데이터 손실 방지(DLP)는 사이버 보안 팀이 민감한 데이터의 도난, 손실 및 오용을 방지하기 위해 사용하는 전략, 프로세스 및 기술을 가리킵니다.
데이터는 많은 기업의 경쟁력 차별화 요소이며, 일반적인 기업 네트워크에는 수많은 영업 비밀, 고객의 개인 데이터 및 기타 민감한 정보가 보관되어 있습니다. 해커는 이익을 취하기 위해 이러한 데이터를 노리고 있지만, 조직에서는 이러한 공격자를 차단하는 데 어려움을 겪는 경우가 많습니다. 수천 명은 아니더라도 수백 명의 인증된 사용자가 매일 클라우드 스토리지와 온프레미스 리포지토리에 저장한 중요한 데이터에 접근하는 동안 데이터를 안전하게 유지하기란 쉽지 않습니다.
DLP 전략 및 툴은 네트워크 전체에서 데이터를 추적하고 세분화된 보안 정책을 시행함으로써 조직이 데이터 유출 및 손실을 방지할 수 있도록 지원합니다. 이를 통해 보안팀에서는 올바른 사람만 올바른 이유로 올바른 데이터에 접근할 수 있게 제어할 수 있습니다.
데이터 손실 이벤트는 종종 데이터 침해, 데이터 유출 또는 데이터 반출로 설명됩니다. 이 용어들은 때때로 같은 의미로 사용되지만, 실제로는 의미가 다릅니다.
데이터 침해란 권한이 없는 제삼자가 개인 데이터(예: 주민등록번호, 은행 계좌 번호, 의료 데이터) 또는 기업 데이터(예: 고객 기록, 지식재산권, 재무 데이터)를 포함한 민감한 데이터 또는 기밀 정보에 접근하는 사이버 공격 또는 기타 보안 사고입니다. IBM의 2023년 데이터 침해 비용 보고서에 따르면 침해 사고가 생겼을 때 발생하는 비용은 평균 445만 달러로, 지난 3년 동안 15% 증가했습니다.
데이터 유출은 민감한 데이터 또는 기밀 정보가 실수로 대중에게 노출되는 것입니다. 데이터 반출은 공격자가 다른 사람의 데이터를 공격자가 제어하는 디바이스로 옮기거나 복사하는 실제 데이터 도난입니다.
데이터 손실은 여러 가지 이유로 발생하지만 가장 일반적인 원인은 다음과 같습니다.
- 보안 취약성—해커가 악용할 수 있는 애플리케이션, 디바이스, 네트워크 또는 기타 IT 자산의 구조, 코드 또는 구현상의 약점 또는 결함입니다. 코딩 오류, 잘못된 구성, 제로데이 취약점(알려지지 않았거나 아직 패치되지 않은 취약점)이 여기에 포함됩니다.
취약하거나 도난당한 자격 증명—해커가 쉽게 추측할 수 있는 비밀번호 또는 해커나 사이버 범죄자가 훔친 비밀번호 또는 기타 자격 증명(예: 신분증)입니다.
내부자 위협—인증된 사용자가 부주의 또는 악의적인 의도로 데이터를 위험에 빠뜨리는 경우입니다. 종종 개인적인 이익을 취하려는 의도 또는 회사에 대한 불만을 가진 직원이 악의적인 내부자가 됩니다.
멀웨어—컴퓨터 시스템이나 사용자에게 해를 끼치기 위해 특별히 제작된 소프트웨어입니다. 데이터를 위협하는 멀웨어 중 가장 잘 알려진 형태는 데이터를 암호화하여 접근할 수 없도록 하고 복호화 키에 대한 대가를 요구하는 랜섬웨어를 꼽을 수 있습니다. 데이터가 유출되거나 다른 사이버 범죄자와 공유되는 것을 막고 싶으면 2차 지불을 하라고 요구하는 경우도 있습니다.
소셜 엔지니어링—사람들이 공유하지 말아야 할 데이터를 공유하도록 속이는 수법입니다. 직원의 기밀 데이터를 이메일로 보내도록 유도하는 피싱 공격처럼 교묘한 방법을 사용할 수도 있고, 멀웨어에 감염된 USB 드라이브를 누군가 발견하여 사용할 수 있는 장소에 두는 것처럼 무모한 경우도 있습니다.
물리적 장치 도난—취득자에게 네트워크와 데이터에 접근할 권한을 부여할 수 있는 노트북, 스마트폰, 또는 기타 기기를 훔치는 것입니다.
조직은 모든 유형의 데이터 손실을 방지하기 위해 공식적인 DLP 전략을 수립해야 합니다. DLP 전략의 핵심은 사용자가 엔터프라이즈 데이터를 처리하는 방법을 정의하는 일련의 DLP 정책입니다. DLP 정책은 데이터 저장 위치, 데이터 접근 권한, 데이터 사용 방법, 데이터에 보안 제어를 적용하는 방법 등 주요 데이터 보안 방식을 다룹니다.
정보 보안팀은 일반적으로 모든 데이터에 대해 단일 정책을 작성하지 않고 네트워크에 있는 다양한 유형의 데이터에 대해 서로 다른 정책을 작성합니다. 종류가 다른 데이터는 처리하는 방법도 달라야 하기 때문입니다.
예를 들어 신용카드번호, 집 주소와 같은 개인 식별 정보(PII)에는 일반적으로 기업이 이를 통해 수행할 수 있는 작업을 지정하는 데이터 보안 규정이 적용됩니다. 반면에 지적 재산(IP)에 관해서는 기업이 비교적 자유로운 권한을 갖고 있습니다. 또한 PII에 접근해야 하는 사람은 회사 IP에 접근해야 하는 사람과 같지 않을 수도 있습니다. 두 종류의 데이터 모두 보호해야 하지만, 방법은 다릅니다.
보안 팀은 여러 개의 세분화된 DLP 정책을 생성하여 승인을 받은 최종 사용자의 승인된 행동을 하는 데 지장을 주지 않으면서 각 데이터 유형에 적절한 보안 표준을 적용할 수 있습니다. 조직에서는 관련 규정, 기업 네트워크, 비즈니스 운영상의 변화에 발맞추기 위해 정기적으로 이러한 정책을 개정합니다.
DLP 정책을 수동으로 적용하는 것이 불가능하지는 않더라도 어려울 수 있습니다. 서로 다른 데이터 세트에는 서로 다른 규칙이 적용될 뿐만 아니라, 조직은 네트워크 전체에서 다음을 포함한 모든 데이터를 모니터링해야 합니다.
사용 중인 데이터—접근 또는 처리 중인 데이터(예: 분석 또는 계산에 사용되는 데이터 또는 최종 사용자가 편집 중인 텍스트 문서).
이동 중인 데이터 —이벤트 스트리밍 서버나 메시징 앱에서 전송되는 데이터와 같이 네트워크를 통해 이동 중인 데이터.
저장된 데이터—클라우드 드라이브에 있는 데이터와 같이 스토리지에 저장된 데이터.
DLP 정책을 적용하려면 조직 전체에서 지속적인 데이터 가시성을 확보해야 하므로 정보 보안 팀은 일반적으로 사용자가 데이터 보안 정책을 준수하도록 보장하기 위해 전문 DLP 소프트웨어 툴을 활용합니다. 이러한 DLP 툴을 사용하면 민감한 데이터 식별, 사용 추적, 불법 접근 차단과 같은 주요 기능을 자동화할 수 있습니다.
DLP 솔루션은 데이터를 보호하기 위해 다른 보안 제어와 함께 사용하는 경우가 많습니다. 예를 들어 방화벽은 네트워크로 들어오고 나가는 악의적인 트래픽을 차단하는 데 도움이 될 수 있습니다. 보안 정보 및 이벤트 관리(SIEM) 시스템은 데이터 유출이 의심되는 비정상적인 행동을 탐지하는 데 유용합니다. 확장 탐지 및 대응(XDR) 솔루션은 조직이 데이터 침해에 대해 강력하고 자동화된 대응을 시작하려 할 때 도움이 됩니다.
DLP 솔루션에는 네트워크, 엔드포인트, 클라우드 DLP의 세 가지 주요 유형이 있습니다. 조직은 필요와 데이터 저장 방법에 따라 한 가지 유형의 솔루션을 사용하거나 여러 솔루션을 조합하여 사용할 수 있습니다.
엔드포인트 DLP 툴은 노트북, 서버, 모바일 장치 및 네트워크에 접근하는 기타 장치의 활동을 모니터링합니다. 이러한 솔루션은 모니터링하는 디바이스에 직접 설치되며, 사용자가 해당 디바이스에서 금지된 작업을 수행하지 못하도록 차단할 수 있습니다. 일부 엔드포인트 DLP 툴에는 디바이스 간에 승인되지 않은 데이터 전송을 차단하는 기능도 있습니다.
클라우드 DLP 솔루션은 클라우드 서비스에 저장되고 클라우드 서비스에서 접근하는 데이터에 중점을 둡니다. 클라우드 리포지토리에 있는 데이터를 스캔, 분류, 모니터링, 암호화할 수 있습니다. 또한 이러한 툴은 개별 최종 사용자와 회사 데이터에 접근할 수 있는 모든 클라우드 서비스에 접근 제어 정책을 적용하는 데 도움이 될 수 있습니다.
보안 팀은 DLP 정책을 실행하기 위해 4단계 프로세스를 수행하며, DLP 툴은 각 단계에서 중요한 역할을 합니다.
첫째, 조직은 정형 데이터와 비정형 데이터를 모두 분류합니다. 정형 데이터는 표준화된 형식의 데이터입니다. 일반적으로 레이블이 명확하게 지정되어 데이터베이스에 저장됩니다. 정형 데이터의 예는 항상 16자리로 구성되는 신용카드번호입니다. 비정형 데이터는 텍스트 문서 또는 이미지와 같은 자유 형식의 정보입니다.
보안 팀은 일반적으로 DLP 툴을 사용하여 이 단계를 수행합니다. 이러한 툴은 보통 전체 네트워크를 스캔하여 클라우드, 물리적 엔드포인트, 직원의 개인 디바이스 등 데이터가 저장된 곳 어디에서나 데이터를 찾을 수 있습니다.
다음으로, 조직은 이러한 데이터를 민감도 수준과 공유 특성에 따라 그룹으로 분류합니다. 데이터를 분류하면 조직은 데이터의 종류별로 올바른 DLP 정책을 적용할 수 있습니다. 예를 들어 어느 조직에서는 재무 데이터, 마케팅 데이터, 지적 재산 등 유형을 기준으로 데이터를 그룹화할 수 있습니다. 또는 일반 데이터 보호 규정(GDPR), 의료보험 이동성 및 책임에 관한 법률(HIPAA), 결제 카드 업계 데이터 보안 표준(PCI DSS) 등과 같은 관련 규정에 따라 데이터를 그룹화할 수도 있습니다.
많은 DLP 솔루션이 데이터 분류를 자동화할 수 있습니다. 이러한 툴은 인공지능, 머신 러닝, 패턴 매치를 사용하여 정형 및 비정형 데이터를 분석하고 데이터의 종류, 민감한 데이터인지 여부, 적용해야 하는 DLP 정책을 결정할 수 있습니다.
데이터를 분류한 후에는 보안 팀은 데이터가 처리되는 방식을 모니터링합니다. DLP 툴은 사용 중인 민감한 데이터를 여러 가지 기술을 사용해 식별하고 추적할 수 있습니다. 이러한 기술에는 다음과 같은 것들이 있습니다.
파일 내용을 알려진 중요한 데이터와 비교하는 등의 데이터 매칭
특정 형식(예: 주민등록번호일 수 있는 XXXXXX-XXXXXXX 형식의 13자리 숫자)을 따르는 데이터를 찾는 패턴 매칭.
AI 및 머신 러닝을 사용해 이메일 메시지의 구문 분석하여 기밀 정보를 찾아내는 것과 같은 콘텐츠 분석
민감한 파일로 명시적으로 지정된 레이블, 태그, 기타 메타데이터 탐지
DLP 은 민감한 데이터가 처리되는 것을 발견하면 다음과 같은 정책 위반, 비정상 동작, 시스템 취약성 및 기타 잠재적인 데이터 손실 징후를 찾습니다.
사용자가 조직 외부의 사용자와 기밀 파일을 공유하려는 것과 같은 데이터 유출.
승인되지 않은 사용자가 중요한 데이터에 접근하거나 민감한 파일 편집, 삭제, 복사 등 승인되지 않은 작업을 수행하려고 하는 시도.
멀웨어 서명, 알 수 없는 디바이스에서의 트래픽 또는 기타 악의적 활동 지표.
DLP 솔루션은 정책 위반이 감지되면 실시간 수정 작업을 통해 대응할 수 있습니다. 예를 들면 다음과 같습니다.
네트워크를 통해 이동하는 데이터 암호화
승인되지 않은 데이터 전송 종료 및 악성 트래픽 차단
사용자에게 정책 위반 경고
보안 팀이 검토할 수 있도록 의심스러운 동작에 플래그 지정
사용자가 중요한 데이터와 상호 작용하기 전에 추가 인증 문제 트리거
일부 DLP 툴은 데이터 복구 기능도 지원하여 손실 후 복원할 수 있도록 정보를 자동으로 백업합니다.
조직은 DLP 정책을 시행하기 위해 보다 적극적인 조치를 취할 수도 있습니다. 역할 기반 접근 제어 정책을 포함한 효과적인 ID 및 접근 관리(IAM)를 통해 올바른 사람만 데이터에 접근할 수 있도록 제한할 수 있습니다. 직원들에게 데이터 보안 요구 사항과 모범 사례를 교육하면 우발적인 데이터 손실과 유출을 미연에 방지할 수 있습니다.
DLP 툴은 보안 팀이 네트워크 전체에서 중요한 데이터를 모니터링하는 데 사용할 수 있는 대시보드와 보고 기능을 일반적으로 갖고 있습니다. 이 문서를 통해 보안 팀에서 DLP 프로그램 성능을 시간 경과에 따라 추적하여 정책 및 전략을 필요에 맞게 조정할 수 있습니다.
또한 DLP 툴은 조직이 데이터 보안 작업을 기록하여 관련 규정을 준수하는 데 도움이 될 수 있습니다. 사이버 공격이 발생하거나 감사에 응답해야 경우 조직은 이러한 기록을 사용하여 적절한 데이터 처리 절차를 따랐음을 증명할 수 있습니다.
DLP 전략은 규정 준수 노력과 긴밀하게 연계되는 경우가 많습니다. 많은 조직이 일반 데이터 보호 규정(GDPR), 의료보험 이동성 및 책임에 관한 법률(HIPAA), 결제 카드 업계 데이터 보안 표준(PCI-DSS) 등의 규정을 준수하기 위해 DLP 정책을 구체적으로 수립합니다.
규정마다 데이터 종류에 따라 서로 다른 기준을 적용합니다. 예를 들어, HIPAA는 개인의 의료 정보에 대한 규칙을 규정하고, PCI-DSS는 조직이 결제 카드 데이터를 처리하는 방법을 규정합니다. 두 가지 유형의 데이터를 모두 수집하는 기업이라면 규정 준수 요건을 충족하기 위해 각 유형에 대해 다른 DLP 정책을 수립해야 할 수 있습니다.
많은 DLP 솔루션은 회사가 충족해야 하는 다양한 데이터 보안 표준에 맞게 미리 작성된 DLP 정책을 포함하고 있습니다.
연결되고 현대화된 보안 제품군으로 공격에 대응 QRadar 포트폴리오에는 엔터프라이즈급 AI가 내장되어 있으며 엔드포인트 보안, 로그 관리, SIEM 및 SOAR을 위한 통합 제품을 제공하며, 모든 제품에 공통 사용자 인터페이스, 공유된 인사이트 및 연결된 워크플로가 갖춰져 있습니다.
온프레미스 및 클라우드에서 중요한 데이터를 보호합니다. IBM Security Guardium은 위협 환경 변화에 따라 적응할 수 있는 데이터 보안 솔루션으로, 데이터 보안 라이프사이클 전반에 걸쳐 완벽한 가시성, 컴플라이언스 및 보안을 제공합니다.
온프레미스 또는 하이브리드 클라우드에서 구현되는 IBM 데이터 보안 솔루션은 사이버 위협을 조사 및 해결하고, 실시간 제어를 시행하며, 규정 준수를 관리하기 위한 가시성과 인사이트를 얻는 데 도움을 줍니다.
유출의 원인과 비용을 증가시키거나 줄이는 요인을 이해하여 유출에 더 잘 대비하세요. 데이터 유출 피해를 입은 550개 이상의 조직의 경험에서 교훈을 얻으세요.
멀웨어의 한 형태인 랜섬웨어는 파일 암호화를 풀고 접근을 복구하기 위해 대가를 지불하지 않으면 피해자의 데이터나 파일을 파괴하거나 사용을 방해하겠다고 위협합니다.
SIEM(보안 정보 및 이벤트 관리)은 잠재적인 위협 및 취약성으로 인해 비즈니스 운영이 중단되기 전에 미리 조직이 이를 인식할 수 있도록 지원하는 보안 솔루션입니다.