은 해당 암호화 플랫폼이 온프레미스나 퍼블릭, 프라이빗 및 하이브리드 클라우드를 모두 지원할 수 있을 정도의 유연성을 갖추고 있는지를 확인해야 한다. 즉, 이러한 시스템 관리에 필요한 운영 모델과 기술들이 다양한 운영 환경으로 확대 가능한지 검토가 필요하다.
 
◇각 국가의 규제를 준수하라
각 나라의 규제가 기업의 암호화 솔루션 구축 계획에 어떠한 영향을 미칠 것인지 파악해야 한다. 미국에서는 허용된 암호화 키 솔루션이 스위스, 룩셈부르크, 홍콩 및 싱가포르에서는 사용할 수 없는 예도 있다.
 
마지막으로 가장 중요한 사항 한 가지를 꼽는다면, 시스템의 유지 보수 및 관리를 위해 필요한 시스템 관리자, 도메인 관리자, 스토리지 관리자 등의 계정과 같이 ‘권한이 있는 사용자의 데이터 접근’일 것이다.
 
권한 있는 사용자 계정을 통해 시스템에 더 밀접한 접근이 가능해지고, 더 많은 양의 개인 및 기밀 데이터를 확인할 수 있기 때문에 위험성이 더욱 커진다. 따라서 해당 직원이 중요 데이터에 대해 업무상 접근할 필요가 없다면, 단지 특정 직책을 맡고 있다는 이유만으로 접근 권한이 주어져서는 안 된다.
 
더욱이 클라우드 및 기타 서비스 제공 업체를 사용하는 경우, 이 같은 정책은 클라우드 제공업체에도 확대 적용해야 한다. 즉 그들이 업무상 기업의 데이터를 참조할 필요가 없는 경우, 해당 데이터를 볼 수 없도록 차단해야 한다. 일상 생활에서 비유를 들자면, 우편집배원이 편지를 전달하기 위해 봉투를 열 필요가 없는 것과 마찬가지다.
 
기업은 "최소 권한"의 개념을 적용해야 한다. 권한이 있는 사용자 계정은 인프라 및 시스템 유지를 위해 꼭 필요하기 때문에, 관리자의 업무를 수행하기 위한 권한은 부여하더라도 데이터 접근에 있어서는 “최소한의 권한”만을 줘야 하는 것이다. 암호화와 계정 관리 시스템을 통한 접근 제어의 결합은 기업 보안 문제에 있어 최상의 해결책이다.
 
글. 보메트릭 최고경영자 앨런 케슬러(Alan Kessler)
 
★정보보안 대표 미디어 데일리시큐!★