자료실

데이터 보호에 관한 7가지 과제와 해결 방법


Quick Overview 

기업의 핵심 시스템, 애플리케이션, 데이터를 보호하는 것은 매우 중요한 일입니다. 이런 시스템은 보호뿐만 아니라 회복탄력성과 복구에 맞게 설계되고 유지 관리되어야 합니다. 데이터 보호 조치가 불충분하면 여러 가지 문제가 발생할 수 있습니다. 여기서는 기업이 꼭 알아야 할 데이터 보호 문제와 대응 방안을 정리합니다. 


기업의 핵심 시스템, 애플리케이션, 데이터를 보호하는 것은 막중한 책임이 따르는 일입니다. 이런 시스템은 보호되어야 할 뿐만 아니라 회복탄력성과 복구에 맞는 설계와 유지관리도 필요합니다. 또한 경영진과 고객은 데이터 손실과 다운타임에 대해 매우 높은 기대치를 갖고 있습니다. 데이터 보호의 과제는 현실입니다. 이 과제를 적절히 파악하지 않으면 대처하는 데 있어 많은 장애물과 난관에 직면하게 됩니다. 

  

데이터 보호를 위해서는 손상, 무단 액세스, 손실로부터 데이터를 보호하고 데이터를 액세스할 수 없거나 사용할 수 없게 되는 경우 복구하기 위한 안전 장치를 마련해야 합니다. 전체적인 데이터 보호에는 데이터 백업, 재해 복구, 비즈니스 연속성 계획, ID 관리, 데이터 개인정보 보호, 랜섬웨어 차단, 엔드포인트 보안, 규정 준수를 포함한 다양한 IT 보안 관행이 포함되어야 합니다. 

  


데이터 보호 조치가 불충분하면 어떤 일이 발생할까요? 

불충분한 데이터 보호 전략은 공격에 취약한 상태로 노출시키고, 그대로 방치할 경우 다음과 같은 심각한 결과를 초래할 수 있습니다. 

 

  • 재무 : 침해와 다운타임은 상당한 금전적 손실로 이어질 수 있습니다. 최근 설문에 따르면, 다운타임 한 시간당 비용이 많게는 미화 30만 1,000달러(약 4억 1,472만 원)에 육박하는 것으로 나타났습니다. 

  • 법률 : 기업은 정보 시스템과 데이터에 대한 일정 수준의 보안을 유지하기 위해 규정을 준수해야 하므로 불충분한 데이터 보호는 법적 문제 및 규정 준수 문제를 야기할 수 있습니다. 

  • 평판 : 침해에 대한 언론 보도는 기업의 평판과 브랜드 이미지 하락으로 이어집니다. 

  • 운영 중단 : 침해는 직원들이 아무런 작업도 하지 못하는 운영 중단으로 이어지는 경우가 많습니다. 


그렇다면 기업이 인식해야 할 가장 중요한 데이터 보호 문제는 무엇이고, 이런 문제에 대응하기 위해 기업은 무엇을 할 수 있을까요? 


  

기업 문화 

흔히 과소평가되는 데이터 보호 문제 중 하나는 기업 전반적으로 사이버보안을 심각한 사안으로 보지 않는 문화입니다. 많은 기업이 잠재적인 침해의 위험을 과소평가하며 보안에 우선 순위를 두지 않습니다. 소규모 기업은 특히 사이버 공격의 표적이 될 일이 없다는 생각에 무방비 상태로 침해에 직면할 수 있습니다. 하지만 모든 기업은 개별적인 위험 프로필을 평가해야 합니다. 이런 위험 프로필에는 기업의 기업 문화도 포함됩니다. 보안과 복구가 기업 문화에서 중시되지 않는다면 기업의 보안 태세에 그 영향이 명확히 나타나게 됩니다. 


  

✔️문제 해결 

경영진은 모든 비즈니스에 대해 우선 순위와 예산을 설정합니다. 데이터 보호를 우선 사항으로 삼는 데 있어 어려운 점 중 하나는 데이터 보호 기능을 강화하는 데 예산과 이니셔티브를 투입하기 위한 경영진의 동의를 얻는 것입니다. 경영진, 이사회 구성원, 기타 의사 결정자가 사이버보안에 대해 예방적 접근 방식을 취한다면 직원과 계약 업자, 고객을 위한 데이터 보호를 우선 사항으로 삼는 것이 한결 쉬워집니다. 


또한 위험 허용 수준은 기업마다 다릅니다. 리더가 그해의 프로젝트와 우선 순위를 살펴볼 때는 이런 위험 허용 수준을 고려해야 합니다. 예를 들어, 백업을 최적화하는 것은 우선적으로 해야 할 일로 보이지 않을 수 있습니다. 그러나 백업을 최적화하면 백업하고 보관해야 할 데이터가 줄어들고 결과적으로 비용이 절감됩니다. 


  

데이터 볼륨의 증가 

기업에서 데이터가 생성되는 속도는 과거 어느 때보다 빠릅니다. 최근 설문에서 응답자들은 평균적으로 기업의 데이터 볼륨이 매월 63% 증가한다고 답했습니다. 이런 데이터에 가치가 있고 기업의 운영을 가속할 잠재력이 있을 수 있지만, 모든 데이터는 일정한 용량에 따른 관리와 보호, 백업이 필요합니다. 생성되는 막대한 양의 데이터를 처리하는 일은 많은 기업에서 지속적인 문제입니다. 


  

✔️문제 해결 

끊임없이 증가하는 데이터를 보호해야 하는 문제에 대처할 수 있는 몇 가지 방법이 있습니다. 대표적으로 기업 데이터를 정확히 분류하는 것입니다. 테스트 시스템, 스왑 파일, 운영체제와 같이 백업할 필요가 없는 데이터가 백업되고 있습니까? 실질적으로 백업하고 보호해야 할 데이터를 파악함으로써 불필요한 데이터를 백업하는 데 따른 리소스 낭비를 막을 수 있습니다. 보존 정책도 검토해야 합니다. 법적인 용도로 보존해야 할 데이터도 있지만 기업은 어느 데이터를 얼마나 오래 보존해야 하는지 고려해야 합니다. 

  

끊임없이 증가하는 데이터 볼륨은 기업이 사용할 수 있는 백업 공간과 백업할 데이터의 양 사이에서 균형을 잡아야 함을 의미하기도 합니다. 백업 스토리지 공간을 늘리지 않은 채 데이터 볼륨만 두 배로 늘린다면 데이터를 보호하기가 어렵습니다. 


  

불완전한 백업과 재해복구 전략 

백업은 복구의 중요한 부분이지만 우선 사항으로 취급되지 않는 경우가 종종 있습니다. 공격 이후 비즈니스를 원상 복구하는 것은 어려운 일입니다. 공격을 받은 이후 복구하면서 재해 복구 전략을 구축하는 경우 가동 중단은 길어질 수밖에 없습니다. 


  

✔️문제 해결 

준비와 철저한 백업 및 재해 복구 전략은 데이터 보호의 중요한 요소입니다. "완전한 백업 및 재해 복구 전략을 확보하라"라는 말은 간단하게 들리지만, 현실은 복잡할 수 있습니다. 대부분 백업 전략에는 항상 백업되어 액세스 가능한 데이터와 기업의 예산 사이에서 타협이 필요합니다. 물론 3-2-1 전략에서 모든 데이터를 백업할 수는 있지만, 그에 따르는 비용을 감안하면 현실성이 떨어질 수 있습니다. 모든 기업은 각자의 백업 우선 순위를 결정하고, 달성 가능한 목표를 기반으로 의사 결정을 내려야 합니다. 일반적인 백업 및 재해 복구 계획은 기업 전반에서 다음과 같은 질문에 답할 수 있어야 합니다. 

  

  • 기업의 데이터 백업 전략이 대처하는 위험은 무엇이며, 가장 약한 고리가 어디인지 파악하고 있습니까? 

  • 어느 데이터가 핵심적이고 어느 데이터가 정적이며, 백업에서 제거할 수 있는 데이터가 있습니까? 

  • 복구가 필요한 경우 데이터와 애플리케이션을 정상으로 되돌리는 데 걸리는 예상 시간은 어느 정도입니까? 팀이 동의할 수 있는 서비스 수준 계약은 무엇입니까? 

  • 이미 확보된 기술적 역량은 무엇이고, 완전한 백업 및 복구 역량을 갖추기 위해 추가해해야 할 부가적인 툴이 있습니까? 

  • 기업이 대규모 재해 발생 시 연속성을 보장하기 위해 오프사이트 백업에 우선 순위를 두고 있습니까? 

  • 복구가 신속하게 이뤄질 수 있도록 백업 계획이 문서화되어 있습니까? 

  • 중단 시 모든 요소가 예상대로 복구되는지 확인하기 위해 기업이 백업 및 복구 전략을 테스트합니까? 

  

불완전한 백업 및 재해 복구 전략 문제 해결은 반복적인 프로세스가 될 수 있지만 반드시 필요합니다.  


  

보안 위협 

기업은 IT 인프라의 여러 측면에 걸쳐 증가하는 보안 위협에 직면하고 있습니다. 랜섬웨어 공격으로 인한 비용은 2031년까지 2,650억 달러(약 365조 375억 원)에 이를 것으로 추정됩니다. 내부자 위협은 지속적인 문제이며, 기업의 67%가 매년 20건 이상의 내부자 위협을 경험하는 것으로 보고되었습니다. AI/ML은 이미 취약점을 잠식해 들어갔고 기업 IT 환경의 공격 표면이 무질서하게 넓어지면서 공격 위협의 현실적 가능성이 점점 더 높아지고 있습니다. 

  

✔️문제 해결  

악의적 행위자가 사용할 다음 공격 벡터를 알 수는 없지만, 최고의 공격은 견고한 방어라는 말이 있습니다. 이는 IT 인프라와 공격 표면에 대한 전체적인 시야를 갖고 내외부의 위협을 패치하고 완화하는 것을 의미합니다. 여기에는 기업의 ID 및 자산 관리 수명 주기, 디바이스 구성, 엔드포인트 배포, 패치 프로세스, 데이터 아키텍처, 백업 관리를 살펴보는 것이 포함될 수 있습니다. 이런 분석으로 약점을 찾을 수 있습니다. 그런 다음 모든 기업은 이런 약점의 잠재적 위험을 평가하고 현재 갖춘 대역폭과 예산을 활용하여 이 위험에 대처하는 최선의 방법을 찾아야 합니다. 


규정 준수 

어느 산업에 속한 기업이든 규정 준수 상태를 유지하는 것은 데이터 보호를 위한 중요한 이니셔티브이자 과제입니다. PII(Personally Identifiable Information), 지적 재산 및 기타 민감한 데이터의 부적절한 보호에 대해서는 규제와 처벌이 따르므로 규정 준수는 기업이 기본적으로 해결해야 할 과제입니다. 모든 국가에서 데이터 보호와 관련된 법과 규정은 대부분 시민의 사생활과 권리를 보호하는 것을 목표로 합니다. 이러한 법과 규정은 운영에 부가적인 복잡성을 유발하며 지역에 따라 달라지기도 합니다. 예를 들어 데이터를 보유하는 시간, 잊힐 권리, 익명성에 대한 권리 등이 있습니다. 


  

✔️문제 해결

규정 준수는 최소한의 요구사항입니다. 방어를 강화하고 공격에 대비하는 것의 시작은 기업이 보유한 데이터에 대한 철저한 이해입니다. 효과적인 데이터 거버넌스는 기업이 우선적으로 위험을 줄일 수 있게 해줍니다. 그 외에, 제대로 체계화되지 않은 백업 전략도 기업을 부가적인 규정 준수 위험에 노출시킬 수 있습니다. 규정 준수 문제 해결의 시작은 다음과 같은 질문을 던지는 것입니다. 


  • 정의 : 기업이 보유한 민감한 데이터는 무엇이고 어떻게 저장되어 있습니까? 

  • 발견 : 이 데이터는 어디에 있고, 어디로 흐릅니까? 

  • 방어 : 이 데이터를 보호하려면 어떻게 해야 합니까? 암호화? 변경 불가 백업? 3-2-1 백업 전략? 액세스 정책? 엔드포인트 강화? 

  


교육받지 않은 직원 

기업은 데이터 보호와 보안을 위한 기술에 수십만 달러를 지출하지만 보안 태세의 가장 약한 연결 고리가 사람이라는 사실을 간과하는 경우가 많습니다. 가장 큰 몇몇 침해 사건의 원인은 단순한 악성 이메일 첨부 파일입니다. 취약점의 인적 요소를 간과하고 직원을 교육하지 않는다면 이는 잠재적 공격에 대한 중요한 방어 수단을 놓치는 것입니다. 


✔️문제 해결 

정기적인 보안 및 규정 준수 교육은 잠재적인 위협을 완화하는 데 도움이 될 수 있습니다. 팀 구성원들이 잠재적인 피싱 시도를 인식하고 일상적인 활동에 모범적인 보안 관행을 실천할 수 있게 되면 기업은 침해로 이어지는 인적 오류의 가능성을 줄이고 전체적인 보안 태세를 강화할 수 있습니다. 


  

결론 

기업의 시스템을 보호한다는 것은 진지한 계획과 부단한 실행이 필요한 막중한 책임입니다. 데이터 보호 문제를 해결하지 못할 경우 기업은 법률, 재무, 평판, 운영 측면에서 타격을 입을 위험에 노출됩니다. 기업은 이런 각 문제에 선제적으로 대처함으로써 위험을 완화하고 보안 태세를 더 강화할 수 있습니다. 


데이터 보호에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.  




퀘스트소프트웨어코리아(주)

서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600

전자 메일 KoreaMarketing@quest.com 


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB


퀘스트소프트웨어코리아(주) 서울특별시 강남구 테헤란로 445 본솔빌딩10F
전화 번호 02-3420-9000 | 팩스 번호 02-569-3600 | 전자 메일 KoreaMarketing@quest.com


Copyright © Quest. All Rights Reserved.

Hosting by I'MWEB