데이터 프라이버시와 조직 보안을 보장하는 방법

오늘(1월 28 ^일) 은 미국, 캐나다, 이스라엘 및 47개 EU 국가에서 데이터 개인 정보 보호의 날(또는 유럽 연합에서는 데이터 보호의 날)로 알려져 있습니다.

개인정보 보호, 특히 데이터 개인정보 보호는 매우 중요합니다. 실제로 150개가 넘는 많은 국가 헌법에 "개인정보보호권"이 언급되어 있습니다. 이는 유엔의 세계인권선언에도 언급되어 있으며, 유럽인권조약에 따라 보호받고 있습니다. EU의 일반 데이터 보호 규정(GDPR)과 캘리포니아 소비자 개인 정보 보호법(CCPA)을 포함하여 많은 국가, 지역 및 주에서 여러 개인 정보 보호 규정이 제정되었습니다.

데이터 개인 정보 보호의 날의 초점은 기업과 소비자에게 사용자의 개인 정보와 개인 정보를 보호하는 것의 중요성에 대한 인식을 높이는 것입니다. 이는 기업과 소비자가 사용자 개인 정보를 보다 효과적으로 관리하고 제어할 수 있는 도구 개발을 교육하고 장려하기 위한 것입니다. 또한 GDPR 및 CCPA와 같은 기존 개인정보 보호법 및 규정을 더욱 강화하거나 준수하도록 하는 것을 목적으로 합니다. 많은 국제 및 국가 기관, 부처, 위원회, 교육 기관, 산업 컨소시엄은 데이터 개인 정보 보호의 날을 소비자 및 사용자 데이터의 개인 정보를 보다 효과적으로 보호하는 방법에 대한 논의를 시작하거나 계속할 때로 인식하고 있습니다.

실제로 적용하기

저장 중이든 전송 중이든 소비자 및 사용자 데이터의 개인 정보 보호를 강화하는 가장 인기 있고 좋은 방법 중 하나는 암호화입니다. 소비자 및 사용자 데이터를 암호화하고 이 데이터를 전송하는 방법을 암호화하는 것은 개인 식별 정보를 비공개로 유지하는 데 필수적입니다.

오늘날 암호화는 어디에서나 가능합니다. 사용자 및 데이터 개인정보 보호에 대한 관심은 암호화된 트래픽의 폭발적 증가를 촉진하는 데 도움이 되었습니다. 또한, 온라인 보안을 개선하고자 무료 또는 저렴한 인증서를 제공하는 공급업체가 많아 사용자, 소비자, 기업 모두에게 도움이 될 것입니다. 사실상 그들은 웹 전체를 암호화하려고 시도하고 있는 셈입니다! F5 Labs 에 따르면, 웹 페이지 로드의 86%가 SSL 또는 TLS로 새로 암호화됩니다. 오늘날 암호화된 웹 트래픽의 96% 이상을 차지하는 것은 AES(Advanced Encryption Standard) 암호입니다. GDPR, CCPA 등과 같은 앞서 언급한 개인정보 보호 규정 및 요구 사항은 대부분의 규정 및 요구 사항이 사용자 및 개인 데이터의 암호화를 의무화하지 않더라도 암호화 도입을 촉진하고 있습니다. 그러나 많은 조직에서는 동일한 규정과 요구 사항을 위반하지 않기 위해 사용자 데이터와 통신에 암호화를 사용합니다.

피할 수 없는 단점

암호화는 사용자와 데이터의 프라이버시를 보호하는 데 탁월하지만 동시에 암호화에는 다음과 같은 문제가 있어 사용자와 기업 모두에게 심각한 난제를 안겨줍니다. 공격자와 해커는 암호화를 사용하여 맬웨어, 랜섬웨어 및 기타 공격 벡터를 가리는 것을 좋아합니다. 안타깝게도 암호화로 인해 보안 사각지대가 발생합니다.

예를 들어, 피싱 및 스피어피싱 캠페인에 사용되는 사기성 웹사이트는 점점 더 HTTPS를 사용하여 진짜인 것처럼 보이도록 하여 의심하지 않는 사용자가 맬웨어에 감염된 링크를 클릭하도록 속이거나 사용자 이름과 비밀번호를 가짜 로그인 페이지에 입력하도록 합니다. 심지어 주소 표시줄에 작은 자물쇠가 나타나면 안전하고 보안이 유지되는 웹사이트라는 표시로 받아들인 사용자도 속입니다. F5 Labs 에 따르면 현재 피싱 사이트의 72%가 암호화를 사용하고 있습니다. 하지만 상황을 더욱 악화시키는 것은 공격자, 해커 및 기타 악의적인 행위자들이 암호화를 사용하여 위협을 숨길 뿐만 아니라, 피해자 한 명당 한 번만 맬웨어 및 피싱 사이트가 포함된 특정 위협 캠페인을 사용하여 사후 법의학에서 감지되지 않도록 암호화가 제공하는 개인 정보 보호를 악용한다는 것입니다.

피싱은 인간의 심리를 악용하고 사회 공학, 잘못된 정보, 허위 정보를 이용하기 때문에 방어하기 매우 어려운 공격입니다. 피싱은 두려움과 같은 인간의 본성과 감정을 이용합니다. 특히 코로나바이러스 팬데믹 상황에서는 그렇습니다. 공격자는 이 사실을 알고 이를 이용합니다. F5 Labs는 "covid" 또는 "corona"라는 단어가 포함된 새로운 HTTPS 인증서가 COVID-19 사례의 급증과 동시에 증가했다는 것을 발견했습니다 . 세계보건기구(WHO)와 미국 등 잘 알려진 의료정보원에서도 질병통제예방센터(CDC)는 피해자를 악성 도메인으로 유인하여 맬웨어나 기타 악성 공격을 다운로드하거나 가짜 로그인 페이지에 사용자 자격 증명을 입력하도록 속이는 것을 목표로 하는 피싱 캠페인에서 공격자에게 사칭되어 왔고 지금도 계속 사칭되고 있습니다.

당신이 할 수 있는 일

그렇다면 오늘날 조직은 다양한 공격과 침해로부터 자신을 보호하는 동시에 사용자 및 소비자 데이터와 개인정보를 어떻게 방어할 수 있을까요?

조직에서는 매일 들어 오고 나가는 트래픽에 필요한 엄청난 양의 암호화된 트래픽을 대규모로 해독할 수 있는 솔루션을 채택해야 합니다. 오늘날 암호화된 트래픽 수준, 사용자 및 소비자 데이터의 개인 정보 보호 보장의 필요성, 그리고 암호 해독 및 재암호화라는 컴퓨팅 집약적 작업을 고려할 때, 기존 보안 솔루션을 활용해 보안을 제공하고 트래픽을 암호 해독하고 재암호화하는 이중 작업을 하는 것은 바람직하지 않습니다. 과부하가 걸리고 과로한 보안 장치는 단순히 암호화된 트래픽을 우회하거나 배치된 본래의 보안 임무를 수행하지 못할 수 있습니다.

사용자 및 소비자 데이터의 개인 정보 보호 및 보안을 보장하고 개인 정보 보호 규정 및 요구 사항을 침해하지 않으려는 노력의 일환으로 조직에서는 금융 또는 의료 데이터와 같이 개인적인 사용자 및 소비자 트래픽을 지능적으로 우회하여 암호 해독을 우회할 수 있는 솔루션을 채택해야 합니다. 하지만 해당 트래픽은 무료로 통과할 수 없으며 보안 스택의 제한된 솔루션 세트로 검사해야 합니다. 그러나 이는 보안 스택의 솔루션이 정적 데이지 체인에 있지 않고 동적 보안 서비스 체인에 참여할 수 있고 컨텍스트 인식 정책을 활용하여 암호화된 트래픽이 복호화된 후 적절한 보안 서비스 체인으로 라우팅되는 경우에만 가능합니다.

이를 SSL 오케스트레이션이라고 하며, 위에서 설명한 내용은 조직의 보안을 보장할 뿐만 아니라 사용자 및 소비자 정보가 보호되고 비공개로 유지되도록 하기 위해 오늘날 SSL 오케스트레이션이 왜 필요한지 잘 설명하고 있습니다.

F5 SSL Orchestrator에 대한 자세한 내용을 보려면 여기를 클릭하세요.