사이버보안, 데이터 분류보다 더욱 중요한 것은

얼마 전에 재미있게 본 영화 <프리 가이>에 이런 장면이 나옵니다.

원래는 NPC (실제 플레이어가 아닌 게임 배경 속 캐릭터)로 움직여야 하는 ‘가이’가 패턴에서 벗어난 움직임을 보이자, 게임 개발자들은 이를 버그로 생각합니다. 그리고는 이 버그를 제거하기 위해 게임 속 플레이어로 위장해 들어가게 되죠. 하지만, ‘가이’를 잡지 못하고, 영화는 새로운 국면을 맞이하게 됩니다.

 

 

더 이상 말씀드리면, 스포가 될 수 있으니^^ 영화 얘기는 여기까지만 하고요, 오늘은 위 내용과 유사한 ‘데이터 분류와 후처리’에 대해 꼭 짚고 넘어가야 할 내용이 있어서 포스팅을 시작하게 됐습니다.

지난 5월, 미국 바이든 정부는 ‘국가의 사이버 보안 향상에 관한 행정 명령(Executive Order on Improving the Nation’s Cybersecurity)’에 서명하며, 본격적으로 ‘사이버 전쟁’에 대비하겠다고 선포했습니다. 이에 대한 주요 내용들은 지난 포스팅에서 안내해 드린 적이 있었죠?

 

https://blog.naver.com/fs0608/222377016160

미국 바이든 정부, 사이버 보안 강화 행정명령 속 핵심내용은?

 

 

그리고 얼마 전인 지난 7월 28일, 다시 한 번 바이든 대통령은 핵심 인프라 소유자 및 운영자가 사이버 보안과 관련해 준수해야 하는 사항들을 담은 '핵심 인프라 제어 시스템을 위한 사이버 보안 개선'에 관한 국가 보안 각서(National Security Memorandum on Improving Cybersecurity for Critical Infrastructure Control Systems)에 서명했습니다.

바이든 대통령은 해당 각서에 관한 백악관 성명에서 “핵심 인프라 시설에 가해지는 사이버 보안 위협은 우리 국가가 직면하고 있는 가장 중요하고 커지고 있는 문제 중 하나이며, 이러한 인프라를 제어하는 시스템의 성능 저하, 파괴, 오작동은 미국의 국가 및 경제 안보에 심각한 해를 끼칠 수 있다”면서 사이버 보안이 국가적으로 매우 중대한 사안임을 피력했습니다.

최근 움직임으로 보면, 사이버 보안은 디지털 전환을 준비하면서 가장 중요하게 생각해야 하는 이슈로 급부상하고 있습니다. 올 초에 글로벌 컨설팅 기업 PWC에서 미국 기업 CEO들을 대상으로 조사한 설문결과를 한 번 보시죠.

 

북미지역 기업의 성장 전망 관련 잠재적인 위협 요소 (자료 출처 : PWC)

 

생각보다 꽤 압도적으로 1위죠?

그만큼 현재 미국 기업들 사이에서도 사이버 보안은 최대 고민거리이자, 가장 큰 화두입니다. 그 어느 때보다 현재와 미래를 위해 이 분야에 많은 비용을 지출하고 있고, 2022년에는 더욱 확대될 것으로 전망되고 있습니다. 이 글을 읽고 계신 여러분들도 디지털 전환을 준비하시면서, 사이버 보안도 함께 잘 챙기고 계신가요?

지난 미국 바이든 정부의 사이버 보안 행정명령 관련 포스팅을 확인하셨던 분들이라면, 이미 상당 부분 진도를 나가셨을 수도 있겠습니다. 다시 한 번 정리해 드리자면, 유념해서 보셔야 할 항목들은 크게 2가지였습니다. 첫째는 각 기관의 미분류 데이터의 종류와 민감도를 평가하라는 것이었고, 둘째는 그 이후에 해당 데이터들에 대한 적절한 처리를 확인하라는 것이었습니다.

 

 

그런데 사실, 여기서 정작 중요한 것은 두 번째 항목입니다. 왜냐하면 첫 번째의 데이터 분류는 결국, 잘 분류해서 후속조치를 하기 위한 사전 작업이기 때문입니다. 실제로 최근 고객 분들의 현황을 살펴보면, 데이터 분류는 어느 정도 진행을 하신 분들이 많은데 정작 그 이후의 후처리 작업은 놓치고 계신 분들이 의외로 적지 않으시더라고요.

서두에 소개해 드렸던 <프리 가이>에서는 NPC의 버그가 하나의 영화 같은 스토리로 관객들을 찾아왔지만, 현실에서 그런 영화와 같은(?) 상황을 기대하시는 분들은 아마 없으시겠죠. 버그가 확인되는 즉시, 후속조치 작업에 착수하는 것처럼, 이제 데이터를 식별하고 분류하는 과정을 거쳤으면 곧바로 후처리가 이어져야 합니다. 만약 후처리가 진행되지 않으면, 데이터의 종류를 식별 및 분류하고 민감도를 평가하는 건 큰 의미가 없습니다.

 

 

바이든 대통령이 서명한 사이버 보안 행정명령에는 상당히 구체적인 수준으로 후처리에 대한 내용이 명시돼 있습니다. 바로 “미사용 및 이동 중인 데이터에 대해 멀티 팩터 인증 및 암호화를 채택해야 한다”라고 말이죠. 그렇습니다, 바로 데이터 중심 암호화로 후처리를 하셔야 합니다.

이번 포스팅을 통해 한 번에 너무 많은 내용을 전달해 드리는 것보다는, 아래 링크를 통해 추가 설명을 드리는 게 더 좋을 것 같습니다.

 

https://www.fasoo.com/document/streamline-operationalize-security-privacy-initiatives-kor

데이터 및 애플리케이션 보안 소프트웨어 기업 | Fasoo

 

점점 가속화되고 있는 디지털 전환에 발맞춰, 사이버 보안도 확실하게 대비하시기 바랍니다!