뉴스/이벤트

서버DLP가 언택트 시대의 DLP 중심이 된 이유

[칼럼] | 2021-04-29

서버 DLP는 서버 내 저장된 정보의 반출과 유출을 통제하는 기술을 의미한다.

과거 전통적인 DLP는 데이터가 회사 외부로 반출되는 것을 통제하는 역할을 했다.
서버에서 데이터를 조회한 후(1단계), 회사 PC에 데이터를 저장하고(2단계),
이후 외부로 반출/유출(3단계)하는 총 3단계를 통제했다.

​회사통제범위를 벗어나는 대표적 채널은 크게 네 가지를 꼽았다.
USB 등 외부저장매체 복사, 메일 등 인터넷전송, 프린터를 통한 출력물,
마지막으로 노트북 등 디바이스 반출이다.

​이에 따라 DLP는 PC, 노트북 등 엔드포인트 단말에서 USB 복사, 출력물 인쇄를 집중적으로 통제했다.
네트워크의 경우 인터넷으로 전송되는 모든 파일을 기록하고 통제하는 것을 기본으로 했다.

​과거 서버DLP는 정보유출을 인지한 이후, 사고 역추적을 위해 도입되었다.
유출자가 어떻게 가장 먼저 데이터를 획득했는지 역추적을 위해
서버 반출내역까지 기록해야 할 필요가 있었다.
1단계 조회, 2단계 PC저장 기록기능은 부수적이며 고도화된 기능으로 인식됐다.

그러나 팬데믹 이후 비대면 생활이 기본이 되고,
재택근무가 뉴노멀로 자리잡게 되면서 상황이 달라졌다.
이제 우리는 회사PC가 아니라 집에 있는 PC를 통해
사내 네트워크에 접속한 후 사내 웹어플리케이션을 통해 업무를 수행한다.




집에서 사내망으로 접속한 후 직원들은 회사 웹어플리케이션에 바로 접속하여
데이터를 조회하거나 단말로 다운로드하게 된다.
이는 앞서 말한 1단계(조회)가 3단계(유출)로 이어지는 행동이 된다.
따라서, 중요정보를 체계적으로 보관하고 있는 서버 내 정보반출을 통제하고 추적하는 것이
DLP의 중요한 초점이 됐다. 이에 따라 서버DLP의 중요성이 부각되고 있다.

서버 DLP의 핵심기능은 Discover와 Prevent(Monitor)로 귀결된다.
Discover는 중요한 정보가 어디에 있는지 데이터 자산을 식별하는 행위이다.
주요 DBMS 테이블, 스토리지 서버에 저장된 파일에 기밀정보 또는 개인정보가 포함되어 있는지추적한다. 불필요한 정보는 삭제하여 유출위험을 해소하고,
보관된 파일은 암호화 저장하여 악용되지 않도록 보호한다.




Discover는 자산식별 기능이며, 가장 기본적인 기능이지만 제대로 사용하고 있는 곳은 생각보다 많지 않다.
DBMS에 저장된 데이터를 전수검사하는 것은 생각보다 어려운 일이기 때문이다.
실제로 비정형필드(CLOB, BLOB)에 저장된 데이터는 전수검사에 1주일 이상 걸리기도 한다.
스토리지 서버는 수백TB에 육박하기도 한다.
서버는 정의상 특정 개인의 소유가 아니기 때문에 방치된 데이터가 많이 발견되는 장소이기도 하다.
하나의 데이터 서버에서 1천만건의 주민번호가 발견되는 것은 일상다반사다.
이렇듯 검색에 오랜 시간이 소요되기 때문에 서버 내 정보를 검사하는 것은 검색속도가 핵심경쟁력이 된다.

​ Prevent는 사전통제라는 의미가 있고,
Monitoring은 사전통제보다는 정보수집 측면이 강조된 기술이지만
여기서는 Prevent로 통용하고자 한다.
Prevent는 서버로부터 외부로 전송되는 데이터를 실시간으로 분석한다.
데이터 안에 개인정보나 기밀정보가 포함되어 있을 경우 반출 전 사전통제한다.
예를 들어 서버 내에서 주민번호가 5건이상 포함된 파일을 다운로드하는 행위를 차단하는 것이 Prevent의 기능이다.

​ 서버로부터 데이터를 반출하는 경로는 크게 3가지로 요약할 수 있다.
쿼리툴(Query Tool), 터미널 서비스, 그리고 웹이다.
서버에서 USB로 파일을 복사하여 반출하는 매우 드문 경우에 해당하며 대부분 서버의 USB포트는 차단되어있다.

DB서버는 쿼리를 통해서 데이터를 조회한다.
카드사 고객데이터 분석팀은 수시로 마이닝 작업을 하기 때문에
수백명이 지속적으로 고객데이터셋을 분석하는 쿼리를 던진다.
‘데이터 유출통제’ DLP관점에서는 ‘무엇을 조회했는가’가 아니라 ‘무엇을 가져갔는가’가 중요한 이슈가 된다.
따라서 응답값을 기록하고 저장하는 것은 Prevent에서 중요한 기능이다.

​ ​ 터미널 서비스는 유닉스 계열 텍스트기반 터미널서비스인 Telnet/SSH, FTP/SFTP가 대표적이다.
특히 FTP/SFTP는 파일 다운로드와 업로드에 특화된 터미널 서비스이다.
따라서 FTP/SFTP로 전송된 파일은 특별히 집중적으로 관리해야 한다.
윈도우 서버는 주로 RDP(Remote Desktop Protocol)와 같은 GUI기반의 터미널 서비스를 통해서 접근한다.

​ 마지막으로 웹브라우저를 통해 웹어플리케이션에서 데이터를 조회하는 것은
서버 내 정보를 가져가는 대표적인 시나리오이다.

​ 몇 년 전 정부기관에서 웹애플리케이션을 통해 다운로드한 데이터를 기반으로
국회에 질의한 적이 있었는데, 그 때 해당 데이터 안에 개인정보가 포함되어 있었다.
이후 다운로드된 데이터 내역을 모두 저장하는 규정이 개인정보관련 고시에 포함되기도 했다.

​ 네트워크 DLP솔루션의 ‘Prevent’는 회사 외부로 나가는 웹데이터를 분석하는 기능이라면,
서버DLP의 ‘Prevent’는 회사 내부 웹애플리케이션 서버팜에서
(재택근무, 지사, 원격접속)사용자가 웹브라우저를 통해 조회한 데이터를 기록, 통제하는 것을 의미한다.
파일 다운로드 뿐만 아니라 웹화면 저장 및 재현까지
현재 서버DLP ‘Prevent’기능은 끊임없이 확장되고 있다.

​ 클라우드 컴퓨팅, 모바일 컴퓨팅, 그리고 팬데믹 이후 언택트 시대에서는
네트워크 경계선이 더욱 희미해질 것이다.
따라서 단말(Endpoint)과 서버(Host)로 보안중심이 옮겨가는 것은 필연적인 일이 될 것이다.
서버DLP 역시 전통적인 DLP에서 비중을 계속 넓혀가며 확장될 것이다.

목록