보안의 위협이 날로 진화하고 다양해지면서 회사 중요 자산을 보호하기 위해 보안 장치 도입을 검토하는 분들의 고민도 함께 늘어가고 있습니다. 기업의 보안과 관련하여 시장에 수 많은 솔루션들이 있지만 정작 우리 회사 환경에 알맞은 보안 솔루션은 무엇인지, 현재 우리 회사 환경이라면 어느정도의 강도로 보안 사항들을 설정해야 안전하게 보호할 수 있는지와 같은 고민에 대한 해답을 얻기 어렵기 때문입니다.
고우아이티는 이런 어려움을 겪는 기업들을 위해 보안 성숙도에 따른 보안 설정 사항들을 단계별로 정리함으로써 고객이 보안 접근시 보다 쉽게 이해하고 간편하게 기업에 적용할 수 있도록 안내드리고자 합니다.
기업 내 보안 적용을 앞두고 고민이 많은 기업 담당장분들께 조금이나마 도움이 되었으면 하는 바램으로 지난 포스트에 이어 이번 포스트에서는 “중소기업에게 제안하는 단계별 보안 가이드” 에 대해 자세히 살펴보겠습니다.
(지난포스트 다시보기 >> [중소기업 보안의 모든것 1탄] 보안 첫 걸음, 어디서부터 시작해야 할까? – 고클라우드 (gowit.co.kr))
l 우리 기업의 “보안 성숙도”를 체크해보세요 – !
보안 5단계를 설명드리기 앞서 “기업의 보안 성숙도”에 대해 잠깐 설명 드리자면, 기업의 보안 성숙도란 ‘회사 환경과 목표에 따라 보안 수준을 적절하게 설정할 수 있는 기업의 보안 능력’을 의미합니다.
보안 성숙도가 높은 회사는 고급 보안 기능을 적절하게 활용하여 다양한 위협으로부터 회사 중요 자산을 안전하게 보호하고 각 기업의 비즈니스 전략에 맞는 보안 정책을 수립하여 운영할 수 있습니다.
반면 보안 성숙도가 낮은 회사의 경우 기본적인 보안 기능만 사용하거나 보안 기능을 제대로 활성화하지 못하는 경우 또는 보안 사항을 불필요하게 필요 이상으로 엄격하게 설정하여 사용자들의 업무에 지장을 주는 경우가 많습니다. 따라서 우리 기업의 보안 성숙도를 측정하고 우리 기업 상황에 맞게 적절한 보안 설정을 적용하는 것이 무엇보다 중요하며 이는 중소기업 관리자들에게 중요한 과제이기도 합니다. 물론 회사 알맞은 보안 성숙도를 적용하는 과정이 처음에는 복잡하고 어려울 수 있습니다. 다양한 보안 기능들을 모두 파악하여 최적화 하기까지 많은 시간과 노력이 필요하기 때문입니다. 보안의 필요성을 인식하고 있지만 정확히 무엇을 어디서부터 어떻게 시작해야할지, 나아가 어느 정보의 보안 강도로 보안 사항과 정책들을 설정/적용해야 할지 몰라 문의주시는 분들도 많습니다.
이런 고민을 덜어드리고자 저희 고우아이티는 단계별 보안 수준에 따라 우리 조직에 적용 가능한 수준의 보안 단계를 검토하고 적용할 수 있도록 다음 5가지의 보안 단계를 제안하고 있습니다. 이는 기업에 알맞은 보안 정책 생성을 돕고 보안 위협으로부터 중요한 기업 자산을 지켜낼 수 있도록 돕는데 목적을 두고 있습니다.
l Microsoft 솔루션 파트너 고우아이티가 제안하는 “중소기업의 단계별 보안 5단계“를 소개합니다.
[ 1단계 ▶ 보안 기본값 + Exchange 보호 ]
가장 먼저 제안되는 1단계는 공격자의 의도 또는 사용자의 실수로 계정이 노출되는 “계정 탈취”에 대한 보안 이슈와 Outlook 메일 서비스 사용시 전자메일을 통해 발생할 수 있는 외부 사이버 위협을 차단할 수 있는 “메일 보안”에 초점을 둔 보안 정책입니다. 1단계에서는 크게 두 가지 기능을 설명합니다.
보안 기본값인 “MFA(다단계 인증) 설정”과 “레거시 인증 차단” 인증 작업을 거쳐 다양한 위험으로부터 조직의 계정을 보호할 수 있는 기능입니다. 레거시 인증이 차단되면 최신 인증을 요구하기 때문에 레거시 인증 프로토콜과 관련된 위협이 차단되어 계정 보호가 가능합니다. 다만 복합기 설정, SMTP 릴레이 설정 등과 같은 고려가 필요합니다.
그리고 “Exchange 보호(이메일 보호)” 기능을 제공합니다. Exchange 보호란 메일을 통해 유입될 수 있는 다양한 위협으로부터 유해 데이터를 차단하여 회사 자산을 보호하는 기능으로 다음 5가지 기능을 수행합니다.
[ 2단계 ▶ 1단계 + 조건부 액세스 ]
2단계에서 제공하는 조건부 액세스 기능은 단어 그대로 조건에 따른 액세스 제어가 가능합니다. 조직내 모든 사용자가 사용하거나 사용하지 않는 두 가지 방법으로 설정 가능한 보안 기본값과는 다르게 조건부 액세스는 보다 디테일한 액세스 설정이 가능합니다.
장치나 위치, 국가와 같은 조건에 따른 액세스 제약이 가능하며 예를 들어 회사 내부(IP)기반에서만 로그인을 허용하거나 등록된 디바이스 외에 접근을 차단하는 정책 등을 조직 상황에 맞게 설정할 수 있습니다.
또한 조건부 액세스 템플릿을 제공하여 Microsoft 권장사항에 맞게 조정된 새로운 정책을 배포 가능한 편리한 방법으로 제공합니다.
[ 3단계 ▶ 2단계 + MDM/MAM ]
오늘날 기업 업무 환경과 과거를 비교해보면 업무 편의성과 생산성을 상상할 수 없을 정도로 향상되었지만 그 만큼(사내 데이터에 대한 접근이 편리해진 만큼) 그에 따른 유출에 대한 고민도 함께 증가했습니다. 이러한 기업의 고민을 해결해 줄 수 있는 Microsoft 디바이스 보안 기능인 Microsoft Intune 기능은 업무 관련 디바이스나 애플리케이션을 제어하고 관리함으로써 조직의 데이터를 안전하게 보호합니다. Intune에 등록된 디바이스에 대한 보안 규칙을 설정함으로써 등록된 디바이스의 데이터를 보호하고 관리할 수 있습니다.
[ 4단계 ▶ 3단계 + AIP ]
IT, 바이오·제약, 법무법인, 회계법인과 같이 민감한 정보를 보유하고 중요 문서를 다루는 기업의 경우 클라우드 환경에 맞는 강력한 문서 보안은 없어서는 안 될 필수 항목입니다.
Microsoft 365의 AIP(Azure Information Protection)는 기업의 문서 유출을 막기위한 강력한 문서 보안 서비스 입니다. 기업에서 다뤄지는 문서와 메일을 분류하고 레이블을 적용함으로써 기업내 문서 유출로 인한 피해를 예방하는데 목적을 두고 있습니다.
관리자의 설정에 따라 레이블의 규칙 및 조건을 정의하여 자동 적용 또는 사용자가 수동으로 적용할 수 있으며 레이블에 따라 워터마크를 표시하거나 캡쳐를 차단함으로써 문서의 오용을 방지하고 중요 문서에 대한 문서 수정/삭제 여부 및 접근 권한을 제한하여 조직에 허용된 사용자가 아닌 사용자는 접근하지 못하도록 관리할 수 있습니다.
[ 5단계 ▶ 4단계 + 모니터링 ]
이미 발생한 이벤트에 대한 정보를 활용하는 모니터링 기능에 추가하여 보안 모니터링은 위협 탐지를 주요 목표로 하고 있습니다. 의심스러운 활동을 분석함으로써 잠재적인 보안 위반을 방지하고 보안 환경을 유지하기 위한 보안 모니터링 기능을 하며, 보안 대시보드에서 식별이 어려운 내용을 시각화하여 적극적인 차단을 가능하게 합니다.
l 고우아이티의 프리미엄 기술지원 서비스 안내
지금까지 고우아이티가 제안하는 중소기업을 위한 보안 5단계에 대해 함께 살펴보았습니다. 앞서 설명드린 보안 5단계 중 1단계의 경우 IT 전담 직원이 없더라도 내부 설정이 가능하지만 2단계부터 5단계는 자체적으로 정책 설정 및 적용에 어려움이 있을 수 있습니다. 보안 정책 설정 및 적용에 어려움이 있을 경우 고우아이티로 문의주시면 저희 기술전담팀에서 초기 환경 설정 및 맞춤 보안 설정을 도와드릴 수 있습니다.
고우아이티는 지난 14년간 중소기업의 디지털 전환을 도운 Microsoft CSP 파트너로써, 약 900여개 기업의 디지털 전환을 도우며 업종별 다양한 구축 경험을 보유하고 있습니다. 기업내에 IT 관리자, 보안 전담팀이 없더라고 기업의 소중한 자산을 안전하게 보호하고 관리할 수 있도록 다양한 경험을 보유한 IT 엔지니어로 구성된 기술 전담팀을 통해 각 기업의 특성과 상황에 맞는 다양한 Microsoft 365 보안 팁과 가이드를 제안해드리고 있습니다. 우리 기업의 보안에 대해 고민이 있으시거나 궁금한점이 있으시면 언제든지 문의주시면 성심성의껏 상담 도와드리겠습니다.
다음 포스트에서는 고객 문의로 살펴보는 단계별 보안 가이드를 활용한 실 사례를 살펴 볼 예정이니 많은 관심 부탁드립니다. 이후에는 오늘 소개해드린 단계별 보안 단계를 순차적으로 풀어보는 시간을 가질 예정입니다. 보안 단계 중, 1단계에서 제공되는 보안 기능은 무엇이고 우리 조직에 1단계를 적용했을 때 어떤 기능과 역할을 수행하는지 보다 자세히 알아보는 시간을 가질 예정이니 많은 관심 가지고 끝까지 함께해 주시기 바랍니다. 🙂
중소·중견 기업이 디지털 트랜스포메이션으로 전환부터 보안에 이르기까지 길고 긴 여정을 안전하게 하실 수 있도록 준비되어 있는 Microsoft 365 no.1 CSP 파트너 고우아이티와 함께하시기 바랍니다. 감사합니다.
클라우드 전문기업 GowIT는
기업환경에 최적화된 클라우드 서비스와
GowIT고객사를 위한 차별화된 기술지원 서비스를 제공합니다.
상담 문의