산업 통상 자원부에 따르면 매년 산업 기술 유출 이슈가 끊임없이 발생하고 있습니다. 국가 정보원은 해외로 새어나간 산업 기술에 대한 피해 규모는 100조원 이상으로 추산되며 실제 적발되지 않은 유출 건수까지 고려한다면 기업 기밀 정보 유출이 우리나라 산업 전반에 끼친 피해액은 더욱 클것으로 예상하고 있습니다.
이처럼 내부 직원에 의한 유출이 기업 정보 유출 경로 중 가장 높은 비중을 차지하고 있으며 유출자들은 기밀 정보에 대한 문서 권한 설정이 없는 환경에서 문서를 무단 복제하거나 암호화 처리가 없는 파일을 메일과 USB를 통해 외부로 반출했던 것으로 밝혀졌습니다.
과거에는 보안 경계선으로 기업의 방화벽을 구축하고 그 곳을 빠져나가지 못하도록 막는 것이 주된 보안이었습니다. 흔히 우리가 알고 있는 문서 보안 솔루션 DRM, DLP의 방식이 이에 속하며 이는 기업 기밀 정보의 무단 복제 및 유출을 예방하는데 가장 많이 사용되는 솔루션이기도 합니다. 그러나 클라우드 서비스를 사용하는 기업들이 증가하면서 방화벽 만으로는 정보 유출을 막기 어려워졌습니다. 자료의 유출 및 복제가 쉬워진 까닭에 클릭 한 번으로 이메일 발송, 파일 공유 등을 통해 기업의 중요 정보가 유출될 수 있기 때문입니다. 특히 규모가 작은 중소기업에게 더 치명적일 수 있기에 더 큰 피해로 연결되지 않도록 주의를 기울여야 하는 이유기도 합니다.
그러나 내부에 보안 전문가를 보유하고 있지 않은 중소, 중견 기업의 경우 어떻게 보안을 적용해야 하는지 어떤 솔루션을 도입해야 하는지 막막하다고 토로하시는 고객들이 많아 이번 콘텐츠를 준비했습니다.
기업은 어떤 방법으로 내,외부의 위협으로부터
기업의 중요 문서들을 안전하게 지킬 수 있을까요?
예고 드린 것처럼 앞선 보안 특집에 이어 이번 포스트에서는 “문서 보안”에 대한 내용을 중점적으로 다룰 예정입니다. 중소, 중견기업들이 기업의 중요 문서와 메일을 분류하고 검색하여 세부 내용들을 제어함으로써 기업의 기밀 문서들을 보호하고 안전하게 관리할 수 있는 방안이 무엇인지 면밀히 살펴보고 그 방안을 안내드리겠습니다.
문서 유출에 대한 고민이 있으셨다면, 빠르게 변화하는 클라우드 환경속에서 기업의 중요 문서를 보호하는 적합한 보안 솔루션은 무엇인지, 나아가 어떻게 조직에 적용해야 하는지 궁금하신 분들은 이번 포스트에 집중해주시기 바랍니다.^^
이번 포스트에서는 메인 키워드가 “문서 보안”인 만큼 여러 번 언급되었던 “Microsoft AIP”란 무엇인지, AIP의 기능과 적용방법에 대해 자세히 알아볼 예정입니다. 내부 기밀 문서, 중요 자료들에 대한 보안을 강화하는 기능인 AIP는 Microsoft의 대표적인 문서 보안 솔루션중 하나로, 내부 사용자에 의해 유출될 수 있는 중요 정보들을 제어하고 차단하는 효과를 가지고 있으며 그 밖에 다양한 보안 기능들을 제공하고 있습니다.
Microsoft AIP 란
AIP(Azure Information Protection)는 기업의 기밀 정보와 중요한 데이터의 무단 사용으로부터 디지털 정보를 보호하기 위한 서비스 입니다. 정보 권한 보호 서비스를 의미하는 AIP를 도입함으로써 중요/기밀 문서의 유출 위협으로부터 능동적으로 대처하고 중요 문서 유출로 인한 피해를 사전에 예방하는데 목적을 두고 있습니다.
AIP 기능 소개
사용자 데이터 식별 및 분류 후 사용자 데이터 보호를 위해 AIP가 제공하는 다음과 같은 기능들을 활용할 수 있습니다.
1. 민감도 레이블 (레이블, 라벨링)
레이블이 적용된 문서를 활성화 했을 때 워터마크, 머리글/바닥글을 보여줌으로써 문서/데이터 오용을 방지하도록 지원합니다. 또한 Teams의 모임 및 채팅 보호 기능을 제공합니다.
2. 암호화
메일이나 문서의 내용을 암호화하여 암호화된 문서나 파일은 분실/도난 등의 유출시에도 복호화 및 내용이 확인 불가하도록 하여 메일 전송을 통한 외부 유출 및 기밀 정보의 내부 전달을 제한합니다. 이메일의 경우, 메일을 전달하거나 전체 회신 옵션을 사용할 수 없도록 설정하는 것도 가능합니다. 메일, 초대 및 문서에 대한 암호화를 적용하여 조직의 허용된 사용자가 아닌 무단 사용자가 중요 데잉터에 액세스하지 못하도록 차단합니다.
3. 문서 권한 설정
액세스가 허용된 사용자도 해당 문서 편집 여부, 읽기 전용 제한 또는 인쇄 가능여부 등에 대한 권한을 차등 설정할 수 있습니다.
AIP 설정방법
1. AIP 적용 절차
문서 분류 > 암호화 및 권한 설정 > 감사 및 권한 회수
2. 레이블 생성하기
민감도 레이블은 전자 메일 메시지, 문서, 사이트 등을 보호할 때 사용됩니다. 생성된 레이블에 대해 사용자가 수동으로 적용하거나 또는 자동으로 적용되는 경우, 해당 콘텐츠는 선택한 설정을 기반으로 보호됩니다. 예를 들어, 파일을 암호화 하거나 사용자별 권한을 부여하는 레이블을 생성할 수 있는가 하면 워터마크를 표시하거나 머리글/바닥글에 보안 문구를 새기는 레이블을 만들수도 있습니다. 사이트의 경우, 외부 공유를 제어하고 조건부 액세스 설정을 제어하여 보호가 가능하며 비공개 팀을 검색하거나 공유 채널을 초대하는 등의 설정이 가능합니다.
(A) 관리자 계정으로 Microsoft Purview – 레이블 메뉴에 접속합니다.
(B) [레이블 만들기]를 클릭하여 레이블을 생성합니다.
3. 레이블 정책 생성하기
전 단계의 레이블을 이번 단계의 정책에 적용하여 조직의 중요한 정보를 식별하고 보호할 수 있습니다. 예를 들어 실수로 인해 조직의 중요 정보가 담긴 문서가 외부의 사용자에게 유출되더라도 지정 사용자 외에는 데이터에 접근하지 못하도록 설정할 수 있으며 계정 등 민감 정보는 메일의 수신자만 볼 수 있도록 지정도 가능합니다.
(A) 관리자 계정으로 Microsoft Purview – 레이블 정책 메뉴에 접속합니다.
(B) [레이블 게시]를 클릭하여 레이블을 생성합니다.
4. 레이블 사용하기
레이블과 정책을 설정하여 사용자에게 레이블을 게시합니다.
사용자는 문서에서 [민감도] 메뉴를 확인할 수 있으며 정책에 따라 설정할 수 있는 레이블을 선택하여 문서를 암호화 합니다.
다음 포스트에서는 오늘 살펴본 AIP가 적용된 각 서비스별 레이블의 화면들을 살펴보고 레이블 정책 도입에 대한 고려사항은 무엇이 있는지 함께 살펴볼 예정이니 많은 관심 부탁드립니다.
저희 고우아이티는 빠르게 변화하는 환경속에서 외부의 여러 위협들로부터 기업의 보안을 안전하게 지키고 강화할 수 있는 방도를 끊임없이 고민하고 연구하고 있습니다. 그에 대한 일환으로 고객이 필요로 하는 보안 관련 콘텐츠를 각 보안 단계별로 정리하여 이해하기 쉽도록 보안 시리즈를 기획하여 연재하고 있습니다.
보안 모음집 한눈에 살펴보기 >> [연말결산 중간점검]기업 보안 모음Zip 살펴보기
기업 보안을 잘 구축할 수 있는 적합한 솔루션과 방안들을 모색하여 기업의 환경과 상황에 맞게 적용하실 수 있도록 도움 드리겠습니다. 기업 보안과 관련하여 고민이 있으시거나 문의사항이 있으시다면 어려워하지 마시고 편하게 문의주시기 바랍니다. 감사합니다.
클라우드 전문기업 GowIT는
기업환경에 최적화된 클라우드 서비스와
GowIT고객사를 위한 차별화된 기술지원 서비스를 제공합니다.
상담 문의
- Tel. 02-462-5365
- Mail. gocloud@gowit.co.kr