01용어 정리용어 정리
Data Loss Prevention(DLP)은 조직의 민감한 데이터가 허가 없이 밖으로 나가는 것을 탐지하고 막는 기능입니다. 이 가이드를 읽는 데 바탕이 되는 핵심 용어를 흐름에 따라 풀어 둡니다. 제품·기술 용어는 영어 그대로 두고, 일반 명사는 한국어로 적었습니다.
DLP의 뼈대 — Blade·Gateway·Data Type
가장 먼저 알아야 할 셋이 DLP Software Blade, DLP Gateway, Data Type 입니다. Data Loss Prevention 은 Security Gateway 위에서 도는 Software Blade 로, 기밀 정보가 조직 밖으로 새어 나가는 것을 탐지·차단합니다(약어 DLP). 이 블레이드를 켠 게이트웨이를 흔히 DLP Gateway 라 부릅니다. 그리고 Data Type 은 보호할 데이터를 분류해 정의한 것 으로, "신용카드 번호 패턴", "특정 키워드 목록", "사내 문서 템플릿" 같은 식으로 무엇을 지킬지를 규정합니다. DLP 정책의 규칙은 바로 이 Data Type을 두고 짜집니다.
흥미로운 점은 Content Awareness 도 같은 Data Type을 쓴다는 것입니다. Content Awareness는 데이터 가시성·집행을 제공하는 별도 Software Blade(약어 CTNT)인데, DLP와 Data Type 개념은 공유하되 기능과 동작은 서로 독립적 이라 게이트웨이가 각각 따로 집행합니다.
사람과 알림 — Data Owner·UserCheck
DLP를 사람 중심으로 돌아가게 하는 두 축이 Data Owner 와 UserCheck 입니다. Data Owner 는 조직 안에서 특정 영역의 정보와 파일을 책임지는 사람 으로, 자기 데이터가 어떻게 움직이는지 자동 알림과 리포트로 받아 봅니다. UserCheck 는 위반이 일어났을 때 사용자에게 실시간으로 알리고, 보낼지 말지를 사용자 스스로 결정하게 하는 방식입니다. 특히 Ask User 모드 는 전송을 잠시 붙들어 둔 채 사용자에게 사유를 묻고, 사용자가 결정할 때까지 기다립니다. 이 사용자 결정과 사유가 모두 로그로 남아 정책을 다듬는 밑거름이 됩니다.
인프라 용어
게이트웨이를 둘러싼 환경을 가리키는 용어도 익혀 둡니다. Security Gateway 는 트래픽을 검사하고 보안 정책을 집행하는 Check Point 서버 이고, Security Management Server 는 객체와 정책을 관리하는 서버 입니다. 관리자는 GUI 도구인 SmartConsole 로 작업하는데, DLP는 일부 설정을 SmartDashboard(R77.30 이하의 옛 GUI, 지금은 특정 레거시 설정용으로만 남음) 에서 하므로 두 화면을 오가게 됩니다. 둘 이상의 게이트웨이를 묶은 Cluster, 트래픽을 통과시키는 L2 다리로 동작하는 Bridge Mode, 인증서를 발급하는 내부 인증 기관 ICA, 서버 간 안전 통신 메커니즘 SIC 도 자주 나옵니다.
사용자·그룹은 보통 외부 LDAP 서버(예: Active Directory)로 관리하며, DLP는 이를 통해 누가 조직 내부 사람인지 파악합니다. HTTPS Inspection 은 SSL로 암호화된 트래픽을 풀어 검사 하는 기능으로, 암호화된 채널로 데이터가 새는 것을 잡으려면 함께 켜야 합니다.
동작과 식별 — Action·MultiSpect·CPcode
규칙에 걸렸을 때 DLP가 취하는 Action 은 네 가지입니다 — Detect(통과시키되 로그만), Inform User(통과시키되 위반 사실을 알림), Ask User(붙들어 두고 사용자에게 물음), Prevent(차단) . 데이터를 정확히 식별하기 위한 기술로는 여러 파라미터를 상관 분석하는 MultiSpect 와, 완전히 맞춤형 식별 로직을 짜는 CPcode 가 있습니다. 깊이 있는 설명은 DLP 소개와 Data Type 정의하기에서 이어집니다.