26 November 2024
최근 기업의 업무 대부분은 디지털화된 데이터를 기반으로 이루어집니다. 기업의 중요 데이터, 기업 구성원의 개인 정보, 업무에 관한 기밀 사항들도 거의 대부분 디지털 데이터로 보관하며, 필요한 경우 온라인을 통해 전송하게 됩니다.
기업의 중요 데이터, 지속적인 해킹, 유출 위협 직면
디지털 데이터와 온라인을 통해 업무를 진행하는 것은 매우 편리한 반면, 지속적인 해킹 위험에 노출된다는 치명적인 문제도 있습니다. 특히 데이터가 유출될 경우 치명적인 피해를 입을 수 있는 특허, 연구 기관이나 기업의 연구소, 고객의 법률 관련 데이터를 취급하는 로펌 등은 데이터 유출에 매우 민감할 수밖에 없습니다.
일반적인 기업인 경우에도 기업 내부 직원의 개인 정보, 보유하고 있는 고객의 개인 정보 등 민감한 데이터를 다루기 때문에 역시나 유출이 될 경우 막대한 피해를 입게 됩니다. 해커 집단 역시 기업의 데이터가 돈이 된다는 것을 알고 있기 때문에 이전보다 더욱 집요하게 취약점을 파고들고 공격하고 있습니다.
이런 이유 때문에 온라인, 네트워크를 통해 보관되고 전송되는 기업 데이터에 대한 종합적인 보안 대책이 필요한 상황입니다.
Kiteworks, 미국 백악관부터 기업, 정부기관이 사용하는 글로벌 전송보안 솔루션
기업 내 데이터 보안을 위해 전송보안 솔루션을 도입해야 한다면 가장 중요한 점은 바로 얼마나 높은 보안 기술로 데이터를 안전하게 보호할 수 있느냐 일 것입니다. Kiteworks는 매우 민감한 정보를 취급하는 미국 백악관이 도입한 전송 보안 솔루션으로 가장 수준 높은 데이터 보안을 제공합니다.
- Kiteworks 백악관 도입 관련 Brief : https://www.kiteworks.com/brief-advancing-secure-ai-development-with-white-house-ai-memorandum/
Kiteworks는 전세계 3,650개 기업과 정부기관, 총 1억 명의 사용자를 보유한 대표적인 기업보안전송 솔루션으로 다양한 기업과 기관에서 폭 넓게 사용되고 있습니다. 현재 기업이 중요하고 민감한 데이터를 보관, 전송하는 업무가 높은 빈도로 발생한다면 해킹과 유출 위협으로부터 기업 데이터를 보호할 수 있는 Kiteworks 도입을 검토해야할 때입니다.
최고 수준의 보안, 거버넌스 규정을 준수하며 데이터 공유 및 전송 가능
Kiteworks가 제공하는 Private Content Network (PCN)은 보안전송이 필요한 기업 혹은 기관이 최고 수준의 보안, 거버넌스 및 규정을 준수하면서 이메일이나 파일 공유, 전송을 통해 신뢰할 수 있는 당사자와 중요 데이터를 공유할 수 있는 플랫폼을 지원합니다.
높은 보안이 필요한 기업보안전송 필요 시에는 SFTP (Secure File Transfer)를 활용합니다. SFTP는 암호화되지 않는 상태로 파일을 전송하는 일반적인 FTP와 달리 정보를 암화화하고 인증을 요구하는 절차를 통해 보다 안전하게 데이터를 주고받을 수 있습니다.
또한 중요한 데이터 및 파일을 공유하고 다운로드할 수 있는 VDR(Virtual Data Room) 기능도 제공합니다. Kiteworks의 VDR 환경 내에서는 중요 문서를 간편하게 검토, 다운로드, 수정할 수 있는 사용자 권한을 종합적으로 관리하고 각 사용자는 부여된 권한에 맞게 VDR에 접속 및 작업이 가능합니다. 법적 소송, M&A 실사, 외부 기관과 연구 협업 등 기밀 정보의 공유가 필요할 때 매우 편리하게 사용이 가능합니다.
기업의 데이터는 이제 기업 운영에 가장 중요한 자산이 되었습니다. 외부의 보안 위협으로부터 소중한 기업 데이터를 보호하기 위해 기업보안전송 솔루션 도입이 그 어느 때보다 필요한 시점입니다. 신뢰할 수 있는 글로벌 기업보안전송 솔루션, Kiteworks 도입이 필요하다면 국내 공식 파트너, 인텔렉추얼데이터와 상담 받아 보세요
지금까지 정보보호/IT보안과 정치는 큰 관계가 없다고 생각해왔습니다. 하지만 12.3 비상계엄 선포 명분으로 국가정보원과 한국인터넷진흥원(KISA)의 보안점검 조사결과를 제시함과 동시에 중앙선거관리위원회 해킹/데이터 조작 가능성이 본격적으로 제기되면서 논쟁이 되고 있습니다. 여러 언론인들과 유튜버들은 자극적인 보도만 내세우고 있는데요. 하지만 대부분의 모의해킹과 실제 취약점, 그리고 정보보안 사고라는 특수성을 명확하게 설명하지 못하고 있습니다. 사람들은 명확성이 부족함에 따라 불안해질 수밖에 없죠. 실제 모의 해킹을 통한 '해킹이 가능하다'는 가능성과 실제 '해킹을 당했느냐'는 완전히 다른 이야기입니다. 해킹 가능성과 실제 공격: 혼란을 초래한 오해앞서 정부는 담화문을 통해 "선관위 전산시스템 보안 취약성 등을 더 이상 지켜볼 수만 없다고 판단했다"며 비상계엄 발동 요건에 해당한다고 주장했습니다. 이러한 주장은 국정원이 지난해 10월 발표한 선관위 대상 보안점검 조사결과를 기반으로 하고 있습니다. 간단히 말해, 정보 시스템 취약성 등으로 기술적으로 해킹이 가능하다는 거죠. 하지만 국정원에서도 보고서 내에서 '점검 결과는 데이터(개표값) 조작이 가능하다'일 뿐, '조작당했다'는 의미가 아니며 '실제 조작이 발생한 것은 아니라고’ 선을 긋고 있습니다. '기술적으로 부정선거가 가능한가'라는 질문에 '그럴 수도 있다'고 대답한거죠. 심지어 수많은 보안 장벽을 모의해킹이라는 특수한 상황을 적용하여 전부 우회하거나, 사전에 핵심권한을 보유한 채 기술적인 취약점만 찾았기 때문에 ‘그럴 수도 있다’라는 대답이 나왔습니다. 실제 '해킹이 가능한가'와 '해킹 공격을 받았는가'는 전혀 다릅니다. 예컨대 원자력발전소도, 혹은 군내부 통신망인 인트라넷도 24시간내내 보안취약점에 노출되어 있고, 해커가 적절한 기술과 방법, 그리고 의도만 있다면 어떤 정보시스템도 해킹할 수 있습니다. 하지만 그럼에도 보안사고는 일어나지 않고 있죠. 선관위 선거정보시스템 보안자문위원회 위원장을 지냈던 김승주 고려대 정보보호학과 교수는 "선관위 보안점검 발표 당시 국정원 3차장의 발언에서 '조사결과를 과거에 제기된 선거결과 의혹과 단순 결부시키는 건 경계해야 한다'고 말했다"며 "취약점이 발견됐으나 투·개표 결과에 유효한 영향을 줄 수 있다고 확대 해석하는 것을 경계"하란 발언에 주목했습니다. 이번 비상계엄 사태는 '해킹 가능성'을 문자 그대로 받아들이고, '부정선거가 일어났다'는 현실에도 없는 일을 만들어 내서 저지른 황당무계한 사건으로 볼수 있습니다. 최악의 시나리오를 대비하는 모의해킹의 역할실제 모의해킹의 경우 '정보가 해킹 당할수록' 안전해집니다. 모의해킹은 공격하는 해커 관점에서 취약점을 최대한 찾아내고 이를 분석 및 수정하여, 궁극적으로 최적화된 보안시스템 강화를 달성하게 합니다. 과거의 경우 단순히 체크리스트를 활용해 보안 점검했으나, 최근에는 실제와 유사한 루트로 해커들의 실질적인 위협을 파악할 수 있는 '레드팀' 성격의 모의해킹도 대두되고 있죠. 심지어 북한 해킹그룹 김수키, 안다리엘이 사용하는 공격 기술을 가져오거나 실제 취약점 코드(exploit)을 그대로 사용하기도 합니다. 현업에서 수행하는 모의해킹 과정에서는 사전에 점검 서비스 및 시스템을 파악하고, 기능을 사용하기 위한 정보를 수집합니다. 그 과정에서 관리자 계정을 사전에 제공받기도 하고, 소스 코드를 제공받기도 합니다. 심지어 ASM(Attack Surface Management) 등 자동화 도구를 활용해 정보를 수집하기도 하죠. 해커가 해킹을 시도하기 위해 목표하는 정보를 모으는 과정을 보다 더 폭넓게 수행하는 겁니다. 대부분의 경우 공격자들은 시스템의 상세 정보나 관리자, 혹은 내부 이용자 계정 정보 같은 것까지는 알지 못하니까요. 이후 이 데이터를 바탕으로 작성된 해킹 시나리오를 기반으로 개인정보 탈취 가능성이나 정보 임의 변경 가능성, 기업 내부정보 탈취 가능성 등을 식별하게 됩니다. 이 과정에서 보안 취약성으로 일어날 수 있는 피해는 매번 최악의 상황으로 기술되는 경우가 많은데요. 마치 의사들이 담배를 피우면 누구나 폐암에 걸린다고 말하는 것과 같습니다. 누구는 흡연을 해도 심각한 암으로 전파되지 않을 수 있지만, 최악의 경우 암이 조기에 발생할 수도 있으니까요. 실제 국가정보원은 지난 19일 '국정원이 선관위 보안점검 결과 부정선거 의혹을 발견하지 못했다고 국회에 보고했다'는 보도자료에 대해 "당시 국정원의 선관위 보안점검조사 범위가 전체 IT 장비 6,400대 중 317대(5%)에 국한됐다"면서 "부정선거 여부에 대해서는 판단을 내릴 수 없었고, 이런 입장에는 변함이 없다"고 말하면서 "사전 투표한 인원을 투표하지 않은 사람으로 표시하거나 사전 투표하지 않은 인원을 투표한 사람으로 표시할 수 있는 등 다수의 해킹 취약점들을 발견하여 선관위에 개선 조치를 권고한 바 있다"고 말했습니다.모의해킹을 수행한 뒤 최악의 경우를 상정해서 개선 조치 보고서를 제출했다는 의미입니다. 그 과정에서 해킹 흔적이 없었다고 이야기한 것은 덤이죠. 실제 기업내 내부인력만으로 각기 다른 기술과 공격 방식으로 침투하는 사이버 위협자를 완벽하게 막아내는 것은 어렵기 때문에 실제 해킹과 같은 방식으로 취약점을 찾고, 공격 시나리오를 통한 사전 대비를 모의해킹을 통해 수행하는 것입니다. 외부에서 노리는, 또는 노릴 수 있는 취약점을 사전에 식별하고 보완해 자산과 신용을 보호할 수 있게 하는 것이 모의해킹의 목적이죠. 모의해킹 훈련을 통해 발견된 취약점들은 모두 문서화되어 상세 정보로 제출됩니다. 취약점이 발견된 위치와 공격기법, 발생원인이 상세히 기술되고, 피감기관측은 이를 토대로 취약점에 대한 대응 작업을 수행할 수 있죠. 보고서 내용에 따라 개발자에게 시큐어 코딩 교육을 진행하거나, 내부보안팀을 대상으로 해킹 방법론 등의 교육을 진행하기도 합니다. 또한 내부직원 대상으로 사회공학적 해킹대응 등 정보보호 방법을 안내하기도 하죠. 궁극적으로 거버넌스나 컴플라이언스가 포함된 전체적인 보안 아키텍처를 설계, 및 개선하는데 사용됩니다. 모의해킹의 한계와 최신 보안 트렌드: 선제적 보안의 중요성물론 모의해킹에도 한계는 존재합니다. 대부분의 경우 Injection 등 주로 알려진 취약점 체크리스트를 활용한 점검 형식으로 정형화/기계화된 테스트만 진행했기 때문입니다. 정형화된 체크리스트를 모든 보안시스템에 적용될 수 없다는 한계가 존재하죠. 그래서 최근 들어 진행되는 최신 모의해킹 트렌드는 대상에 제한을 두지 않고, 실제 위협을 파악할 수 있는 ‘레드팀’ 성격의 공격을 하는 경우도 있습니다. 이번에 선관위에서 관리자 계정을 제공하거나 IPS, IDS, 방화벽의 전원을 내린 것도 조금 더 심각한 수준까지 노출되었다는 것을 '가정하고' 최악의 경우를 상정한 것입니다. 당연히 이런 모의해킹이나 버그바운티(bug bounty)와 같은 선제적 사이버보안조치조차 모든 공격을 완벽하게 차단한다고는 말할 수 없습니다. 최근 해커들은 생성형 AI를 통한 APT 공격을 시도하는 등 빠르게 발전하는 기술을 선제적으로 도입하거나, 제로 데이 취약점과 같이 미처 알려지지 않은 보안취약점 및 위협을 공격 수단으로 동원하기 때문입니다. 모의해킹만으로 전부 방어하기는 불가능하죠. 따라서 기본적인 보안수칙을 준수하고, 보안 솔루션을 보다 효과적으로 설치 및 운용하며, 이와 더불어 모의해킹, 버그바운티 등 선제적 보안을 수행해야 합니다. 국가 기관이 군인을 앞세워서 서버를 압수하려 했던 황당무계한 행각 대신 말입니다.
Dec 26 2024
2025년이 다가오면서 e디스커버리 산업은 기술 발전과 법률 환경의 변화에 따라 새로운 트렌드가 부상하고 있습니다. 이러한 변화는 법률 전문가와 기업 모두에게 중요한 영향을 미칠 것으로 예상됩니다. 아래에서는 주요 트렌드와 그에 따른 시사점을 살펴보겠습니다. 생성형 AI의 도입과 활용 – 레퍼런스 사이트생성형 AI(Generative AI)는 e디스커버리 분야에서 문서 검토와 데이터 분석의 효율성을 높이는 데 활용되고 있습니다. 예를 들어, Consilio는 대형 언어 모델을 활용한 'Native AI Review' 도구를 통해 문서 검토와 특권 로그 생성을 지원하고 있습니다. 이러한 기술은 방대한 데이터 세트에서 관련 정보를 신속하게 추출하는 데 도움을 주지만, 동시에 윤리적 고려와 정확성에 대한 우려도 제기되고 있습니다.데이터 프라이버시 및 보안 강화 글로벌 데이터 프라이버시 법규와 규제의 강화로 인해 e디스커버리 과정에서 데이터 보호와 규제 준수가 더욱 중요해지고 있습니다. 특히, 유럽의 GDPR, 미국의 CCPA 등은 데이터 수집 및 처리에 대한 엄격한 기준을 제시하고 있어, 법률 팀은 이러한 규제를 준수하면서 효율적인 e디스커버리 절차를 수행해야 합니다. 기술 지원 검토(TAR)의 진화 기술 지원 검토(TAR)는 머신 러닝과 AI를 활용하여 문서의 관련성을 자동으로 평가하는 방법으로, e디스커버리의 효율성을 높이고 있습니다. 최근에는 TAR의 정확성과 신뢰성을 높이기 위한 연구와 개발이 활발히 진행되고 있으며, 법원에서도 이러한 기술의 활용을 인정하는 사례가 늘어나고 있습니다. 정보 거버넌스와의 융합e디스커버리와 정보 거버넌스의 경계가 모호해지면서, 두 분야의 융합이 가속화되고 있습니다. 기업들은 데이터의 생성부터 폐기까지의 전 과정을 관리하여 규제 준수와 효율성을 높이고자 합니다. 이러한 접근법은 e디스커버리 과정에서의 데이터 식별과 수집을 용이하게 하며, 비용 절감에도 기여합니다. 법률 및 규제 환경의 변화데이터 프라이버시와 보안에 대한 법률 및 규제 환경이 지속적으로 변화하고 있습니다. 예를 들어, 미국의 여러 주에서 데이터 프라이버시 법률이 제정되면서, 기업들은 이러한 규제에 대응하기 위한 전략을 마련하고 있습니다. 또한, AI와 관련된 법적 이슈에 대한 논의도 활발히 진행되고 있어, 법률 전문가들은 이러한 변화에 주목해야 합니다. 비정형 데이터 증가 소셜 미디어, 협업 도구, 모바일 애플리케이션 등에서 생성되는 비정형 데이터의 양이 급증하고 있습니다. 이러한 데이터는 다양한 형식과 구조를 가지며, e디스커버리 과정에서 새로운 도전 과제를 제시합니다. 따라서 비정형 데이터를 효과적으로 수집, 처리, 분석할 수 있는 도구와 방법론의 개발이 중요해지고 있습니다. 클라우드 기반 솔루션의 확대 클라우드 기술의 발전으로 인해 e디스커버리 솔루션이 온프레미스에서 클라우드 기반으로 전환되고 있습니다. 클라우드 기반 솔루션은 확장성, 접근성, 비용 효율성 측면에서 장점을 제공하지만, 데이터 보안과 규정 준수에 대한 우려도 함께 제기되고 있습니다. 따라서 클라우드 환경에서의 데이터 보호와 규제 준수를 보장하기 위한 전략이 필요합니다. 사이버 보안 위협에 대한 대응 강화 사이버 공격의 증가로 인해 e디스커버리 과정에서의 데이터 보안이 중요한 이슈로 부상하고 있습니다. 민감한 법적 데이터가 외부로 유출될 경우 심각한 법적 및 재정적 문제가 발생할 수 있으므로, 데이터 보호를 위한 강력한 보안 조치와 프로토콜의 수립이 필요합니다. 법률 기술에 대한 투자 증가 법률 산업에서 기술의 중요성이 부각되면서, e디스커버리 분야에서도 기술에 대한 투자가 증가하고 있습니다. 이는 효율성 향상, 비용 절감, 정확성 증대를 목표로 하며, 최신 기술을 도입하여 경쟁 우위를 확보하려는 움직임이 활발합니다. 전문 인력의 필요성 증가 e디스커버리 분야의 복잡성이 증가함에 따라, 전문 지식과 기술을 갖춘 인력에 대한 수요가 높아지고 있습니다. 이는 법률 전문가뿐만 아니라 IT 전문가, 데이터 과학자 등 다양한 분야의 협업을 필요로 합니다. 2025년에는 이러한 트렌드들이 e디스커버리 산업을 주도할 것으로 예상되며, 법률 전문가와 기업은 이에 대비하여 전략을 수립하고 대응 방안을 마련해야 할 것입니다. 변화에 대응하는 전략 필요 2025년의 e디스커버리 산업은 생성형 AI, 데이터 프라이버시, 클라우드 기술 등 새로운 트렌드에 의해 크게 변화할 것입니다. 법률 전문가와 기업은 이러한 변화에 대비하여 전략을 수립하고, 새로운 기술과 규제 환경에 적응하기 위한 노력을 이어가야 할 것입니다.
Dec 24 2024