* 보안뉴스(2022.11.11. 원병철)
1. DLP가 처음 등장한 것은 잘 알려져 있지 않지만, 보안기업들이 본격적으로 DLP를 선보인 것은 2006~2008년이다. 맥아피(McAfee)는 2006년 인수한 DLP 전문기업 오니그마(Onigma)를 통해 2007년 DLP 솔루션을 출시했고, 시만텍(Symantec)도 2007년 DLP 전문기업 본투(Vontu)를 인수하고 DLP를 선보였다. 트렌드마이크로(Trendmicro)도 DLP 기업 ‘프로빌라(Provilla)’를 2007년 인수하고 2008년 본격적으로 DLP 시장에 뛰어들었다. 또한 디지털가디언, 체크포인트, 코소시스, 포스포인트와 같은 기업들도 DLP 솔루션을 선보였다.
2. 국내 기업들도 앞 다투어 뛰어 들었다. 특히 초기 정보 유출 방지 솔루션이 DLP는 물론 DRM과 이메일보안, 문서보안 등이 골고루 인기를 얻으면서 등 많은 기업들이 솔루션을 쏟아내며 경쟁했다. 마크애니, 소만사, 소프트캠프, 수산아이앤티, 워터월시스템즈, 지란지교데이터, 컴트루테크놀로지, 파수 등 쟁쟁한 보안기업들이 DLP 솔루션을 제공하고 있다.
내부에서의 기업기밀 유출을 막는 ‘DLP’
3. DLP는 말 그대로 정보가 유출되는 것을 방지하는 솔루션이다. 기업이나 기관의 중요한 데이터가 내부에서 외부로 유출되는 것을 보호하는 것이 주요 임무이며, 기존 외부에서 내부로 들어오는 공격을 막는 네트워크 보안 솔루션과는 반대형태다. 주로 데이터가 보관되고 사용되며 전송되는 과정을 모두 모니터링 함으로써 정보가 유출되는 것을 감시하고, 유출이 확인될 경우 차단하는 방식으로 동작한다. 번외의 이야기로, DLP 등 내부정보보호 전문기업인 워터월시스템즈의 경우 외부에서 들어오는 것을 막는 ‘방화벽(Fire Wall)’과 반대되는 의미인 ‘Water Wall’로 사명을 지은 것으로 알려졌다.
4. DLP에서 말하는 중요한 데이터가 대부분 ‘문서’나 ‘이미지’ 형태이기 때문에 ‘문서보안’의 한 축로 불리기도 한다. 참고로 문서보안 3대 솔루션으로 DRM, DLP, 문서중앙화가 꼽히며, 데이터(주로 문서)가 유출되지 않게(DLP)하거나, 유출됐더라도 아무나 못 보게(DRM) 하거나, 아예 데이터의 관리(저장)를 회사만 할 수 있는 방식(문서중앙화)으로 각각 데이터를 보호한다.
5. DLP는 크게 ‘네트워크 DLP’와 ‘엔드포인트 DLP’ 2가지로 구분된다. 네트워크 DLP는 회사 네트워크에서 정보 유출을 방지하는 기술이다. 네트워크에서 파일의 이동을 모니터링하며, 이슈 발생시 차단하는 기능을 제공한다. 또한 최근 DLP는 워드, 엑셀, HWP 등 모든 비정형 데이터의 사용 로그를 서버로 수집하고, 데이터 유출입 채널에 대한 흐름상에 데이터 행위를 탐지하고 제어할 수 있는 기능도 제공한다. 엔드포인트 DLP는 임직원 PC에 에이전트를 설치, 기업의 다양한 정보를 보호하고, 외부 유출을 방지한다. 이를 위해 데이터 암호화, 웹사이트 제어, 출력물 제어, 저장매체 제어 등의 기능을 제공한다. 다만 회사 고유의 기능을 제외하고 일반적인 기능은 네트워크 DLP와 엔드포인트 DLP 모두 비슷하며, 주로 DLP 제공회사의 출발선이나 주요 솔루션이 어느 쪽에 연관되어 있는 지에 따라 다른 것으로 알려졌다.
6. 네트워크 DLP와 엔드포인트 DLP 구축의 가장 큰 차이점은 ‘에이전트’의 유무와 ‘설치 구간’이다. 네트워크 DLP는 내부에서 외부로의 트래픽 모니터링을 바탕으로 정보의 유출을 제어하기 때문에 일반적으로 사외망으로 통하는 네트워크 끝단에 관리 시스템이 구축되며, 엔드포인트 DLP는 임직원 PC에서 발생하는 정보 유출 관련 이벤트 감지 및 제어를 위한 PC 에이전트와 사내 설치된 에이전트의 통합 관리 및 제어, 유출 위험 모니터링 등 중앙 관리를 위한 매니지먼트 시스템을 고객사에 제공한다.
7. 아울러 DLP를 사용하는 기업과 기관은 필요에 따라 DLP 솔루션 운영의 효율성을 극대화하기 위해 통합 로그관리 솔루션과 연동해 정보 유출과 이벤트를 통합관리하기도 한다. 또한 최근에는 유출 파일 승인 기능의 활용도를 높이기 위해 내부 결재 시스템이나 협업 툴과 연계해, 운영 중인 결재 프로세스를 통해 내부 데이터의 외부 전송 환경을 제공하고 있다.
8. 이처럼 보안담당자는 DLP 시스템 구축 후 외부로 유출되는 정보의 탐지 및 제어를 위해 첫째로 내부 기밀 정보 및 개인·민감정보 정보 정책을 관리하고, 둘째로 외부로 유출되는 정보의 모니터링과 차단 정책을 통합 관리할 수 있다.
내부 정보 유출 증가와 재택·원격근무 늘면서 DLP 수요도 증가
9. 그렇다면 기업과 기관, 나아가 보안담당자들이 DLP를 사용하는 이유는 무엇일까? 가장 큰 이유는 보안담당자 입장에서 정보 유출은 가장 큰 골칫거리이기 때문이다. IBM이 포네몬 인스튜트와 함께 조사한 ‘2020 글로벌 기업 데이터 유출 현황 보고서’에 따르면, 전 세계적으로 데이터 유출로 인한 기업당 평균 피해액은 2020년 386만 달러(약 43억 6,180만 원)에 달했으며, 2020년 국내 기업이 입은 데이터 유출 평균 피해액은 38억 원에 이르렀다. 아울러 국내 기업의 데이터 침해 발생 원인을 분석한 결과, 악의적인 혹은 범죄를 목적으로 한 공격이 50%를 차지했으며, 내부 시스템 결함(29%), 임직원 단순 실수(21%) 등이 주요 원인이었다.
10. 기업과 기관에서 발생하는 데이터 유출은 해킹과 같은 외부 위협도 있지만, 대부분의 심각한 비밀 유출은 내부자의 소행으로 조사됐다. 버라이즌이 발표한 ‘2019년 데이터 유출 조사 보고서’에 따르면, 데이터 유출의 약 34%가 내부자와 관련이 있는 것으로 나타났다. 때문에 보안담당자들은 외부 사이버 위협에 대응하는 보안 솔루션은 물론, 내부자가 악의를 갖고 진행하는 정보 유출을 방지할 수 있는 시스템의 필요성을 매우 절실하게 느끼고 있다. 아울러 최근 코로나19 사태로 재택 및 원격근무가 늘어나고, 다양한 개인(외부)기기들을 업무에 사용하는 일이 늘어나면서 DLP의 수요는 계속 늘고 있다.
11. 글로벌 DLP 시장은 2021년 기준 14억 2,000만 달러(약 2조 원) 규모로 조사됐다. 글로벌 시장조사기업 IMARC 그룹은 2027년까지 연평균 23% 이상 성장해 51억 달러 규모의 시장이 될 것으로 전망했다. 고성장의 배경에는 클라우드의 확산, 코로나19 팬데믹으로 인해 원격 근무 환경이 확산됨에 따라 DLP 수요 증가 등이 꼽았으며, 특히 팬데믹 이전에는 국내 대비 글로벌 시장의 성장이 더뎠으나, 원격 근무 환경 확산으로 DLP에 대한 수요가 빠르게 늘어나고 있다고 분석했다.
DLP도 만능은 아니야... 최초 정책 결정과 내부 주요 정보 파악 및 임직원 교육 필수
12. 다만 업계에서는 DLP를 포함한 정보유출방지 솔루션이 만능은 아니라며 사용자들의 오해를 지적했다. 특히 DLP를 사용할 때 보안담당자가 주의해야 할 점을 두 가지 강조했는데, 바로 최초 정책 결정과 주요 정보 파악과 임직원 교육이다.
13. DLP 솔루션은 특성상 최초 운영 시 세팅된 정책에 따라 정책을 추가, 변경하지 않고 지속적으로 운영하는 경우가 대부분이기 때문에, 시스템 초기 구축 시 기능별 정책 설정이 아주 중요하다. 이에 보안담당자는 고객사에서 주로 활용되는 개인·민감정보 유형과 사내 기밀과 연결된 주요 키워드를 사전에 파악해 고객사에 최적화된 유출 탐지 정책에 적용이 필요하다는 것이 DLP 솔루션 제공 기업의 조언이다. 자칫 탐지 정책에 정보가 누락 되었을 경우 중요정보가 포함된 데이터가 외부로 유출되는 위험이 발생할 수 있기 때문이다. 아울러 DLP에서 제공하는 출력물 보안, 매체 관리, 파일첨부 관리, 소프트웨어 실행 관리 기능 등 주요 기능이 고객사 내부의 보안 정책 또는 내부 보안 정책이 갖춰져 있지 않을 경우, 법에서 요구하는 보안 기준 또는 안내서를 활용해 솔루션에서 제공한 범위 내에서 정책을 설정하는 것이 중요하다.
14. 둘째로, 기업 내부의 중요 정보가 외부로 유출되지 않기 위해서는 고객사 내부에 보유하고 있는 개인·민감정보 및 기밀정보에 대한 현황을 기업·기관과 보안담당자가 파악하고 있어야 한다는 점이다. 보안담당자는 주기적인 관리자 검사를 통해 고객사 내부의 중요정보 현황을 관리 및 업데이트하고, 불필요한 개인·민감정보와 기밀 정보는 사용자 스스로 조치할 수 있도록 안내하거나 관리자 강제 조치를 통해 보호해야 한다. 무엇보다 지속적인 안내와 내부 교육을 통해 사용자 스스로 정보 유출에 대한 위험성을 인지하고, 보호조치를 할 수 있는 환경을 만드는 것이 무엇보다 중요하다.
15. Xploit Security의 CEO인 브라이언 사이먼(Bryan Simon)은 “DLP는 단순한 제품이 아닌, 말 그대로의 데이터의 손실을 막기 위한 전략이나 개념으로 봐야한다”면서, “때문에 DLP를 잘 활용하려면 조직에 있어서 가장 치명적이고 중요한 정보가 무엇인지 알아야 하며, 단순히 보안담당자나 부서가 아닌 회사 임직원 전체가 데이터를 보호하는 데 참여해야 한다”고 강조했다. “보안은 한 번 뚫렸다고 해서 가치를 잃는 것이 아니다. 사실상 모두가 연결되어 있는 현대에서의 정보보안은 공격자가 더 머리를 굴리게 하고 고민하게 만드는 것만으로도 엄청난 가치를 가진다. 그건 방어자가 많은 경우의 수를 미리 그려놓고 그에 대한 대비를 함으로써 가능해진다. 그래서 모두가 해커들의 한 걸음 한 걸음을 늦추는 데 성공하면 언젠가 그들을 완전히 멈추게 할 수 있을 것이다.”
16. 한편, DLP를 도입하려는 보안담당자는 사용자 편의성과 보안성 사이에서 많은 고민하는 경우가 많다. 물론 DLP가 사용자의 업무 환경에 전혀 영향을 주지 않으면서, 정보 유출을 안전하게 보호, 관리를 제공한다면 아주 좋겠지만, 그럴 수 없기에 두 가지의 선택지를 마주하게 된다. 보안담당자는 DLP 사용자의 내부 컴플레인 감소 관점에서 아무래도 편의성을 우선적으로 고려할 수밖에 없지만, 궁극적인 DLP 솔루션의 도입 목적인 내부 중요 정보의 외부 유출 예방하기 위해 보안성 측면을 간과해서는 안 된다. 중요 정보의 유출은 다양한 업무 환경에서 다양한 경로로 발생할 수 있으며, 자칫 정보가 외부로 유출된다면 기관 및 기업에 심각한 피해로 이어진다. 또 유출된 정보로 인해 또 다른 피해자가 발생하는 등의 2차 피해를 유발할 수 있어 안전한 보호와 관리가 필요하다.
17. 따라서 보안담당자는 솔루션 도입 및 사내 서비스 전 충분한 사전 테스트를 실시하고, 유관 부서 및 솔루션 공급사와의 지속적인 협의, 개선 과정을 통해 고객사에 최적화된 운영 환경을 만드는 것이 가장 중요하다. 아울러 정보 유출에 대한 위험성과 보호의 필요성에 대해 사용자 스스로 인지하고, 유출 위험에 대해 사전 조치할 수 있는 환경을 만드는 것 역시 운영에 따른 내부 컴플레인을 최소화하고, 안전하게 관리할 수 있는 중요 요소라고 보안 전문가들은 조언한다.