IT 관리 / 보안 / 애플리케이션

글로벌 칼럼 | 컴플라이언스 관리에 마이크로소프트 ‘퍼뷰’가 필요한 이유

Susan Bradley | CSO 2022.06.23
많은 국가가 랜섬웨어 위협을 줄이기 위한 규제 조치를 마련했다. 예를 들어, 3월 미국 정부는 랜섬웨어 보고와 관련한 새로운 법안을 통과시켰다. 이에 따라 사이버 사고를 경험한 기업은 해당 사고 발생 72시간 이내에 CISA(Cybersecurity and Infrastructure Security Agency)에 보고해야 한다. 추가 지침은 아직 마련 중이지만 다음과 같은 요구사항이 포함될 가능성이 크다.
 
ⓒ Getty Images Bank

  • 사이버 사고의 영향을 받았거나 합리적으로 받았을 것이라고 생각되는 정보 시스템이나 네트워크의 기능 식별 및 설명
  • 영향을 받은 정보 시스템이나 네트워크에 대한 무결성/가용성/기밀성의 상당한 손실과 비즈니스 혹은 산업 운영의 중단에 대한 무단 액세스에 대한 설명
  • 추정되는 사이버 사고 발생 시기
  • 해당 사고가 기업의 운영에 미치는 영향 평가
  • 랜섬웨어 몸값 지불이 이루어진 후 24시간 이내에 보고
  • 랜섬웨어 공격과 관련해 검토할 수 있는 새로운 혹은 다른 모든 정보를 CISA에 제출
  • 사이버 사고 또는 몸값 지불과 관련한 모든 데이터 보존

기업은 이런 요구사항에 따라 랜섬웨어 사고 발생 72시간 이내에 관련 내용을 보고할 수 있을까? 72시간이 지날 때까지도 사고 복구에 한창인 것은 아닐까? 이는 기업의 규모에 따라 다를 수 있다. 소규모 기업은 그저 비즈니스를 재개하기만을 바랄 것이다. 소규모 기업은 보고와 씨름하기를 원하지 않으며, 심지어 데이터가 위험에 처해 있다는 사실을 전체 고객에게 알릴 수단이 없을 수도 있다. 

랜섬웨어 통지는 아직 의무사항이 아니지만, 데이터 유출 통지를 의무화한 국가는 많다. 얼마 전 필자가 작성한 사이버 보험 청약서에서는 기업에서 보유한 개인식별정보(PII)의 수를 요청했다. 하지만 기업의 네트워크에는 알지 못하고 보호하지 못하는 정보 사일로와 숨겨진 데이터베이스가 있기 마련이다. 


퍼뷰를 통한 컴플라이언스 관리

마이크로소프트는 마이크로소프트 365 고객이 이런 정보를 더 잘 보호하고 식별하는 데 도움이 되는 제품을 보유하고 있다. 일반적으로 규정 준수 준수 관련 소프트웨어와 서비스는 대기업에서 주로 사용한다. 마이크로소프트는 애저 퍼뷰와 마이크로소프트 365 컴플라이언스 기능을 결합해 주요 데이터 관리 솔루션 대부분을 ‘퍼뷰(Purview)’로 통합했다. 

퍼뷰 포털은 다양한 상황에서의 규정 준수 옵션을 제공한다. 예를 들어, 유럽연합의 GDPR(General Data Protection Regulation)을 준수하기 위해 제공하는 정보는 다른 데이터 침해 통지 요구사항을 충족하는 데 필요한 정보와 동일할 수 있다. 또 금융 기업은 소비자의 개인정보보호를 위해 미국 GLBA(Gramm-Leach-Bliley Act)를 검토할 수 있다. 퍼뷰를 통해 기업은 비즈니스에 영향을 미칠 수 있는 전 세계 모든 규제에 대응할 수 있다.

퍼뷰 포털에서 기업은 수행해야 하는 조정 및 변경 사항을 검토할 수 있다. 다른 마이크로소프트 콘솔과 마찬가지로 퍼뷰 콘솔은 기업의 컴플라이언스를 평가하고 개선할 수 있도록 점수를 제공한다. 데이터 손실 보호부터 e디스커버리, 정보 보호, 내부자 위협 관리, 기록 관리에 이르는 솔루션으로 정보 분석 프로세스를 개선한다면 기업은 그동안 인지하지 못했던 데이터베이스와 정보 사일로를 발견할 수 있다.


퍼뷰에서 규칙 설정하기

일반적으로 기업은 외부 공격에만 집중하지, 민감 정보가 유출될 수 있는 내부의 위협 요소는 간과하는 경우가 많다. 퍼뷰 컴플라이언스 콘솔에서 기업은 이메일과 팀즈, 야머(Yammer)의 대화를 모니터링하는 커뮤니케이션 컴플라이언스 규칙을 설정해 민감 정보 유출을 방지할 수 있다. 다음과 같은 목록처럼 특정한 정보 목록을 설정해 기업 네트워크를 오가는 것이 확인될 경우 플래그를 지정할 수 있다. 퍼뷰 관리자는 플래그된 정보가 적절하게 보호되지 않았을 때 경보를 보낼 수 있다.
 
  • ABA(American Banker Association) 라우팅 번호
  • 호주 은행 계좌 번호
  • 호주 사업자 번호
  • 오스트리아 납세자 식별 번호
  • 신용 카드 번호
  • 크로아티아 개인 식별(OIB) 번호
  • 체코 개인 식별 번호
  • EU 운전 면허증 번호
  • EU 국가 식별 번호
  • EU 사회 보장 번호(SSN) 또는 이에 상응하는 ID
  • EU 세금 식별 번호(TIN)
  • 독일 납세자 식별 번호
  • 헝가리 사회 보장 번호(TAJ)
  • 인도 고유 식별 번호(Aadhaar)
  • 질병 국제 분류(ICD-9-CM)
  • 일본 마이넘버 카드(My Number Card) 번호
  • 룩셈부르크 주민등록번호(비자연인)
  • 몰타 세금 ID 번호
  • 네덜란드 납세자 식별 번호
  • 뉴질랜드 국세청 번호
  • 뉴질랜드 보건부 번호
  • 뉴질랜드 사회 복지 번호
  • 폴란드 사업자등록번호(REGON)
  • 포르투갈 세금 식별 번호
  • 슬로바키아 개인 번호
  • 슬로베니아 납세자 식별 번호
  • 미국 은행 계좌 번호
  • 미국 운전 면허증 번호
  • 미국 SSN(Social Security Number)

기업의 내부 문제도 퍼뷰로 관리할 수 있다. 모욕적이거나 위협적이고 희롱하는 표현이 포함된 대화를 탐지하도록 정책을 설정하면 특정한 단어를 포함한 대화를 모니터링할 수 있다. 

이처럼 마이크로소프트 퍼뷰는 컴플라이언스 데이터를 식별하는 데 큰 도움이 된다. 현재까지는 대규모 기업이나 정부 조직에서만 퍼뷰를 사용하는 편이지만, 추후 개인정보보호 정책과 데이터 손실에 대한 규제가 늘어나면 소규모 기업에서도 퍼뷰같은 컴플라이언스 툴이 필요해질 것이다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.