기업에서의 PC 단말 에이전트에 대한 통합관리 요구사항 증가 BYOD 환경으로 관리포인트 증대...보안관리자들을 위한 EPP 주목   

[보안뉴스=강서일 닉스테크 공학박사] 개인정보보호법 시행으로 인해 많은 기업관리자들이 개인정보보호 솔루션 도입을 위해 고민하고 있다. 이에 여기서는 개인정보보호를 위한 보안 솔루션과 PC, 노트북, 태블릿 등 사용자 단말에 대한 향후 보안방향에 대하여 알아보도록 한다.

개인정보보호법 제정·공포로 인해 그 어느 때보다 개인정보에 대한 관심이 높아졌고, 수많은 기업들이 개인정보보호에 대해 고민하고 보안 솔루션 도입에 대해 검토를 진행해 왔고, 실제 도입도 활발하게 이루어지고 있다.

우선 개인정보보호를 한다는 것은 매우 어려운 일이라는 것을 알아야 한다. 개인정보의 라이프사이클 즉, 수집부터 폐기까지의 일련의 과정에 대한 보안을 요구하고 있는데 개인정보 수집에는 문서 혹은 웹페이지 입력을 통한 수집 방안이 있고, 이러한 수집 정보는 웹 서버 혹은 개인정보관리 시스템을 통해서 입력되어 데이터베이스에 저장된다.

이를 활용하는 업무부서에서는 개인정보에 권한을 가지고 접근하여 해당 정보를 활용, 재생산 등을 통해 다양하게 사용하고 목적이나 일정기간이 지나면 최종적으로 법령 혹은 회사 정책에 따라 폐기가 이루어진다. 이와 같이 하나의 개인정보는 다양한 방안으로 여러 사람이 연관된 관리가 필요하기 때문에 이를 보호하는 솔루션 도입이나 정책을 수립하는데 많은 어려움이 따른다.


개인정보 라이프사이클


이로 인해 보안관리자들은 개인정보보호를 위한 방안을 고민하고 있는데, 닉스테크는 개인정보보호 세미나에 참석한 보안관리자들을 대상으로 한 설문조사를 통해 관심 있는 보안 솔루션과 요구사항 그리고 향후 방향에 대하여 조사를 진행했다. 다음 자료는 2012년 5월 보안관리자들을 대상으로 설문 조사한 통계자료이다.

기업보안담당자들이 개인정보보호 위해 도입·고려 중인 보안 솔루션
 
응답자 중 40%가 DB보안, 그 다음으로 응답자의 21%는 사용자 단말 내부정보 유출방지(DLP)를 선택했다. 앞서 설명한 개인정보 라이프 사이클을 보면 개인정보가 수집·저장되어 있는 곳은 DB가 되며, 유출사고가 발생한 경우 다량의 개인정보가 한 번에 유출되는 사고가 발생할 수 있는 위험 리스크가 가장 큰 영역이 바로 DB이다. 또한 사건사례로도 DB의 계정 탈취 및 웹 사이트 취약점을 통한 공격이 소개되고 있다.


그 다음으로 고려하는 사용자 단말에 대한 내부정보 유출방지 솔루션은 사용자가 악의적인 목적으로 개인정보를 유출하거나 자신이 의도하지 않은 악성코드 및 관리적 실수를 통해서 자신도 모르게 유출될 수 있는 상황이 발생하는 것에 대하여 경고 및 차단할 수 있는 방안을 제공한다.
이러한 솔루션 도입이 없는 경우 내부자가 외부에 회원정보를 판매하거나 실수로 유출 혹은 노출시킨 사례에 대한 보안사고 기사를 볼 수 있다. DB보안과 사용자 단말 내부정보 유출방지 솔루션은 목적이나 목표가 매우 다른 보안 솔루션으로써 기업은 개인정보보호를 위하여 2가지 솔루션 모두 도입을 고려해야 한다.



사용자 단말 대상의 개인정보보호 솔루션은 크게 2가지 방식으로 분류할 수 있는데 이는 서버/클라이언트 솔루션과 개인이 설치·활용하는 독립 솔루션으로 나누어진다. 2가지 솔루션 중 서버/클라이언트 모델이 독립 설치 솔루션보다 보안관리자의 정책, 감사 로그 등 보다 많은 보안 서비스를 제공하며, 기업에서 정책적으로 관리하는데 편리성을 제공한다.

사용자 단말 대상의 개인정보보호 솔루션은 개인정보보호법에 따라 개인정보를 식별하여 암호화 및 완전 삭제를 제공해야 하는데 이는 개인정보보호법의 24조 3항과 21조에 해당된다.

그 외에도 사용자 단말의 경우 개인정보 유출을 보다 강력하게 방지하기 위해서는 여러 유출 경로에 대하여 고려해야 하는데 다음 그림의 예처럼 악성코드, 이동형 디바이스, 네트워크 통신 등 PC가 가지고 있는 다양한 하드웨어 장치 및 기능을 통해서 외부에 유출할 수 있는 방안이 존재하므로 이를 차단하기 위해서는 사용자 단말에 대한 외부 매체, 통신에 대하여 통제할 필요성이 발생한다.

PC 단말 내부정보 유출방지 솔루션 도입 시 고려사항

보안관리자들이 사용자 단말의 개인정보보안 솔루션을 도입하는데 있어 가장 큰 고려사항은 개인정보파일 검출의 정확성이다. 이는 개인정보보호 솔루션 도입에 있어 개인정보파일 식별에 오탐이 높으면 보안관리자나 사용자 모두 업무 불편이 증가하게 되고, 오탐된 파일이 시스템상의 중요 파일인 경우 원치 않는 시스템 오류가 발생할 수 있으므로 보안관리자들은 정확한 개인정보파일의 식별 및 검출 기능을 요구하게 된다. 그 다음으로는 PC 단말 에이전트의 통합관리 부분이다. 개인정보보호법 시행 이전에도 기업들은 다양한 보안 솔루션의 에이전트를 설치하여 사용하고 있다.

보안관리자들을 위한 EPP(Endpoint Protection Platform)
보안관리자들은 개인정보보호 솔루션 도입으로 인한 사용자 단말에서의 증가된 보안 에이전트로 인해 에이전트간의 충돌, 단말기 속도 저하, 유지보수, 운영 및 관리에 대한 업무가 증가하고, 이로 인해 관련정책이 복잡해질 것으로 예상했다.

더욱이 최근에는 BYOD(Bring Your Own Device) 환경으로 인해 관리에 대한 포인트는 더욱 증가하게 될 것으로 전망되며, 이러한 환경으로 인해 보안관리자들의 PC 단말 에이전트의 통합 관리 요구사항이 높아질 것으로 보인다.

이로 인해 사용자 단말 에이전트의 통합관리 방안으로 EPP(Endpoint Protection Platform) 이 주목받고 있다. 개인정보보호 솔루션과 매체제어 솔루션 등을 통합 관리할 수 있도록 네트워크 접근제어 솔루션도 진화하고 있는 것이다. 이를 바탕으로 필자가 근무하는 닉스테크는 향후 Endpoint 보안 솔루션과 Open API를 연계하여 보안 서비스를 제공하는 방향을  모색하고 있다. 이를 통해서 보안관리자들에게 손쉽게 설치되고 에이전트의 효율적인 운영 및 관리, 유지보수 그리고 보안정책 관리에 대한 복잡도가 낮아질 수 있고, 상호 충돌 가능성도 미연에 방지할 수 있다.

현재 개인정보보호를 위해 사용자 단말 내부정보 유출방지 솔루션 등의 도입을 고려하는 보안관리자들이 향후 이러한 보안 동향 및 관리방안에 대해 충분히 검토함으로써 보다 효율적이면서도 실질적인 조직의 개인정보보호 방안을 수립하기를 바란다.
[글 _ 강 서 일 닉스테크 공학박사(sikang@nicstech.com)]  
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>