클라우드 DLP(Data Loss Prevention) API 드디어 공개~ 개인정보 유출 걱정 끝!

 

클라우드 DLP API는 각종 규제 준수에 대한 우려를 해소합니다. 개인을 식별할 수 있는 정보 PII(Personal Identifiable Information)라고 하죠. 온프레미스 환경에서는 컬럼 수준의 DB 암호화, 스토리지 암호화, 데이터 일부를 수정해 개인을 식별하지 못하게 하는 마스킹 등을 동원해 개인 정보를 지키죠. 이렇게 열심히 지키는 이유는 개인 정보가 한번 유출되면 기업이 져야 하는 사회적, 경제적, 법적 부담이 엄청 크기 때문입니다. 그렇다면 클라우드는 어떨까? 클라우드 사업자는 서비스 기반 측면에서 각종 규제 준수에 대한 가이드라인을 따릅니다. 클라우드 환경에서 보안은 보통 사업자 쪽에서 일어나는 게 아니라 사용자의 부주의나 잘못된 보안 설정으로 인해 생기죠. 클라우드 DLP API는 사용자 부주의로 일어나는 문제까지 철저히 막아 보겠다는 구글의 남다른 의지(?)를 담고 있습니다.

 

 

클라우드 DLP API는 클라우드 기반 워크로드나 구글 클라우드 펑션(Cloud Functions) 기반 서버리스 애플리케이션에 플러그인 형식으로 간단히 적용할 수 있습니다. 1GB까지는 무료로 쓸 수 있으니, 무조건 일단 적용해 보십시오. 구글, 도대체 한계가 어디인가 싶을 것입니다.

클라우드 DLP API는 구글 클라우드 스토리지, 클라우드 데이터스토어, 빅쿼리 데이터를 자동으로 분류합니다. 클라우드 스토리지의 버켓이나 빅쿼리의 테이블을 지정하면 됩니다. 클라우드 DLP API의 중요 기능은 다음과 같습니다.

▶ 데이터 스캔: 일간, 주간 일정으로 데이터 스캔 잡을 실행할 수 있습니다.
▶ 알림: 데이터 스캔 잡이 완료되면 이에 대한 클라우드 Pub/Sub 알림을 받을 수 있습니다.
▶ 통합: 구글 글라우드 시큐리티 커맨드 센터와 통합할 수 있습니다.
▶ 데이터 분석: DLP 스캔 결과를 빅쿼리 데이터 세트로 올려 분석 작업을 할 수 있습니다. 각종 규제나 감사 관련 보고서 쓰기에도 좋은데요, 분석 결과를 구글 데이터 스튜디오를 사용해 보고서 형태로 꾸미기도 편합니다.

 

자동 스캔을 통해 발견된 개인 식별 정보는 해시나 토큰을 통해 암호화하거나 익명화하여 보호합니다. 토큰화의 경우 전용 솔루션과 같이 포맷 유지 토크나이제이션을 지원하는 것도 좋네요. 참고로 클라우드 DLP API는 70개가 넘는 사전 정의된 디텍터(infotypes)를 제공합니다. 사용자는 이외에 자신이 직접 정의한 딕셔너리, 패턴, 탐지 룰을 적용할 수 있습니다. 알고 쓰면 거의 막강한 보안 솔루션이 되는군요. 기본적으로 머신 러닝, 패턴 매칭, 컨텍스트 분석 등 첨단 기술을 깔고 있는 데다 사용자 정의 기능도 매우 충실합니다.

 

클라우드 DLP API는 통계적 분석 기반으로 개인정보 유출 등의 위험을 평가할 수 있는 메트릭을 제공합니다. 예를 들어 구글이 제공하는 k-anonymity 메트릭을 적용하면 어떤 위험이 잠재되어 있는지 그리고 이에 대비하기 위해 어떻게 비식별화를 할 것인지에 대한 통찰력을 제공합니다.

 

개인적으로 클라우드 DLP API를 가장 편하게 쓰는 방법은 클라우드 시큐리티 커맨드 센터와 통합해 활용하는 게 아닐까 싶네요. 일단 적용해 보고 싶다면 튜토리얼 문서 한번 읽어 보고 직접 적용해 보세요. 실제 운영 중인 서비스에 적용하는 것은 메가존으로 문의 바랍니다.