태그
Security

데이터 보호 전략: 주요 구성 요소 및 모범 사례

태국 방콕의 알루미늄 클래딩 외관 디자인

거의 모든 조직이 고객 및 직원 경험을 향상하고 더 나은 비즈니스 의사 결정을 내릴 수 있는 데이터의 힘을 잘 알고 있습니다. 그러나 데이터의 가치가 높아짐에 따라 보호하기도 점점 더 어려워지고 있습니다. 기업은 하이브리드 모델을 통해 더 많은 공격 표면을 계속 생성하여 중요한 데이터를 클라우드, 타사 및 온프레미스 위치에 분산시키고 있으며, 위협 행위자는 취약성을 악용하기 위한 새롭고 창의적인 방법을 끊임없이 고안하고 있습니다.

이에 따라 많은 조직이 데이터 보호에 더욱 집중하고 있지만, 공식적인 가이드라인과 조언이 부족하다는 사실을 알게 되었습니다.

모든 데이터 보호 전략은 고유하지만, 다음은 조직을 위한 전략을 구축할 때 고려해야 할 몇 가지 주요 구성 요소와 모범 사례입니다.

데이터 보호 전략이란 무엇인가요?

데이터 보호 전략은 데이터 손실 및 손상으로부터 조직의 중요한 정보를 보호하기 위한 일련의 조치 및 프로세스입니다. 그 원칙은 데이터 보호 원칙과 동일합니다. 즉, 데이터를 보호하고 데이터 가용성을 지원하는 것입니다.

이러한 원칙을 이행하기 위해 데이터 보호 전략은 일반적으로 다음 세 가지 영역에 중점을 둡니다.

  • 데이터 보안 - 전체 라이프사이클 동안 무단 액세스, 손상 또는 도난으로부터 디지털 정보를 보호합니다.
  • 데이터 가용성 - 데이터 유출, 맬웨어 또는 랜섬웨어 공격 중에도 중요한 데이터를 비즈니스 운영에 사용할 수 있도록 보장합니다.
  • 액세스 제어 - 중요한 데이터는 필요한 직원만 액세스하고 필요하지 않은 직원은 액세스하지 못하도록 합니다.

데이터 보호가 접근성과 가용성을 강조하는 것은 데이터 보호와 데이터 보안이 다른 주요 이유 중 하나입니다. 데이터 보안은 위협 행위자와 무단 액세스로부터 디지털 정보를 보호하는 데 중점을 두는 반면, 데이터 보호는 이 모든 것을 포함한 더 많은 작업을 수행합니다. 이는 데이터 보안과 동일한 보안 조치를 지원하지만 인증, 데이터 백업, 데이터 스토리지, 유럽연합의 일반 데이터 보호 규정(GDPR)과 같은 규제 준수 달성도 포함합니다.

현재 대부분의 데이터 보호 전략에는 데이터 백업 및 복원 기능과 같은 전통적인 데이터 보호 조치뿐만 아니라 서비스형 재해 복구(DRaaS)와 같은 비즈니스 연속성 및 재해 복구(BCDR) 계획이 포함되어 있습니다. 이러한 포괄적인 접근 방식은 위협 행위자를 억제할 뿐만 아니라 민감한 데이터 및 기업 정보 보안 관리를 표준화하고 다운타임으로 인한 비즈니스 운영 손실을 제한합니다.

데이터 보호가 보안 전략에 중요한 이유

데이터는 세계 경제의 많은 부분을 움직이고 있으며, 안타깝게도 사이버 범죄자들도 그 가치를 알고 있습니다. 민감한 정보를 탈취하기 위한 사이버 공격이 계속 증가하고 있습니다. IBM의 데이터 유출 비용에 따르면 2023년 데이터 유출을 복구하는 데 드는 전 세계 평균 비용은 미화 445만 달러로 3년 동안 15% 증가했다고 합니다.

이러한 데이터 유출로 인해 피해자는 다양한 방식으로 피해를 입을 수 있습니다. 예기치 않은 다운타임은 비즈니스 손실로 이어질 수 있고, 기업은 고객을 잃고 평판에 심각한 손상을 입을 수 있으며, 지적 재산이 도난당하면 기업의 수익성이 저하되어 경쟁 우위를 약화시킬 수 있습니다.

또한 데이터 유출 피해자는 막대한 규제 벌금이나 법적 처벌을 받는 경우가 많습니다. 일반 개인정보 보호 규정(GDPR)과 같은 정부 규정과 건강 보험 양도 및 책임에 관한 법률(HIPAA)과 같은 업계 규정은 기업이 고객의 개인 데이터를 보호하도록 의무화합니다.

이러한 데이터 보호법을 준수하지 않으면 막대한 벌금이 부과될 수 있습니다. 2023년 5월 캘리포니아에 본사를 둔 Meta가 아일랜드 데이터 보호 당국으로부터 GDPR 위반에 따른 13억 달러의 벌금을 부과받았습니다. (ibm.com 외부 링크)

당연히 기업들은 사이버 보안 이니셔티브에서 데이터 보호를 점점 더 우선시하고 있으며, 강력한 데이터 보호 전략을 통해 잠재적인 데이터 유출을 방지할 수 있을 뿐만 아니라 규제 법률 및 표준을 지속적으로 준수할 수 있다는 사실을 깨닫고 있습니다. 또한 우수한 데이터 보호 전략은 비즈니스 운영을 개선하고 사이버 공격으로 인한 다운타임을 최소화하여 중요한 시간과 비용을 절약할 수 있습니다.

데이터 보호 전략의 주요 구성 요소

데이터 보호 전략은 모두 다르지만(그리고 조직의 특정 요구 사항에 맞게 조정되어야 함), 고려해야 할 몇 가지 솔루션이 있습니다.

이러한 주요 구성 요소에는 다음이 포함됩니다.

데이터 라이프사이클 관리 

데이터 라이프사이클 관리 (DLM)는 데이터 입력부터 데이터 파기까지 조직의 데이터 라이프사이클 전반에 걸쳐 데이터를 관리하는 데 도움이 되는 접근 방식입니다. 서로 다른 기준에 따라 데이터를 여러 단계로 분리하고 서로 다른 작업 또는 요구 사항을 완료하면서 이러한 단계를 진행합니다. DLM의 단계에는 데이터 생성, 데이터 저장, 데이터 공유 및 사용, 데이터 보관 및 데이터 삭제가 포함됩니다.

특히 조직이 다양한 유형의 데이터 스토리지에 의존하는 경우, 좋은 DLM 프로세스는 중요한 데이터를 체계적으로 정리하고 구조화하는 데 도움이 될 수 있습니다. 또한 취약성을 줄이고 데이터를 효율적으로 관리하고, 규정을 준수하고, 오용 또는 손실의 위험이 없도록 하는 데 도움이 될 수 있습니다.

데이터 액세스 관리 제어

액세스 제어는 권한이 있는 사용자만 특정 유형의 데이터에 액세스할 수 있도록 하여 민감한 데이터의 무단 액세스, 사용 또는 전송을 방지하는 데 도움이 됩니다. 위협 행위자를 차단하는 동시에 모든 직원이 필요한 정확한 권한만 가지고 업무를 수행할 수 있도록 합니다.

조직에서는 역할 기반 액세스 제어(RBAC), 다중 인증(MFA) 또는 사용자 권한에 대한 정기적인 검토를 활용할 수 있습니다.

ID 및 액세스 관리(IAM) 이니셔티브는 합법적인 비즈니스 프로세스를 방해하지 않으면서 액세스 제어를 간소화하고 자산을 보호하는 데 특히 유용합니다. 모든 사용자에게 역할, 규정 준수 요구 사항 및 기타 요인에 따라 맞춤화된 권한이 포함된 고유한 디지털 ID를 할당합니다.

데이터 암호화

데이터 암호화는 암호화 알고리즘을 사용하여 데이터를 원래의 읽기 가능한 형태(일반 텍스트)에서 암호화된 버전(암호 텍스트)으로 변환하는 작업을 포함합니다. 이 프로세스는 권한이 없는 개인이 암호화된 데이터에 액세스하더라도 암호 해독 키 없이는 데이터를 이해하거나 사용할 수 없도록 하는 데 도움이 됩니다.

암호화는 데이터 보안에 매우 중요합니다. 민감한 정보가 네트워크를 통해 전송될 때(전송 중) 장치 또는 서버에 저장될 때(미사용 중) 모두 무단 액세스로부터 보호할 수 있습니다. 일반적으로 권한이 부여된 사용자는 민감한 데이터를 거의 항상 안전하게 보호하고 읽을 수 없도록 하기 위해 필요한 경우에만 암호 해독을 수행합니다.

데이터 위험 관리

데이터를 보호하려면 조직은 먼저 위험을 알아야 합니다. 데이터 위험 관리에는 조직의 데이터에 대한 전체 감사/위험 평가를 수행하여 어떤 유형의 데이터가 있는지, 어디에 저장되어 있는지, 누가 데이터에 액세스할 수 있는지 파악하는 것이 포함됩니다.

그런 다음 기업은 이 평가를 사용하여 위협과 취약성을 식별하고 위험 완화 전략을 구현합니다. 이러한 전략은 보안 공백을 메우고 조직의 데이터 보안 및 사이버 보안 태세를 강화하는 데 도움이 됩니다. 여기에는 보안 조치 추가, 데이터 보호 정책 업데이트, 직원 교육 실시 또는 새로운 기술에 대한 투자 등이 포함됩니다.

또한 지속적인 위험 평가를 통해 조직은 새로운 데이터 위험을 조기에 발견하여 그에 따라 보안 조치를 조정할 수 있습니다.

데이터 백업 및 복구

데이터 백업 및 재해 복구에는 파일 손상, 데이터 손상, 사이버 공격 또는 자연 재해로 인해 데이터가 손실되는 경우 정기적으로 더 많은 파일 사본을 생성 또는 업데이트하여 하나 이상의 원격 위치에 저장하고 이 사본을 사용하여 비즈니스 운영을 계속하거나 재개하는 작업이 포함됩니다.

하위 프로세스 '백업'과 '재해 복구'는 때때로 전체 프로세스로 오인되는 경우가 있습니다. 그러나 백업은 파일 복제본을 만드는 프로세스이고, 재해 복구는 운영 중단 후 복제본을 사용하여 애플리케이션, 데이터, IT 리소스에 신속하게 접근할 수 있게 해주는 계획 및 프로세스입니다. 이 계획에는 기본 데이터 센터가 다시 작동할 때까지 중복된 서버 및 스토리지 시스템으로 전환하는 것이 포함될 수 있습니다.

서비스형 재해 복구(DRaaS)는 재해 복구를 위한 관리형 접근 방식입니다. 타사 제공업체는 재해 복구에 사용되는 인프라를 호스팅하고 관리합니다. 일부 DRaaS 제품은 재해 복구 프로세스를 관리하는 툴을 제공하거나 조직이 해당 프로세스를 관리할 수 있도록 할 수 있습니다.

데이터 스토리지 관리

조직은 데이터를 이동할 때마다 강력한 보안이 필요합니다. 그렇지 않으면 데이터 손실, 사이버 위협 및 잠재적인 데이터 침해에 노출될 위험이 있습니다.

데이터 스토리지 관리는 특히 하이브리드 및 클라우드 스토리지의 취약성을 줄여 이 프로세스를 단순화하는 데 도움이 됩니다. 이는 생산 데이터를 온프레미스 또는 외부 클라우드 환경에서 데이터 저장소로 안전하게 전송하는 것과 관련된 모든 작업을 감독합니다. 이러한 저장소는 빈번한 고성능 액세스에 적합하거나 자주 검색하지 않는 아카이브 스토리지로 사용됩니다.

인시던트 대응

인시던트 대응(IR)은 조직의 사이버 위협, 보안 침해, 사이버 공격을 탐지하고 대응하기 위한 프로세스와 기술을 말합니다. 사이버 공격이 발생하기 전에 예방하고 사이버 공격으로 인한 비용 및 비즈니스 중단을 최소화하는 것이 목표입니다.

인시던트 대응을 더 광범위한 데이터 보호 전략에 통합하면 조직이 사이버 보안에 대해 보다 적극적인 접근 방식을 취하고 사이버 범죄자와의 싸움을 개선하는 데 도움이 될 수 있습니다.

2023년 데이터 유출 비용에 따르면 높은 수준의 IR 대응책을 마련한 조직은 수준이 낮거나 전혀 없는 조직에 비해 데이터 유출 비용이 미화 149만 달러 낮았으며, 인시던트 해결도 54일 더 빨랐습니다.

데이터 보호 정책 및 절차

데이터 보호 정책은 조직이 데이터 보안 및 데이터 프라이버시에 대한 윤곽을 잡는 데 도움이 됩니다. 이러한 정책에는 데이터 분류, 액세스 제어, 암호화 표준, 데이터 보존 및 폐기 관행, 인시던트 대응 프로토콜과 방화벽, 침입 감지 시스템, 바이러스 백신 및 DLP(데이터 손실 방지) 소프트웨어와 같은 기술 제어를 비롯한 다양한 주제가 포함될 수 있습니다.

데이터 보호 정책의 가장 큰 이점은 명확한 기준을 설정한다는 것입니다. 직원들은 자신에게 민감한 정보를 보호해야 할 책임이 있다는 것을 잘 알고 있으며 피싱 시도 식별, 민감한 정보의 안전한 처리, 인시던트 사고의 신속한 보고와 같은 데이터 보안 정책에 대해 교육을 받는 경우가 많습니다.

또한 데이터 보호 정책은 액세스 요청, 사용자 프로비저닝, 인시던트 보고 및 보안 감사 수행과 같은 데이터 관련 활동에 대한 명확한 프로세스를 제공하여 운영 효율성을 향상시킬 수 있습니다.

표준 및 규정 준수

정부 및 기타 당국은 데이터 보호의 중요성을 점점 더 인식하고 있으며 기업이 고객과 비즈니스를 수행하기 위해 충족해야 하는 표준 및 데이터 보호법을 제정했습니다.

이러한 규정을 준수하지 않으면 법률 비용을 포함하여 막대한 벌금이 부과될 수 있습니다. 그러나 강력한 데이터 보호 전략은 엄격한 내부 정책 및 절차를 마련하여 지속적인 규정 준수를 보장하는 데 도움이 될 수 있습니다.

가장 주목할 만한 규정은 유럽연합(EU)이 개인의 개인정보를 보호하기 위해 제정한 일반 데이터 보호 규정(GDPR)입니다. GDPR은 개인 식별 정보에 초점을 맞추고 데이터 제공업체에 엄격한 규정 준수 요건을 부과합니다. 이는 데이터 수집 관행의 투명성을 의무화하고 이를 위반할 경우 조직의 연간 글로벌 매출의 최대 4% 또는 2천만 유로에 달하는 막대한 벌금을 부과합니다.

또 다른 중요한 데이터 개인정보 보호법은 GDPR과 마찬가지로 투명성을 강조하고 개인이 자신의 개인 정보를 제어할 수 있는 권한을 부여하는 캘리포니아 소비자 개인정보 보호법(CCPA)입니다. CCPA에 따라 캘리포니아 거주자는 자신의 데이터에 대한 세부 정보를 요청하고 판매를 거부하며 삭제를 요청할 수 있습니다.

또한 건강 보험 양도 및 책임에 관한 법률(HIPAA)은 환자의 개인 건강 정보(PHI)를 취급하는 의료 서비스 제공자와 같은 '적용 대상 기관'에 대한 데이터 보안 및 규정 준수 표준을 의무화하고 있습니다.

관련 글: GDPR 준수에 대해 자세히 알아보기

모든 데이터 보호 전략에 대한 모범 사례

사용 가능한 모든 데이터 재고화하기

데이터 보안은 어떤 유형의 데이터를 보유하고 있는지, 어디에 저장되어 있는지, 누가 액세스할 수 있는지 파악하는 것에서 시작됩니다. 포괄적인 데이터 재고를 실시하여 조직이 보유한 모든 정보를 식별하고 분류하세요. 각 데이터 유형의 민감도와 중요도를 결정하여 보호 노력의 우선순위를 정한 다음, 데이터 사용량이나 스토리지의 변경 사항이 있으면 정기적으로 재고를 업데이트하세요.

이해관계자에게 최신 정보 제공

경영진, 제공업체, 공급업체, 고객, 홍보 및 마케팅 담당자 등 주요 이해관계자와의 강력한 커뮤니케이션을 유지하여 이들이 귀사의 데이터 보호 전략과 접근 방식을 알 수 있도록 하세요. 이러한 열린 커뮤니케이션 라인은 데이터 보안 정책에 대한 신뢰, 투명성 및 인식을 높이고 직원 및 다른 사람들이 더 나은 사이버 보안 결정을 내릴 수 있도록 지원합니다.

보안 인식 교육 실시

전체 직원을 대상으로 데이터 보호 전략에 대한 보안 인식 교육을 실시하세요. 사이버 공격은 인간의 약점을 악용하는 경우가 많기 때문에 내부자 위협은 심각한 문제가 되고 있으며, 직원은 사이버 범죄자에 대한 첫 번째 방어선으로 작용합니다. 프레젠테이션, 웨비나, 강의 등을 통해 직원들은 보안 위협을 인식하고 중요한 데이터와 기타 민감한 정보를 더 잘 보호하는 방법을 배울 수 있습니다.

정기적인 위험 평가 실행

지속적인 위험 평가 및 분석을 실행하면 잠재적인 위협을 식별하고 데이터 유출을 방지하는 데 도움이 됩니다. 위험 평가를 통해 데이터 사용 공간과 보안 조치를 점검하고 취약점을 격리하는 동시에 업데이트된 데이터 보호 정책을 유지할 수 있습니다. 또한 일부 데이터 보호 법률 및 규정에서는 이를 요구하기도 합니다.

엄격한 문서화 유지

하이브리드 IT 환경에서 민감한 데이터를 문서화하는 것은 어려운 일이지만 훌륭한 데이터 보호 전략을 위해서는 반드시 필요합니다. 감사, 조사 또는 기타 사이버 보안 이벤트에 대비하여 규제 기관, 경영진, 공급업체 및 기타 사람들을 위해 엄격하게 기록을 유지하세요. 업데이트된 문서는 운영 효율성을 높이고 투명성, 책임성 및 데이터 보호법 준수를 보장합니다. 또한 새로운 사이버 위협에 대응하기 위해 데이터 보호 정책과 절차를 항상 최신 상태로 유지해야 합니다.

지속적인 모니터링 수행 

모니터링은 데이터 활동에 대한 실시간 가시성을 제공하여 잠재적인 취약점을 신속하게 감지하고 수정할 수 있습니다. 특정 데이터 보호법에서는 이를 요구할 수도 있습니다. 모니터링은 필요하지 않은 경우에도 데이터 활동이 데이터 보호 정책(규정 준수 모니터링과 마찬가지로)을 준수하도록 유지하는 데 도움이 될 수 있습니다. 조직은 이를 사용하여 제안된 보안 조치의 효과를 테스트할 수도 있습니다.

전략은 산업, 지역, 고객 요구 및 기타 다양한 요인에 따라 다르지만, 이러한 필수 요인을 정확히 파악하면 조직이 데이터 보호를 강화하는 데 있어 올바른 방향으로 나아가는 데 도움이 됩니다.

 

작가

Annie Badman

Staff Writer

IBM Think

IBM의 데이터 보호 솔루션 살펴보기