정보의 흐름 제어에 효과적인 DLP 최근 증가하는 정보유출의 위협 속에서 기업에서도 그에 대응해야 할 필요성을 느끼지만 실제로 어떤 방식의 솔루션을 선택해야 하는지 선택의 어려움을 느낀다. 그 중에서도 DRM(Data Rights Management)과 DLP(Data Loss Prevention)는 각각 활용 분야가 달라 구분해서 선택해야 하지만 이 둘을 함께 구성하면 큰 시너지 효과를 볼 수 있다.

최근 불어 닥치고 있는 글로벌 경제 침체의 여파로 인해 해고되어 회사를 떠나는 직원과 보유한 정보를 외부로 빼돌려 금전적 이익을 취하려는 내부 직원에 의한 회사의 중요 정보유출 위협이 증가하고 있다.
일일이 사례를 나열하지 않아도 될 정도로 정보유출 사건이 자주 발생하고 기사화되고 있으며 굳이 기사화된 사례를 들지 않더라도 퇴직한 직원들이 핵심기술을 들고 나가 경쟁업체에 합류하여 기업의 생존에 위기감을 느끼는 한 기업 임원의 호소는 실제 업계 관계자들이 느끼는 위험을 그대로 표현하고 있다.
이러한 정보유출의 위협 속에서 회사측에서도 그에 대응해야 할 필요성을 느끼지만 실제로 어떤 방식의 솔루션을 선택해야 하는지 선택의 어려움을 느끼는 것도 사실이다. 그 중에서도 DRM(Data Rights Management)과 DLP(Data Loss Prevention)는 각각 활용 분야가 달라 구분되어 선택되어야 하며 같이 구성되면 큰 시너지 효과를 볼 수 있다.

기존 DRM과 DLP의 구분
사내 정보를 유출방지를 위한 노력은 계속 있어 왔으며, 특히 DRM 영역의 제품들은 파일을 암호화하여 보호함으로써 유출이 발생하더라도 권한이 주어진 사용자 외에는 접근할 수 없다는 장점을 지니고 있다.
파일 유출이 발생하더라도 데이터가 암호화되어 있다는 강력함으로 인해 국내에서는 DRM이 널리 사용되고 있지만 대부분의 내부정보 유출은 정보에 접근할 수 있는 권한을 가진 자에 의해 발생한다는 점에서 문제가 있다.
또한 데이터에 대한 권한을 부여하기 위한 세부적인 제어가 필요하고 사용자는 컨텐츠에 대한 권한 관계를 이해하고 있어야 하며 수동에 의한 작업이 많아 전사적으로 적용하기에는 불편한 점이 있다.
그리고 DRM은 사용하는 일반 직원들이 권한관계를 이해해야 하는 어려움이 있다. 이러한 복잡함이 DRM을 넘어선 새로운 기술의 발전을 불러왔고 그 기술이 DLP이다.
DLP는 직원들의 교육 없이 사용될 수 있으므로 대규모에 적합하여 전체 조직의 정보 흐름을 제어하는데 있어서 효과적으로 활용될 수 있으며 각 부서 단위의 수준에서는 DRM을 적용하여 상호보완적인 시스템 구축으로 보안성을 높일 수 있다. 그리고 콘텐츠에 대한 권한에 상관없이 모든 사용자의 데이터 흐름에 대해 제어한다는 점에서 내부정보 유출방지에 효과적으로 사용될 수 있다.
DLP는 정보의 부적절한 이동을 차단하고 유출 기록을 남길 수 있으며 유출의 증거를 확보할 수 있는 솔루션으로 콘텐츠와 권한에 대한 이해 없이도 운영이 가능하기 때문에 대규모 기업 환경에 적용이 가능하여 관리하기에 편리하다는 장점이 있다.
유출 경로
일반적으로 DLP는 유출 경로를 제어하는데 여기서 유출이라 함은 정보가 PC에서 외부로 빠져나가는 것을 의미하며 유출 경로로는 메일, USB메모리, 플로피디스크, 메일, 웹메일, FTP, P2P사이트, 메신저, 인쇄, CD/DVD 등 다양하다. 또한 유출경로는 기술의 발전과 함께 새롭게 추가되고 있으며 이에 따라 DLP의 기능도 진화하고 있다.


표 1은 다양한 유출 경로를 보여준다. 이러한 유출 경로를 기준으로 외부저장 매체를 중점적으로 다루는 엔드포인트 DLP와 네트워크 경로를 다루는 네트워크 DLP로 분류하기도 하지만 실제로 대부분의 엔드포인트 DLP 제품들은 네트워크 DLP 제품의 기능을 포함한다.
엔드포인트 DLP 제품에는 프린터 인쇄물에 대한 보안 솔루션을 제공하는 제품들이 있는데 인쇄물에 워터마크를 덧씌워서 출력물이 누구로부터 유출되었는지 추적할 수 있으며 인쇄된 내용을 서버에 저장하여 내역을 볼 수도 있다. 이러한 출력물 보안은 프린터 제조사들도 별도 솔루션을 내놓고 있는데 대부분 해당 프린터에만 적용되는 문제가 있다.
현재 엔드포인트 DLP 출력물 보안 솔루션 중에서도 일부 제품은 특정 프린터 및 드라이버에 무관하여 모든 프린터에 적용할 수 있으며 Fine Print, Post Script 및 특정 애플리케이션 제약이 없고 출력되는 텍스트를 로그로 남겨서 일일이 사본을 보지 않고도 인쇄된 내역을 검색할 수 있는 막강한 기능이 제공되는 제품이 있어 일반 프린터 제조사들의 솔루션보다 훨씬 기능적으로 우월한 제품도 있다.
DLP의 차단과 로깅의 이해
DLP 제품들은 기본적으로 차단 기능을 갖추고 있다. 특정 사용자는 USB로 파일을 복사 또는 이동하지 못하게 하거나 특정 웹메일은 사용하지 못하게 하는 등의 단순 매체제어적인 기능에서부터 파일의 내용을 모두 검색하여 특정 키워드가 포함된 파일은 외부로 나가지 못하게 하는 기능까지 구현되어 있다.
고객들은 사전 차단을 중요시 여긴다. 이미 유출된 후에 조치하는 사후 조치보다는 사전에 유출 자체를 차단하는 것이 당연히 더 중요하고 효율적이다. 그렇다면 실제로 업무에서 사전 차단 기능이 얼마나 정보보호에 도움이 될까?
키워드 필터링에 의한 차단 기능을 사용하더라도 실제 악의적인 유출이 아닌 업무상 사용하는 것에 대한 차단이 발생하는 경우가 생기고 이 경우 차단 기능은 업무의 효율만 떨어뜨리게 된다. 또한 유출자는 차단 경로를 확인하고 오히려 차단되지 않는 다른 유출 경로를 찾아 다시 시도할 지도 모를 일이다.
이렇듯 차단을 효과적으로 사용하려면 그만큼 지능적인 차단 기능이 구성되어야 하는데 이는 현재의 인공지능 기술로는 거의 구현 불가능하다고 보고 있으며 언제쯤 해결할 수 있을지 모르는 상황이다.
이러한 상황에서 효과적인 정보보호를 이루기 위해서는 소그룹에만 필터링에 의한 차단을 구성하고 나머지 전체적인 조직에는 로깅 기능을 구현하는 것이 더 효과적이다. 로깅은 유출에 대한 관련 자료들을 같이 기록하여 법적인 증거물로 사용될 수 있어야 하며 쉽게 유출자를 가려내고 유출 수법을 밝혀낼 수 있어야 한다.
유출 후에 반드시 잡힐 수 있고 법적인 책임을 물을 수 있다면 쉽게 시도하지 못하리라 본다. 또한, 유출 시도에 대한 이력도 정리하여 모니터링 할 수 있다면 사전에 유출을 예방할 수 있을 것이다.
이러한 사후 처리 방법이 오히려 내부 유출자에 대한 상당한 심리적 압박을 가하여 예방 효과를 가져다 줄 수 있으며 현재 기술 수준에서는 가장 효과적인 방법이라 본다.
로깅의 효과를 보기 위해서는 단순 로깅이 아닌, 파일의 생성 시점부터 이동, 변경, 복사, 사본생성, 유출의 모든 과정을 추적하여 흐름으로 보여 줄 수 있는 ‘파일 흐름 보기’ 기능이 제공되어야 한다. 이런 파일 변화의 흐름을 볼 수 있어야 원본으로부터의 추적이 용이하고 반대로 유출본으로부터 원본을 추적해 낼 수 있다.
그림 1은 파일 흐름 보기의 한 예로 ‘2009년도 사업계획서’라는 문서가 3번 복사되어 사본이 생성되고 이동식저장소로 유출되고 파일 이름이 ‘신문기사모음’으로 변경되어 다시 이동식저장소로 유출되고 마지막에 삭제되는 전체 과정을 보여준다.
이러한 파일 흐름을 볼 수 있는 기능을 통해 유출자를 색출하고 법적인 책임을 물을 수 있어 유출을 사전에 예방함과 동시에 다양한 필터링 및 지능적인 검사로 위험이 될 유출을 사전에 차단할 수 있다.
암호화에 대한 대책
최근에는 내부 정보유출을 차단하기 위한 다양한 솔루션의 도입에 대응하여 유출자의 정보유출 방법이 점점 교묘해 지고 있으며 네트워크 스위치에 설치하는 솔루션으로부터의 감지를 피하기 위해 정보를 암호화하여 유출하는 방법이 선호되고 있는 것으로 보인다.
이미 대부분의 DLP제품들이 네이트온 메신저의 암호화된 프로토콜에 대한 대책이 없는 상태이며 네이트온 뿐 아니라 SSH기반의 암호화된 프로토콜이나 SFTP에 대응하지 못하는 상황이다. 그리고 암호화된 유출 방법의 또 다른 예로는 파일데이터를 USB로 옮기기 전에 암호화하거나 압축을 동시에 하여 유출이 탐지되더라도 실제 내용을 알 수가 없도록 하는 방법이 있다.
이러한 유출 패턴은 이미 시도된 바 있으므로 매우 위협적이며 기존처럼 경로를 지키는 것만으로는 탐지가 불가능 하다. 따라서 네트워크만 탐지하는 DLP제품들로는 암호화된 데이터를 탐지하고 차단할 수 없는 한계가 생긴다.
암호화된 데이터를 탐지하고 차단하기 위해서는 정보의 원천이 엔드포인트에 있기 때문에 엔드포인트 DLP가 해결할 수 밖에 없는 상황이다. 엔드포인트 DLP는 정보의 원본을 다룰 수 있으며 정보의 흐름 및 유출 경로를 원천적으로 들여다 볼 수 있기 때문이다. 아직 DLP 제품들이 암호화된 유출에 대해 뛰어난 해결책을 제시하지는 못하고 있지만 앞으로 기술 성장에 따라 다양한 탐지 및 차단이 가능할 것으로 보인다.
그나마 현재 암호화에 대응할 수 있는 거의 유일한 대응책의 일례로 ‘동영상 녹화’ 기능을 들 수 있다. ‘동영상 녹화’ 기능은 암호화된 프로그램이 실행되면 PC화면을 동영상으로 녹화하여 서버로 전송한다. 이렇게 녹화되는 동영상은 화면에 출력된 글자를 모두 알아볼 수 있는 정도로 압축하여 일반 동영상과는 달리 매우 작은 크기의 파일로 저장되며 CPU 자원을 매우 작게 소모하는 기술이다.
실제로 고객사이트에서 회사 정보를 연속적으로 유출하여 회사 주가를 어지럽히는 사례가 있었는데 증권사 직원과 연루된 내부 직원의 소행을 동영상 녹화 기능으로 적발한 사례가 있으며 사용된 유출 경로는 암호화된 네이트온 메신저였다.
이러한 ‘동영상 녹화’와 같은 대응책에도 불구하고 아직은 기술 발전이 더 이루어져야 하며 자동화된 탐지 및 지능화된 차단 기술이 높은 수준에서 구현되어야 할 것으로 보인다.
지속적으로 진화하는 DLP
최근에는 카페, 블로그 등을 통한 유출부터 카메라 메모리로 많이 사용되는 SD카드나 CF-메모리까지 다양한 유출 경로를 통해 유출이 이루어지고 있으며 스마트폰과 같은 새로운 제품의 출현으로 유출 경로가 확대되고 있어 DLP 제품을 내놓는 업체들도 발 빠르게 대응하지 않을 수 없는 상황이며 앞으로도 기술의 발전과 더불어 새로운 프로토콜들이 속속 등장할 것이라 보여진다.
따라서 DLP를 구축했다는 것만으로 안심할 수 없는 상황이며 계속적인 업그레이드는 필수적이다.
새로운 유출 경로뿐만 아니라 국내 환경에 대한 특수성도 감안해야 한다. 국내 환경은 웹사이트들이 ActiveX Control을 많이 사용하고 있어 외국과는 환경이 다르다.
특히 외국에서 많이 사용하는 MSN 등의 메신저는 프로토콜 암호화 기능이 없는 반면에 국내에서 가장 많이 사용되는 네이트온 메신저는 전송되는 내용을 암호화하는 등 외국과는 다른 국내 실정에 맞는 대응이 많이 요구된다.
실제로 고객사에 제품을 구축하고 나서 컨설팅을 진행하다 보면 중요 정보가 분산되어있는 모습과 다양한 유출 흐름에 깜짝 놀라게 된다. 물론 고객사의 담당자들과 임원들도 상상도 못했던 다양한 정보 흐름에 매우 감탄하는 모습을 보이기도 한다. 회사의 중요한 정보라고 생각했던 내용들이 생각보다 많은 PC들에 분산되어 있고 은밀히 이동까지 한다.
이러한 정보의 존재와 이동을 파악해야만 비로소 정보 보호를 위한 정책을 마련하여 대응할 수 있는데 이를 가능케 하는 것이 바로 DLP이며 그에 대한 대응을 하는 것도 DLP이다.
DLP를 통한 분석을 기반으로 다양한 실시간 차단 정책을 설정하여 중요정보의 흐름을 제어하면 더욱 발전된 정보 보안을 이룰 수 있을 것이며 다양한 유출경로를 통제하는 만큼 DLP는 계속적인 진화를 거듭하고 있다.
예를 들자면 USB인증 기능은 인증된 USB만 사용할 수 있게 하는 기능으로 보안USB를 별도로 구축할 필요 없이 DLP만으로도 일정 부분의 기능을 사용할 수 있게 하며, 일부 DLP는 DRM의 기능을 지니고 있거나 보안폴더 또는 암호화된 폴더 기능을 제공하기도 하고 위에서 언급했던 출력물 보안 기능을 갖고 있기도 한다.
이처럼 여러 유출 경로를 제어하다 보니 통합된 정보유출방지 솔루션으로 발전하고 있는 것이 현 DLP의 모습이며 현재 보안 시장의 이슈로 부각되고 있는 DLP는 앞으로도 계속될 것으로 보인다.
<글 : 이강건 블루문소프트 이사 (cydenza@bluemoonsoft.com)> 

[월간 정보보호21c 통권 제104호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>