2024-02-23 12:35 (금)
[PASCON 2022-영상] 클라우드 대전환 시대, 고객 데이터 유출 위험 관리 해법
상태바
[PASCON 2022-영상] 클라우드 대전환 시대, 고객 데이터 유출 위험 관리 해법
  • 길민권 기자
  • 승인 2022.10.13 16:58
이 기사를 공유합니다

스파이스웨어 이미르 과장 강연영상
스파이스웨어 이미르 과장
스파이스웨어 이미르 과장

2022년 하반기 최대 정보보안&개인정보보호 컨퍼런스 PASCON 2022가 9월 28일 수요일 오전 9시부터 서울 양재동 더케이호텔서울 2층 가야금홀에서 공공, 금융, 기업 정보보안책임자, 실무자, 개인정보보호 책임자 및 실무자 등 1,200여 명이 대거 참석하는 가운데 성황리에 개최됐다. 

이 자리에서 스파이스웨어 이미르 과장은 ‘클라우드 대전환 시대, 고객 데이터 유출 위험 관리 해법’을 주제로 강연을 진행했다. 

비즈니스는 고객의 마음을 사는 일이다. 다양한 고객의 요구를 만족시키기 위해서는 어떤 사업이든 고객 데이터 수집 및 관리는 필수적이다. 클라우드 서비스가 디지털 전환의 필수 요소로 손꼽히면서 고객 데이터를 클라우드 서비스를 이용해 관리하는 기업이 많아지고 있다. 방대한 양의 데이터를 손쉽게 관리・처리하기에는 클라우드 만큼 적합한 수단이 없고, 여기에 업무 공간이 다양해지는 추세에 맞춰 언제 어디서든 접근할 수 있는 편리성 때문일 것이다. 

그럼에도 불구하고 많은 기업이 클라우드 전환을 망설이고 있다. 보안에 대한 우려 때문이다. 방대한 양의 데이터와 언제, 어디서, 누구나 접근 가능하다는 클라우드의 장점은 보안 허점이라는 동전의 양면으로 작용한다. 클라우드는 기존 설치형, 온프레미스와 특성이 크게 다른 만큼 보안도 다른 접근법을 택해야 한다. 클라우드에 보관된 고객 데이터의 보안 관리 포인트는 세 가지다. 

첫째, 접근 권한 관리다. 접근 권한을 보다 세밀하고 엄격하게 관리할 필요가 있다. 일반적으로 클라우드를 사용 기업은 클라우드 서비스의 초기 권한 설정을 그대로 활용하는 경우가 많다. 그 결과, 너무 많은 인원이 데이터에 접근할 수 있는 권한을 갖게 된다. 한 보고서에 따르면 약 99%의 클라우드 계정이 본래 부여돼야 하는 것보다 더 폭넓게 권한이 부여되는 것으로 나타났다. 따라서 업무 유형과 권한에 따라 볼 수 있는 고객 정보의 범위를 다르게 설정해 과도한 열람과 노출을 줄여야 한다. 

둘째, 고객 데이터 암호화와 접속기록 관리다. 두 항목은 유출 사고가 발생했을 때 사후 처리에 대비할 수 있게 한다. 데이터 암호화는 사고 발생 시 고객 데이터가 악용될 확률을 낮춰 피해를 줄여준다. 또한 접속기록 관리는 사후 추적 모니터링, 증거 보존, 유출 범위 및 여부 등에 대한 확인을 용이하게 해 사고 대응을 돕는다. 클라우드 서비스 사용 기업은 클라우드 서비스의 보안성만 믿고 경각심을 낮추는 경우가 잦다. 이 때문에 최근 발생한 클라우드 내 개인정보 유출 사고를 살펴보면 암호화와 접속기록 관리 부실에서 기인한 사례가 많다. 하지만 클라우드 서버 내에서 발생한 보안 책임은 클라우드 사용 기업에게 있다. 하지만 클라우드는 접근하는 인원도, 저장되는 데이터도 방대하므로 보안 담당자가 이를 일일이 관리하기는 불가능에 가깝다. 이를 보완하는 것이 자동화 시스템이다. 개인정보를 수집·탐지·식별하며 접속 기록을 관리하고, 비정상적인 접근 발생 시 이상징후 알림까지 자동으로 처리하는 시스템으로 보안 공백을 메꿀 수 있다. 

마지막으로 통합 관제다. 언제, 어디서, 누구나 접근이 가능한 클라우드의 특성상, 보안 가시성은 온프레미스와 비교했을 때 특히 더 중요한 항목이다. 사용자 활동, 실시간 성능 등에 대해 가시적으로 파악할 수 있어야 보안 위협에 즉각 대처할 수 있기 때문이다. 또 클라우드 설정 오류는 유출 사고의 잦은 원인인 만큼 기본 설정 변경 건에 대해서도 주기적으로 확인할 필요가 있다. 관리자가 모르는 사이에 기본 설정 항목 변경됐다는 점은 내부 권한 체계에 문제가 발생했을 가능성이 높다는 것을 의미한다. 이는 곧 보안 사고로 이어진다. 이에 보안 담당자는 내부 설정 변경내용을 항시 주시하며 빠르게 대응할 수 있도록 보고 체계를 갖춰야 한다. 

정리하면, 클라우드 서비스의 장점을 살려 효율적으로 활용하기 위해서는 클라우드의 특징을 반영한 전용 보안 체계를 구축해야 한다. 특히 클라우드 서비스 제공자의 보안 능력에만 전적으로 의존해서는 안 된다. 법 위반에 대한 책임은 제공자가 아닌 사용자인 기업이 진다. 보안에는 완벽한 대비만이 있을 뿐이다. 클라우드를 도입했거나 도입 예정인 기업이라면 빠른 시일 내에 클라우드 보안 전문가와 함께 클라우드 사용 시 일어날 수 있는 보안 맹점을 꼼꼼하게 살펴 근본적인 개선을 이룰 것을 권한다고 전했다. 

보다 상세한 내용은 아래 강연 영상을 참고하면 된다. 강연자료는 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★