[SC-900] 규정 준수와 데이터 보호: Microsoft Purview로 거버넌스 다지기

2025.06.08 - [IT공부방] - [SC-900] SC-900이 뭐길래? 클라우드 시대의 보안 기초 자격증

2025.06.09 - [IT공부방] - [SC-900] 시험 포맷 완전 해부: SC-900 응시 정보부터 문제 유형까지

2025.06.10 - [IT공부방] - [SC-900] Azure AD와 ID 보안의 핵심: ID 및 액세스 관리 도입

2025.06.12 - [IT공부방] - [SC-900] 플랫폼 보안을 지탱하는 기초 이해: Defender와 Zero Trust

2025.06.13 - [IT공부방] - [SC-900] SIEM과 Sentinel: 보안 운영의 뇌를 이해하자

 

회사에서 보안을 얘기할 때 빼놓을 수 없는 것이 **규정 준수(Compliance)**입니다. 규정 준수란 정부 법규, 산업 표준, 내부 정책 등 각종 규칙을 조직이 잘 지키고 있는지를 뜻합니다. 예를 들어 금융기업은 개인정보 보호법과 신용정보법을 따라야 하고, 의료기관은 의료법이나 HIPAA 같은 규정을 준수해야 합니다. 규정을 어기면 거액의 벌금이나 평판 손상으로 이어질 수 있죠. 따라서 현대 기업은 보안과 별도로 컴플라이언스 관리에 많은 노력을 기울입니다. 그리고 규정 준수의 핵심은 데이터 보호입니다. 고객의 개인정보, 기업의 기밀 자료 등을 안전하게 다루고, 필요한 기간 이상 보관하지 않도록 관리하는 일입니다. 이런 전반적인 **데이터 거버넌스(Data Governance)**를 체계화하는 것이 기업의 중요한 과제가 되었습니다.

Microsoft의 해답은 **Microsoft Purview(퍼뷰)**라는 통합 솔루션입니다. Purview는 이전까지 별도로 존재하던 Microsoft 365의 컴플라이언스 기능과 Azure의 데이터 거버넌스 기능을 하나로 묶은 브랜드입니다. 한마디로, 정보 보호 + 규정 준수 + 데이터 거버넌스를 위한 Microsoft의 툴 모음이라 볼 수 있습니다. 보안 관리자와 컴플라이언스 담당자는 Purview 포털에서 조직의 데이터 보호 상태와 규정 준수 현황을 한 곳에서 관리하게 됩니다.

Purview의 주요 구성요소와 기능은 다음과 같습니다:

• 컴플라이언스 관리(Compliance Management):
  Microsoft Purview 규정 준수 포털을 통해 우리 조직의 준수 현황을 한눈에 파악할 수 있습니다. 핵심 도구인 **Compliance Manager(준수 관리자)**에서는 특정 규제나 표준 (예: ISO 27001, GDPR)을 선택해 요구 사항 체크리스트를 확인하고, 각 항목의 이행 여부를 평가할 수 있습니다. Compliance Manager는 통제 항목별로 점수를 부여하여 **컴플라이언스 점수(Compliance Score)**를 보여주는데, 이를 통해 현재 준수 수준을 정량적으로 파악하고 부족한 부분을 개선할 수 있습니다. 또한 Microsoft의 **서비스 신뢰 포털(Service Trust Portal)**을 통해 Microsoft 클라우드 서비스들이 획득한 각종 인증 및 감사 보고서를 열람함으로써, 클라우드 서비스를 사용할 때 준거성을 입증하는 자료로 활용할 수 있습니다. 그리고 개인정보 보호를 위한 Microsoft Priva 솔루션을 통해 조직 내 개인 데이터의 사용을 모니터링하고 프라이버시 위험을 완화할 수 있습니다.
• 정보 보호(Information Protection):
  조직 내 중요 정보를 식별하고 분류/레이블링하여 보호하는 기능입니다. **민감도 레이블(Sensitivity Label)**을 만들어 문서나 이메일에 부착하면 그 콘텐츠에 맞는 보안 조치(예: 자동 암호화, 복사/전송 제한, 워터마크 표시 등)를 적용할 수 있습니다. 예를 들어 “기밀” 레이블이 붙은 문서는 권한이 있는 사람만 열 수 있고, 이메일로 전송할 때 자동으로 암호화됩니다. 민감도 레이블 정책을 통해 어떤 사용자에게 어떤 레이블을 적용할 수 있는지 지정할 수 있으며, 자동 분류 규칙을 설정해 신용카드 번호나 주민번호 등의 패턴이 검출되면 해당 레이블이 자동 적용되게 할 수도 있습니다. Purview 포털의 **콘텐츠 탐색기(Content Explorer)**와 **활동 탐색기(Activity Explorer)**를 사용하면 조직 내 어디에 어떤 민감한 정보가 있는지, 그리고 그것이 어떻게 사용되고 있는지 추적할 수 있습니다. 이를 통해 중요 데이터의 분포와 사용 현황을 파악하고, 이상 사용을 감지할 수 있습니다.
• 데이터 손실 방지(DLP, Data Loss Prevention):
  DLP 정책은 민감한 정보가 조직 외부로 유출되지 않도록 막아주는 기술입니다. 예를 들어 신용카드 번호, 주민등록번호, 건강기록 등 민감 정보를 직원이 이메일이나 채팅으로 보내거나 클라우드에 업로드하려 할 때 자동으로 차단 또는 경고하는 식입니다. Microsoft Purview DLP를 사용하면 Exchange(이메일), Teams(채팅), SharePoint/OneDrive(파일) 등 Microsoft 365 서비스 전반에 걸쳐 일관된 DLP 정책을 적용할 수 있습니다. 또한 엔드포인트 DLP를 통해 사용자가 PC에서 USB로 민감 파일을 복사하거나 프린트하려 할 때도 탐지/차단이 가능합니다. DLP는 이러한 통합 정책으로 데이터 유출 사고를 예방하고 기업이 규제를 준수하도록 돕습니다.
• 데이터 수명주기 및 레코드 관리(Data Lifecycle & Records Management):
  모든 데이터를 영구 보존할 수는 없으며, 비즈니스 및 규제 요구 사항에 맞게 보존 기간을 관리해야 합니다. Purview의 레코드 관리(Records Management) 및 보존 정책/레이블(Retention) 기능을 통해 이메일, 문서 등의 보관 및 삭제 시점을 제어할 수 있습니다. 예를 들어 인사 서류는 5년 후 자동 삭제, 재무 문서는 10년간 보존 등 정책을 정할 수 있습니다. 또한 중요한 문서를 **레코드(Record)**로 선언하면 수정이나 삭제가 제한되어, 규정 요구사항에 맞게 원본을 보존할 수 있습니다. 이러한 수명주기 관리로 데이터 과다 보관에 따른 위험을 줄이고 필요한 데이터만 적정 기간 유지할 수 있습니다.
• 내부 위험, eDiscovery, 감사(Insider Risk, eDiscovery, Audit):
  기술적인 통제 외에도, 사용자 행위 모니터링과 법적 대응 지원 기능도 Purview에 포함됩니다. **Insider Risk Management(내부자 위험 관리)**는 직원들의 이상 행위를 모니터링하여 내부 위협을 감지하는 솔루션입니다. 예를 들어 퇴사 예정자가 평소와 달리 대량의 파일을 다운로드하거나 민감 정보를 밖으로 공유하면 위험 이벤트로 기록하고 관리자에게 알려줍니다. **eDiscovery(전자증거개시)**는 법적 분쟁이나 조사 시 관련 전자 데이터를 찾아내는 도구입니다. 담당자가 키워드, 날짜 범위 등으로 회사의 이메일, 문서, 채팅 로그를 검색해 증거가 될 만한 자료를 수집/내보내기할 수 있습니다. 마지막으로 감사(Audit) 기능은 누가 언제 어떤 데이터를 접근/변경했는지를 기록하는 감사 로그를 제공합니다. 이는 보안 사고 발생 시 원인을 추적하거나 컴플라이언스 감사에 대비하는 데 필수적입니다.

이처럼 Microsoft Purview를 통해 조직은 데이터 자산에 대한 철저한 거버넌스 체계를 구축할 수 있습니다. 보안 및 컴플라이언스 담당자는 Purview 포털에서 민감 데이터 분포, 컴플라이언스 점수, DLP 차단 현황, 감사 로그 등을 종합적으로 확인하며, 정책 미비점을 지속적으로 개선해나갑니다. 결국 아무리 보안이 튼튼해도 법과 규정을 지키지 못하면 위험에 처할 수밖에 없습니다. Purview는 보안과 규정 준수의 접점에서 기업이 안전하면서도 준거성을 유지하도록 도와주는 든든한 버팀목입니다.

Compliance Manager에는 GDPR, CCPA부터 국내 ISMS-P에 이르기까지 전세계 수백 개의 규정/표준 템플릿이 내장되어 있습니다. 따라서 글로벌 기업은 물론이고 국내 기업도 해당 템플릿을 활용해 효과적으로 컴플라이언스 상태를 관리할 수 있습니다.

실전 적용 사례: 글로벌 제조기업 F사는 GDPR 등 엄격한 개인정보 규제를 준수하기 위해 Microsoft Purview를 도입했습니다. 먼저 Compliance Manager로 GDPR 요구사항 대비 현황을 진단하자, 컴플라이언스 점수가 50%대에 머물러 있다는 것을 알게 되었습니다. F사는 부족한 항목 중 “데이터 암호화”와 “DLP 적용” 부문을 개선하기 위해, 영업 부서의 고객 정보 파일에 “개인정보” 민감도 레이블을 일괄 적용하고 외부로 이메일 전송 시 자동 암호화되도록 설정했습니다. 또한 신용카드 번호 DLP 정책을 만들어 직원들이 카드 번호가 포함된 정보를 이메일이나 파일로 외부 공유하려 하면 자동 차단되게 했습니다. 그 결과 컴플라이언스 점수가 크게 상승했을 뿐 아니라, 실제로도 한 직원이 업무 자료를 개인 메일로 보내려다 DLP에 의해 차단되는 사건이 있었습니다. F사 보안팀은 이 직원에게 자료 반출 절차를 재교육하면서 동시에 추가 보안 조치를 취해 문제를 해결했습니다. 이처럼 Purview를 통한 거버넌스 강화로 F사는 규정 준수 리스크를 낮추고 고객 데이터 보호 수준을 크게 높일 수 있었습니다.

 

 

 

2025.06.08 - [IT공부방] - [SC-900] SC-900이 뭐길래? 클라우드 시대의 보안 기초 자격증

2025.06.09 - [IT공부방] - [SC-900] 시험 포맷 완전 해부: SC-900 응시 정보부터 문제 유형까지

2025.06.10 - [IT공부방] - [SC-900] Azure AD와 ID 보안의 핵심: ID 및 액세스 관리 도입

2025.06.12 - [IT공부방] - [SC-900] 플랫폼 보안을 지탱하는 기초 이해: Defender와 Zero Trust

2025.06.13 - [IT공부방] - [SC-900] SIEM과 Sentinel: 보안 운영의 뇌를 이해하자