DLP

DLP(Data Loss Prevention)는 정보유출방지를 위한 보안솔루션의 하나다. 기업은 영업비밀, 기술정보, 개인정보, 인사정보 등 조직과 사업에 중요한 정보를 갖고 있다. 개인정보를 제외한 대부분의 중요 정보는 퇴직자, 현 임직원, 협력업체 직원, 방문자 등 회사 내부에 들어온 인력에 의해 휴대용 저장정치, 인력 스카우트, 복사·절취, 이메일/메신저, 사진 등을 통해 유출된다. DLP는 이러한 기업의 중요 정보가 저장, 이동, 사용 중일 때 유출되는 것을 모니터링, 탐지, 차단(또는 암호화)함으로써 기업의 경쟁력을 확보하는 데 필요한 보안솔루션이다. 정보유출 차단의 위치에 따라 엔드포인트 DLP와 네트워크 DLP로 나뉜다.

DLP의 종류

• 엔드포인트 DLP: PC나 모바일 기기 등 엔드포인트에 SW로 설치되는 DLP 솔루션이다. 주요 기능은 다음과 같다.

  • USB 드라이브, 프린터 등 중요 정보의 오프라인 유출 경로에 대한 통제(매체 제어)

  • 정책을 위반하여 저장장치에 저장된 중요 정보를 탐지하여 삭제·암호화·알림 처리

  • 메신저·메일·웹하드 등 온라인 유출 경로를 모니터링하여 유출로 의심되는 데이터나 첨부 파일을 탐지·알림·차단 에이전트에서 발생한 각종 로그는 서버로 전송·저장되고, 관리자용 UI에서 분석 결과를 볼 수 있다. 에이전트가 설치되지 않은 기기는 정보유출 통제가 불가능하므로, 모든 기기에 에이전트를 설치하고 작동이 중단되지 않도록 되어야 한다. PC, 맥(Mac) 등 회사 내 다양한 엔드포인트의 운영체제에 DLP 에이전트가 설치되어야 하므로 솔루션이 이를 지원하는지 확인한다. 일반적으로 동일한 보안솔루션이 여러 운영체제를 지원할 때 서로 기능이 다르므로, 윈도용 이외의 버전에서는 필요 기능이 제공되는지 확인해야 한다.

• 네트워크 DLP: 회사 네트워크에 설치되어 네트워크 상으로 유출되는 중요 정보를 모니터링, 탐지, 차단하는 DLP 솔루션이다. 요즘 많은 트래픽이 네트워크에서 https(또는 TLS, SSL)로 암호화되어 유출 여부를 탐지할 수 없기 때문에 복호화 기능을 갖춘 프록시와 연동하여 사용하기도 한다. 인라인(in-line)으로 설치될 경우 장비의 속도, 안정성, 고장 시 처리가 매우 중요하다. 속도에 대한 영향이 있어서 세부적인 정책 설정이 어려울 수 있다.

• 개인(신용)정보를 탐지하여 암호화하는 DLP 기능을 이용하면 개인정보(또는 고유식별정보와 바이오정보)를 PC나 모바일기기, 보조저장매체에 저장할 때 암호화하라는 개인정보보호법과 개인식별정보 및 개인신용정보를 암호화하라는 신용정보법을 준수할 수 있다.

DLP 도입 시 유의사항

• 정보유출방지 솔루션, 문서 보안 솔루션, 문서 중앙화 솔루션은 서로 영향을 받으며 기능을 추가하고 있어서 어떤 솔루션이 적합한지 심도 있게 검토할 필요가 있다.
• DLP는 예방 기능도 있지만, 이상 행위를 탐지하여 대응하는 것 역시 중요하다. 보안담당자는 관리 UI에서 대시보드나 로그 분석 기능을 검토하여 이상 행위 발생 요건과 그에 따른 처리 방법과 프로세스를 마련해 놓고, 이상 행위가 있는지 주기적으로 로그를 검토하는 것이 좋다.
• 현재 DLP는 주로 키워드나 정규식을 통해 탐지, 차단할 대상을 설정하므로 그에 따른 오탐(False positive)가 발생할 수 있다. 전화번호 같은 것이 대표적인 예이다. 따라서 DLP 도입 시 어떤 오탐이 발생하고, 발생 시 처리 방법과 프로세스를 수립할 필요가 있다.
• DRM 등 암호화, 방화벽, IDPS 등 접근통제 솔루션도 정보유출 방지를 위해 사용될 수 있다. 각 보안솔루션의 기능과 방법, 범위를 검토하여 종합적인 정보유출 통제 방안을 마련하는 것이 바람직하다.