데이터 보호란?
저장된 위치와 관계없이 모든 데이터를 보호하고 전체 환경에서 중요한 데이터 및 중요 비즈니스용 데이터를 관리하는 방법을 알아보세요.
데이터 보호 정의
데이터 보호란 손상, 침해 및 손실로부터 중요한 데이터를 보호하는 데 도움이 되는 보안 전략 및 프로세스를 의미합니다. 중요한 데이터에 대한 위협으로는 데이터 침해 및 데이터 손실 인시던트가 있습니다.
데이터 침해는 사이버 공격, 내부 위협, 사람의 실수 같은 출처에서 조직의 정보, 네트워크 또는 디바이스에 무단으로 액세스한 결과입니다. 데이터 손실 외에도 조직은 규정 준수 위반으로 인해 벌금을 내고, 노출된 개인 정보에 대한 법적 조치를 받고, 브랜드 평판에 장기적인 손상을 입을 수 있습니다.
데이터 손실 인시던트는 정상적인 조직 운영의 의도적이거나 실수로 인한 중단을 의미합니다. 예를 들면 노트북을 분실했거나 도난당한 경우, 소프트웨어가 손상된 경우, 컴퓨터 바이러스가 네트워크에 침투하는 경우입니다. 보안 정책을 마련하고 위협을 인식하고 대응하거나 대응하지 않는 방법을 직원에게 교육하는 것은 데이터 보호 전략에서 매우 중요합니다.
데이터 보호의 주요 원칙
데이터 보호의 두 가지 주요 원책은 데이터 가용성과 데이터 관리입니다.
데이터 가용성을 통해 직원들은 일상 업무에 필요한 데이터에 액세스할 수 있습니다. 데이터 가용성 유지는 조직의 비즈니스 연속성 및 재해 복구 계획에 기여하며, 이는 별도의 위치에 저장된 백업 복사본에 의존하는 데이터 보호 계획의 중요한 요소입니다. 이러한 복사본에 액세스할 수 있으면 직원의 가동 중지 시간이 최소화되며 작업이 순조롭게 진행됩니다.
데이터 관리는 데이터 수명 주기 관리와 정보 수명 주기 관리를 포괄하는 용어입니다.
- 데이터 수명 주기 관리는 데이터 생성, 저장, 사용 및 분석, 보관 또는 폐기를 다룹니다. 이 수명 주기는 조직이 관련 규정을 준수하고 불필요하게 데이터를 저장하지 않도록 하는 데 도움이 됩니다.
- 정보 수명 주기 관리는 조직의 데이터 세트에서 파생된 정보를 분류하고 저장하기 위한 전략입니다. 목적은 정보가 얼마나 관련성이 있고 정확한지 결정하는 것입니다.
데이터 보호가 중요한 이유
데이터 보호는 데이터 도난, 누출 및 손실로부터 조직을 안전하게 보호하는 데 중요합니다. 여기에는 준수 규정을 충족하는 개인 정보 보호 정책을 사용하고 조직의 평판 손상을 방지하는 것이 포함됩니다.
데이터 보호 전략에는 환경 내 데이터 모니터링 및 보호와 데이터 가시성 및 액세스에 대한 지속적인 제어 유지가 포함됩니다.
데이터 보호 정책 개발을 통해 조직은 모든 데이터 범주에 대한 위험 허용 범위를 결정하고 관련 규정을 준수할 수 있습니다. 또한 이 정책은 인증 및 권한 부여를 설정하여 누가 어떤 정보에 액세스해야 하는지와 그 이유를 결정하는 데 도움이 됩니다.
데이터 보호 솔루션의 유형
데이터 보호 솔루션을 사용하면 내부 및 외부 활동을 모니터링하고, 의심스럽거나 위험한 데이터 공유 동작에 플래그를 지정하고, 중요한 데이터에 대한 액세스를 제어할 수 있습니다.
-
데이터 손실 방지
데이터 손실 방지는 조직이 전체 데이터 자산에서 중요한 정보 모니터링과 같은 작업을 통해 중요한 데이터의 공유, 전송 또는 사용을 방지하는 데 도움이 되는 보안 솔루션입니다. 또한 HIPAA(Health Insurance Portability and Accountability Act) 및 EU(유럽 연합) GDPR(일반 데이터 보호 규정)과 같은 규정 요구 사항을 준수하는 데 도움이 됩니다. -
복제
복제는 한 위치에서 다른 위치로 데이터를 지속적으로 복사하여 최신 데이터 복사본을 만들고 저장합니다. 복제를 통해 기본 시스템이 중단되는 경우 이 데이터로 장애 조치(failover)할 수 있습니다. 복제는 데이터 손실로부터 보호할 뿐만 아니라 권한 있는 사용자가 더 빠르게 액세스할 수 있도록 가장 가까운 서버에서 데이터를 사용할 수 있도록 합니다. 조직 데이터의 전체 복사본이 있으면 팀이 일상적인 데이터 요구 사항을 방해하지 않고 분석을 수행할 수 있습니다.
-
기본 제공 보호 기능이 있는 스토리지
스토리지 솔루션은 데이터 보호 기능을 제공해야 할 뿐만 아니라 삭제되거나 수정된 데이터를 복구할 수도 있어야 합니다. 예를 들어 여러 수준의 중복도는 서비스 중단, 하드웨어 문제, 자연 재해 등으로부터 데이터를 보호하는 데 도움이 됩니다. 버전 관리는 덮어쓰기 작업으로 새 버전이 생성될 때 데이터의 이전 상태를 보존합니다. 우발적이거나 악의적인 삭제로부터 보호하기 위해 스토리지 계정에 대한 잠금(예: 읽기 전용 또는 삭제할 수 없음)을 구성합니다.
-
방화벽
방화벽을 사용하면 권한 있는 사용자만 조직의 데이터에 액세스하도록 할 수 있습니다. 방화벽은 보안 규칙에 따라 네트워크 트래픽을 모니터링하고 필터링하여 작동하며 바이러스 및 랜섬웨어 시도와 같은 위협을 차단하는 데 도움이 됩니다. 일반적으로 방화벽 설정에는 인바운드 및 아웃바운드 규칙을 만들고, 연결 보안 규칙을 지정하고, 모니터링 로그를 보고, 방화벽에서 차단된 항목이 있을 때 알림을 받는 옵션이 포함됩니다.
-
데이터 검색
데이터 검색은 데이터 센터, 노트북 및 데스크톱 컴퓨터, 다양한 모바일 디바이스 및 클라우드 플랫폼 내에서 조직에 있는 데이터 세트를 찾는 프로세스입니다. 다음 단계에서는 데이터를 분류(예: 제한됨, 비공개 또는 공개로 표시)하고 규정 준수를 충족하는지 확인합니다.
-
인증 및 권한 부여
인증 및 권한 부여 제어에서는 사용자 자격 증명을 확인하고 액세스 권한이 올바르게 할당되고 적용되었는지 확인합니다. 역할 기반 액세스 제어는 작업을 수행하는 데 필요한 사람에게만 액세스 권한을 제공하는 한 가지 예입니다. ID 및 액세스 관리와 함께 사용하여 앱, 파일, 데이터 등 조직의 리소스를 더욱 안전하게 보호하기 위해 직원이 액세스할 수 있는 항목과 액세스할 수 없는 항목을 제어할 수 있습니다.
-
백업
백업은 데이터 관리 범주에 속합니다. 백업은 필요한 만큼 자주(예: 매일 밤 전체 백업 및 하루 종일 증분 백업) 수행할 수 있으며 손실되거나 손상된 데이터를 신속하게 복원하여 가동 중지 시간을 최소화할 수 있도록 합니다. 일반적인 백업 전략으로 데이터 복사본 여러 개를 저장하고 전체 복사본 세트를 별도의 서버에 저장하고 또 다른 복사본 세트를 오프사이트 위치에 저장할 수 있습니다. 백업 전략은 재해 복구 계획과 일치합니다.
-
암호화
암호화는 데이터의 보안, 기밀성 및 무결성을 유지하는 데 도움이 됩니다. 미사용 데이터 또는 이동 중인 데이터에 암호화를 사용하여 권한 없는 사용자가 해당 위치에 액세스할 수 있더라도 파일 내용을 볼 수 없도록 합니다. 일반 텍스트를 읽을 수 없는 암호 텍스트로 변환(즉, 데이터가 코드로 변환됨)하여 읽거나 처리하려면 암호 해독 키가 필요합니다.
-
재해 복구
재해 복구는 조직이 백업을 사용하여 재해(예: 자연 재해, 대규모 장비 고장 또는 사이버 공격) 이후 데이터를 복원하고 정상 작동 상태로 돌아가는 방법에 중점을 둔 InfoSec(정보 보안)의 요소입니다. 조직이 예측 불가능한 이벤트의 영향을 줄이고 계획되거나 계획되지 않은 중단에 보다 신속하게 대응하는 데 도움이 되는 사전 예방적 접근 방식입니다.
-
엔드포인트 보호
엔드포인트란 모바일 디바이스, 데스크톱 컴퓨터, 가상 머신, 임베디드 디바이스, 서버 등 네트워크에 연결하는 물리적 디바이스입니다. 엔드포인트 보호를 통해 조직은 이러한 디바이스를 모니터링하고 취약성이나 사람의 실수를 찾아내고 보안 취약점을 이용하는 위협 행위자로부터 보호할 수 있습니다.
-
스냅샷
스냅샷은 특정 시점의 파일 시스템 보기로, 해당 보기를 유지하며 해당 시점 이후에 변경된 사항을 추적합니다. 이 데이터 보호 솔루션은 서버 대신 드라이브 모음을 사용하는 스토리지 배열을 참조합니다. 일반적으로 배열은 데이터 위치를 가리키는 카탈로그를 생성합니다. 스냅샷은 배열을 복사하고 데이터를 읽기 전용으로 설정합니다. 새 항목은 카탈로그에 생성되고 이전 카탈로그는 보존됩니다. 스냅샷에는 서버를 복구하기 위한 시스템 구성도 포함됩니다.
-
데이터 지우기
지우기는 조직에 더 이상 필요 없는 저장된 데이터를 삭제하는 것입니다. 이 프로세스는 데이터 지우기(wiping) 또는 데이터 삭제라고도 하며 규정 요구 사항인 경우가 많습니다. GDPR과 관련하여 개인은 요청 시 개인 데이터를 지울 권리가 있습니다. 이 지울 권리를 "잊힐 권리"라고도 합니다.
보호, 보안 및 개인 정보 보호
서로 바꿔서 사용할 수 있는 용어처럼 보이지만 데이터 보호, 데이터 보안 및 데이터 개인 정보 보호는 각각 목적이 다릅니다. 데이터 보호는 조직이 손상, 침해 및 손실로부터 중요한 데이터를 보호하기 위해 사용하는 보안 전략 및 프로세스를 포괄하는 용어입니다. 데이터 보안은 데이터의 무결성과 관련이 있으며 권한 없는 사용자 또는 내부 위협에 의한 손상으로부터 데이터를 보호합니다. 데이터 개인 정보 보호는 데이터에 액세스할 수 있는 사람을 제어하고 제3자와 공유할 수 있는 항목을 결정합니다.
데이터 보호 모범 사례
데이터 보호 모범 사례는 데이터에 대한 액세스를 제어하고, 네트워크 및 사용 활동을 모니터링하며, 내부 및 외부 위협에 대응하는 데 도움이 되는 계획, 정책 및 전략으로 구성됩니다.
-
요구 사항 확인
포괄적인 거버넌스 계획은 규정 요구 사항과 해당 요구 사항이 조직의 데이터에 적용되는 방식을 식별합니다. 모든 데이터를 볼 수 있는지 확인하고 적절하게 분류합니다. 업계의 개인 정보 보호 규정을 준수하고 있는지 확인합니다.
-
액세스 제한
액세스 제어에서는 인증을 사용하여 사용자의 신원을 확인하고 권한 부여를 사용하여 사용자가 보고 사용할 수 있는 정보를 결정합니다. 데이터 침해가 발생할 경우 액세스 제어는 적절하게 구현되고 유지되었는지 여부를 확인하기 위해 면밀히 조사해야 하는 첫 번째 정책 중 하나입니다.
-
사이버 보안 정책 수립
사이버 보안 정책은 조직 내 IT 활동을 정의하고 지시합니다. 직원이 데이터에 대한 일반적인 위협을 인식하도록 하고 안전과 보안에 더욱 주의를 기울이도록 합니다. 또한 데이터 보호 전략을 명확하게 하고 책임 있는 데이터 사용 문화를 촉진할 수 있습니다. -
활동 모니터링
지속적인 모니터링 및 테스트를 통해 잠재적인 위험 영역을 식별할 수 있습니다. AI를 사용하고 데이터 모니터링 작업을 자동화하여 빠르고 효과적으로 위협을 탐지합니다. 이 조기 경고 시스템은 피해가 발생하기 전에 잠재적인 데이터 및 보안 문제를 알립니다.
-
인시던트 대응 계획 개발
데이터 침해가 발생하기 전에 인시던트 대응 계획을 마련하면 미리 조치를 취할 수 있습니다. 대응 팀(예: IT 책임자, InfoSec 및 커뮤니케이션 책임자)이 시스템의 무결성을 유지하고 조직을 최대한 빨리 업무에 복귀시키는 데 도움이 됩니다.
-
위험 식별
직원, 공급업체, 계약자 및 파트너는 데이터, 컴퓨터 시스템 및 보안 관행에 대한 정보를 보유하고 있습니다. 데이터에 대한 무단 액세스를 식별하고 오용으로부터 보호하려면 보유하고 있는 데이터와 전체 디지털 자산에서 어떻게 사용되는지 알아야 합니다.
-
데이터 스토리지 보안 개선
데이터 스토리지 보안에서는 액세스 제어, 암호화, 엔드포인트 보안 등의 방법을 사용하여 저장된 데이터의 무결성 및 기밀성을 유지합니다. 또한 의도적이거나 의도치 않은 손상 위험을 완화하고 지속적인 데이터 가용성을 허용합니다.
-
직원 교육
의도적이든 아니든 내부 위험은 데이터 침해의 주요 원인입니다. 모든 수준에서 데이터 방지 정책을 명확하게 전달하여 직원이 준수할 수 있도록 합니다. 특정 문제가 발생하는 경우 재교육 세션과 지침을 통해 교육을 자주 반복합니다.
데이터 보호 규정 준수 및 법률
모든 조직은 관련 데이터 보호 표준, 법률 및 규정을 준수해야 합니다. 법적 의무는 고객 또는 직원으로부터 필요한 정보만 수집하고 안전하게 보관하며 적절하게 폐기하는 것을 포함하되 이에 국한되지 않습니다. 다음은 개인 정보 보호 법률의 예입니다.
GDPR은 가장 엄격한 데이터 개인 정보 보호 및 보안 법률입니다. EU에서 초안을 작성하고 통과된 법률이지만 전 세계 조직은 EU 시민 또는 거주자의 개인 데이터를 대상으로 하거나 수집하는 경우 또는 그들에게 상품 및 서비스를 제공하는 경우 이를 준수할 의무가 있습니다.
CCPA(캘리포니아 소비자 개인 정보 보호법)는 기업이 수집하는 개인 정보와 해당 정보의 사용 및 공유 방법에 대해 알 권리, 수집된 개인 정보를 삭제할 권리, 개인 정보의 판매를 거부할 권리를 포함하여 캘리포니아 소비자의 개인 정보 보호 권리를 보장합니다.
HIPAA는 환자의 지식이나 동의 없이 환자의 건강 정보가 공개되지 않도록 보호합니다. HIPAA 개인 정보 보호 규칙은 개인 건강 정보를 보호하며 HIPAA 요구 사항을 구현하기 위해 발행되었습니다. HIPAA 보안 규칙은 의료 서비스 공급자가 전자적으로 생성, 수신, 유지 또는 전송하는 식별 가능한 건강 정보를 보호하는 데 도움이 됩니다.
1999년의 Financial Services Modernization Act로도 알려진 GLBA(Gramm-Leach-Bliley Act)에 따라 금융 기관은 정보 공유 관행을 고객에게 설명하고 중요한 데이터를 보호해야 합니다.
연방거래위원회는 미국의 주요 소비자 보호 기관입니다. 연방거래위원회법은 불공정한 경쟁 방법과 상업에 영향을 미치는 불공정하거나 기만적인 행위 또는 관행을 불법이라고 선언합니다.
데이터 보호 추세
전략과 프로세스가 발전함에 따라 조직은 몇 가지 데이터 보호 추세를 알아두어야 합니다. 여기에는 규정 준수, 위험 관리 및 데이터 이동성이 포함됩니다.
-
더 많은 데이터 보호 규정
GDPR은 다른 국가에서 개인 데이터를 수집, 공개 및 저장하는 방법에 대한 벤치마크가 되었습니다. 미국(캘리포니아)의 CCPA와 브라질의 General Personal Data Protection Law는 도입된 이후 온라인 소비주의와 개인화된 제품 및 서비스의 확산에 적응할 수 있게 되었습니다.
-
모바일 데이터 보호
권한 없는 사용자가 네트워크에 액세스할 수 없도록 방지하는 것에는 노트북, 태블릿, 스마트폰과 같은 휴대용 디바이스에 저장된 중요한 데이터를 보호하는 것이 포함됩니다. 보안 소프트웨어는 ID 검증을 사용하여 디바이스가 손상되는 것을 방지합니다.
-
제3자의 액세스 권한 축소
데이터 침해는 조직의 네트워크 및 데이터에 너무 많이 액세스하는 제3자(예: 공급자, 파트너 및 서비스 공급자)에 의해 발생하는 경우가 많습니다. 제3자 위험 관리는 제3자가 데이터에 액세스하고 사용하는 방법을 제한하기 위해 준수 규정을 적용하고 있습니다.
-
복사본 데이터 관리
복사본 데이터 관리에서는 중복 데이터를 검색하고, 유사한 데이터를 비교하며, 조직에서 사용하지 않는 데이터 복사본을 삭제할 수 있도록 합니다. 이 솔루션은 중복 데이터로 인한 불일치를 최소화하고 스토리지 비용을 줄이며 보안 및 규정 준수를 유지하는 데 도움이 됩니다.
-
데이터 이동성
클라우드 컴퓨팅 초기에는 데이터 이동성 및 대규모 데이터 세트를 다른 환경으로 마이그레이션하는 것이 어려웠습니다. 오늘날 클라우드 기술은 데이터의 이동성을 높여 조직이 환경 간에 데이터를 이동할 수 있도록 합니다. 예를 들어 온-프레미스 데이터 센터에서 퍼블릭 클라우드로 또는 클라우드 공급자 간에 데이터를 이동할 수 있습니다.
-
Disaster recovery as a service
Disaster recovery as a service는 모든 규모의 조직이 비용 효율적인 클라우드 서비스를 사용하여 시스템을 복제하고 심각한 문제 발생 후 작업을 복원하는 데 도움이 됩니다. 클라우드 기반 기술의 유연성과 확장성을 제공하며 서비스 중단을 방지하는 효과적인 솔루션으로 간주됩니다.
데이터 검색 및 분류
데이터 검색 및 데이터 분류는 조직의 데이터에 대한 가시성을 제공하기 위해 함께 작동하는 별도의 프로세스입니다. 데이터 검색 도구는 전체 디지털 자산을 스캔하여 구조화된 데이터와 구조화되지 않은 데이터가 있는 위치를 검색하며, 이는 데이터 보호 전략에 매우 중요합니다. 데이터 분류는 파일 형식, 콘텐츠 및 기타 메타데이터를 기반으로 데이터 검색 프로세스의 데이터를 구성하고, 중복 데이터를 제거하며, 데이터를 쉽게 검색할 수 있도록 합니다.
보호되지 않은 데이터는 취약한 데이터입니다. 보유하고 있는 데이터와 데이터의 저장 위치를 알면 데이터 처리 및 제어와 관련된 규정 준수 요구 사항을 준수하면서 데이터를 보호할 수 있습니다.
데이터 보호 솔루션
데이터 보호 솔루션은 데이터 손실로부터 보호하며 조직의 재해 복구 계획을 직접 지원하는 보안, 데이터 백업 및 복구를 포함합니다.
조직이 중요한 데이터를 파악하는 방식을 간소화합니다. 모든 데이터에 대한 가시성을 확보하고, 앱, 클라우드 및 디바이스 전반에 걸쳐 더욱 강력한 보호를 구현하고, Microsoft Security 솔루션으로 규정 요구 사항을 관리합니다.
자주 묻는 질문
-
데이터 보호의 예로는 악의적이거나 우발적인 손상 방지, 재해 복구 전략 준비, 데이터가 필요한 사람만 액세스하도록 제한하는 것 등이 있습니다.
-
데이터 보호의 목적은 손상, 피해 및 손실로부터 조직의 데이터를 보호하는 것입니다.
-
GDPR에는 개인 데이터 보호와 관련하여 개인에게 기본적인 권리와 자유가 있다고 명시되어 있습니다. 개인 데이터를 수집하는 모든 조직은 개인으로부터 명시적인 동의를 얻어야 하며 해당 데이터가 사용되는 방법에 대한 투명성이 요구됩니다.
-
데이터 보호 도구에는 데이터 검색 및 인벤토리, 암호화, 데이터 지우기, 액세스 관리 및 엔드포인트 보안이 포함됩니다.
-
데이터를 보호하기 위해 기업은 승인된 사용 및 인시던트 보고 등을 정의하는 보안 정책 설정부터 시작할 수 있습니다. 중요한 데이터를 백업하고, 소프트웨어를 최신 상태로 유지하고, 직원들에게 데이터 보호에 대해 교육하는 것도 중요한 작업입니다.
Microsoft 365 팔로우