최근 보안뉴스에서 보도한 ‘모두의 창업’ 5,000명 정보 유출 기사 보셨나요? 비인가 접근 한 번에 수천 명의 정보가 순식간에 빠져나갔는데, 이건 단순한 설정 실수가 아니거든요. 내부통제 체계 자체가 없어서 벌어진 일에 가깝죠. 이제는 '문만 잘 잠그는 보안'으로는 부족해요. 안에서 어떤 대화가 오가고 데이터가 어떻게 흐르는지 실시간으로 살피는 능동적인 체계가 꼭 필요합니다.
비인가 접근과 정보 유출, 설정만으로 막을 수 있을까요?
많은 IT 관리자분들이 방화벽이나 DLP 솔루션만 믿고 안심하시곤 하더라고요. 하지만 Global Relay의 Industry Insights 2026 보고서를 보면 흐름이 바뀌고 있다는 걸 알 수 있어요. 요즘 컴플라이언스 트렌드는 '사고 후 대응'이 아니라 'AI 기반의 실시간 감시'로 빠르게 넘어가고 있거든요.
솔직히 권한 있는 내부자가 마음먹고 유출을 시도하거나 계정을 탈취당하면, 기존의 차단 중심 보안은 그냥 뚫릴 수밖에 없잖아요.
이때 필요한 게 바로 Surveillance라는 커뮤니케이션 감시 체계예요. 단순히 금지 단어를 막는 수준이 아니라, 머신러닝 기반의 Intelligent Review로 관련성 점수를 매겨서 의심스러운 대화 패턴을 자동으로 찾아내거든요. 부서별로 모니터링 정책을 다르게 잡고 핫워드 하이라이팅을 쓰면, 수만 건의 메시지 속에서도 유출 징후가 보이는 '위험 신호'를 빠르게 낚아챌 수 있습니다.
사고 후 '누가, 무엇을, 어떻게' 가져갔는지 증명하려면?
유출 사고가 터졌을 때 제일 당혹스러운 상황이 뭘까요? 아마 "로그가 없다"거나 "범인이 기록을 지웠다"는 말이 나올 때일 거예요. 법적 분쟁이나 감사 대응을 할 때 가장 중요한 건 데이터가 원래 그대로인지, 즉 무결성과 불변성을 증명하는 것이거든요.
수정이나 삭제가 아예 불가능한 WORM 스토리지를 써야 실제로 법정에서 먹히는 증거 능력을 인정받을 수 있습니다.
이런 면에서 Enterprise Vault(EV)는 실무에서 정말 유용한 도구가 돼요. Exchange나 M365 이메일은 물론 파일 서버 데이터까지 저널링 방식으로 캡처해 아카이빙하거든요. SEC 17a-4 같은 까다로운 규정을 준수하는 WORM 스토리지를 지원하고, 보존 기간 정책으로 라이프사이클 관리까지 가능하죠. 누군가 메일을 지웠더라도 아카이브에는 원본이 그대로 남아 있으니 사고의 전말을 명확히 파악할 수 있는 거예요.
현대적 내부통제: 감시(Surveillance)와 증거 확보(eDiscovery)의 결합
효율적인 내부통제는 탐지하고, 보존하고, 조사하는 이 세 가지 흐름이 매끄럽게 돌아가야 해요. 특히 요즘은 이메일을 넘어 Teams, SharePoint Online, OneDrive 같은 협업 툴 중심으로 업무가 이뤄지잖아요. 이런 비정형 데이터를 놓치면 내부통제에 커다란 구멍이 생길 수밖에 없거든요.
우선 Merge1을 연결하면 Teams나 OneDrive 등 120개 이상의 기업용 소스에서 데이터를 누락 없이 수집해 아카이브로 보낼 수 있어요. 여기서 Surveillance의 머신러닝 리뷰 체계가 작동해 내부 공모나 기밀 유출 의심 사례를 실시간으로 포착하죠.
사고가 확인되면 이제 Discovery Accelerator(DA)가 나설 차례입니다. 특정 기간에 특정 인물이 주고받은 데이터를 정밀하게 검색해서 MSG나 EML 형식으로 내보내 법적 증거로 활용하는 거예요. 특히 MPIP 암호화 메일도 복호화해서 내보낼 수 있으니 조사 시간이 훨씬 줄어들죠.
더 자세한 내부통제 구축 전략이 궁금하시다면 휴미즈 블로그에서 다양한 사례를 확인해 보세요.
자주 묻는 질문
Q1. 일반적인 DLP와 Surveillance의 차이점은 무엇인가요?
DLP는 데이터가 나가는 '통로'를 막는 데 집중하지만, Surveillance는 대화의 '맥락'과 '행위'를 리뷰하는 데 집중합니다. 쉽게 말해 DLP가 성벽을 쌓는 것이라면 Surveillance는 성 내부의 수상한 움직임을 살피는 CCTV 같은 거예요.
Q2. Teams나 OneDrive 데이터도 법적 증거로 사용할 수 있나요?
네, 가능합니다. 다만 단순 백업이 아니라 Merge1 같은 수집 엔진으로 Enterprise Vault에 아카이빙하고, DA를 통해 리걸홀드(Legal Hold)를 적용해 보전했다면 법적 효력을 갖는 전자증거가 됩니다.
Q3. WORM 스토리지가 왜 그렇게 중요한가요?
관리자라도 데이터를 임의로 수정하거나 삭제할 수 없게 만드는 기술이기 때문이에요. 감사인이나 법원은 수정 가능성이 있는 데이터보다 WORM 기반의 불변 데이터에 훨씬 높은 신뢰를 줍니다.
Q4. 암호화된 이메일은 조사가 불가능한가요?
아니요. Discovery Accelerator(DA) 기능을 쓰면 Microsoft Purview Information Protection(MPIP)으로 암호화된 메일도 복호화해서 내보낼 수 있어 원활한 eDiscovery 수행이 가능합니다.
핵심 요약: 내부통제는 단순한 차단이 아니라 AI 기반의 실시간 감시(Surveillance), WORM 기반의 안전한 보관(EV), 그리고 정밀한 증거 추출(DA)이 유기적으로 맞물려야 완성됩니다. 특히 Teams와 OneDrive 같은 협업 툴 데이터까지 통합 관리하는 체계를 갖추는 것이 2026년 기업 보안의 핵심이 될 거예요.
지금 우리 기업의 데이터 통제 수준을 점검하고 싶다면? → humease.com
댓글
댓글 쓰기