디지털 트랜스포메이션이 확산하면서 데이터가 중요도가 매우 커졌습니다. 데이터는 비즈니스 운영과 의사결정의 핵심입니다. 수많은 데이터 중 민감 데이터를 관리하려면 지속적이고 지속 가능한 방식으로 데이터에 대한 거버넌스를 구현해야 합니다.
1부에서는 민감 데이터의 정의와 민감 데이터 관리가 필요한 이유 등을 기초적인 부분을 살펴보았습니다. 2부에서는 본격적으로 민감 데이터 관리를 시작하는 프로세스와 프레임워크를 알아보겠습니다.
민감 데이터 관리
민감한 데이터 관리는 민감한 데이터를 위한 거버넌스를 끊임없이, 지속 가능한 방식으로 구현하는 프로세스입니다.
정의
첫 번째 단계는 기업에서 어떤 데이터가 민감 데이터인지 정의하는 것입니다. 이 단계에는 민감 데이터가 비즈니스에 미치는 영향과 조직 전반에서 관리 및 저장되는 방법을 명시하는 작업이 포함됩니다. 어떤 종류의 민감 데이터인지, 무엇과 관계가 있는지 명확하게 분류해야 합니다.
2. 발견
다음 단계는 문제의 데이터가 어디에 있는지를 발견하는 프로세스입니다. 민감 데이터가 어느 데이터베이스에 존재하나요? 어떤 파이프라인을 통해 흐르나요? GDPR과 같은 규정 준수 이니셔티브를 위해 적절한 정책을 적용하고 물리적 데이터에 태그를 지정해서 민감 데이터의 정의와 전반적인 이해를 개선할 수 있습니다. 데이터를 프로파일링하면 겉으로는 민감 데이터처럼 보이지 않더라도 그 내용을 통해 민감 데이터인지, 그동안 감시망을 빠져나갔는지 여부를 판단할 수 있습니다.
3. 방어
그 다음에는 민감 데이터를 보호하기 위한 다양한 방법을 고려합니다.
1) 암호화
물론 시작은 민감 데이터를 다음과 같은 라이프사이클의 각 단계에서 암호화, 마스킹, 치환하는 것입니다.
목표는 올바르고 적절한 방어를 적용하여 데이터가 이 단계와 그 이후에 다른 곳에 저장될 때도 모두 적절한 상태를 유지하도록 하는 것입니다.
2) 정책 설정
데이터베이스의 민감 데이터와 관련된 활동을 감사할 수 있어야 합니다. 이는 민감 데이터의 액세스에 대한 정책을 설정, 테스트, 유지하는 것을 의미합니다.
3) 보호
데이터를 보호하려면 견고한 백업 및 복구가 필요합니다. 규정 요건이 수반되는 민감 데이터의 경우 더욱 그렇습니다. 백업에서 프로덕션으로 복원할 때는 민감 데이터와 함께 그 데이터에 적용되는 모든 정책도 복원되도록 해야 합니다.
4) 디바이스 강화
민감 데이터가 거치는 모든 하드웨어는 통합 엔드포인트 관리를 통해 강화해야 합니다. 예컨대 부주의한 USB 드라이브 취급으로 인한 데이터 유출을 방지해야 합니다. 엔드포인트가 사용되는 모든 곳에서 엔드포인트를 강화해 민감 데이터가 우발적으로 전달되지 않도록 하십시오. 여기에는 직원 간에 컴퓨터를 인수인계할 때 하드 드라이브를 리빌드 또는 파기하는 것도 포함됩니다.
엔터프라이즈 아키텍처 및 비즈니스 프로세스 모델링을 위한 프레임워크
민감 데이터 관리를 위한 프레임워크의 시작은 엔터프라이즈 아키텍처와 비즈니스 프로세스입니다. 이 프레임워크는 민감 데이터를 애플리케이션 및 기술과 함께 비즈니스 목표, 전략, 역량 및 프로세스의 컨텍스트에서 다룹니다.
컨텍스트
먼저 민감 데이터를 다음 요소에 매핑합니다.
예를 들어 GDPR을 봅시다. 이 프레임워크를 사용하여 GDPR 교정 및 프로세스를 정의하고 규정 준수를 보장할 수 있습니다. 이 프레임워크는 관련된 데이터를 포함해서 프로세스를 매우 세부적으로 문서화하는 데 도움이 될 수 있습니다. 데이터의 전체 아키텍처 거버넌스와 컨텍스트를 확보하면 다음과 같은 질문에 답할 수 있습니다.
2. 메타데이터 관리
메타데이터 관리에서는 환경의 모든 물리적 데이터 자산을 수집합니다. 여기에는 스트리밍 데이터, 애플리케이션 간에 이동 중인 데이터, 데이터베이스와 파일 및 데이터 소스에 저장된 데이터가 포함됩니다. 데이터의 위치와 받는 영향, 관리 방법에 따라 민감도 분류 태그와 디스크립터(descriptor)를 할당할 수 있습니다.
다시 GDPR의 예를 들면, 모든 GDPR 관련 데이터 소스에 태그를 지정해서 통합된 시야를 갖추고 이에 대한 의사 결정을 내릴 수 있습니다. 메타데이터 관리는 데이터를 세부적으로 살펴보고 그 이면의 정책과 위험을 이해하고 데이터를 사용하는 적절한 방법을 알기 위한 기반을 제공합니다.
3. 비즈니스 용어 사전 관리
비즈니스 용어 사전은 예를 들어 금융 서비스 또는 의료나 제조 분야의 특수한 온톨로지에 따라 민감 데이터에 대한 시야를 제공합니다. 업계 사람이 이미 민감 데이터 요소를 분류하는 작업을 마치고 이 작업을 문서화해 놓은 경우가 많으므로 이를 용어 사전에 통합하고, 만들어 둔 물리적 메타데이터 카탈로그에 매핑할 수 있습니다.
여기에서 민감 데이터를 탐색하고 그 안의 관계와 연관성을 파악하기 위해 대시보드와 그래프를 작성할 수 있습니다. 용어 사전은 내부 사용자 교육뿐 아니라 데이터를 샅샅이 살펴봐야 하는 감사관의 요구에 대응하는 데도 유용합니다.
4. 데이터 모델링
데이터 모델링은 새로운 데이터 요소를 설계할 때마다 사용됩니다. 모델링을 사용해서 데이터 카탈로그로 이동해 이미 사용할 수 있는 데이터의 유형을 발견하고 이를 새로운 설계로 가져올 수 있습니다. 새 데이터 요소를 만들 때마다 처음부터 민감 데이터로 분류해서 문서화하면 추측할 필요가 없고 불필요한 발견 작업도 없어집니다.
데이터 모델은 재사용이 가능합니다. 데이터 관리 및 데이터 거버넌스 환경에서 다시 사용 가능하도록 할 수 있습니다. 사용자를 교육시키고 전반적인 데이터, 특히 민감 데이터와 관련하여 일어나는 모든 일에 대한 통찰력을 제공하는 데 유용합니다.
5. 퓨발견과 보호
엔터프라이즈 아키텍처와 데이터 카탈로그, 비즈니스 용어 사전을 마련했다면 데이터를 프로파일링해서 프레임워크의 빈틈으로 빠져나간 민감 데이터가 있는지 여부를 파악합니다. 그런 다음 이 정보를 다시 가지고 와서 매핑된 인벤토리에 집어넣어 민감 데이터에 대해 더 명확한 시야를 제공하고 위험을 완화하기 위한 조치를 취할 수 있습니다.
결론
민감 데이터는 많은 곳에 있으며, 이와 관련된 위험에서 스스로를 보호할 수 있는 방법도 많습니다. 그러나 단편적인 접근으로는 위험을 현명하게 관리하고 있다는 확신을 줄 수 없습니다. 민감 데이터 관리는 기업 내 모든 이들이 끊임없이 묻는 질문에 답하는 방법입니다.
민감 데이터 관리를 위한 엔드투엔드 접근 방식과 프레임워크를 확보하면 잠재적인 침해와 규정 준수에 대한 중대한 우려뿐 아니라 일상적인 비즈니스 관행에서 발생하는 위험에 대처할 수 있습니다.
물론 주된 목표는 데이터 침해로 인해 뉴스에 오르내리지 않는 것입니다. 기업은 평판과 고객의 신뢰를 유지하고 데이터에 있어 고객의 파트너로 인식되기를 원합니다. 민감 데이터 관리는 기업 시민, 그리고 사람들의 데이터를 받아 관리하는 주체로서 해야 할 모든 올바른 일을 할 수 있게 해줍니다.
데이터 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.
디지털 트랜스포메이션이 확산하면서 데이터가 중요도가 매우 커졌습니다. 데이터는 비즈니스 운영과 의사결정의 핵심입니다. 수많은 데이터 중 민감 데이터를 관리하려면 지속적이고 지속 가능한 방식으로 데이터에 대한 거버넌스를 구현해야 합니다.
1부에서는 민감 데이터의 정의와 민감 데이터 관리가 필요한 이유 등을 기초적인 부분을 살펴보았습니다. 2부에서는 본격적으로 민감 데이터 관리를 시작하는 프로세스와 프레임워크를 알아보겠습니다.
민감 데이터 관리
민감한 데이터 관리는 민감한 데이터를 위한 거버넌스를 끊임없이, 지속 가능한 방식으로 구현하는 프로세스입니다.
정의
첫 번째 단계는 기업에서 어떤 데이터가 민감 데이터인지 정의하는 것입니다. 이 단계에는 민감 데이터가 비즈니스에 미치는 영향과 조직 전반에서 관리 및 저장되는 방법을 명시하는 작업이 포함됩니다. 어떤 종류의 민감 데이터인지, 무엇과 관계가 있는지 명확하게 분류해야 합니다.
2. 발견
다음 단계는 문제의 데이터가 어디에 있는지를 발견하는 프로세스입니다. 민감 데이터가 어느 데이터베이스에 존재하나요? 어떤 파이프라인을 통해 흐르나요? GDPR과 같은 규정 준수 이니셔티브를 위해 적절한 정책을 적용하고 물리적 데이터에 태그를 지정해서 민감 데이터의 정의와 전반적인 이해를 개선할 수 있습니다. 데이터를 프로파일링하면 겉으로는 민감 데이터처럼 보이지 않더라도 그 내용을 통해 민감 데이터인지, 그동안 감시망을 빠져나갔는지 여부를 판단할 수 있습니다.
3. 방어
그 다음에는 민감 데이터를 보호하기 위한 다양한 방법을 고려합니다.
1) 암호화
물론 시작은 민감 데이터를 다음과 같은 라이프사이클의 각 단계에서 암호화, 마스킹, 치환하는 것입니다.
프로덕션을 따라 이동
데이터 웨어하우스에 저장된 상태로 분석과 비즈니스 인텔리전스를 위한 용도로 매일 사용됨
비즈니스 파트너와 공유
개발 라이프사이클에 사용됨
디지털 트랜스포메이션 이니셔티브의 결과를 테스트하기 위해 사용됨
목표는 올바르고 적절한 방어를 적용하여 데이터가 이 단계와 그 이후에 다른 곳에 저장될 때도 모두 적절한 상태를 유지하도록 하는 것입니다.
2) 정책 설정
데이터베이스의 민감 데이터와 관련된 활동을 감사할 수 있어야 합니다. 이는 민감 데이터의 액세스에 대한 정책을 설정, 테스트, 유지하는 것을 의미합니다.
3) 보호
데이터를 보호하려면 견고한 백업 및 복구가 필요합니다. 규정 요건이 수반되는 민감 데이터의 경우 더욱 그렇습니다. 백업에서 프로덕션으로 복원할 때는 민감 데이터와 함께 그 데이터에 적용되는 모든 정책도 복원되도록 해야 합니다.
4) 디바이스 강화
민감 데이터가 거치는 모든 하드웨어는 통합 엔드포인트 관리를 통해 강화해야 합니다. 예컨대 부주의한 USB 드라이브 취급으로 인한 데이터 유출을 방지해야 합니다. 엔드포인트가 사용되는 모든 곳에서 엔드포인트를 강화해 민감 데이터가 우발적으로 전달되지 않도록 하십시오. 여기에는 직원 간에 컴퓨터를 인수인계할 때 하드 드라이브를 리빌드 또는 파기하는 것도 포함됩니다.
엔터프라이즈 아키텍처 및 비즈니스 프로세스 모델링을 위한 프레임워크
민감 데이터 관리를 위한 프레임워크의 시작은 엔터프라이즈 아키텍처와 비즈니스 프로세스입니다. 이 프레임워크는 민감 데이터를 애플리케이션 및 기술과 함께 비즈니스 목표, 전략, 역량 및 프로세스의 컨텍스트에서 다룹니다.
컨텍스트
먼저 민감 데이터를 다음 요소에 매핑합니다.
다양한 비즈니스 구성요소
데이터를 제공하는 애플리케이션
데이터를 소비하는 비즈니스 프로세스
모든 기반 기술
시장에서 성공하기 위한 전체적인 비즈니스 역량
예를 들어 GDPR을 봅시다. 이 프레임워크를 사용하여 GDPR 교정 및 프로세스를 정의하고 규정 준수를 보장할 수 있습니다. 이 프레임워크는 관련된 데이터를 포함해서 프로세스를 매우 세부적으로 문서화하는 데 도움이 될 수 있습니다. 데이터의 전체 아키텍처 거버넌스와 컨텍스트를 확보하면 다음과 같은 질문에 답할 수 있습니다.
민감 데이터가 조직의 어느 부분을 거치는가?
어느 부분이 위험에 처했는가?
어디를 보호해야 하는가?
민감 데이터에 대한 기업의 시각을 조율하려면 어떻게 해야 하는가?
2. 메타데이터 관리
메타데이터 관리에서는 환경의 모든 물리적 데이터 자산을 수집합니다. 여기에는 스트리밍 데이터, 애플리케이션 간에 이동 중인 데이터, 데이터베이스와 파일 및 데이터 소스에 저장된 데이터가 포함됩니다. 데이터의 위치와 받는 영향, 관리 방법에 따라 민감도 분류 태그와 디스크립터(descriptor)를 할당할 수 있습니다.
다시 GDPR의 예를 들면, 모든 GDPR 관련 데이터 소스에 태그를 지정해서 통합된 시야를 갖추고 이에 대한 의사 결정을 내릴 수 있습니다. 메타데이터 관리는 데이터를 세부적으로 살펴보고 그 이면의 정책과 위험을 이해하고 데이터를 사용하는 적절한 방법을 알기 위한 기반을 제공합니다.
3. 비즈니스 용어 사전 관리
비즈니스 용어 사전은 예를 들어 금융 서비스 또는 의료나 제조 분야의 특수한 온톨로지에 따라 민감 데이터에 대한 시야를 제공합니다. 업계 사람이 이미 민감 데이터 요소를 분류하는 작업을 마치고 이 작업을 문서화해 놓은 경우가 많으므로 이를 용어 사전에 통합하고, 만들어 둔 물리적 메타데이터 카탈로그에 매핑할 수 있습니다.
여기에서 민감 데이터를 탐색하고 그 안의 관계와 연관성을 파악하기 위해 대시보드와 그래프를 작성할 수 있습니다. 용어 사전은 내부 사용자 교육뿐 아니라 데이터를 샅샅이 살펴봐야 하는 감사관의 요구에 대응하는 데도 유용합니다.
4. 데이터 모델링
데이터 모델링은 새로운 데이터 요소를 설계할 때마다 사용됩니다. 모델링을 사용해서 데이터 카탈로그로 이동해 이미 사용할 수 있는 데이터의 유형을 발견하고 이를 새로운 설계로 가져올 수 있습니다. 새 데이터 요소를 만들 때마다 처음부터 민감 데이터로 분류해서 문서화하면 추측할 필요가 없고 불필요한 발견 작업도 없어집니다.
데이터 모델은 재사용이 가능합니다. 데이터 관리 및 데이터 거버넌스 환경에서 다시 사용 가능하도록 할 수 있습니다. 사용자를 교육시키고 전반적인 데이터, 특히 민감 데이터와 관련하여 일어나는 모든 일에 대한 통찰력을 제공하는 데 유용합니다.
5. 퓨발견과 보호
엔터프라이즈 아키텍처와 데이터 카탈로그, 비즈니스 용어 사전을 마련했다면 데이터를 프로파일링해서 프레임워크의 빈틈으로 빠져나간 민감 데이터가 있는지 여부를 파악합니다. 그런 다음 이 정보를 다시 가지고 와서 매핑된 인벤토리에 집어넣어 민감 데이터에 대해 더 명확한 시야를 제공하고 위험을 완화하기 위한 조치를 취할 수 있습니다.
결론
민감 데이터는 많은 곳에 있으며, 이와 관련된 위험에서 스스로를 보호할 수 있는 방법도 많습니다. 그러나 단편적인 접근으로는 위험을 현명하게 관리하고 있다는 확신을 줄 수 없습니다. 민감 데이터 관리는 기업 내 모든 이들이 끊임없이 묻는 질문에 답하는 방법입니다.
민감 데이터 관리를 위한 엔드투엔드 접근 방식과 프레임워크를 확보하면 잠재적인 침해와 규정 준수에 대한 중대한 우려뿐 아니라 일상적인 비즈니스 관행에서 발생하는 위험에 대처할 수 있습니다.
물론 주된 목표는 데이터 침해로 인해 뉴스에 오르내리지 않는 것입니다. 기업은 평판과 고객의 신뢰를 유지하고 데이터에 있어 고객의 파트너로 인식되기를 원합니다. 민감 데이터 관리는 기업 시민, 그리고 사람들의 데이터를 받아 관리하는 주체로서 해야 할 모든 올바른 일을 할 수 있게 해줍니다.
데이터 관리에 어려움을 겪고 계시거나 관련 솔루션에 대해 궁금한 점이 있으시면 언제든 퀘스트소프트웨어코리아로 문의주시기 바랍니다.