2020.12.14

글로벌 칼럼 | DLP 아웃소싱을 고려해야 하는 이유

David Balaban | CSO
보안운영센터(Security Operations Center, SOC)가 외부 보안 사건에 대응한다는 사실은 인정되는 반면, 사건이 내부에서 발생할 수도 있다는 것은 잊히곤 한다. 내부 보안 사건 건수는 매년 증가하고 있다. 데이터 유출의 추적 및 예방을 위해서는 데이터 손실 방지(Data Loss Prevention, DLP) 시스템의 사용이 중요하다. DLP 시스템 운영은 SOC 방식으로 할 때 가장 쉽다. 지원 기능이 서비스 제공업체로 이관되기 때문이다.
 
ⓒ Getty Images Bank

SOC의 구축 및 개발은 포괄적인 정보 보호를 위해 계속되는 과정이다. SOC가 마치 버튼 하나만 클릭하면 데이터 유출을 완벽하게 막을 수 있는 기발한 솔루션인 것처럼 소개될 때가 많다는 점은 아쉽다. DLP 시스템도 상황은 마찬가지이다. 지금까지 다른 정보 보안 시스템이 해결하지 못한 문제를 해결해 줄 획기적인 솔루션으로 기대되고 있는 것이다. 실상을 보면 이런 예상은 잘못되었음을 알 수 있다.


서비스형 DLP

태만한 또는 악의적인 직원 때문에 손실을 입고 싶은 사업주는 아무도 없다. 특히 기밀 데이터 유출 사례를 파악하는 일은 중요해졌는데, 예전에는 이 문제를 생각하지 않아도 되던 회사의 경우에도 마찬가지다.

2020년에는 코로나19 사태 때문에 정보 보안 아웃소싱이 새롭게 활기를 띠었다. 외부 업체의 DLP 시스템 유지관리도 정보 보안 아웃소싱에 속한다. DLP 시스템을 구매하려면 필요한 예산을 할당할 준비가 된 대기업조차도 그 비용이 만만치 않다. 따라서, DLP 지원 서비스를 구독 형태로 구매하는 방식이 올해 탄력을 받기 시작했다. 시스템 자체나 시스템 설치에 필요한 장비를 구입할 필요가 없고, 시스템 운영 인력을 충원할 필요도 없기 때문에 비용을 많이 절약할 수 있는 방식이다.

구독형 지원 서비스는 SOC 형태와 유사하게 진행되는데, 서비스 제공업체가 시스템 및 인프라의 전체적인 기술 지원을 제공하기 때문이다. 따라서, DLP 활동의 생애 주기 전체가 보장되고, 고객은 이미 처리된 사건의 결과만 받아 본 후 내사 실시 여부를 결정하게 된다.


DLP 서비스 제공업체와의 거래에 필요한 것

DLP 시스템 개시에 앞서 IT 전문가가 반드시 해야 할 일은 사내 어떤 정보가 기밀 정보인지 판단한 후 이를 내부 규정에 명시하는 것이다. 그 다음에는 소위 사내 시스템 ‘인증’과 관련된 문서를 작성해야 한다. 특수 규정을 채택하지 않으면 사건 발생 시 직원에게 법적 제재를 가하기 어렵다.

또한, 시작 단계뿐만 아니라 다른 모든 단계에서 자문 지원(사실상 법무 지원)이 필요하다. 해당 직원을 고소하거나 경찰에 신고하는 등 끝까지 가기로 하는 경우, 모든 증거와 서류를 제대로 준비해야 한다.

DLP 시스템을 구매할 계획인 회사라면 기술, 분석, 법무 등 3가지 분야에 지원이 필요하다. 이 가운데 한 분야라도 부족하면 시스템은 전혀 작동을 하지 않거나 효율성이 없어진다. DLP 서비스를 제공하는 아웃소싱 업체 역시 이들 분야를 망라할 준비가 되어 있어야 한다.


서비스형 DLP 결제 모델

지금까지 연결된 직원/자리 수에 따라 가격이 좌우되는 판매 방식이 다년간 사용되어 왔다. 이런 방식을 바꿀 준비가 되지 않은 업체가 있는 반면, 검사된 콘텐츠/데이터의 종류와 분량을 기준으로 책정된 가격을 내놓기 시작한 업체도 있다. 이제는 구독형 라이선스와 영구 라이선스가 둘 다 제공된다. 가격 협상을 통해 기꺼이 기업 할인을 제공해주는 업체도 있다. 따라서, 확고부동하던 DLP 시장에서 돌파구를 찾을 수도 있다.

새로운 방식 덕분에 공급업체와 아웃소싱 서비스 업체는 서로 손잡고 SOC 형식으로 운영되는 것을 비롯해 전면적인 서비스를 제공할 수 있다. DLP 시스템의 부정적인 측면 가운데 하나인 시스템 설치 및 운영의 복잡성과 관련된 사항 역시 시간이 지나면 없어질 수 있다.


정보 유출 위험

DLP 아웃소싱은 심리적으로 어려울 수가 많다. 왜냐하면 고객 입장에서는 서비스 제공업체발 정보 유출 위험을 가늠하기 쉽지 않기 때문이다. IT 관리자는 서비스 제공업체로 인해 위험 요소가 늘어날 가능성을 우려한다. 이 때문에 내부 직원에게 DLP 관리를 맡기는 것을 여전히 선호하는 회사가 많은 것이다.

그러나, 꼭 아웃소싱 방식만 문제가 있는 것은 아니다. 고용 계약서에 직원 의무 사항이 명시되어 있어도 해당 직원이 맡은 정보를 유출하지 않는다고는 100% 보장할 수 없다. 고용 계약서는 직원을 보호하는 것이 목적이다. 여러 국가에서 이를 의무화하고 있다. 반면, 서비스 제공업체와 체결하는 계약의 경우에는 양 당사자가 권리 면에서 동등하며 상호 간에 유리한 조건(벌금, 불이익 등)을 논의하여 정할 수 있다.

소속 직원이 DLP를 관리하는 회사는 정보 기밀유지 관련 규정을 완벽하게 갖춰야 한다. 규칙을 알면서 위반한 직원을 고소하려고 해도 규칙 내용을 상사가 구두 형태로만 전달하거나 이메일을 통해서만 전달한 경우에는 법원에서 고소장을 기각하기 때문이다.
   
아웃소싱 업체의 경우에는 규칙을 위반할 생각도 하지 않는다. 고객에게 제공하는 서비스가 사업의 본질이기 때문이다. 주요 서비스 제공업체는 소속 직원의 신뢰도 점검에 많은 노력을 기울인다. 이러한 조치는 기업에서 자체적으로 하는 수준보다 훨씬 더 의미가 있는 것이 보통이다.

DLP 시장은 전문 업체 수와 종사 인원 측면에서 비교적 협소한 규모이지만, 아웃소싱 업체의 명성, 과거 다른 고객과의 관계, 관계 지속 기간 등을 주의깊게 살펴보는 것이 여전히 중요하다. editor@itworld.co.kr


2020.12.14

글로벌 칼럼 | DLP 아웃소싱을 고려해야 하는 이유

David Balaban | CSO
보안운영센터(Security Operations Center, SOC)가 외부 보안 사건에 대응한다는 사실은 인정되는 반면, 사건이 내부에서 발생할 수도 있다는 것은 잊히곤 한다. 내부 보안 사건 건수는 매년 증가하고 있다. 데이터 유출의 추적 및 예방을 위해서는 데이터 손실 방지(Data Loss Prevention, DLP) 시스템의 사용이 중요하다. DLP 시스템 운영은 SOC 방식으로 할 때 가장 쉽다. 지원 기능이 서비스 제공업체로 이관되기 때문이다.
 
ⓒ Getty Images Bank

SOC의 구축 및 개발은 포괄적인 정보 보호를 위해 계속되는 과정이다. SOC가 마치 버튼 하나만 클릭하면 데이터 유출을 완벽하게 막을 수 있는 기발한 솔루션인 것처럼 소개될 때가 많다는 점은 아쉽다. DLP 시스템도 상황은 마찬가지이다. 지금까지 다른 정보 보안 시스템이 해결하지 못한 문제를 해결해 줄 획기적인 솔루션으로 기대되고 있는 것이다. 실상을 보면 이런 예상은 잘못되었음을 알 수 있다.


서비스형 DLP

태만한 또는 악의적인 직원 때문에 손실을 입고 싶은 사업주는 아무도 없다. 특히 기밀 데이터 유출 사례를 파악하는 일은 중요해졌는데, 예전에는 이 문제를 생각하지 않아도 되던 회사의 경우에도 마찬가지다.

2020년에는 코로나19 사태 때문에 정보 보안 아웃소싱이 새롭게 활기를 띠었다. 외부 업체의 DLP 시스템 유지관리도 정보 보안 아웃소싱에 속한다. DLP 시스템을 구매하려면 필요한 예산을 할당할 준비가 된 대기업조차도 그 비용이 만만치 않다. 따라서, DLP 지원 서비스를 구독 형태로 구매하는 방식이 올해 탄력을 받기 시작했다. 시스템 자체나 시스템 설치에 필요한 장비를 구입할 필요가 없고, 시스템 운영 인력을 충원할 필요도 없기 때문에 비용을 많이 절약할 수 있는 방식이다.

구독형 지원 서비스는 SOC 형태와 유사하게 진행되는데, 서비스 제공업체가 시스템 및 인프라의 전체적인 기술 지원을 제공하기 때문이다. 따라서, DLP 활동의 생애 주기 전체가 보장되고, 고객은 이미 처리된 사건의 결과만 받아 본 후 내사 실시 여부를 결정하게 된다.


DLP 서비스 제공업체와의 거래에 필요한 것

DLP 시스템 개시에 앞서 IT 전문가가 반드시 해야 할 일은 사내 어떤 정보가 기밀 정보인지 판단한 후 이를 내부 규정에 명시하는 것이다. 그 다음에는 소위 사내 시스템 ‘인증’과 관련된 문서를 작성해야 한다. 특수 규정을 채택하지 않으면 사건 발생 시 직원에게 법적 제재를 가하기 어렵다.

또한, 시작 단계뿐만 아니라 다른 모든 단계에서 자문 지원(사실상 법무 지원)이 필요하다. 해당 직원을 고소하거나 경찰에 신고하는 등 끝까지 가기로 하는 경우, 모든 증거와 서류를 제대로 준비해야 한다.

DLP 시스템을 구매할 계획인 회사라면 기술, 분석, 법무 등 3가지 분야에 지원이 필요하다. 이 가운데 한 분야라도 부족하면 시스템은 전혀 작동을 하지 않거나 효율성이 없어진다. DLP 서비스를 제공하는 아웃소싱 업체 역시 이들 분야를 망라할 준비가 되어 있어야 한다.


서비스형 DLP 결제 모델

지금까지 연결된 직원/자리 수에 따라 가격이 좌우되는 판매 방식이 다년간 사용되어 왔다. 이런 방식을 바꿀 준비가 되지 않은 업체가 있는 반면, 검사된 콘텐츠/데이터의 종류와 분량을 기준으로 책정된 가격을 내놓기 시작한 업체도 있다. 이제는 구독형 라이선스와 영구 라이선스가 둘 다 제공된다. 가격 협상을 통해 기꺼이 기업 할인을 제공해주는 업체도 있다. 따라서, 확고부동하던 DLP 시장에서 돌파구를 찾을 수도 있다.

새로운 방식 덕분에 공급업체와 아웃소싱 서비스 업체는 서로 손잡고 SOC 형식으로 운영되는 것을 비롯해 전면적인 서비스를 제공할 수 있다. DLP 시스템의 부정적인 측면 가운데 하나인 시스템 설치 및 운영의 복잡성과 관련된 사항 역시 시간이 지나면 없어질 수 있다.


정보 유출 위험

DLP 아웃소싱은 심리적으로 어려울 수가 많다. 왜냐하면 고객 입장에서는 서비스 제공업체발 정보 유출 위험을 가늠하기 쉽지 않기 때문이다. IT 관리자는 서비스 제공업체로 인해 위험 요소가 늘어날 가능성을 우려한다. 이 때문에 내부 직원에게 DLP 관리를 맡기는 것을 여전히 선호하는 회사가 많은 것이다.

그러나, 꼭 아웃소싱 방식만 문제가 있는 것은 아니다. 고용 계약서에 직원 의무 사항이 명시되어 있어도 해당 직원이 맡은 정보를 유출하지 않는다고는 100% 보장할 수 없다. 고용 계약서는 직원을 보호하는 것이 목적이다. 여러 국가에서 이를 의무화하고 있다. 반면, 서비스 제공업체와 체결하는 계약의 경우에는 양 당사자가 권리 면에서 동등하며 상호 간에 유리한 조건(벌금, 불이익 등)을 논의하여 정할 수 있다.

소속 직원이 DLP를 관리하는 회사는 정보 기밀유지 관련 규정을 완벽하게 갖춰야 한다. 규칙을 알면서 위반한 직원을 고소하려고 해도 규칙 내용을 상사가 구두 형태로만 전달하거나 이메일을 통해서만 전달한 경우에는 법원에서 고소장을 기각하기 때문이다.
   
아웃소싱 업체의 경우에는 규칙을 위반할 생각도 하지 않는다. 고객에게 제공하는 서비스가 사업의 본질이기 때문이다. 주요 서비스 제공업체는 소속 직원의 신뢰도 점검에 많은 노력을 기울인다. 이러한 조치는 기업에서 자체적으로 하는 수준보다 훨씬 더 의미가 있는 것이 보통이다.

DLP 시장은 전문 업체 수와 종사 인원 측면에서 비교적 협소한 규모이지만, 아웃소싱 업체의 명성, 과거 다른 고객과의 관계, 관계 지속 기간 등을 주의깊게 살펴보는 것이 여전히 중요하다. editor@itworld.co.kr


X