모바일 / 보안

기고 | 모바일 환경에서의 데이터 유출 방지를 위한 5가지 실행 전략

Kim Lindros, Ed Tittel | CIO 2014.03.28

모바일 환경에서 DLP(Data Loss Prevention)를 이야기한다는 것은 기업 네트워크의 보안에서 벗어나는 데이터를 보호하는 것을 의미한다. 주로 기기 도난, 권한이 부여된 사용자의 뜻하지 않은 공유, 악성 앱이나 악성 코드를 통한 직접적인 손실 등의 경우가 이에 해당한다.


모바일 데이터 손실과 관련된 문제는 IT 부서의 승인 여부와 상관 없이 자신의 기기를 직장으로 가져오는 직원들이 증가하면서 악화됐다. BYOD 상황에서는 사용자가 스마트기기를 소유하기 때문에, IT 부서가 보안을 수립하고 유지하기가 까다로워진다.

최소한 비즈니스 정보에 접근하거나 보관하는 모바일 기기는 사용자 식별 기능 및 강력한 인증을 설정해야 하며, 최신 악성 소프트웨어 백신 소프트웨어를 탑재해야 하고 반드시 VPN(Virtual Private Networking)을 이용해 기업 네트워크에 접속해야 한다.

IT 부서는 다음의 전략을 통해 모바일 환경에서 기업 정보를 보호해야 한다.

1. 데이터 백업
데이터 백업 문제를 아주 세부적으로 다룰 필요는 없다. 쉽게 말해서 백업은 필요하며 주기적으로 수행해야 하고 결과 백업 파일은 반드시 필요에 따라 복구할 수 있는지 테스트하며 확인해야 한다.

2. 교육: 사용자가 많이 알수록 더욱 안전해진다
대다수의 사용자들에게 데이터 누출의 위험성에 대한 교육은 가치가 있다. 연례 보안교육, 점심 세미나, 월간 소식지 등을 통해 직원들에게 보안에 관한 교육을 제공하자. 일단 무엇이 민감한 정보인지 알려줄 필요가 있다.

대부분의 직원들은 무엇이 "영업비밀(confidential)" 정보에 해당되는지 이해하고 나면 기꺼이 기관의 자산을 보호하는데 일조할 것이다.

또한 직원들은 반드시 이런 정보가 공개되었을 때 명예 실추, 기업 스파이, 수익 손실, 벌금과 처벌, 특정 직원의 개인적인 안전에 대한 위험 등 기업에 미치는 영향을 이해해야 한다. (가능하다면) 기관이 경험했던 데이터 누출의 실제적인 사례를 공유하고 뉴스에 소개되었던 보안 침입 문제를 구체적으로 소개하자.

3. 데이터 분류: 목적을 명확히
모바일 기기를 업무용으로 적극적으로 활용하면서 데이터 분류의 필요성이 대두되었다. 대부분의 모바일 DLP 기술은 데이터 누출을 막기 위해 일정한 형태의 데이터 분류를 하고 있다. 기관은 아직 준비가 되어있지 않다면, 데이터 분류 기준을 수립하는 것부터 시작해야 한다.

분류체계는 정보의 취급 방식에 따라 광범위한 범주로 구성될 수 있다. 미 육군의 분류체계는 국가보안정보(National Security Information) 문서 행정명령(Executive Order) 12356에 정의한 대로 일급비밀(Top Secret), 비밀(Secret), 영업비밀(Confidential, 기밀)로 구분되어 있다.

기업 또는 교육체계는 매우민감(Highly Sensitive), 민감(Sensitive), 내부용(Internal), 공개용(Public) 분류를 사용할 수도 있다.

정보는 문서, 스프레드시트, 이메일 뿐만 아니라 마케팅, 일반 비즈니스 활동, 서신, 고객 서비스 이메일 등 다양한 형태로 유입된다. 즉 어떤 정보는 분류가 쉽지 않다. 또한 다른 목적으로 변경된 문서를 어떻게 취급해야 할까? 예를 들어, ‘매우 민감’으로 분류된 문서의 일부가 다른 곳에서 사용된다면 어떨까? 이런 부분도 ‘매우 민감’한 것으로 간주해야 할까? 아니면 검토를 거쳐 다시 분류해야 할까?

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.