Last Updated on 6월 5th, 2023, By
 In AppSealing News, 앱실링 블로그

 

원만한 비즈니스 운영에 있어서 데이터 보안은 중요합니다. 직원, 고객, 주주, 파트너 등 전 세계에 다양한 관계자들을 보유하고 있는 사업은 데이터 안전을 확보해야 합니다. 데이터 유출, 수익, 브랜드 표준 등 데이터와 관련된 많은 문제들이 있습니다. 따라서 데이터 보안 관행과 전략을 올바르게 수립할 필요가 있습니다.

데이터 보안

데이터 보안이란 비인가된 접근으로부터 데이터를 보호하는 절차를 의미합니다. 데이터 보안은 개인 데이터, 금융 데이터 및 지적 재산권과 같은 민감한 데이터에 특히 중점을 둡니다. 많은 기업들이 사이버 공격에 대체로 취약한 직원 및 고객 관련 개인 데이터를 보유하고 있습니다. 이러한 데이터를 손상, 변조 및 오용으로부터 보호하기 위해 다양한 프로세스와 기술이 고안되었습니다. 크든 작든 여러 기관들이 기록적인 속도로 여러 시스템을 가상으로 연결하고 정보를 공유하며 원격 근무로 이행하는 현 시점에 데이터 보안의 중요성은 더욱 두드러집니다. 

데이터 보안의 중요성

2020년 데이터 유출로 인한 전세계적 평균 피해 규모는 약 380만 달러에 달합니다. Ponemon Institute가 수행한 연구에 따르면 2020년 미국에서만 800만 달러에 달하는 손실이 발생하였습니다. FBI의 인터넷 범죄 신고 센터(IC3)에 따르면 미국의 사이버 범죄 신고율은 69% 증가했다고 합니다. 기업의 평판은 데이터 보안에 매우 큰 영향을 받고 있기 때문에 데이터의 보안은 기업이 채택할 수 있는 가장 중요한 전략입니다. 단순한 사이버 공격도 데이터 유출로 이어져 사업에 큰 악영향을 끼치며 큰 재무적 손실로 이어질 수 있습니다. 고소, 소송, 거액의 벌금 및 금지 명령 또한 큰 파장을 일으킬 수 있습니다. 고객은 기업의 데이터 보호 능력에 확신을 가져야 합니다. 손상된 평판은 낮은 추천, 심각하게 손상된 이미지를 비롯해 브랜드 자산과 시장 지위 등을 회복하기 위한 추가적인 자원 투입 등으로 이어집니다. 데이터 보안 방안 시행 시 기업이 필수적으로 초점을 맞춰야 할 또 다른 요소는 법률 준수입니다. 여기서 주의해야 할 중요한 점은 데이터가 데스크톱, 공유 리소스, 모바일, 웹 등 여러 다른 디바이스 및 공간에 저장될 수 있다는 것입니다. 우수한 데이터 보안 정책은 이 모든 요소를 고려해야 합니다.

데이터 보안 vs 데이터 보호 vs 개인정보보호

데이터와 관련된 세 가지 핵심 개념과 관련하여 종종 혼란이 생깁니다. 이를 바로잡아 보겠습니다.

  1. 개인정보보호는 회사가 어떻게 개인정보를 관리하는지를 규정하는 개념입니다. 최근 구글이 쿠키를 단계적으로 폐지하며 이에 대한 잡음이 일었습니다. 쿠키는 사용자의 브라우징 세부요소를 수집하고 모아 관련된 광고가 보여지게 해줍니다. 개인정보보호 관련 규제는 사용자 동의를 얻고 책임 있는 데이터 사용을 위한 가이드라인을 규정해줍니다.
  2. 데이터 보호는 백업을 생성하여 데이터 카피를 생성, 데이터 유출이나 오용 등이 혹시라도 발생할 시에도 여전히 원본 데이터를 사용할 수 있게 하는 것입니다.
  3. 데이터 보안은 데이터 유출 및 유사한 사건을 방지함으로써 비인가 사용자가 데이터에 접근하는 것을 막는 데 초점을 맞춥니다.

데이터 보안 기술

기업 내외부에서 데이터를 보호하려면 강력한 전략이 필요합니다. 이들 중 탐구하여 시행할만한 기술 및 통제 방안은 다음과 같습니다. 

데이터 마스킹

데이터 마스킹은 민감 정보를 제한적으로 공개해 오용을 제한하는 기술입니다. 예를 들어, 여러 숫자가 쓰여진 신용 카드의 전체 정보는 공개되지 않으며 일부는 난독화됩니다. 개인식별정보(PII)에 속하는 데이터 또한 넓은 범위에서 데이터 마스킹을 시행합니다. 

데이터 암호화

데이터 암호화는 데이터의 모든 부분을 읽을 수 없는 포맷으로 변환합니다. 허가된 사용자가 암호화된 데이터를 해독할 수 있는 암호화 키를 생성합니다. 

데이터 백업/복구

데이터 복제본을 생성하여 데이터의 특정 부분이 삭제되거나 손상되었을 시 참조할 수 있게 하는 방식입니다.

데이터 소거

데이터 소거는 더 이상 필요하지 않은 데이터를 영구적으로 삭제하는 방식입니다. 예를 들어 예전 고객이 더 이상 기업과 거래하지 않는다면 금융 데이터는 삭제되어야 합니다. 또한 특정 고객이 특정 세부 데이터를 삭제해달라고 요청할 시, 우수한 데이터 정책을 가진 기업은 이를 이행합니다. 삭제된 데이터는 또한 복구가 불가능합니다.

인증과 인가 

가장 명백하지만 흔히 그 중요성이 간과되는 전략입니다. 인증은 입력된 자격 증명을 데이터베이스에 저장된 정보와 비교하여 사용자를 인증하는 데 중점을 둡니다. 적절한 암호 정책은 시스템 침투를 어렵게 만듭니다. 인가는 사용자가 인증된 이후 진행되는 과정으로, 접근권을 확인합니다. 역할 기반 접근권 통제는 명백한 분기가 이뤄지게 해, 유관 사용자 혹은 역할을 부여받은 이가 적절한 양의 데이터에 접근할 수 있는 권한을 확보할 수 있도록 보장합니다.

토큰화

토큰화는 실제 특정 민감 데이터는 안전한 곳에 보관하고 토큰으로 쓰일 임의의 문자 시퀀스로 실제 데이터를 대체하는 방식입니다.

데이터 보안 규제

어떤 규제들은 데이터를 보호하기 위해 가능한 최선의 시행안을 규정하고 가이드라인을 제공하는 데 도움을 줍니다. 이중 중요한 규제들을 살펴보도록 하겠습니다. 

일반 데이터 보호 규제(GDPR)

일반 데이터 보호 규정은 유럽연합 시민 개인정보를 보호하며 SSN, 이메일 ID, IP 주소, 전화번호, 계좌번호 등 중요한 데이터 요소에 적용됩니다. 기업은 이러한 데이터를 분류하고 만약 개인이 명확히 요청할 경우 이를 삭제해야 합니다. 또한 데이터 유출 사고 발생 시 72시간 내 보고하여야 합니다. 기업은 이 데이터가 어떻게, 어디에, 언제 쓰이는지 명확하고 상세하게 안내할 책임 또한 지고 있습니다.

사베인스 옥슬리법(SOX)

사베인스 옥슬리 규정은 미국 연방법원의 감사 통제수단 관련 법률입니다. 기업은 중요 데이터 포인트, 보안 설정 및 접근 권한을 통제해야 하며 동시에 연간 보고 절차의 일환으로 기업 내부 통제수단 평가를 수행하여야 합니다. 데이터 사용, 데이터 변경 및 권한 업데이트에 대한 정기 보고 역시 사베인스 옥슬리 규정의 적용 대상입니다.

미국 건강 보험 이동성 및 책임법(HIPAA)

미국 건강 보험 이동성 및 책임법은 건강보험을 규제하며 건강 정보에 관련된 기록에 적용됩니다. 민감 데이터 접근 및 권한 변경과 관련된 지속적인 감시 활동은 이 법에 따라 적용됩니다. 해당 법률은 또한 모든 사용자의 상세한 활동을 서면 기록으로 보관하도록 권장합니다.

미국 연방 보안 정보관리법(FISMA)

미국 연방 보안 정보관리법은 연방정부기관이 준수해야 할 가이드라인 및 보안 기준과 관계가 있습니다. 정부와 어떤 식으로든 계약 관계를 맺은 민간 기업 또한 해당 법률의 적용을 받습니다. 지속적인 감시 활동, 리스크 범주화, 보안 통제 및 강력한 시스템 보안 계획을 통해 정부기관은 공격과 발생 가능성이 있는 보안 취약성을 방지할 수 있습니다.

가족 교육권 및 프라이버시에 관한 법률 (FERPA)

가족 교육권 및 프라이버시에 관한 법률은 미국 연방 지원금을 받는 교육 기관에게 적용됩니다. 이 법은 학생의 교육 기록 내 포함된 개인식별정보(PII)를 보호하는 데 초점을 맞추고 있습니다.

지불 카드 기업 데이터 보안 표준(PCI DSS)

신용카드 거래를 처리하는 기업체에게 적용되는 지불 카드 기업 데이터 보안 표준은 강력한 접근 통제수단을 시행하여 카드 소유자 정보를 보호하는 데 중점을 두고 있습니다. 취약성 관리 프로그램, 지속적인 위협 감시 및 보안 전문가 양성이 핵심 요소입니다.

그램-리치-블라일라법(GLBA)

그램-리치-블라일라법은 금융기관 혹은 금융상품이나 서비스를 판매하는 모든 기관이 고객의 개인식별정보(PII)와 비공개 개인정보(NPI)를 안전하게 수집, 공유 및 사용하도록 하게 합니다. 또한 고객에게 그들 정보의 실제 사용처를 알리고 고객이 언제든 개인정보 제공 및 사용을 거부할 수 있도록 하는 것이 기업에게 요구됩니다.

지속적인 규제 준수를 보장하는 5가지 방법

주기적으로 시행하여 데이터 보안을 최상의 상태로 유지할 수 있는 기본적인 방법이 있습니다.

  • 어떤 규제가 데이터와 기업에 적용되는지 인지하세요: 위에서 논의하였듯이, 각기 다른 기업에 각기 다른 법률과 규제가 적용됩니다. 어떤 법규가 기업과 기업이 보유한 데이터에 적용되는지 인지하는 것은 이를 통해 어떤 보안 통제수단을 수행할지 알 수 있기 때문에 중요합니다.
  • 주기적인 평가를 실행하세요: 리스크 및 발생 가능한 취약성을 주기적으로 평가하면 보안 상태를 더 잘 파악할 수 있으므로, 이슈를 해결해 더 높은 보안 수준에 다다르게 해줍니다.
  • 계획을 수립하세요: 보안 통제 수립은 이를 시행할 전략의 전개와 실행, 직원 훈련, 주기적 수정/업데이트 수행을 다루는 전체적인 계획을 말합니다.
  • 동료들과 함께 지식을 쌓고 네트워크를 확장하세요: 세상은 끊임없이 바뀌고 새로운 공격 벡터는 매 분마다 나타나, 보안 통제수단 또한 시간에 따라 무용지물이 되버려 새로운 통제수단을 개발해야 합니다. 그러므로 계속 배우고, 네트워킹을 하며 최신 보안방식에 뒤떨어지지 않아야 합니다.
  • 전문가의 상담을 받으세요: 상황이 악화될 경우, 전문가의 조언을 받는 것은 중요한데 이로써 상황이 통제불능이 되는 것을 막을 수 있기 때문입니다. 전문적인 상담은 특히 이슈를 깊게 파헤치고 적절한 시행 방안을 고안할 수 있게 해줍니다.

모바일 앱 보안을 잊으면 안 됩니다.

위 언급한 데이터 보안 전략이 디바이스에 구애받지 않기는 하나, 모바일 보안을 위한 몇몇 특정 방법론은 매우 성공적으로 모바일 데이터를 확실히 보호할 수 있습니다.

  • 데이터 삭제 및 최소화: 기업은 더 이상 필요하지 않은 데이터를 삭제 혹은 제거하는 방식을 시행하여야 합니다. 또한, 사업에 정말 필수적인 데이터 포인트만 보관하여야 합니다.
  • 데이터 감사: 접근 통제 변화, 데이터 위변조, 모든 발생 가능한 공격 등을 보고하기 위해 시행되는 주기적인 확인 및 검사를 뜻합니다.
  • 실시간 경고: 이미 너무 늦은 시점까지 기업들이 데이터가 얼마나 유출되었는지 모르는 경우가 많으므로, 현 기준 혹은 절차에 어긋나는 이상 발생 시 실시간 경고가 가능하게 하여 선도적으로 문제를 해결할 수 있습니다. 
  • 직원 교육: 피싱 공격과 이메일 스푸핑은 기업내에서 꽤나 흔하게 일어납니다. 내부 관계자들에게 이러한 공격과 대응방안을 훈련 혹은 교육하는 것은 팀을 안전하게 지키고 고객 데이터 보호를 확실히 할 수 있는 좋은 방안입니다.
  • 사건 관리 및 데이터 보안 복구 계획 마련: 특정 사건이 발생했을 시에 규정 목록은 유용하게 쓰입니다. 이는 또한 다시 정상화하여 문제를 해결하는 데도 도움을 줍니다.
  • 특정 개인만 데이터에 접근 가능하도록 통제
  • 2단계 보안인증(2FA) 등 강력한 인증 기법을 통해 소스 데이터를 보호 
  • 사용 사례를 고안하고 전체 인프라 대상 스트레스 테스트를 통해 조직 전체 시스템을 지속적으로 검사
  • 더 이상 필요하지 않은 데이터는 실제로 전혀 흔적도 없이 완벽하게 삭제됨을 보장하기 위해 데이터의 물리적 복사본 또한 삭제

모바일 애플리케이션 개발자 및 소유자는 해커와 위변조로부터 앱을 보호하여 좋은 서비스를 제공할 수 있도록 노력해야 합니다. 또한, 이는 어떠한 남용 혹은 위변조 발생 시 실시간으로 추적이 가능하여 피해를 조절하고 브랜드 명성을 유지하도록 해 줍니다. 앱실링은 독자개발한 런타임 애플리케이션 자가 보호(RASP) 솔루션으로 기업이 위협과 발생 가능한 공격으로부터 더 선제적으로 앱을 감시 및 스캔할 수 있게 도와줍니다. 별도 코딩이나 AMC를 걱정할 필요 없이 완벽한 인앱 보안을 얻을 수 있습니다. 지금 앱실링에 문의하십시오!

Dustin Hong
Dustin Hong
Dustin은 잉카엔트웍스의 앱실링 비즈니스 개발을 이끌고 있습니다. 그는 사이버 보안, IT, 컨텐츠 및 애플리케이션 보안 분야의 소프트웨어 개발과 혁신에 많은 관심을 가지고 있습니다. 또한 사이버 보안 세계에서 주요 사건의 대상, 이유 및 방법에 대해 다양한 사람들에게 공유하고 토론하는 것을 좋아합니다. 업계 동향 및 모범 사례에 대한 그의 견해는 기사, 백서에 실려있으며, 여러 보안 행사에서 유사 주제로 발표를 하였습니다.
Hashing Algorithms