Cappuccino sapiens

COVID-19으로 인한 팬데믹은 우리의 일상을 변화시키고, 이는 사이버 공격 또한 촉진시켰습니다. 특히, 부동산, 은행, 기업 디지털 데이터 등 돈이 될 만한 곳을 타겟으로 하는 랜섬웨어 공격은 급속하게 증가하고 있습니다.

최근 연구조사에 따르면, 미국내 랜섬웨어 공격은 전년 상반기 대비 109%나 증가했으며,  1분기 통계만 비교했을 때 대규모 데이터 침해사고는 273%나 증가한 것으로 나타났습니다. IBM의 ‘2020 Cost of a Data Breach report’에 따르면, 랜섬웨어는 다른 사이버공격보다 증가 폭과 피해금액이 크며, 랜섬웨어 공격당 평균 피해 금액은 4.44백만달러를 지불한 것으로 나타났습니다.

랜섬웨어 공격은 이메일, SNS 등을 이용한 피싱이나 악성코드에 감염된 사이트 방문시에 시스템 감염으로 인해 이루어 지는 만큼, 외부 채널에 대한 안전성을 재확인 할 필요가 있습니다. 랜섬웨어 공격에 대비하기 위해 기본적으로 제로 트러스트 (Zero Trust)와 데이터 암호화개념을 도입할 필요가 있습니다.

제로 트러스트는 기본적으로 그 어떠한 접근에 대해서도 신뢰하지 않는 다는 개념에서 출발하며, 데이터에 접속을 원하는 어떤 것이든 적절한 인증절차를 통해 신원을 확인하는 것을 말합니다. 시스템의 복잡성 증가, (멀티)클라우드 사용 증가, 재택근무 환경 등으로 인해 운영환경과 접근하려는 개체가 불명확해지는 상황에서 랜섬웨어와 같은 보안위협을 줄일 수 있는 가장 합리적인 방안으로 대두되고 있습니다. 

암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 인한 유출 사고의 발생빈도가 높습니다. 랜섬웨어 공격자가 데이터를 유출하여 협박하더라도, 기업의 중요 데이터와 민감한 고객정보 등이 암호화되어 있다면 안심하셔도 됩니다.

추가적으로 데이터 백업을 통해 랜섬웨어 공격으로 인한 손실된 데이터를 빠르게 복구할 수 있습니다. 다만, 최근 랜섬웨어 공격은 백업된 데이터 까지 찾아 암호화시키는 사례가 발생하고 있어, 데이터 백업시스템과의 온·오프라인 접근통제 방안 등 추가 대책도 고려할 필요가 있습니다.

※ 관련기사: Ransomware Attacks: How to Protect your Data With Encryption

암호화(Encryption)는 정보보호의 핵심요소 기술로, 이메일, 메시지, 영상, 음성 등 거의 모든 데이터를 보호하기 위한 용도로 사용하고 있습니다. 데이터는 DB, 클라우드, 기기 등 다양한 매체에 산재되어 있으며, 일반 데이터와 중요하고 민감한 데이터가 섞여있어, 관리 부주의 및 데이터 침해로 이한 유출 사고의 발생빈도가 높습니다. 데이터 침해사고는 기업의 중요 데이터와 민감한 고객정보 등을 유출시킴으로써, 기업의 비용손실은 물론, 신뢰도 저하 및 고객 이탈, 그리고 법적인 문제에 휘말릴 수 있습니다.

중요한 데이터를 다루는 기업은 당연히 암호화를 통해 데이터를 보호할 것입니다. 하지만, 2019년도 Ponemon의 “Global Encryption Trends Study”에 따르면, 암호화 전략을 채택한 기업은 45% 정도에 지나지 않습니다. 올바른 암호화 전략은 암호화를 통한 데이터 보호 뿐만 아니라, 컴플라이언스 준수에도 도움이 됩니다.

암호화 전략

최근 Forrester의 연구에 따르면, 데이터와 분석 기반의 비즈니스는 전세계 GDP 보다 최소 7배 빠른 성장을 보인 것으로 나타났습니다. 즉, 데이터의 수집·분석·가공·분배를 통한 경제적 가치는 그만큼 높다는 것을 의미합니다. 이러한 데이터 생명주기에 의한 경제적 가치를 달성하기 위해서는 무엇보다도 데이터의 안전성이 전제되어야 합니다.

따라서, 민감한 데이터를 다루는 기업은 데이터를 안전하게 보호할 수 있는 기술을 적용하고, 규제당국이 요구하는 컴플라이언스를 준수함으로써 책임을 다할 필요가 있습니다.

하지만, 보안 전문가들은 아직까지도 많은 기업들이 데이터를 효과적으로 보호하기 위한 충분한 기술과 역량을 보유하고 있지 않으며, 일반적인 보안전략 수립은 잘 하고 있으나 데이터 암호화 전략 수립에 있어서는 이해도가 부족하다고 보고 있습니다.

데이터 암호화 전략은 민감정보를 포함한 중요 데이터 암호화, 강력한 접근제어 구현, 암호화 키의 안전한 관리 등의 기술적인 부분과 데이터 보호를 위한 컴플라이언스 준수를 포함하고 있습니다.

데이터 보호

데이터 암호화는 침해사고로 인한 데이터 유출시에 최후의 수단으로서 데이터를 무용지물로 만들어 버리는데 그 목적이 있습니다.

데이터 보호의 시작은 데이터가 어디에 있는지 파악하고, 보호 할 데이터를 식별하는 것입니다. 고객 및 재무정보와 같은 데이터는 식별이 용이하지만, 일부 데이터는 그렇지 않은 경우도 있습니다. 지난 10년간 개인정보 및 민감정보에 대한 많은 변화를 겪으면서 많은 기업들이 여전히 데이터 식별에 어려움을 겪고 있습니다.

민감한 데이터를 식별한 이후, 데이터의 안전한 암호화 및 관리방안에 따라 암호화 전략을 실행합니다.

- 암호화 키는 안전한 장소에 데이터와 분리하여 저장

- 각 산업 분야별 적합한 키 교체 모범 사례를 반영한 주기적인 암호화 키 교체

- 디바이스 데이터 보호를 위해 하드웨어 기반 Self-Encryption 기법 적용

- 세부적인 데이터 접근 및 삭제를 위해, 매체, 파일, 데이터베이스간의 계층적 암호화

- 외부와 공유되는 개인정보를 익명화하기 위해 데이터 마스킹 및 토큰화 기술 사용

데이터 암호화 외에 데이터 접근제어와 모니터링을 통해 권한이 부여된 특권 사용자에게만 접근을 허용하며, 데이터에 대한 빠르고 안정적인 접근을 보장합니다.

보안위협 대응을 위한 암호화

대부분의 보안전문가들은 데이터 침해사고와 랜섬웨어 등의 보안위협에 대해 인지하고 있으며, 기업의 최우선 과제 역시 이러한 보안위협을 차단하는 것입니다. 하지만, 여전히 이러한 공격들은 유효하며, 지속적으로 발생하고 있습니다.

지속적으로 증가하는 랜섬웨어 공격과 데이터 침해사고를 막기 위해, 기업은 많은 투자와 노력을 기울이고 있습니다. 하지만, 끊임없이 취약점을 연구하고, 호시탐탐 운영 실수 및 오류 등의 공격기회를 노리는 해커들의 공격을 100% 막는 다는 것은 불가능에 가까운 일입니다.

데이터 침해사고를 완벽하게 차단하지 못하는 것에 회의적일 필요는 없습니다. 보호하려는 데이터를 암호화함으로써 침해사고 발생시 데이터를 무의미하게 만든다면, 그러한 보안위협에 대한 대응방안으로 충분할 것입니다. 즉, 암호화는 클라우드 및 온프레미스 환경에 산재한 데이터를 내·외부의 공격으로부터 보호하며, 민감한 고객의 데이터를 안전하게 지킬 수 있는 필수 불가결한 선택입니다.

컴플라이언스 준수를 위한 암호화

국가와 정부 그리고 산업 컨소시엄이 개인정보 보호의 중요성을 인식함에 따라, GDPR(Global Data Protection Regulation), CCPA(California Consumer Protection Act), ISMS-P(Information and Privacy Security Management System), PIA(Privacy Impact Accessment) 등과 같은 컴플라이언스를 제정하고 있으며, 지키지 않을 경우 무거운 벌금을 부과하도록 하고 있습니다.

하지만, 기업의 입장에서는 어떤 데이터가 어떤 컴플라이언스에 저촉되는지, 침해사고시 신고조항이나 규제 미준수에 따른 법적책임 등에 대한 요건들은 전부 이해하고 준수 하기란 만만치 않은 일입니다.

암호화는 여러 보안 컴플라이언스에 대한 미준수를 해결하는데 도움을 줍니다. 중요하고 민감한 데이터가 도난 당했을 경우, 데이터를 무용지물로 만듦으로써, 데이터 보호라는 컴플라이언스 요건을 충족시킬 수 있습니다. 추가적으로, 협력사 또는 지사와의 데이터 공유시 민감한 데이터의 마스킹 처리 또는 토큰화 등과 같은 방법을 통해 컴플라이언스 요건을 준수할 필요가 있습니다.

맺음 말

암호화 전략을 수립하고 적용하기 위해서는, 데이터를 파악하고 민감한 데이터를 식별하며, 데이터의 규모나 중요성에 따라 적정한 암호화 솔루션을 도입할 필요가 있습니다. 또한, 개인정보보호법, 정보통신망법, 신용정보보호법, 의료법 등 많은 법적인 요구사항 분석을 통해, 조직과 비즈니스에 적합한 최적의 보안정책 수립과 운영이 동반되어야 합니다.

※ 원문: Encryption: Protect your most critical data