데이터에 제한을 두어서는 안 됩니다. 보안을 유지하면서 모든 데이터의 역량을 현실화하는 방법을 학습하시기 바랍니다.

컴퓨팅이 시작된 이래로 개방성과 보안 사이의 고민은 계속되어 왔습니다. 민감한 데이터의 사용은 비즈니스에 대한 현저한 통찰력을 제공할 수 있지만 정보 관리자는 이러한 데이터의 사용과 관련하여 계속되는 싸움에 관여됩니다. CISO(chief information security officer)는 CFO(chief financial officer)의 지원을 받아, 민감한 데이터가 잘못된 자들의 손에 들어가는 것을 막기 위해 차단해 두어야 한다고 주장합니다. 그러나 COO(chief operating officer), CMO(chief marketing officer) 및 영업 책임자는 비즈니스를 성장시키고 사용자 경험을 차별화하며 운영을 단순화하기 위해 데이터를 통해 보다 많은 가치를 얻길 원합니다. 노출의 위험을 감수하지 않고 민감한 데이터의 가치를 이끌어내는 방법은 무엇일까요?

인포매티카의 제품 마케팅 담당 부사장이자 '애플리케이션 리더를 위한 Potential at Work 커뮤니티(Potential at Work Community for Application Leaders)'의 공동 저자인 Julie Lockner는 “데이터가 민감한 것이라고 판단될 경우 해당 데이터는 “차단”되어 있다는 인식이 있습니다. 이는 기업 전반의 혁신 및 개선을 막습니다. 민감한 정보와 관련해서는 아무것도 안 한다는 사고방식이 존재합니다. 그러나 규정 준수를 위반하거나 해당 정보를 노출하지 않고 민감한 데이터를 사용하여 성공적인 프로젝트를 수행할 수 있도록 해 주는 툴이 존재합니다.”라고 말합니다.

데이터 마스킹이라고 알려진 이 기술은 데이터의 원래 특징은 유지하면서 그 값은 변경함으로써 승인되지 않은 엑세스로부터 민감한 데이터를 보호해줍니다. 데이터의 의미는 유지하면서도 데이터 보안을 지키고 데이터 기밀 유지 규정을 준수할 수 있습니다. 해당 정보는 지속적으로 비즈니스에 유용하며 관련성을 가질 뿐 아니라 규정 준수가 유지되고 데이터 규정 위반의 위험이 방지됩니다.

서로 다른 사용 사례

데이터 마스킹에는 두 가지 접근 방식이 있습니다.

1. Dynamic Data Masking. 이 방식에서는 데이터가 애플리케이션에서 동적으로 마스킹됩니다.
2. Persistent Data Masking. 이 방식에서는 데이터가 소스에서 영구적으로 변경됩니다.

Dynamic Data Masking은 LDAP(Lightweight Directory Access Protocol), ActiveDirectory 및 IAM(ID 엑세스 관리) 소프트웨어와 같은 표준 엑세스 제어와 함께 통합됩니다. 이 방식은 코드를 기록할 필요 없이 운영계 애플리케이션에서 데이터를 마스킹합니다.

Lockner는 “Dynamic Data Masking은 민감한 필드를 동적으로 마스킹할 수 있게 해 줍니다. 승인된 사용자만 참 값을 볼 수 있도록 허용하면서 데이터를 공유하고 이동할 수 있습니다. 데이터 기밀 유지 규정을 위반하지 않고도 분석 및 연구에 데이터를 사용할 수 있습니다.”라고 설명합니다.

Persistent Data Masking은 민감한 데이터를 비운영계 환경에서 보호합니다. 운영계 애플리케이션은 개발, 사용자 허용 테스트 및 교육을 위해 여러 번 복제됩니다. 데이터 규정 위반 가능성 또는 노출의 위험을 제거하기 위해 데이터는 복제 프로세스 중에 자동으로 영구 변경됩니다. 많은 기업이 테스트 및 개발 업무를 아웃소싱하기 때문에 보안은 무엇보다 중요한 요소가 되었습니다.

조직적인 사일로 극복

조직의 운영적인 사일로는 운영계 환경에서 비운영계 환경으로 데이터 마스킹을 구현하는 것을 종종 어렵게 만듭니다. 상이한 관점과 목표가 함께 일하는 것을 어렵게 만들 수 있습니다. 여러 팀 사이에서 직능 간 연락 담당자의 역할을 수행하는 것은 정보 관리자의 몫입니다.

Lockner는 “대부분 사람들은 데이터 거버넌스와 데이터 보안을 두 가지의 다른 역량으로 인식하지만 사실은 그렇지가 않습니다. 둘은 상호 보완성이 매우 높은 이니셔티브로서 관리 및 조정되어야 합니다.”라며 “이 두 가지 부문이 함께 협력할 경우 현저한 규모의 경제성과 보다 큰 비즈니스 가치가 전달될 수 있을 것입니다.”라고 주장합니다.

Gartner의 데이터 마스킹 기술에 대한 2012 매직 쿼드런트(2012 Magic Quadrant for Data Masking Technology) 보고서를 읽어보시고 귀사에게 데이터 마스킹이 무엇을 의미하는지와 왜 Gartner가 이 보고서에서 데이터 마스킹 기술을 특정 기업에게 있어 “의무적인 것”이라고 했는지 알아보십시오.