데이터 보안이란?
데이터 보안은 보유하고 있는 데이터와 위치를 파악하고 데이터와 관련된 위험을 식별하는 활동입니다. 데이터를 안전하게 보호하는 방법을 알아보세요.
데이터 보안의 정의
데이터 보안은 중요한 데이터의 전체 수명 주기에 걸쳐 데이터를 보호하고, 사용자 활동과 데이터의 컨텍스트를 이해하고, 권한 없는 데이터 사용 또는 손실을 방지하도록 지원합니다.
사이버 보안 위협과 내부 위험이 나날이 증가하는 오늘날에는 데이터 보안의 중요성을 아무리 강조해도 지나치지 않습니다. 사이버 보안은 조직에서 보유하고 있는 데이터의 유형을 파악하고, 권한 없는 데이터 사용을 방지하고, 데이터 관련 위험을 식별 및 완화하기 위해 반드시 필요합니다. 데이터 보안과 함께 사용되는 데이터 보안 관리는 조직에서 제대로 정립된 정책과 절차를 사용하여 데이터 보안 활동을 계획, 구성, 제어할 수 있도록 안내합니다.
데이터 보안의 유형
데이터 보안이 효과를 가지려면 데이터 세트의 민감도와 조직의 규정 준수 요구 사항이 고려되어야 합니다. 데이터 침해를 방지하고, 규제 요구 사항을 준수하고, 조직의 이미지 손상을 예방하는 데 도움이 되는 데이터 보안의 유형은 다음과 같습니다.
- 온-프레미스 및 클라우드 기반 데이터에 대한 액세스를 관리하는 액세스 제어.
- 암호, 카드 또는 생체 정보를 사용한 사용자 인증.
- 시스템 장애, 데이터 손상 또는 재해가 발생한 후에 데이터에 액세스할 수 있게 해 주는 백업 및 복구.
- 재해 복구 및 비즈니스 연속성에 대한 선제적인 접근 방식으로서의 데이터 복원력.
- 데이터를 올바르게 폐기하고 복구 불가능하게 만드는 데이터 지우기.
- 프록시 문자를 사용하여 권한 없는 사용자로부터 문자와 숫자를 가리는 데이터 마스킹 소프트웨어.
- 중요한 데이터의 권한 없는 사용을 방지하는 데이터 손실 방지 솔루션
- 권한 없는 사용자가 파일을 읽을 수 없게 만드는 암호화.
- 파일 및 문서의 중요한 데이터를 분류하는 데 도움이 되는 정보 보호.
- 위함 사용자 활동을 완화하는 내부 위험 관리.
보안이 필요한 데이터 유형
신용 카드 정보가 유출되었거나 신원을 도난당한 적이 있는 사람이라면 효과적인 데이터 보호가 얼마나 중요한지 잘 알고 있을 것입니다. 악의를 가진 해커들은 개인 정보를 갈취하여 랜섬을 요구하거나, 판매하거나, 사기를 저지를 방법들을 끊임없이 궁리합니다. 이에 더해 현직 직원과 전직 직원들도 데이터 손실의 원인이 되는 경우가 많기 때문에 내부 위험 관리 또한 조직에 반드시 요구되는 조치입니다.
업계별로 보호해야 하는 정보와 보호할 방법에 관한 요구 사항이 있긴 하나, 다음은 보안이 필요한 일반적인 데이터 유형입니다.
- 직원 및 고객에 관한 개인 정보.
- 신용 카드 번호, 은행 정보, 회사 재무제표와 같은 금융 데이터.
- 받은 서비스, 진단, 검진 결과와 같은 건강 정보.
- 영업 비밀, 특허와 같은 지적 재산
- 공급망 정보, 생산 프로세스와 같은 비즈니스 운영 데이터.
데이터 보안에 대한 위협
인터넷은 사람들이 집과 사무실에서 계정에 액세스하고, 커뮤니케이션하고, 정보를 공유 및 사용할 수 있는 수단이 되어 줍니다. 사용자가 공유하는 정보를 위험한 상태에 처하게 만드는 여러 가지 유형의 사이버 공격 과 내부 위험이 있습니다.
-
해킹
해킹이란 컴퓨터를 사용하여 데이터를 갈취하거나, 네트워크 또는 파일을 손상시키거나, 조직의 디지털 환경을 가로채거나, 조직의 데이터 및 활동을 중단시키려는 일체의 시도를 가리킵니다. 해킹 방법으로는 피싱, 맬웨어, 코드 손상, DDoS 공격 등이 있습니다.
-
데이터 누출
데이터 누출이란 조직 내부에서 외부 수신인에게 데이터가 고의로 또는 실수로 전송되는 행위입니다. 데이터 누출은 전자 메일, 인터넷, 그리고 노트북이나 휴대용 스토리지 디바이스와 같은 디바이스를 사용하여 이루어질 수 있습니다. 파일과 문서가 사업장 바깥으로 반출되는 행위도 데이터 누출의 일종입니다.
-
부주의
부주의란 직원이 회사에 불이익을 유발하려는 의도는 없으나 고의로 보안 정책을 위반하는 행위를 가리킵니다. 예를 들어, 액세스 권한이 없는 동료에게 중요한 데이터를 공유하는 행위, 보안이 적용되지 않은 무선 연결을 통해 회사 리소스에 로그인하는 행위를 들 수 있습니다. 또 다른 예로 다른 사람이 배지를 제시하지 않고 회사 건물에 입장할 수 있도록 하는 행위를 들 수 있습니다.
-
사기
사기는 온라인의 익명성과 실시간 액세스 가능성을 활용하려는 교묘한 사용자에 의해 저질러지는 행위입니다. 이들은 보안이 침해된 계정과 도난된 신용 카드 번호를 사용하여 거래를 시도할 수 있습니다. 조직은 보증 사기, 환불 사기 또는 재판매인 사기의 피해자가 될 수 있습니다.
-
도난
도난이란 도난된 데이터, 금전 또는 지적 재산으로 이어지는 내부 위협입니다. 도난은 개인적인 이익을 위해, 그리고 조직에 해를 가하기 위해 행해집니다. 예를 들어, 신뢰받는 공급업체가 다크 웹에서 고객의 사회 보장 번호를 판매하거나 고객에 관한 내부 정보를 사용하여 자신의 비즈니스를 시작하는 경우를 들 수 있습니다.
-
자연 재해
자연 재해는 항상 예측할 수 있는 것이 아니므로 만약의 경우를 대비하여 미리 데이터를 보호할 수 있도록 준비해 두어야 합니다. 허리케인, 지진, 홍수나 그 밖의 유형의 재해가 발생했을 경우, 사업장 외부에 데이터의 백업을 보관해 두면 비즈니스 연속성 계획을 구현하는 데 도움이 됩니다.
데이터 보안 기술
데이터 보안 기술은 보다 완전한 데이터 보안 전략의 핵심적인 요소입니다. 내부 및 외부 활동을 모니터링하고, 의심스럽거나 위험한 데이터 공유 동작에 플래그를 지정하고, 중요한 데이터에 대한 액세스를 제어하는 데 사용할 수 있는 다양한 데이터 손실 방지 솔루션이 있습니다. 중요한 데이터가 갈취되지 않도록 다음과 같은 데이터 보안 기술을 구현하세요.
데이터 암호화. 미사용 데이터 또는 이동 중인 데이터에 암호화(데이터를 코드로 변환)를 사용하여 권한 없는 사용자가 해당 위치에 액세스할 수 있더라도 파일 내용을 볼 수 없도록 합니다.
사용자 인증 및 권한 부여. 사용자 자격 증명을 확인하여 액세스 권한이 올바르게 할당되고 적용되었는지 확인합니다. 역할 기반 액세스 제어는 조직에서 액세스 권한이 필요한 사람에게만 권한을 부여하는 데 도움이 됩니다.
내부 위험 탐지. 내부 위험 또는 위협의 신호일 수 있는 활동을 식별합니다. 데이터 사용 컨텍스트를 이해하고 특정 다운로드, 조직 외부 전자 메일 및 이름이 변경된 파일이 의심스러운 행위의 징후를 나타내는 경우를 알아차립니다.
데이터 손실 방지 정책. 데이터가 관리되고 공유되는 방식을 정의하는 정책을 만들고 적용합니다. 다양한 활동에 권한 있는 사용자, 애플리케이션 및 환경을 지정하여 데이터가 누출되거나 도난되는 일을 방지합니다.
데이터 백업. 권한 있는 관리자가 스토리지 장애, 데이터 침해 또는 재해 발생 시에 데이터를 복원할 수 있도록 조직 데이터의 정확한 사본을 백업합니다.
실시간 경고 잠재적인 데이터 악용 알림을 자동화하여 보안 문제가 데이터, 조직의 이미지 또는 직원 및 고객 개인 정보를 손상시키기 전에 잠재적인 보안 문제 경고를 수신합니다.
위험 평가. 직원, 공급업체, 계약자 및 파트너가 조직의 데이터 및 보안 관행에 대한 정보를 보유하고 있다는 사실을 이해합니다. 이러한 정보가 악용되지 않도록, 조직에서 보유하고 있는 데이터와 조직에서 데이터가 사용되는 방식을 파악합니다.
데이터 감사. 데이터 보호, 정확성, 접근성과 같은 주요 문제를 정기적으로 진행되는 데이터 감사를 통해 점검합니다. 이 과정에서 데이터를 누가 어떻게 사용하고 있는지 알 수 있습니다.
데이터 보안 관리 전략
데이터 보안 관리 전략에는 데이터를 안전하게 보호하는 데 도움이 되는 정책, 절차, 거버넌스가 해당됩니다.
-
암호 관리 모범 사례 구현
쉽게 사용할 수 있는 암호 관리 솔루션을 구현합니다. 이렇게 하면 스티커 메모장과 스프레드시트를 사용할 필요가 없어지고, 직원들이 고유한 암호를 암기할 필요도 없어집니다.
암호 대신 암호 문구를 사용합니다. 암호 문구는 직원들이 기억하기 쉽고 사이버 범죄자가 추측하기 어렵습니다.
2FA(2단계 인증)를 사용합니다. 2FA를 사용하면 암호 문구나 암호가 유출된 경우에도 권한 없는 사용자가 두 번째 디바이스로 전송되는 추가 코드 없이는 액세스할 수 없기 때문에 로그인 보안이 유지됩니다.
암호는 보안 침해 사고 후에 변경합니다. 암호를 자주 변경하면 시간이 갈수록 약한 암호를 사용하게 된다고 합니다.
암호 문구나 암호를 재사용하지 않습니다. 보안이 침해된 암호는 다른 계정들에 무단으로 로그인하는 데 사용되는 경우가 많습니다. -
방어 계획 만들기
중요한 데이터를 보호합니다. 데이터를 대규모로 살펴보고 분류하여 데이터의 볼륨, 유형, 그리고 수명 주기 전반에서 데이터가 보관되는 위치를 파악합니다.
내부 위험을 관리합니다. 사용자 활동과 데이터의 의도된 용도를 이해하여 데이터 보안 인시던트로 이어질 가능성이 있는 잠재적으로 위험한 활동들을 식별합니다.
올바른 액세스 제어 및 정책을 확립합니다. 중요한 데이터를 잘못 저장, 보관 또는 인쇄하는 행위가 발생하지 않도록 합니다.
-
암호화를 사용하여 데이터 보호
데이터 암호화는 권한 없는 사용자가 중요한 데이터를 읽을 수 없도록 해 줍니다. 권한 없는 사용자가 데이터 환경에 액세스하거나 이동 중인 데이터를 보게 되더라도 쉽게 읽거나 이해할 수 없기 때문에 소용이 없게 됩니다.
-
소프트웨어 및 보안 업데이트 설치
소프트웨어 및 보안 업데이트는 사이버 범죄자들이 중요한 정보를 갈취하는 데 악용하는 알려진 취약성을 해결합니다. 정규 업데이트를 설치하면 취약성을 해결하고 시스템의 보안이 침해되는 일을 방지할 수 있습니다.
-
직원들에게 데이터 보안 교육 제공
조직의 데이터를 보호하는 일은 비단 IT 부서만의 책임이 아닙니다. 직원들이 데이터 공개, 도난 및 손상에 대해 숙지할 수 있도록 교육하는 일도 게을리해서는 안 됩니다. 데이터 보안 모범 사례는 온라인 데이터는 물론 하드 카피로 인쇄되는 데이터에도 적용됩니다. 분기, 반기 또는 연 1회 등 정기적으로 공식 교육을 진행해야 합니다.
-
원격 근무를 위한 보안 프로토콜 구현
원격 직원들을 위한 보안 프로토콜을 구현하려면 먼저 정책 및 절차를 명확하게 정립해야 합니다. 그러려면 필수 보안 교육을 진행하고 사용 가능한 소프트웨어 애플리케이션과 사용 방법을 지정해야 합니다. 프로토콜에는 직원들이 사용하는 모든 디바이스를 보호하는 프로세스도 포함해야 합니다.
규제 및 규정 준수
조직에서는 관련 데이터 보호 표준, 법률 및 규정을 준수해야 합니다. 이러한 표준, 법률 및 규정은 고객 또는 직원으로부터 필요한 정보만 수집하고 안전하게 보관하며 적절하게 폐기하는 것을 포함하되 이에 국한되지 않습니다. 개인 정보 보호법의 예로 GDPR(일반 데이터 보호 규정), HIPAA(Health Insurance Portability and Accountability Act), CCPA(캘리포니아 소비자 보호법)를 들 수 있습니다.
GDPR은 가장 엄격한 데이터 개인 정보 보호 및 보안 법률입니다. EU(유럽 연합)에서 초안을 작성하고 통과된 법률이지만 전 세계 조직은 EU 시민 또는 거주자의 개인 데이터를 대상으로 하거나 수집하는 경우 또는 그들에게 상품 및 서비스를 제공하는 경우 이를 준수할 의무가 있습니다.
HIPAA는 환자의 지식이나 동의 없이 환자의 건강 정보가 공개되지 않도록 보호합니다. HIPAA 개인 정보 보호 규칙은 개인 건강 정보를 보호하며 HIPAA 요구 사항을 구현하기 위해 발행되었습니다. HIPAA 보안 규칙은 의료 서비스 공급자가 전자적으로 생성, 수신, 유지 또는 전송하는 식별 가능한 건강 정보를 보호하는 데 도움이 됩니다.
CCPA는 기업이 수집하는 개인 정보와 해당 정보의 사용 및 공유 방법에 대해 알 권리, 수집된 개인 정보를 삭제할 권리, 개인 정보의 판매를 거부할 권리를 포함하여 캘리포니아 소비자의 개인 정보 보호 권리를 보장합니다.
DPO(데이터 보호 책임자)는 규정 준수를 추적하고 조직에서 데이터 보호법에 따라 개인 정보를 처리하도록 감독하는 리더십 역할입니다. DPO는 규정 준수 팀에게 규정을 준수하는 방법을 안내하고, 조직 구성원들에게 교육을 제공하고, 규정 및 규제를 준수하지 않을 경우 이를 보고합니다.
규정을 준수하지 않아 데이터 보안 침해가 발생할 경우 조직에 수백만 달러의 비용이 발생하게 됩니다. 이는 신원 도용, 생산성 손실, 고객 유출로 이어질 수 있습니다.
결론
데이터 보안 및 데이터 보안 관리는 데이터에 대한 위협을 식별 및 평가하고, 규제 요구 사항을 준수하고, 데이터 무결성을 유지하도록 도와줍니다.
데이터를 자주 백업하고, 사업장 외부에 백업 사본을 보관하고, 데이터 보안 관리 전략을 구축하고, 강력한 암호 또는 암호 문구와 2FA를 적용하세요.
수명 주기 전반에서 데이터를 보호하고, 데이터가 사용되는 방식을 이해하고, 데이터 누출을 방지하고, 데이터 손실 방지 정책을 만드는 것은 조직에서 강력한 방어를 구축하기 위한 기본 사항입니다.
데이터 보안 절차와 도구를 사용하여 클라우드, 앱, 엔드포인트에서 데이터를 안전하게 보호하는 방법을 알아보세요.
자주 묻는 질문
-
데이터 보안은 중요한 데이터의 전체 수명 주기에 걸쳐 데이터를 보호하고, 사용자 활동과 데이터의 컨텍스트를 이해하고, 권한 없는 데이터 사용을 방지하도록 지원합니다. 데이터 보안은 보유하고 있는 데이터와 위치를 파악하고 데이터와 관련된 위험을 식별하는 활동입니다.
-
데이터 보안의 유형은 다음과 같습니다.
- 온-프레미스 및 클라우드 기반 데이터에 대한 로그인 자격 증명을 요구하는 액세스 제어.
- 암호, 카드 또는 생체 정보를 사용한 사용자 인증.
- 시스템 장애, 데이터 손상 또는 재해가 발생한 후에 데이터에 액세스할 수 있게 해 주는 백업 및 복구.
- 재해 복구 및 비즈니스 연속성에 대한 선제적인 접근 방식으로서의 데이터 복원력.
- 데이터를 올바르게 폐기하고 복구 불가능하게 만드는 데이터 지우기.
- 프록시 문자를 사용하여 권한 없는 사용자로부터 문자와 숫자를 가리는 데이터 마스킹 소프트웨어.
- 중요한 데이터의 권한 없는 사용을 방지하는 데이터 손실 방지 솔루션
- 권한 없는 사용자가 파일을 읽을 수 없게 만드는 암호화.
- 파일 및 문서의 중요한 데이터를 분류하는 데 도움이 되는 정보 보호.
- 위함 사용자 활동을 완화하는 내부 위험 관리.
-
데이터 보안의 한 가지 예로 기술을 사용하여 조직의 어느 곳에 중요한 데이터가 위치해 있는지 살펴보고 이러한 데이터가 어떤 식으로 액세스 및 사용되는지를 파악하는 것을 들 수 있습니다.
-
데이터 보안은 조직에서 데이터 보안 침해로 이어질 수 있는 사이버 공격, 내부 위협, 휴먼 에러를 방지하는 데 도움이 되기 때문에 중요합니다.
-
데이터 보안의 네 가지 주요 문제는 기밀성, 무결성, 가용성, 규정 준수입니다.
Microsoft 365 팔로우