데이터 보안은 승인되지 않은 액세스로부터 데이터를 보호하고 데이터 기밀성, 무결성, 가용성을 유지하기 위해 도입된 보호 조치를 일컫습니다. 데이터 보안 모범 사례에는 데이터 암호화, 키 관리, 데이터 개정, 데이터 부분 집합화, 데이터 마스킹, 권한 있는 사용자 액세스 관리, 감사, 모니터링 등 데이터 보호 기술 관련 사례가 포함됩니다.
데이터 유출의 위험을 완화하고 규제 준수 목표를 달성하기 위해 데이터 보안 모범 사례는 온프레미스 및 클라우드 환경 모두에서 활용될 수 있어야 합니다. 세부적인 권장 사항은 다를 수 있지만 일반적으로 심층 방어(defense-in-depth) 접근에 적용하기 위해 설계된 계층형 데이터 보안 전략을 호출합니다. 다양한 제어 방식으로 다양한 위협 벡터를 완화할 수 있습니다. 고유 솔루션 영역에는 데이터베이스 활동 및 위협을 평가, 감지 및 모니터링할 수 있는 기능이 포함됩니다.
데이터는 모든 조직에 가장 중요한 자산 중 하나입니다. 따라서 모든 종류의 무단 액세스 시도로부터 데이터를 보호하는 일이 무엇보다 중요하죠. 데이터 유출, 감사 실패, 규제 요구사항 준수 실패 등은 모두 조직의 명성 추락, 브랜드 자산의 손실, 지적 재산권 침해, 규제 준수 실패로 인한 벌금 등의 결과를 낳을 수 있습니다. 유럽 연합의 GDPR(General Data Protection Regulation) 하에서는 데이터 유출 시 조직의 연간 글로벌 수익의 최대 4%까지 벌금이 부과될 수 있으며, 그 결과 조직은 상당한 재정적 손실에 직면할 수 있습니다. 민감한 데이터에는 개인 식별 정보, 재무 정보, 건강 정보, 지적 재산권이 포함됩니다. 데이터 유출 방지 및 규정 준수를 위해 데이터는 보호되어야 합니다.
데이터 마스킹, 데이터 부분 집합화, 데이터 개정은 애플리케이션에 포함된 민감한 데이터의 노출을 줄이기 위해 마련된 기술입니다. 이 기술들은 EU GDPR 등 규제와 관련된 익명화 및 가명화 요구 사항을 준수하는 데 있어 핵심적인 역할을 합니다. EU GDPR은 목적 제한, 합법성, 투명성, 무결성 및 기밀성과 같이 확립되고 널리 인정되는 개인 정보 보호 원칙을 기반으로 구축되었습니다. 또한 통지 및 동의, 기술 및 운영 보안 조치, 국가 간 데이터 플로 메커니즘 등의 요구사항을 포함한 기존의 개인 정보 보호 및 보안 요구사항을 강화합니다. 새로운 디지털, 글로벌 및 데이터 기반 경제에 적응하기 위해 GDPR은 책임, 데이터 최소화 등 새로운 개인 정보 보호 원칙을 공식화합니다.
GDPR(General Data Protection Regulation) 하에서는 데이터 유출 시 기업의 연간 글로벌 수익의 최대 4% 또는 2천만 유로 중 더 큰 금액에 해당하는 벌금이 부과될 수 있습니다. EU 내에서 데이터를 수집 및 처리하는 기업들은 데이터 관리 시 다음과 같은 요구 사항을 고려해야 합니다:
데이터베이스는 민감한 정보를 저장하는 귀중한 저장소로, 데이터 도둑들의 주요 범죄 타깃이기도 합니다. 전형적으로 데이터 해커는 내부자와 외부자 이렇게 두 종류로 구분할 수 있습니다. 외부자에는 외로운 해커, 비즈니스 중단 또는 금전적 이익을 노리는 사이버 범죄자가 포함될 수 있으며, 국가적 또는 전 세계적 수준의 사기를 자행하려는 범죄 집단 또는 국가의 지원을 받는 조직 등도 포함될 수 있습니다. 내부자에는 현재 또는 이전 직원, 호기심 가득한 일원, 자신의 위치가 주는 신뢰성을 활용해 데이터를 훔치는 고객 또는 파트너, 의도하지 않은 보안 사고를 실수로 일으키는 직원 등이 있습니다. 외부자와 내부자 모두 개인 데이터, 재무 데이터, 거래 기밀, 규제 데이터의 보안에 위험을 야기할 수 있습니다.
사이버 범죄자들이 데이터베이스에서 데이터를 훔칠 때 사용하는 방법은 다양합니다:
체계적으로 구성된 데이터베이스 보안 전략은 다양한 위협 벡터를 완화할 수 있는 제어 기능들을 포함해야 합니다. 최고의 접근은 손쉽게 배포할 수 있는 보안 제어 프레임워크를 내장하는 것으로, 이를 통해 적절한 수준의 보안을 적용할 수 있습니다. 데이터베이스 보안을 위해 흔히 사용되는 제어 기능들은 다음과 같습니다:
암호화, 키 관리, 데이터 마스킹, 권한 있는 사용자 액세스 관리, 활동 모니터링, 감사 등 데이터 보안 모범 사례를 활용해 데이터 유출의 위험을 줄이고 규정 준수를 간소화할 수 있습니다.