이 콘텐츠는 어떠셨나요?
데이터를 분류하고 Startup을 보호하는 간단한 4단계
데이터 분류 프로세스를 통해 기밀 데이터와 대중이 사용할 데이터를 구분하고 그에 따라 각 데이터 세트를 처리할 수 있습니다. 데이터를 분류한 Startup은 운영 효율성을 높일 수 있으며, 유럽 연합의 일반 데이터 보호 규정(GDPR) 및 캘리포니아 소비자 보호법(CCPA)과 같은 법률을 보다 높은 신뢰도로 준수할 수 있습니다.
데이터 유형과 민감도 수준을 파악하면 Startup이 의도하지 않은 데이터 사용이나 데이터 유출에 미리 대비하고 규정 준수 요건을 충족할 수 있습니다.
이 게시물에서는 먼저 Startup의 데이터 분류 프로세스를 간소화하고 자동화하는 네 가지 간단한 단계를 제시합니다.
1. 데이터 분류 프레임워크 설계
먼저, 데이터를 분류하고 제어하는 방법을 평가하여 Startup 데이터에 대한 액세스 권한을 부여할 사용자를 설정해야 합니다.
데이터 평가 및 분류
Data Classification Amazon Web Services(AWS) 백서에 정의된 대로, 데이터 분류란 ‘조직이 소유하거나 운영하는 정보 시스템에서 처리 및 저장되는 데이터 유형을 식별하는 작업입니다.’
데이터 분류 프레임워크를 설계하려면 먼저 데이터를 평가해야 합니다. 이를 위해서는 프레임워크가 단순할수록 관리하기 쉬운 만큼, 최대한 적은 수의 범주로 데이터를 그룹화하는 것이 좋습니다.
대부분의 기업에서 가장 일반적인 데이터 분류 사용 사례들은 이 세 계층 중 하나에 해당합니다.
- 미분류 데이터: 보안 수준이 낮은 데이터(예: 공개 웹 사이트 데이터, 교육 과정 카탈로그 등)
- 공식 데이터: 중간 수준의 보안 데이터(예: 공식 커뮤니케이션, 내부 메모 등)
- 비밀 데이터: 가장 민감한 데이터(예: 재무 기록, 지적 재산, 법적 권리가 부여된 데이터 등)
데이터를 분류하는 방법과 데이터를 저장하는 위치는 비즈니스의 특성과 법적 요구 사항에 따라 달라집니다. 예를 들어 신용카드를 처리하는 경우 비밀로 분류되는 결제 카드 산업(PCI) 데이터에 대한 표준을 준수해야 합니다.
데이터를 분류하는 데 도움이 필요하신가요? Amazon Macie는 기계 학습(ML)을 사용하여 민감하고 비즈니스에 중요한 데이터의 분류를 자동화합니다. 기계 학습(ML) 및 패턴 매칭을 사용하여 신용카드 번호, 의료 데이터 및 기타 다양한 개인 식별 정보(PII)와 같은 민감한 정보를 탐지합니다.
데이터 보호 통제 방법 결정
데이터 보호 통제 방법은 데이터 사용 방식, 데이터에 대한 액세스 권한 및 암호화 방법을 관리합니다.
분류 계층에 데이터 세트를 할당하고 나면, 각 범주에 적용할 통제 방법을 결정하게 됩니다. 각 워크로드의 보호 요구 사항 수준과 함께 적절한 데이터 분류 시스템을 신중하게 관리하면, 데이터에 적합한 통제 수준과 액세스 또는 보호 수준을 매핑할 수 있습니다.
데이터 보호 통제 방법에는 여러 유형이 있지만 일반적으로 알아야 할 몇 가지는 다음과 같습니다.
- 개별 계정을 사용하여 민감도 수준별로 워크로드 리소스를 배치합니다. AWS Organizations 를 사용하면 여러 AWS 계정 을 쉽게 만들고 관리할 수 있습니다.
- IAM 정책, Organizations 서비스 제어 정책(SCP), AWS Key Management Service(AWS KMS) 및 AWS CloudHSM을 설정하면 데이터 분류에 대한 정책과 암호화를 사용한 보호에 대한 정책을 정의하고 구현할 수 있습니다.
- 규정 준수 및 데이터 레지던시 요구 사항에 따라 데이터가 적절한 AWS 리전에 저장 및 처리되도록 보장합니다. AWS는 리전 간 데이터 이동을 유발하지 않습니다. 특정 리전에 배치된 콘텐츠는 특정 기능을 명시적으로 활성화하거나 해당 기능을 제공하는 서비스를 사용하지 않는 한 해당 리전에 남아 있습니다.
- AWS Config 규칙 을 사용하여 Amazon Elastic Block Store(Amazon EBS) 볼륨, Amazon Relational Database Service(RDS) 인스턴스, Amazon Simple Storage Service(S3) 버킷 등의 저장 데이터에 암호화를 사용하고 있는지 자동으로 확인합니다.
- 전송 중 암호화를 적용합니다. 예를 들어 HTTP 요청이 Amazon CloudFront 또는 Application Load Balancer의 HTTPS로 자동 리디렉션 될 수도 있습니다.
예를 들어 미분류 데이터는 조직 내의 모든 사용자는 물론 외부에서도 사용할 수 있는 반면, 비밀 데이터를 복호화하려면 키에 대한 승인된 액세스 권한이 필요할 수 있습니다.
2. 데이터에 태깅
보안을 위해 메타데이터 태그를 사용하면 용도, 소유자, 환경, 기타 기준 등 다양한 방식으로 리소스를 식별, 분류 및 관리할 수 있습니다. 보안 태그를 사용하여 기밀 유지 및 규정 준수 요구 사항에 따라 리소스를 식별하고 그룹화할 수 있습니다.
이제 데이터를 분류하고 보호하는 방법을 알았으니, 분류 수준을 지정하는 메타데이터 태그를 추가해 보겠습니다. 이러한 태그는 팀에 참조 정보를 제공하고 추가적인 자동화 및 제어를 가능케 합니다. 다양한 일반 태깅 전략이 있지만 보안에 사용할 수 있는 태그는 다음과 같습니다.
- 기밀성 - 리소스가 지원하는 특정 데이터 기밀 수준의 식별자
- 규정 준수 - 특정 규정 준수 요구 사항을 준수해야 하는 워크로드의 식별자
예를 들어 태그를 사용하여 암호화를 요구하거나 데이터에 액세스할 수 있는 사용자를 제한할 수 있습니다. 기존 리소스에 대한 태그가 아직 없는 경우, AWS는 여러 서비스의 리소스 태그를 관리하는 데 도움이 되는 도구를 제공합니다.
- AWS Resource Groups 와 리소스 그룹 태깅 API 를 사용하면 태그를 프로그래밍 방식으로 제어할 수 있으므로 태그와 리소스를 보다 손쉽게 관리, 검색 및 필터링할 수 있습니다.
- AWS Identity and Access Management(IAM) 에서는 태그를 사용하여 리소스에 대한 액세스를 제어할 수 있습니다.
변화하는 비즈니스 요구 사항에 맞게 매우 손쉽게 태그를 변경할 수 있지만, 변경에 따른 향후 결과를 고려해야 한다는 점을 잊지 마세요. 예를 들어 액세스 제어 태그를 변경하면 해당 태그를 참조하고 리소스에 대한 액세스를 제어하는 정책도 업데이트해야 합니다.
3. 민감한 데이터 삭제
데이터 삭제는 다운스트림 환경을 저해하지 않으면서 민감한 데이터가 저장되는 위치를 제한하고 필요한 사람만 데이터에 액세스할 수 있도록 제한합니다.
삭제를 자동화하면 의도하지 않은 데이터 유출 위험을 줄이고, Startup이 갈수록 증가하는 데이터를 탐색할 때 프라이버시 요건을 준수하는 데 도움이 됩니다.
Amazon Comprehend를 Amazon S3 객체 Lambda 액세스 포인트와 함께 사용하면 텍스트 문서에서 암호, 주소, 전화번호, 주민등록번호 등 12가지 이상의 PII 유형을 탐지하고, 자동으로 삭제할 수 있습니다.
4. 규정 준수 상태 유지
데이터 규정 준수는 데이터 보호, 보안 및 저장에 대한 규칙을 식별합니다. 정책, 절차 및 프로토콜을 수립하고 무단 액세스 및 사용으로부터 데이터가 보호되도록 보장합니다.
마지막 단계에서는 데이터가 규정 준수를 유지하고 있는지 모니터링하게 됩니다. AWS Security Hub의 AWS Config 규칙 및 AWS Foundational Security Best Practices를 통해 데이터 설정이 어떻게 구성되었는지 추적하고 변경 시 알림을 받을 수 있습니다. 이를 통해 보안 표준이 충족되고 있는지 지속적으로 확인할 수 있습니다.
AWS를 활용한 Startup 보안
현재 거의 모든 Startup이 글로벌 환경에서 비즈니스를 운영하고 있으며, 비즈니스를 운영하는 국가마다 갈수록 다양한 요건에 직면하고 있습니다.
보유한 데이터를 식별하고 자동화된 적절한 통제 방법을 구현하면 이러한 요건을 보다 손쉽게 충족하는 동시에, 보안 태세를 강화할 수 있습니다. 자세한 내용은 AWS Data Classification 백서를 참조하세요. 아울러 클라우드에서 시스템을 구축할 때 내리는 결정의 장단점을 이해하는 데 도움이 되며 클라우드 기술을 활용하여 보안 태세를 강화할 수 있는 방식으로 데이터, 시스템 및 자산을 보호하는 방법을 설명하는 AWS Well-Architected Framework를 검토하는 것이 좋습니다.
Neil DCruz
Neil DCruz는 인도 뭄바이에 거주하는 스타트업 솔루션스 아키텍트입니다. 그는 Startups가 안정적이고 확장 가능하며 비용 효율적인 클라우드 아키텍처를 구축할 수 있도록 AWS 여정을 지원합니다. 그는 엔터프라이즈 애플리케이션, 마이크로서비스, 데이터 분석, 비즈니스 인텔리전스 워크로드를 구축하는 다양한 컨설팅 및 개발 역할을 맡아 10년 이상 근무한 경험이 있습니다.
이 콘텐츠는 어떠셨나요?