소만사 최일훈 연구소장의 DLP(Data Loss Prevention) 바로알기 칼럼을 총 8회에 걸쳐 연재할 예정이다. 짧고 쉬운 문체로 설명한 만큼, DLP에 대한 이해도를 높이고 내부정보유출방지를 목적으로 DLP 도입을 고려하고 있는 기업들에게 작은 도움이 되길 바란다. (편집자 주)

스토리지 DLP 혹은 디스커버리는 어디에 정보가 있는지 현황파악을 하는 솔루션이야. 정보는 일단 방치되고 있고, 노출이 되어있으면 유출될 가능성이 생기기 때문에 현황파악은 꼭 필요하지.
 
◇파기시점이 지난 정보를 검출해주는 스토리지DLP
개인정보 담당자가 아닌 사람이 암호화하지 않은 주민등록번호 1백만건을 가지고 있으면 안되겠지? 6개월 이상 보유하고 있는 카드번호 10만건이 저장된 문서는 지워야겠지? 탈퇴한 고객의 계좌번호 같은 개인정보파일들은 법으로도 빨리 삭제해야 할 대상이야. 스토리지DLP는 이런 파일들을 검출하고 암호화하고 삭제하는 솔루션이야.
참고로 우리나라에서 암호화 할 때는 국정원에서 검증된 암호화모듈을 써야하는 것이 필수적이지. 그런데 주민번호가 10만건 이상 포함된 파일을 보안담당자가 발견하면 대부분 어떻게 말하는지 알아? “이건 고객정보가 아니고 동창회정보에요.” 라고 말하거나 “업무에 필요해서 사용하는 개인정보에요. 업무 끝나고 삭제할거에요” 라고 하지. 보안담당자 입장에서는 뭔가 찜찜해. 그렇다고 보안담당자가 해당파일이 고객정보인지 아닌지 모두 검사하기에는 시간이 너무 오래걸리고, 그렇다고 개인정보담당자가 파일을 업무 끝난 후에 알아서 지울거라고 믿는 것은 너무 순진한 생각이고. (나라도 귀찮아서 안 지우겠다!)
 
◇정보담당자가 스스로 정보를 정리할 수 있도록 돕는 스토리지DLP
그래서 개인정보유형과 보유기간을 담당자가 스스로 자율분류 하도록 만들었어. 스스로 신고하도록 만들었지. 고객개인정보, 내부임직원정보, 사적인 개인정보 등으로 스스로 분류하도록 했어. 거짓신고를 대비해서 만일 샘플링조사를 통해 잘못된 것이 나오면 바로 걸러낼 수 있게 만들었지. 지하철 무임승차에 걸리면 요금의 30배를 보상하는 것과 비슷한 이치야.
또 개인정보 보유기간도 스스로 정하도록 만들었어. 그 기간이 지나면 자동적으로 경고하도록 설정해서 담당자가 스스로 삭제할 수 있게 도와주지. 그래도 끝까지 지우지 않다가 유출사고가 나면 회사는 책임을 면할 수 있지만 정보 사용자는 고스란히 그 책임을 져야 해. 그러니까 사전에 미리 지키는게 중요하다는 말씀!
 
◇보안, 스스로 규제를 지키는 것이 중요
보안은 완벽할 수 없어. 그래서 사고가 나면 사고 자체보다 관리자가 규정을 제대로 지켰는지가 더 중요해. 그래서 법적 보안조치를 다했는지, 동종업계 평균수준보다 그 이상을 달성 했는지 파악하는 것이 중요해!

글. 최일훈 소만사 연구소장 acechoi@somansa.com