요약 숫자는현실을정확히보여줍니다. 세이프넷의데이터유출 / 침해인덱스 (breachlevelindex.com) 에따르면 1년전세계적으로매시간마다 6 만 8,개의기록들이손실되거나유출되었습니다. 이를연간으로따져보면 5억 9,5만건에달합니다. 문제는이숫자가데이터유출 / 침해건

규제 준수와 클라우드로의 확장을 가로막는 걸림돌인 보안 이슈 해결의 길 IT 보안 관리자를 대상으로 수행한 세이프넷의 설문조사 결과 요약

요약 숫자는현실을정확히보여줍니다. 세이프넷의데이터유출 / 침해인덱스 (breachlevelindex.com) 에따르면 1년전세계적으로매시간마다 6 만 8,개의기록들이손실되거나유출되었습니다. 이를연간으로따져보면 5억 9,5만건에달합니다. 문제는이숫자가데이터유출 / 침해건수를정확히밝힌사건을대상으로한집계라는것입니다. 1년기준으로정확이몇건의데이터가피해를봤는지밝힌기업이나조직은전체사건중 56% 에불과합니다. 최근동향을보면보안관리자들은데이터유출 / 침해를피할수없는것중하나로여기는분위기입니다. 이런인식전환은곧암호화에대한기대와수요를동시에높이는배경이되고있습니다. 암호화를하면데이터유출 / 침해시도를통해소중한기록들이외부에나가도안전을보장할수있습니다. 이런이유로많은조직들이암호화적용범위를확대해나가고있으며, 이과정에서몇가지이슈에직면하고있습니다. 여기저기해킹에무방비상태로방치된암호화키를어떻게효과적으로관리할것인가? 공용클라우드서비스도입확산에따른중앙집중적인암호화와키관리방안마련은어떻게할것인가? HSM(Hardware Security Module) 장비와 KMIP 프로토콜을통해어떻게전사차원의암호화, 키관리기반을다질것인가? 본문서를통해위와같이오늘날기업들이직면한암호화, 키관리이슈를해결할수있는방안을찾아보세요.

Finding #1: 클라우드로갈까? 말까? 세이프넷이수행한설문조사에따르면많은기업들이클라우드기반서비스도입을확대해가고있는중입니다. 그내용을좀더자세히살펴보자면응답자의 6% 가공용클라우드를도입하였거나온프레미스와클라우드간조화를모색중인것으로나타났습니다. 흔히말하는하이브리드형태로클라우드를수용하고자하는것입니다. 흥미로운점은클라우드를전혀고려하지않고있다는응답역시쓰고있다고응답만큼많다는것입니다. 6% 공용클라우드또는하이브리드클라우드를쓰고있음 6% 의응답자가공용클라우드또는온프레미스와클라우드서비스를연계하는하이브리드유형의컴퓨팅을이용하고있음 위의수치를통해우리는클라우드도입을저해하는요소로보안에대한우려가아직도남아있음을알수있습니다. 또한기업들이하이브리드형태로가고자하는이유도클라우드가주는각종이익을취하는가운데민감한데이터는가능한통제가능한범위에있는온프레미스환경에서다루기위함이란것을알수있습니다.

Finding #: 암호화와암호화키관리를어떻게할것인가? 클라우드의도입이늘고있는것은분명합니다. 따라서기업들이민감한정보를보호하기위해클라우드영역에까지암호화적용을고려하고있다는것역시분명합니다. 세이프넷이수행한설문조사에따르면클라우드를쓰고있다고응답한곳중 % 가이미공용클라우드부문까지암호화를적용했습니다. 대다수기업에서는다양한암호화기술을사용하고있습니다. 앞서언급한바와같이클라우드환경에암호화를적용했다고하는곳에서는아래표와같이대략 7 가지유형의암호화를적용하고있었습니다. 참고로대다수조직이 1~ 년내에암호화확대를계획중이라답했습니다. 클라우드환경에암호화를적용한 % 응답자들이말한현재사용중인암호화기술 4~49% 의응답자는 1~ 년내에암호화를확대적용할예정 사용자장치 ( 노트북, 스마트폰, 태블릿, USB 드라이브등 ) 56% 암호화기술 1% 데이터베이스 웹및기타다른애플리케이션 41% 4% 클라우드환경에서의데이터보호 4% 스토리지 4% 엔터프라이즈암호화키관리 15% PKI Id 기반사용자인증 4% 9% 스토리지암호화 18% VPN 61% 애플리케이션기반암호화 (API 방식 ) 16% % 1% % % 4% 5% 6% Now % 1% % % 4% Future 세이프넷이수행한설문조사에따르면조사대상중 % 만이중앙집중적인정책하에암호화키를관리하고있다고합니다. 이숫자에담긴의미는대다수기업에게있어암호화적용대상의확대는관리이슈로불거지게된다는것입니다. 그이유는암호화키관리를대부분개별적인포인트차원에서하고키를저장하는곳역시사일로형태로고립되어있기때문입니다. 이처럼키관리를개별적으로해야하는조건에서는암호화를확대적용하기쉽지않습니다. 비용도많이들고관리도어렵기때문입니다. 4

Finding #: 암호화확대에대한강력한동기 보안규제 미국유통업계에서대규모데이터유출사고가터졌는데이들기업은 PCI DSS 기준에따라관리를잘해왔다고주장했습니다. 이예를소개하는것은암호화를하는주요이유중하나로규제준수가꼽히는것을설명하기위해서입니다. 각종규제는암호화에대한강력한동기를부여합니다. 세이프넷이수행한설문조사에따르면규제준수가암호화의주요이유라고답한응답자는 4% 였습니다. 4% 에속하는기업들은암호화키관리및감사부문의수준이높은반면그렇지않은기업은단순감사정도만시행하고있었습니다. 더흥미로운것은규제준수를크게신경쓰지않는다고답한경우암호화키관리솔루션을전혀쓰고있지않는다는것입니다. 암호화키관리와감사솔루션을쓰는비중.7 배더높아 1 9 8 7 6 5 4 % 1 4% 규제가암호화의주요배경이라응답한곳 16% 다른이유로암호화를한다고답한곳 규제를암호화를하게된계기라답한곳중키관리와감사를시행하고있냐는질문에그렇다고답한기업의수는규제가계기라답하지않은곳보다.7 배정도더높았습니다. 5

Finding #4: 천차만별인암호화키관리수준 이번조사를통해세이프넷은암호화키관리역량을갖춘기업들은그렇지않은기업에비해어떤점에서차이가나는지에대한일종의패턴을찾을수있었습니다. 중앙집중적인정책기반으로키관리를한다고응답한 % 의기업과그렇지않은곳을비교해보면아래와같은비교결과를도출할수있습니다. 4 Times 1 정책기반관리를하지않음 정책기반으로키관리 중앙집중적인로그관리에있어세배차이를보임 Times 1 정책기반관리를하지않음 정책기반으로키관리 권한분리실천도 4 배이상차이를보임 5 4 Times 1 정책기반관리를하지않음 정책기반으로키관리 보안로그관리여부는 5 배이상차이를보임 Times 1 정책기반관리를하지않음 정책기반으로키관리 감사규제의경우 배이상의차이를보임 참고로설문에응답한곳중 1% 는 년이내에중앙집중적인정책기반하에엔터프라이즈암호화키관리를수행할계획이라답했습니다. 6

결론 오늘날기업들은데이터유출 / 침해에대비하기위한일환으로암호화적용대상과범위를넓혀가긴위한방안마련에고심하고있습니다. 그리고이런현실적과제해결을위해엔터프라이즈환경에적용할수있는암호화및키관리플랫폼도입에관심을갖고 IT 투자우선순위에그이름을올려놓고있습니다. 플랫폼차원의접근을원하는이유는간단합니다. 다양한규제에유연히대응하는한편지속가능한데이터유출 / 침해관련전사차원의보안프레임워크수립의기초가바로암호화및키관리플랫폼이기때문입니다. 이밖에도암호화및키관리플랫폼은암호화대상및범위를사내시스템뿐아니라중장기적으로클라우드까지확대하는데있어서도반드시필요합니다. 이번조사에서나타난것처럼중앙집중적인정책을가지고암호화및키관리를하는곳은클라우드수용을넓혀가는데있어보안이걸림돌이되지않고있습니다. 설문조사내용 세이프넷은 Secure Computing Australia 와함께아시아태평양, 호주인도에위치한기업의 8 여보안전문가를대상으로설문조사를수행하였습니다. 참고로본조사내용과관련해언급된데이터유출 / 침해관련각종통계는세이프넷의데이터유출 / 침해인덱스 (breachlevelindex.com) 를참조하였습니다. 세이프넷소개 세이프넷은 198 년에설립된글로벌정보보안분야의리더로고객의가장중요하고민감한데이터를보호한다. 세이프넷은데이터중심의접근방식을통해데이터센터에서클라우드에이르는고가치정보를라이프사이클전반에걸쳐보호한다. 전세계 5, 이상의기업및정부고객들이세이프넷을통해중요데이터를보호및접근하고, 위험을관리하며, 규제준수를보장하면서, 가상및클라우드환경을보호하고있다. www.safenet-inc.kr, www.safenet-inc.com 7

문의 : 전세계지점위치와연락처정보는 www.safenet-inc.kr 을참조하십시오. 팔로우하기 : www.safenet-inc.com/connected 14 SafeNet, Inc. All rights reserved. SafeNet 및 SafeNet 로고는 SafeNet 의등록상표입니다. 다른모든제품이름은해당소유회사의상표입니다. WP (KR) Letter-18Jun14