고객의 데이터를 가지고 막대한 수익을 내지만 그 데이터를 보호하는 데에는 인색하기 짝이 없는 회사들이 있다. 아마 그런 태도로 사업을 할 수 있는 날들도 얼마 남지 않았을 것이다. 그러니 미리부터 좀 태도와 사고방식을 바꾸면 어떨까?
[보안뉴스 문정후 기자] 당신의 데이터가 저기 있다. 당신의 데이터인데 어떻게 할 방법이 없다. 그 데이터를 현재 가지고 있는 기업은 당신이 어떻게 손을 써보기 전에 그 데이터를 다른 회사들에 팔아 수익을 거둘 것이다. 수익을 거두는 주체는 당연히 당신이 아니라 그 회사다. 이런 게 싫어 완전히 사회 시스템과 IT 기술과 등지고 살더라도 소용이 없다. 이미 신용 조회 회사나 데이터 브로커들은 당신에 관한 민감한 정보를 다량으로 가지고 있다. 여기에 대해 당신이 할 수 있는 일은 거의 없다.
![[보안뉴스 / 12.19.] 데이터 브로커들과 신용 조회 회사들의 데이터 보호 전략 4](http://www.boannews.com/media/upFiles2/2022/12/919823697_594.jpg)
[이미지 = utoimage]
지난 수년 동안 개개인의 개인정보를 산처럼 쌓아두고 사업을 하던 회사들이 정보 관리를 허접스럽게 하는 바람에 수억 명의 소비자들이 눈 뜨고 막대한 피해를 입은 적이 한두 번이 아니다. 2017년 신용 조회 회사 에퀴팩스(Equifax)의 데이터 침해 사고 당시 무려 1억 4700만 명의 사회 보장 번호와 이름, 생년월일이 도난 당했다. 수천만 명은 여기에 더해 운전 면허증 번호와 이메일 주소, 전화번호까지 잃었다. 조사를 통해 에퀴팩스가 얼마나 느리고 비효율적으로 사건에 대응했는지가 드러났고, 평소에도 보안과 관련하여 그리 훌륭한 회사가 아니었음이 입증됐다.
하지만 아이덴티티 보안 전문 업체인 시메이오(Simeio)의 CPO 아시프 사바스(Asif Savvas)는 “데이터 유출에 대하여 거의 모든 기업들이 느리게 대응한다”고 말한다. “신용 조회 회사, 데이터 브로커, 마케팅 회사들은 대부분 사건이 난 후에 대응하는 방식으로 데이터를 보호하거든요. 사이버 보안 전략이라고 하는 것도 파편화 되어 있는 게 일반적이고요. 그러니 사건이 일어났을 때 체계적으로, 통일된 지휘 아래 대응하지 못합니다. 데이터 침해가 일어나기 전에 방어력을 단단히 굳히는 건 더 못하고요.” IBM이 2022년 발표한 보고서에 의하면 기업이 데이터 유출 사고를 파악하는 데 걸리는 시간은 평균 207일이었고, 상황을 통제하기까지 걸리는 시간은 70일이었다.
몇 명의 해커들이 달라붙든 개인정보와 민감 정보가 공격자들에게 노출되어 있다는 건 소비자들에게 매우 좋지 않은 소식이다. 신용 조회 회사에서 벌어지는 침해 사고는 특히 좋지 않다. 신용 조회 회사는 자체적으로 신원 보호와 신원 확인 서비스를 제공하는 회사이기도 한데, 이 때문에 이런 곳에서 침해 사고가 발생하면 그러한 보안 관련 기능들이 대체적으로 약화된다. 일반 개인과 기업들 모두 신뢰하고 있으며, 자주 활용하는 보안 기능인데 말이다.
실제 우리는 이런 회사들에서 얼마나 자주, 그리고 많이 데이터 사고가 벌어지는지 지겹도록 알고 있다. 정말로 우리 개인정보를 가지고 천문학적인 수익을 올리는 이들은 자신들의 할 일을 제대로 하고 있긴 한 걸까? 의구심이 들지 않을 수 없다. 그래서 데이터 보호에 활용되는 최근의 보호 장치들을 몇 가지 살펴 보았다. 제발 이런 것 좀 찾아서 쓰라는 의미에서.
익명화와 암호화
데이터라는 건 가만히 있을 때나 움직이고 있을 때나 항상 보호되어야 한다. 그러므로 데이터를 암호화 하고, 익명화 하는 건 데이터 보호에 있어서 가장 기본적이며 필수적인 것이다. 아르티 라만(Arti Raman)은 데이터가 제대로 암호화/익명화 되지 않았을 때 어떤 피해가 있을 수 있는지 잘 알고 있다. 그 유명한 에퀴팩스 사건 때 본인은 물론 가족 모두가 피해를 입었기 때문이다. 에퀴팩스에서 빠져나간 개인정보 때문에 줄줄이 다른 계정들도 침해를 당했다고 한다.
이 피해의 기억을 바탕으로 라만은 타이타니엄(Titaniam)이라는 데이터 보안 회사를 설립했고, 데이터가 활용되는 모든 순간에 암호화가 유지되도록 하는 솔루션을 만들기 시작했다. “저희는 보안 색인(secure index)을 생성하는 데 주력합니다. 데이터베이스에서 검색을 할 때 활용되는 게 바로 색인이죠. 이 색인을 안전하게 보호함으로써 기업들은 대량의 데이터베이스라도 항상 암호화 상태를 유지하게 할 수 있습니다. 또한 요청이 들어올 때 복호화를 전혀 하지 않고도 요청에 부합하는 기록을 찾아낼 수 있게 되고요. 60~80%의 경우 암호화 상태를 유지하고서 데이터를 활용할 수 있습니다.”
접근 제한
데이터 보호는 공짜로 되지 않는 경우가 훨씬 많다. 그래서 비싼 기술과 서드파티 서비스들을 가져다가 사용한다. 하지만 반대로 투자 액수와 보호 장치의 강력함이 비례한다고도 할 수 없다. 조직 내부적으로 간단한 변화만 줘도 데이터 보호 능력이 크게 향상될 수도 있다.
신용 조회 기업들이나 데이터 브로커들이 적용할 수 있는 가장 간단한 변화는 데이터베이스에 접근하는 사람을 선별하고, 그 사람들에게만 접근 권한을 주는 것이다. 기본 중의 기본이지만 에퀴팩스 포함 잘 지키지 못하는 사례가 많다. 개인정보가 잔뜩 저장되어 있는 저장소에 접근하는 사람이 많으면 많을수록 위험한 건 당연지사다. IBM의 보고서에 의하면 데이터 침해 사고 중 최소 8%가 내부자로부터 시작된다고 하니, 접근 권한에 차등을 주는 건 당연한 일이다.
웹 디자인 및 개발 업체인 쓰라이브엔진(Thrive Engine)의 창립자 조시 틸(Josh Thill)은 “누가 어떤 정보에 접근할 수 있는지 잘 선별하여 적용하기만 해도 회사는 훨씬 튼튼해진다”고 말한다. “데이터 보안이 얼마나 강한지는 조직 내 가장 약한 부분으로 결정됩니다. 그 약한 부분들로부터 공격은 들어오게 되어 있거든요. 예를 들어 비밀번호가 약한 계정이 존재한다면, 그게 가장 약한 고리가 됩니다. 공격자들은 브루트포스 등으로 간단히 네트워크 내부로 침해할 수 있습니다.”
그렇다고 모든 데이터를 하나하나 다 분리해서 서로 닿지 않는 곳에 따로 보관한다면 데이터 활용을 하는 게 사실상 불가능하게 된다. 마케팅 솔루션 업체 블루로직스(BluLogix)의 부회장 잉가 브로어만(Inga Broerman)은 “데이터 안전을 꾀하다가 활용 문제를 전혀 고려하지 않게 된다면 조직원들이 알아서 해커가 된다”고 표현한다. “생산성을 높이기 위해 규정과 데이터 보호 기술을 스스로 깨기 시작할 거라는 뜻입니다. 사용자들은 항상 더 빠르고 더 생산성이 높은 쪽으로 기울게 되어 있거든요.”
보안 도구들의 조합
놀랍게도 데이터 브로커나 신용 조회 회사들의 경우 데이터를 보호하는 데 사용하는 도구들이 매우 단편적이고, 파편화 되어 있으며, 그 때 그 때 급조한 기능들로 구성되어 있을 때가 많다. 따라서 침해가 용이하다. 틸은 “보안 아키텍트라는 전체적인 구조에 대한 개념 없이 보안 솔루션을 개별적으로 급조하여 추가하는 건 위험한 행위”라고 말한다.
“보안 도구에 투자하는 것 자체는 칭찬할 만한 일입니다. 그것조차 하지 않는 기업들도 많거든요. 심지어 신용 조회 회사나 데이터 브로커들은 데이터 침해가 한 번 발생할 때마다 자신들의 신뢰도에 큰 금이 가는 걸 알고 있어서 큰 돈을 써가며 보안 도구를 마련하기도 합니다. 하지만 보안 솔루션 하나하나의 성능만 생각하지 도구들 간의 궁합과 조화에 대해서는 고려하지 않는 게 보통입니다. 솔루션을 너무 많이 쓰고도 빈틈을 메우지 못할 때 조직은 크게 취약해집니다. 보안에 돈을 많이 썼으니 안전할 거라는 전혀 틀린 기대와 함께 마음까지 해이해지거든요.”
그래서 틸은 ‘아이덴티티 오케스트레이션(IO)’ 플랫폼의 활용을 데이터 브로커들과 신용 조회 회사들에 권한다. “IO 플랫폼은 모든 보안 솔루션들을 통합해 하나인 것처럼 열람하고 관리할 수 있게 해 줍니다. 그러므로 각종 보안 솔루션으로 구성된 아키텍처 전체에 대한 감을 잡을 수 있게 합니다. CIO나 CISO들이 비정상적인 패턴을 보다 빨리 탐지하고 추적할 수 있게 해 주죠.”
데이터 최소화
데이터 프라이버시 스타트업인 프라이비야에이아이(Privya.AI)의 CEO 우지 하다드(Uzy Hadad)는 “데이터 보호 능력을 강화하고 데이터 침해 사고를 실질적으로 줄이려면 데이터 매핑과 ‘설계에 의한 보안’을 도입해야 한다”고 강조한다. “뿌리에서부터 문제를 개선하지 않으면 아무리 돈을 많이 들이고, 아무리 기술이 발전해도 표피만 만지게 될 뿐입니다.”
그러면서 그는 “데이터 매핑을 통해 저장된 데이터의 현황을 파악하고, 사업을 운영하는 데 있어 꼭 필요한 데이터의 최소 용량과 비교하는 것부터 시작할 것”을 권하기도 한다. “데이터를 주요 사업 아이템으로 다루는 회사라면, 더더욱 데이터 최소화의 법칙을 빠르게 도입해야 합니다. 이미 GDPR이 규정으로서 명시하고 있고, 그렇기 때문에 미국의 여러 주들에서도 비슷한 법안들이 나오고 있지요. 최소한의 데이터만 저장하고 관리한다는 기본 규정은 곧 전 세계적인 규범이 될 것이라고 봅니다.”
글 : 리차드 팔라디(Richard Pallardy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>