우리 회사의 개인정보를 보호하라!

DLP(Data Loss Prevention)란 보안 관리자에 의해 수립된 보안 정책을 바탕으로 ‘기밀 또는 중요 데이터’에 대한 유출 차단 및 예방하는 활동을 말하며, 이를 H/W 또는 S/W로 구현한 것을 DLP 솔루션이라 통칭한다. 이번 기고에서는 개인정보 및 기밀정보와 같은 데이터를 보호하는 데이터중심의 보안 솔루션인 DLP의 종류와 특징 그리고 트렌드에 대해 알아보고자 한다.

| 컴트루테크놀로지컨설팅팀(consulting@comtrue.com) |

사내 직원이나 퇴직 직원이 고의로 기업 중요정보를 가지고 나가 경쟁사에게 넘긴다면? 이러한 일은 기업 내에서 비일비재하게 발생하고 있다. 산업기밀보호센터의 통계를 보면 내부정보유출사건의 주체는 내부직원, 협력사직원, 퇴직직원 등 내부 관계자에 의한 것이 약 94%로 대부분을 차지한다고 한다. 주요 방법으로는 E-mail, USB, 출력 등 짧은 시간에 일어나는 경우가 많았다. 그렇기 때문에 지속적인 DLP 솔루션의 모니터링이나 실시간 차단이 없이는 유출을 막기 어렵다.

내부정보유출방지 솔루션의 종류와 특성

데이터 유출 방지를 위한 DLP솔루션을 구축하려는 담당자들은 기업 내 유통 경로를 파악하고 효율적인 구성의 내부정보유출방지를 생각해야 한다. DLP는 크게 내부정보유출을 막는 ‘위치’에 따라 네트워크와 엔드포인트 DLP로 나눌 수 있다.

네트워크 DLP의 경우 보통 어플라이언스 장비를 네트워크에 인라인 또는 탭 방식으로 설치해 네트워크를 통해 나가는 이메일, 메신저에 대한 데이터 유출을 차단하거나 모니터링 한다. 초기설치와 관리가 쉽고, 네트워크를 통한 유출방지에 특화 되어있다는 특성 때문에 인터넷을 통한 외부 연결이 필수적인 현대 기업이 선호하는 DLP 방식이다. 네트워크 DLP는 사내메일, 포털 웹메일, 메신저, 웹하드, FTP, P2P를 통해 외부로 유출되는 데이터를 회사 보안정책에 따라 차단 및 기록을 수행한다. 상대적으로 전송량이 매우 많고 피해가 심한 네트워크 유출에 대해 전문적인 모니터링 및 차단을 지원한다. 그러나 엔드포인트를 통한 유출(출력물, 이동식 매체)를 관리하기 어려운 단점이 있다.

엔드포인트 DLP는 각 개별 직원들의 PC에 소프트웨어를 설치하여 엔드포인트 단에서 외부로 나가는 데이터를 막는 방식이다. 이동식 매체를 통한 반출, 출력물을 통한 유출과 같은 엔드포인트에서 일어날 수 있는 오프라인 반출을 막는 반면, 하루에도 수백 수십 만 건 네트워크를 통해 나가는 이메일, 메신저를 각각의 개별 PC에서 차단하거나 모니터링하기 때문에 PC부하가 심해지고 네트워크 유출에 대한 패킷 로스가 다수 발생하여 감사 활용에 어려운 단점이 있다.

무조건 차단? No! 내부정보유출방지 솔루션 트렌드

내용인식 기반의 내부정보유출방지

최근의 내부정보유출방지 솔루션은 단순히 데이터의 흐름을 차단하거나 유출을 방지하는데 그치는 것이 아니라 내용인식기반(Contents Awareness)으로 작동하여 기업 내 중요 기밀 키워드가 담긴 문서, 개인정보와 같은 정보를 인식하고 유출을 차단하거나 모니터링 한다. 이를 통해 무조건적인 차단이 아니라 내용인식을 통해 정말 차단해야 할 문서나 정보만을 차단할 수 있다. 예를 들어 개인정보가 들어 있는 경우, ‘2014년 신제품’이라는 키워드가 들어있는 문서가 있을 경우 내용인식기반으로 검출하여 차단하거나 이동경로 파악이 가능하다.

프로그램 별 유출방지

대부분의 내부정보유출방지 솔루션은 부서별로 혹은 개인별로 정책을 설정한다. 예를 들어 기술개발팀은 전원 USB활용을 차단해 부서장의 외부반출 승인을 받고서 이동시킬 수 있도록 하는 방식이다. 하지만 최근의 솔루션은 여기서 더 발전해 프로그램 별 지원을 한다. 일반 문서는 이동시키지만 CAD와 같은 설계도면, 디자인파일, 개발소스 파일에 대해서는 차단하는 방식까지도 가능하다. 프로그램 별 유출방지의 경우 USB 포트 차단/허용과 같은 1차원적인 방식에서 프로그램 별 차단/허용이라는 2단계를 거치는 보안 방식으로 진화했다고 볼 수 있다.

통합으로 효율적인 DLP 구축

네트워크 DLP만 구축할 경우 엔드포인트 유출에 대해 보장할 수 없고, 엔드포인트 DLP에서는 부하 문제 및 이메일, 메신저 등 네트워크를 통해 나가는 정보의 로스(Loss)가 발생할 수 있다. 이 두가지 중 어떤 하나만을 선택해야 하는 것은 아니다. 두 가지를 적재적소에 배치해 효율적인 내부정보유출방지 그림을 그릴 수 있다.

네트워크를 통한 유출은 네트워크 DLP를 통해 유출 차단 및 모니터링을 하고 엔드포인트를 통한 유출은 엔드포인트 DLP를 통해 막는 것이 그것이다. 네트워크에 특화된 어플라이언스 장비가 PC 부하 없이 외부로 온라인 유출 되는 것을 막아주고 엔드포인트를 통한 오프라인 유출은 엔드포인트 DLP 소프트웨어가 막는 방식이다. 이와 같은 통합 DLP는 기존에 엔드포인트 보안을 할 수 없었던 네트워크 DLP, 그리고 PC부하가 심했던 엔드포인트 DLP의 단점을 해결한 통합 및 연동이 되는 효율적인 DLP 솔루션의 미래 방향으로 볼 수 있을 것이다.

[월간 시큐리티월드 통권 제203호(sw@infothe.com)]

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>