단순히 '누가 언제 접속했는가'만 기록하는 로그 중심의 보안으로는 이제 내부통제를 완성하기 어렵거든요. 보안뉴스의 ‘성인식’ 칼럼에서도 언급되었지만, 이제는 단순한 도구 도입을 넘어 데이터가 어떻게 흐르고 어떤 맥락에서 행위가 일어났는지 파악하는 성숙한 보안 체계로 가야 할 때입니다.
접속 로그만 믿다가 내부통제에 구멍이 생기는 이유
실무에서 서버 로그나 출입 기록만 보고 안심하는 분들이 많으세요. 하지만 로그는 'Who(누가)'와 'When(언제)'은 친절하게 알려주지만, 정작 중요한 'What(무엇을 했는가)'에 대해서는 입을 닫아버립니다.
예를 들어볼까요? 퇴사 예정자가 기밀 폴더에 접속한 로그는 남겠죠. 하지만 그 안에서 정확히 어떤 파일을 읽었는지, 그걸 메신저로 누구에게 보냈는지, 혹은 어떤 의도로 데이터를 긁어모았는지는 로그만으로 증명하기가 정말 어렵습니다.
그래서 실질적인 내부통제는 '접속 기록'이라는 껍데기가 아니라, 이메일이나 채팅, 파일 이동 경로 같은 '행위 데이터'를 결합해 앞뒤 맥락을 재구성하는 방향으로 가야 해요. 요즘 업무 환경은 다양한 협업 툴로 흩어져 있어서 이걸 하나로 모으는 게 일단 급선무입니다. 이때 Merge1을 쓰면 Microsoft Teams, SharePoint Online, OneDrive 같은 M365 핵심 데이터는 물론이고 120여 개의 써드파티 소스를 한곳에 모아 행위 분석의 기초 자료로 만들 수 있거든요.
파편화된 소통 기록, 어떻게 '법적 증거'로 만들까요?
행위 데이터를 열심히 수집했어도 그냥 저장만 해두면 사고가 터졌을 때 '증거력'을 인정받기 힘들어요. 누구나 수정할 수 있는 일반 스토리지에 저장된 데이터는 법정에서 무결성 시비가 붙기 딱 좋거든요. 그래서 기업은 '아카이빙'과 '백업'을 엄격하게 구분해서 운영해야 합니다.
내부통제를 제대로 하려면 데이터를 캡처하는 순간부터 수정이 불가능한 WORM 스토리지에 보관하고, 정해진 보존 기간(Retention) 정책을 지켜야 하죠. WORM은 한 번 쓰면 수정할 수 없는 저장 방식이라 데이터 조작이 원천적으로 불가능합니다.
Enterprise Vault(EV)는 이메일과 파일을 저널링 방식으로 캡처해 장기 보관하며, SEC 17a-4 같은 글로벌 규제를 준수하는 환경을 제공합니다. 이렇게 보존된 데이터는 나중에 Discovery Accelerator(DA)로 특정 키워드나 참여자를 빠르게 검색해 MSG나 EML 형식으로 내보낼 수 있어요. 덕분에 며칠씩 걸리던 eDiscovery 대응 시간을 단 몇 시간으로 줄여, 실제로 법정에서 바로 꺼내 쓸 수 있는 방어 수단이 됩니다.
실시간 감시와 사후 감사, 적절한 균형점은 어디일까요?
김영민 성현시스템 부사장의 인터뷰에서도 강조되었듯, 이제는 플랫폼과 AI가 결합한 통합 보안 패러다임이 필요합니다.
무조건 다 감시하겠다는 식의 전수 조사는 직원들의 반발이 심하고 효율도 낮잖아요. 대신 '위험 징후'가 포착된 데이터만 골라내는 지능형 리뷰 전략이 훨씬 영리한 방법이죠.
전체 데이터를 다 훑는 대신 ML 기반의 스코어링을 통해 이상 징후가 높은 커뮤니케이션만 샘플링해서 리뷰하는 거예요. Surveillance 솔루션을 활용하면 부서별로 모니터링 정책을 다르게 설정하고, 핫워드 하이라이팅 기능을 통해 규정 위반 의심 항목을 빠르게 찾아 상위 보고하는 에스컬레이션 워크플로를 짤 수 있습니다. 이건 단순한 '감시'가 아니라, 리스크를 선제적으로 관리하는 '거버넌스'의 영역이라고 봐야 합니다.
자주 묻는 질문
-
Q: 백업 솔루션이 있는데 굳이 아카이빙 솔루션을 따로 써야 하나요?
A: 목적이 완전히 달라요. 백업은 시스템 장애 때 '복구'하는 게 목적이지만, 아카이빙은 규제 준수와 '증빙'이 목적입니다. 백업 데이터는 검색이 어렵고 수정될 가능성이 있지만, 아카이빙은 인덱싱 덕분에 수억 건 중 메일 한 통을 수초 내에 찾을 수 있고 WORM 기술로 무결성까지 보장하거든요. -
Q: 카카오톡이나 라인 같은 개인용 메신저 내용도 수집할 수 있나요?
A: 그건 불가능합니다. Merge1 같은 기업용 솔루션은 Teams, Slack, Zoom 같은 공식 협업 툴을 대상으로 해요. 개인용 메신저는 개인정보 보호법과 서비스 약관 때문에 수집할 수 없으니, 기업 차원의 공식 툴 도입과 가이드라인 수립이 먼저 이루어져야 합니다. -
Q: 리걸홀드(Legal Hold)란 정확히 무엇이며 어떻게 구현하나요?
A: 소송이 예상될 때 특정 사용자의 데이터를 보존 기간이 지났더라도 파기하지 않고 강제로 유지하는 기능이에요. Enterprise Vault와 Discovery Accelerator를 통해 대상 데이터를 지정하면, 자동 파기 정책보다 우선해서 데이터를 보존함으로써 증거 인멸 리스크(Spoliation)를 막을 수 있습니다.
요약하자면 이렇습니다. 내부통제의 완성은 '누가 들어왔는가'라는 단순 로그에서 '무엇을 주고받았는가'라는 행위 데이터로 관점을 옮기는 거예요. Merge1으로 수집하고, EV로 무결하게 보관하며, DA와 Surveillance로 검증하는 체계를 갖추는 것이 가장 확실한 방어 전략이 될 겁니다.
더 자세한 데이터 거버넌스 전략이 궁금하시다면 휴미즈 공식 홈페이지에서 확인해 보세요.
댓글
댓글 쓰기