데이터의 기밀을 유지해야 하거나 취약점이 확인된 경우 협력을 통해 문제를 해결할 수 있다. 애플리케이션 데이터 보안은 현업 부서와 IT 부서가 공동으로 처리해야 하는 업무이지만, 협업이 필요한 경우에도 혼선을 빚을 수 있는 사안이기도 하다. 애플리케이션 리더는 양측이 모두 목표를 달성할 수 있도록 지원해야 한다. 양측이 원활하게 의사 소통을 하려면 어떻게 해야 할까? 다음의 세 가지 방법을 통해 의사 소통 문제를 해결할 수 있다.

1. 보호해야 하는 데이터를 명확하게 제시하는 동시에 요구 사항에 대해 적극적으로 논의
대부분의 IT 및 개발 팀은 민감한 데이터를 접하게 된다는 사실을 인식하지 못한다. 현업 부서는 민감한 데이터를 분류하여 엑세스에 대한 제어 방법을 할당해야 한다. 그러나 이러한 제어 방법은 데이터를 복제하거나 운영계 환경 외부로 전송할 때 자동으로 전송되지 않는다.

물론 그 반대의 경우도 마찬가지다. IT 부서에서는 데이터 보호를 위해 프로세스를 중지하는 보안 정책 구현 작업을 수행하지만 IT 직원들은 이러한 작업으로 인해 생산성이 떨어져 비즈니스 목표 달성이 어려워질 수 있음을 인지하지 못한다. 이러한 문제를 해결하려면 초기에 빈번한 협업이 필요하다.

2. 개발계 환경에서 운영계 데이터를 사용하고 이러한 용도로 데이터를 보호하는 툴 사용
개발 팀에서 새로운 기능을 테스트하기 위해 운영계 데이터를 복사하는 경우 데이터 기밀 유지 규정을 위반할 가능성이 있다. 일부 데이터는 개인용이므로 테스트 환경에서도 항상 관련 보안 조치를 취해야 한다. 그러나 이와 동시에 개발자에게는 기능을 테스트하기 위해 적절하게 형식이 지정된 데이터가 필요하다. 예를 들어 애플리케이션에 명시적인 정부 ID가 필요한데 단순히 일련의 문자를 입력할 수는 없다.

다행히 개발 팀이 개발계 환경에서 작업을 수행할 수 있도록 하는 동시에 데이터 기밀도 유지할 수 있는 툴이 있다. 데이터의 형식은 유지하면서 실제 데이터 내용은 숨기려면 데이터 마스킹을 사용한다. 즉, 실제 정부 ID 번호의 경우 길이와 문자 패턴이 동일한 번호로 대체할 수 있다.

개발계 환경에서 민감한 데이터를 사용하는 경우 위험한지 여부가 확실치 않으면 데이터 검색 및 프로파일링 툴을 사용한다. 이러한 툴은 보통 개인용으로 분류되는 데이터를 가져오도록 프로그래밍되어 있으며, 잠재적 노출 위험에 대한 알림을 제공할 수 있다.

3. 규정 및 준수 문제를 파악하고 위반이 발생하기 전에 베스트 프랙티스 구현
데이터 기밀 유지와 관련한 가장 큰 문제는 정부 및 업계의 규정이다. 데이터 거버넌스 팀과 협력하여 보안 위반이 업무에 미칠 수 있는 심각한 법적 또는 재정적 영향을 개발자가 파악하도록 한다.

반드시 관련 교육을 진행해야 한다. IT 담당자가 중요한 데이터 기밀 유지 요구 사항 또는 규정에 대해 모르고 있을 가능성이 높다. 따라서 사소하다고 생각될 수 있는 행위의 결과를 파악할 수 있도록 해야 하며 그와 동시에 IT 부서가 테스트 환경에서 대체 데이터를 가장 효율적으로 제공하는 방식을 비즈니스 및 애플리케이션 개발 팀에 교육하도록 한다. 협업을 통해 이러한 교육을 효과적으로 진행할 수 있다. 

인포매티카
저작권자 © 데일리그리드 무단전재 및 재배포 금지