규제 요약

호주 상원은 2017년 2월 13일에 "요건에 해당되는" 데이터 유출 사고가 발생한 경우 그 영향을 받은 개인과 개인정보 보호 위원회에 의무적으로 고지해야 한다는 법안을 가결했습니다. 2017년 호주 개인정보 보호 개정법(신고해야 하는 데이터 유출 사고)은1988년의 개인정보보호법이 개정된 것으로 2018년 2월 22일에 발효되었습니다.

벌금

호주 의회 법률 도서관의 전자 간행물(Global Legal Monitor) 발췌 내용:

1988년 개인정보 보호법에 의거하여 프라이버시를 심각하게 침해한 것으로 판명된 보안 사고를 고지하지 않은 경우, 최대 180만 호주 달러(미화 약 137만 달러)의 벌금을 부과할 수 있다.

규제 요약

2017년 호주 개인정보 보호 개정법 26WG항에 따르면 "정보 접근 또는 유출이 심각한 피해로 이어질 가능성이 적은 경우" 보안 사고를 고지하지 않아도 무방합니다. 동 조항의 추가적인 내용은 아래와 같습니다.

하기의 조건에 부합하는 경우 정보 접근 또는 유출이 심각한 피해로 이어질 가능성이 적은 것으로 간주한다.

...

(i) 유출 정보에 대해 보안 기술을 적용한 경우

(ii) 정보를 입수할 권한을 갖지 않은 사람이 정보의 의미를 이해하지 못하게 만들도록 고안된 보안 기술을 적용한 경우

Thales eSecurity의 Vormetric Transparent Encryption은 데이터를 도난 당하더라도 절도 행위자가 의미를 알 수 없어 쓸모 없게 만드는 데이터 중심 보호 기능을 지원합니다.

Thales eSecurity는 기업이 다음과 같은 수단을 통해 데이터 유출 사고를 방지할 수 있도록 지원합니다.

• 인증 받은 사용자에게만 데이터 검색을 허용하는 액세스 제어
• 비정상적 액세스 패턴과 진행 중인 보안 침입을 인지하는 데 유용한 보안 인텔리전스 로그

데이터 중심 보호

Thales eSecurity는 저장 데이터용 Key Management, Application Encryption, Tokenization with Dynamic Masking 및 기타 솔류션과 함께 Vormetric Transparent Encryption을 통해 데이터를 보호합니다. 이런 기술은 데이터를 암호화하므로 데이터를 탈취 하더라도 복호화 도구 없이는 사용할 수 없습니다.

엑세스 제어

Thales eSecurity의 Vormetric Data Security Platform은 다음과 같은 최첨단 사용자 액세스 제어 기능을 갖추고 있습니다.

• 시스템 관리자와 민감 정보 소유자의 역할 구분: Vormetric Data Security Platform을 사용하면 시스템 관리자와 데이터 소유자 간의 역할을 철저히 구분할 수 있습니다. Vormetric Transparent Encryption은 메타 데이터를 그대로 둔 채 파일만 암호화합니다. 이런 방식 덕분에 하이퍼바이저, 클라우드, 스토리지 및 서버 관리자를 비롯한 IT 관리자는 시스템에 저장된 민감한 데이터의 내용을 볼 수 있는 권한을 할당 받지 않고서도 시스템 관리 작업을 수행할 수 있습니다.
• 관리자 역할 구분: 관리자 한 명이 데이터 보안 활동, 암호키 또는 관리에 대한 전권을 쥐지 못하도록 강력한 임무 분할 정책을 시행할 수 있습니다. 또한 Vormetric Data Security Manager는 관리자 액세스를 위해 2팩터 인증 방식을 적용할 수 있습니다.
• 세분화된 액세스 권한 설정:Vormetric 솔루션은 대단히 세분화되고 최소한의 권한만 부여하는 사용자 액세스 관리 정책을 시행함으로써 액세스 권한이 있는 사용자의 오용과 APT 공격에 의한 데이터 유출을 방지합니다. 세분화된 사용자 액세스 권한 관리 정책은 사용자, 프로세스, 파일 유형, 시간 및 기타 파라미터를 기준으로 적용할 수 있습니다.  적용 옵션으로 일반 텍스트 데이터에 대한 액세스 권한뿐만 아니라 사용자가 사용할 수 있는 파일 시스템 명령어도 제한할 수 있습니다.

보안 인텔리전스 로그

Thales eSecurity는 비정상적인 데이터 액세스를 모니터링하고 감지하는 데 유용합니다.Vormetric Security Intelligence Log는 어떤 프로세스와 사용자가 보호받는 데이터에 액세스했는지를 기록한 상세 관리 로그입니다. 이 로그에는 사용자와 프로세스가 데이터에 액세스한 시기, 이 때 적용된 정책, 그리고 액세스 요청의 승인 또는 거부에 관한 기록이 명시되어 있습니다. 심지어 이 로그에는 액세스 권한을 지닌 사용자가 다른 사용자의 자격 증명을 도용하고 (가능한 경우) 악용할 의도로 '사용자 전환' 같은 명령을 실행했는지 여부도 기록됩니다. 이 로그를 보안 정보 및 이벤트 관리(SIEM) 플랫폼과 공유하면 비정상적인 프로세스 및 사용자 액세스 패턴을 발견하여 순조롭게 추가 조사를 실시할 수 있습니다. 예를 들어, 관리자나 프로세스가 갑자기 평소보다 훨씬 더 많은 양의 데이터에 액세스하거나 무단으로 파일을 다운로드 하려고 시도한 경우가 있을 수 있습니다. 이러한 이벤트는 APT 공격이나 내부자의 악의적 활동으로 의심하기에 충분합니다.