개인정보보호법 시행에 따라 기업에서 중요하게 대두되는 것이 바로 개인정보 거버넌스 전략이다. 최일훈 소만사 연구소장은 21일 열린 개인정보보호법 대응전략 세미나에서 ‘개인정보 거버넌스, 기술적 대응방안 중심’이라는 주제로 발표를 했으며 그 중심에는 DLP(Data Loss Prevention)가 중심을 이루고 있었다.  
 
기업에서 정보라는 것은 회계정보, 연구기밀, 고객리스트, 기획과 전략 정보 등의 영업비밀과 제품과 서비스를 공급하기 위해 사용자의 동의하에 얻은 사적 정보인 개인정보 2가지를 말한다. 즉 산업기밀과 개인정보가 기업이 지켜야 할 정보라고 할 수 있다.
 
이러한 정보에 대한 보안위협들의 트랜드도 변하고 있다. 침입, 바이러스, 해킹 자체를 목적으로 하는 것에서 정보유출을 목적으로 공격이 이루어지고 있고 외부로부터의 공격보다는 내부사용자에 의한 정보유출이 증가하고 있다. 또 권한이 없는 자의 공격에서 권한이 있는 자의 공격, 네트워크, 시스템, 서버 공격에서 정보 그 자체에 대한 공격이 주를 이루고 있다. 그리고 법의 강화로 인해 자기 손실 방지에서 법률에 의한 처벌 대비에 집중되고 있는 상황이다.
 
정보유출의 경로도 다양하다. 컴퓨터 침입, 해킹 뿐만 아니라 경쟁사 스카우트, 인사와 처우 불만직원, 매수 등 금전유혹, 공동연구, 도청, 위장합작, 제3자이용, 문서유출, 위장침투, 절취, 문서유출, 촬영 등 다양한 방법들이 동원되고 있다. 특히 최근에는 해커나 퇴사자 즉 외부자에 의한 공격보다는 직원과 협력업체 등 내부자에 의한 정보유출이 증가하고 있는 상황이다. 내부자에 의한 정보유출 유형은 실수, 분실/도난, 고의 등이다. 이러한 정보유출을 방지하기 위한 솔루션으로 DLP 솔루션에 관심이 쏠리고 있다.  
 
◇DLP의 분류=가트너는 DLP를 4가지로 분류하고 있다.
Data in Motion (Network DLP)는 메일, 인스턴트 메신저, 웹하드, P2P, FTP/Telnet 등 네트워크 응용프로그램을 이용한 정보유출 시도를 방지하는 것이다.
 
Data at Rest (Data Discovery)는 PC/서버에 메일 또는 파일형태로 저장된 중요정보를 식별하고, 중앙집중적으로 관리하며 필요하면 삭제/암호화하는 방식이다.
 
Data at Endpoint (Endpoint DLP)는 USB나 외장하드와 같은 저장매체나 프린트 등을 통해 정보유출 시도를 방지하는 방식이다.
 
Database Security (DB-Wall)은 DB에 저장되어 있는 정보의 접근통제, 권한제어, 암호화 등의 방법을 이용하는 유출에 대응하는 방식이다.
 
이외 통합 DLP는 디스커버리, 네트워크 DLP, 엔드포인트 DLP를 통합하는 것이고 각 분야별로 필요한 기술이 있다. 디스커버리는 각종 OS상의 각종 파일 포맷 분석 기술, DBMS내의 데이터 분석 기술, 패턴/키워드 고속 매칭 기술, 정보 보유 중앙 집중/관리 기술, 중요도 측정 기술 등이 필요하다.
 
네트워크 DLP는 각종 Net App.의 통신 프로토콜 분석 기술, 각종 파일 포맷 분석 기술, 대용량 트래픽 처리 기술, 대용량 데이터 저장/조작 기술 등이 필요하다.
 
엔드포인트 DLP는 각종 장치(Device) 제어 기술, 각종 파일 포맷 분석 기술, API Hooking 기술, 프로세스 제어 기술 등이 필요하다.
 
최일훈 소장은 “최근 DLP는 행위 자체에 대한 통제보다는 내용에 기반한 통제에 초점을 맞춘 Content-Aware DLP가 대두되고 있다”고 강조했다.
 
◇네트워크 DLP와 엔드포인트 DLP 비교=최 소장은 DLP의 대표적인 방식인 네트워크 DLP와 엔드포인트 DLP 기술도 비교해서 설명했다. 우선 네트워크 DLP 기술은 이메일, 웹메일, 웹하드, 웹게시판, 인스턴트 메신저, FTP, Telnet 등 전송내역 로깅/검색/통계, 정책에 의해 차단하는 기술이다. 기술적 원리는 네트워크 패킷을 재조합(Reassembly)해 원래의 메시지를 복원하여 검사하는 방식이다.
 
한편 네트워크 DLP 기술에는 난제도 있다. 4가지로 요약할 수 있다. 우선 프로토콜 분석 난이도 증대를 들 수 있다. 랜덤포트, 포트 중간 변경, RFC가 없는 비표준 프로토콜, MSN은 6가지 전송 방식 사용 등 프로토콜 분석이 힘들어지고 있다는 점이다.
 
또한 웹포트 우회 서비스가 증가한다는 점이다. 메신저, P2P, 웹하드 등이 예다. SOCKS4/SOCKS5 Proxy, HTTP Proxy, 터널링 서비스와 80포트는 모든 서비스의 우회 포트로 사용되고 있다.
 
유출경로 서비스의 다양화도 문제다. 웹메일, 웹하드, 터미널서비스, P2P 등 비정형 프로토콜이 증가하고 있다는 것이다.
 
더불어 웹메일, 웹하드, 메신저 등은 1년에 2회 이상 프로토콜을 변경하고 있기 때문에 한번 구축이 아닌 지속적인 변경 지원 작업이 필요하다.
 
최 소장은 예를 들어 “MSN 메신저 우회방법을 통하면 네트워크 DLP는 막을 수 없는 상황”이라며 “대화 전송 시 포트가 차단될 경우 80포트로 우회해 파일 전송이 가능하고 P2P로 파일 전송 시 포트가 차단될 경우 80포트로 우회해 파일 전송이 가능하다. 또 프록시 서버로 우회해 대화 및 파일 전송이 가능한 상황이다. 터널링 서버로 우회해서 대화 및 파일 전송이 가능하다”고 지적했다.
 
한편 엔드포인트 DLP의 원리는 OS커널후킹, 프로세스 API 후킹, 패킷 분석 등이다. 세부기술을 살펴보면 LAN, 무선LAN, 블루투스, 적외선 통신, 시리얼, 패러랠, 테더링 등의 통신 매체 제어 기술이 적용되고 있다. 또 FDD, USB, 외장하드, CD/DVD 등의 저장 매체 제어와 안전모드 상에서의 제어, 파일이 아닌 컴퓨터 자체인 노트북의 분실/도난 대비, 출력물 보안, 원격 포맷 등의 기술이 적용되고 있다.
 
최 소장은 DLP기능 중 출력물을 통한 유출방지 기능을 강조하며 “개인정보(또는 키워드도 가능) 유무 확인이 가능하고 상황에 따라 경고-차단-결재 중 선택을 할 수 있어야 하고 특정부서 사용자에게만 적용이 가능해야 한다. 또 출력물 로깅(텍스트와 출력이미지), 오피스, 한글, PDF 등 문서는 물론 출력 가능한 모든 파일에 대한 통제가 가능해야 한다”고 설명했다.
 
◇DB방화벽, DB-Wall=최 소장은 또 DB유출을 방지하기 위해 DB방화벽에 대한 중요성도 강조했다. DB-Wall(DB방화벽)의 기능으로는 접근내역 기록, 접근내역에 대한 조회·검색·통계 기능 등, 개인정보취급자에 따른 DBMS 접근 정책, 개인정보취급자의 권한에 따른 DBMS내 접근 정책, Telnet/SSH/Rcommand 지원, FTP 파일 업로드/다운로드 지원, 주요정보에 대한 접근 결재 기능, 주요 정보 조작시 사전/사후 비교기능, 마스킹 기능, EPS기능(쿼리툴에서의 조회정보 2차가공 제한), 접근내역 위변조 방지 기능, DB VPN 기능 등을 제공하고 있어야 한다.  
 
특히 DB-Wall은 쿼리 보다는 조회 데이터가 더 중요하다. 그래서 조회 데이터에 대한 내용 검사 위주로 작동하고 WAS에 대한 정보유출 방지/탐지를 위해 HTTP/HTTPS에 대한 Response 내용 검사를 지원한다. 또 이상 탐지에 대해 단일 조회가 아니라 누적 관점의 분석이 가능하고 Data Discovery, NDLP/EDLP와 연동이 가능하다는 장점이 있다.
 
최일훈 소만사 연구소장은 “DLP도 급견한 IT환경의 변화에 적응해 가야 한다. 기업 내부에서 각종 스마트 디바이스들의 사용이 급증하고 있고 클라우드 서비스가 확대되고 있는 시점에서 정보유출의 포인트도 이동하고 있다”며 “자사 상황에 맞게 DLP 도입시 신중을 기해 선택해야 한다”고 강조했다.
[데일리시큐=길민권 기자]