클라우드 서비스는 언제 어디서든 일할 수 있도록 유연한 접근을 제공, 업무 효율 향상에 기여했다는 점을 높이 평가받아 대중화의 길로 접어들었습니다. 하지만 유연한 접근이 사이버공격자에 의해 악용될 경우 기업의 지적 자산 탈취 통로가 될 수 있단 우려가 생겨나기 시작했고 액세스 포인트에 대한 강력한 보안 제공이 클라우드 서비스의 새로운 선택 기준으로 급부상했습니다.
여러분들도 잘 아시는 것처럼 비즈니스용 Microsoft 365는 새로운 선택 기준에 부합하는 대표적인 클라우드 서비스입니다. 비즈니스용 Microsoft 365를 사용 중인 기업이라면 기본 보안 설정만으로도 일정 수준의 보안을 무료로 이용 가능해 기업 자산을 안전하게 보호할 수 있습니다. 기업별 업무 패턴을 고려해 디바이스 관리, 액세스 관리, 문서 보호 등 고급 보안을 적용하려면 필요한 만큼만 구독을 추가하면 되니 경제성도 뛰어납니다. 메일, 저장공간, 온라인 협업 등을 위한 다양한 서비스 제공을 통한 업무 생산성은 기본이고요.
한국인터넷진흥원이 발간한 ‘2023년 사이버 공격 실태’ 보고서에 따르면 사이버 공격으로 인한 피해를 입은 기업의 92%가 중견∙중소기업이라고 하죠. 보안이 취약한 중소기업이 사이버 공격의 최대 피해자라는 사실이 어제오늘의 일은 아니지만 언제 공격받을지 모른다는 불안감을 증폭시켰고 Microsoft 365를 활용한 보안 시스템 구축을 주요 해법으로 주목하고 있는 상황입니다.
Microsoft 365 검토 단계에 들어선 중소기업은 이제껏 생각하지도 못했던 난관에 부딪힙니다. 기업이 필요로 하는 Microsoft 365 보안을 도입하려면 기업 맞춤형 디지털 보안 정책 수립을 선행해야 하는데 이제껏 한 번도 경험하지 못했던 일이어서 수많은 시행착오를 겪으며 복잡다단한 프로세스를 처리해 나가야 하기 때문입니다. 제대로 된 가이드라인의 부재도 기업들의 어려움을 가중시키고 있죠. 중소기업이 디지털 보안 정책을 수립할 때 고려해야 하는 업무 절차와 주요 고려사항 등을 담은 맞춤형 보안 콘텐츠가 절대적으로 필요하다는 생각이 고우아이티가 ‘기업 보안 가이드’ 3부작을 기획한 이유였습니다. 지적 자산의 가치와 자산 보호의 중요성을 시작으로 접근 방안이자 제안으로서 보안성숙도 레벨을 소개해 드린 데 있어 마지막 3탄으로 고객들이 실제 궁금해하는 질문에 대한 고우아이티의 답변을 준비해 봤습니다. 중소기업의 성공적인 디지털 보안 도입에 유용한 길라잡이 같은 콘텐츠가 되길 바라며 지금 바로 시작하겠습니다.
[콘텐츠 목차 안내]
본 콘텐츠를 읽기 전 이전 콘텐츠를 읽어보시기를 권합니다.
하단의 링크에서 확인하실 수 있습니다.
▼▼▼▼▼
[중소기업 보안의 모든것 1탄] 보안 첫 걸음, 어디서부터 시작해야 할까? – 고클라우드 (gowit.co.kr)
[중소기업 보안의 모든것 2탄] 보안, 이렇게 시작하세요 – 단계별 보안 가이드 안내 – – 고클라우드 (gowit.co.kr)
모든 중소기업의 공통된 질문 NO.1은
“우리 기업 상황에 적합한 보안을 도입하려면 무엇을 어떻게 도입해야 할까요?”
기업이 속한 분야도 제각각이고 직원 규모도 다른데 고우아이티에 문의하는 질문의 요지는 거의 동일합니다. 우리 기업에 맞는 보안 시스템을 도입하려면 사내 업무 현황과 직원들의 요구사항을 파악하는 것에서 시작합니다. 다양한 의견을 청취한 후 우리 기업에 필요한 디지털 자산 보호 방법, 이메일 대응 방법, 패스워드 관리 등에 대한 정책을 수립하는 순서를 거치는 것이 일반적입니다. 하지만 내부 전담 인력이 없거나 있더라도 경험의 부재로 인해 초기부터 어려움을 겪으면서 생겨난 고민을 질문하는 것이죠.
기업 내부 상황과 니즈에 대한 정확한 정보 없이 적합한 솔루션 제안이 어렵다는 양해를 먼저 구한 후 대화를 시작합니다. 중소기업이 디지털 보안을 위해 일반적으로 거쳐야 하는 5단계 프로세스에 대해 설명하면서 고객의 내부 상황에 대한 정보를 획득하고 체크하는 과정을 몇 번이고 반복하고 나서야 적합한 레벨에 대한 의견을 드리곤 합니다.
검토 초기 단계의 기업들이 궁금해하는 내부 상황을 파악하고 보안 요구 사항을 정리하는 노하우 공유를 위해 고객들의 실제 질문에 대해 고우아이티의 답변을 제시하는 방식으로 정리해 봤습니다. 답변은 이전 콘텐츠에서 소개해 드렸던 ‘고우아이티의 보안성숙도 5단계’를 기준으로 삼고 있으니, 하단의 도표를 먼저 살펴보시고 이해하시는데 도움이 될 것 같습니다.
질문 1. 메일 활용도 높은 기업의 보안은 어디에 초점을 맞춰야 할까요?
보안 기본값 설정부터 바로 체크!
강력 보안 위해 메일로 유입되는 각종 유해 차단 방법 확대 검토 추천
고객들의 이야기 중 가장 많이 등장하는 주제는 ‘스팸, 피싱 등 메일로 유입되는 각종 위협을 어떻게 관리할 것인가?’ 하는 것입니다. 메일은 기업들이 전사 차원에서 가장 활용도 높은 업무인 데다 주요 공격 채널이 되고 있고 관리 소홀 시 피해 위험이 크다고 느끼기 때문입니다.
따라서 메일 위협에 대한 불안감을 해소하는 방법으로 몇 가지 안을 제안해 드리고 있습니다. 첫 번째는 가장 기본적인 방법인 보안 기본값 설정입니다. 보안 기본값 설정은 계정 탈취의 위험으로부터 계정을 보호하여 회사의 계정이 악의적으로 이용되는 것을 차단합니다. 보안 기본값을 설정하여 다단계 인증(MFA, Multi-Factor Authentication)을 사용해 계정을 관리하도록 권장합니다. 보안 기본값을 설정하면 인증 이중화를 통해 패스워드 공격에 대한 대응이 가능하고 레거시 인증 불가로 보안 대응이 강화되는 효과를 얻을 수 있습니다.
두 번째는 메일보호 서비스입니다. 기본적으로 Exchange서비스는 EOP라는 메일 보호 서비스를 통해 스팸, 맬웨어, 피싱 및 기타 이메일 위협으로부터 조직을 보호하는 클라우드 기반 필터링 서비스를 제공합니다.
이 두가지 보안사항을 적용하면 메일로 유입되는 위협의 상당수를 제거할 수 있습니다. 하지만 EOP보다 더 강력한 각종 유해 차단 및 소송 보존까지 검토하신다면 보안성숙도 레벨을 [1단계: 보안 기본값+Exchange 보호]로 올리는 것을 권장 드립니다. 1단계는 공격자의 의도 또는 사용자의 실수에 의한 ‘계정 탈취’에 대한 위험과 아웃룩 메일 서비스 사용 시 외부 사이버 위협을 차단할 수 있는 ‘메일 보안’에 좀 더 초점을 둔 한층 더 강화된 보안 정책입니다. 이를 위해 익스체인지 온라인 아카이빙(Exchange Online Archiving)과 오피스 365용 Microsoft Defender Plan 1 라이선스를 사용할 수 있습니다.
오피스 365용 Microsoft Defender Plan 1의 고급 보호 기능을 활성화할 경우 이메일 내의 링크와 첨부 파일을 검사하여 안전한 링크, 안전한 첨부파일인지 확인합니다.
사용자가 위험한 이메일, 첨부파일인지 모르고 링크를 클릭하거나 파일을 다운로드하기 전에 이를 검사하여 위험이 없는지 확인하고 위험이 발견되면 차단하여 알 수 없는 맬웨어 및 바이러스로부터 메일 시스템을 보호합니다.
또한 고급화된 스팸 및 피싱 방지 정책을 통해 정책의 임계 값을 조정하여 피싱에 대한 민감도를 설정하고 보호수준을 제어할 수 있으며 도메인이나 사용자 메일 주소를 가장한 공격을 방지함으로써 전방위 위협으로부터 전자메일을 안전하게 보호할 수 있습니다.
그리고 소송 보존(Litigation Hold)을 위해서는 익스체인지 온라인 아카이빙(Exchange Online Archiving)과의 연결이 반드시 필요합니다. 익스체인지 온라인 아카이빙은 부족한 사서함의 크기를 확보해야 하거나 퇴사자 또는 사용자가 임의로 메일이나 계정을 삭제하더라도 사서함을 안전하게 보관하여 내부 위협으로부터 중요한 회사 자산을 보호하도록 지원합니다.
질문 2. 다수의 사용자가 외부에서 업무 시스템에 접근할 때 고려할 수 있는 보안은 무엇인가요?
외부에서 업무 시스템에 접속하는 빈도가 높을 땐,
Entra ID Protection 기반 조건부 액세스 활용 고려
아마도 많은 기업에서 폭넓게 볼 수 있는 업무 방식이 아닐까 싶습니다. 연구소나 지사 등이 다른 지역에 있는 경우도 여기에 해당할 수 있고, 본사에 근무하면서 영업이나 기술 지원을 이유로 외근하는 경우도 여기에 해당합니다. 사내망이 아닌 외부망에서도 비즈니스 앱에 안전하게 액세스 하도록 허용하면서도 조직의 자산도 안전하게 보호하려면 기본 설정의 조건부 액세스가 아닌 Microsoft Entra ID Protection기반 조건부 액세스 활용이 필요합니다. 보안 성숙도 레벨로는 [2단계: 1단계+조건부 액세스]에 해당합니다.
관리자는 외부에서 접속하는 사용자 또는 그룹을 지정해 세분화된 액세스 제어 권한을 설정하고 IP 주소, 디바이스, 애플리케이션 등에 따라 조건부 액세스 권한을 부여합니다. 회사 내부 기반에서만 로그인을 허용하거나 등록된 디바이스 이외에 접근을 차단하는 강력한 정책도 조직 상황에 맞도록 액세스 권한을 설정할 수 있습니다. 이러한 모든 액세스 및 세션은 Microsoft Defender for Cloud으로 사용자 애플리케이션 액세스 및 세션을 실시간으로 모니터링하고 제어할 수 있습니다. 효율적인 조건부 액세스는 조직 내 요구 사항과 업무 효율을 종합적으로 고려한 뒤 정책을 세세하게 조정할 필요가 있으므로 별도의 내부 전문가가 없다면 고우아이티 프리미엄 기술 지원을 함께 이용하시는 것을 추천해 드립니다.
질문 3. 잦은 외부 접속과 개인용 디바이스 사용에 따른 보안 위험을 줄이고 싶을 때 고려할 수 있는 보안을 알려주세요.
개인용 디바이스와 앱 사용이 많은 기업이라면,
디바이스 관리와 애플리케이션 관리 필요
하이브리드 및 원격 인력의 업무를 효율적으로 지원하면서도 데이터를 안전하게 보호하려면 기업 리소스에 액세스 하는 다양한 디바이스 관리는 필수입니다. 개인 디바이스일 경우엔 더더욱 각별한 주의를 기울여야 하죠. 이를 위해 관리자가 기업 데이터를 보호하고, 최종 사용자 디바이스의 액세스를 관리하며, 어디서나 사용자를 지원할 수 있어야 하는데요, MDM(Mobile Device Management)와 MAM(Mobile Application Management)으로 해결할 수 있습니다. Microsoft 365 Business Premium 플랜 라이선스가 필요하며, 성숙도 레벨 기준으로는 [3단계:2단계 + MDM/MAM]에 해당합니다.
Microsoft 365이라는 클라우드 기반 엔드포인트 솔루션을 통해 해당 기능을 제공합니다. 관리자는 기업의 보안 정책에 따라 회사 소유 디바이스와 직원 개인 디바이스의 작업 데이터를 구분해 관리할 수 있습니다. 승인된 앱 내에서만 회사 데이터를 유지하도록 하거나 분실 또는 도난당한 디바이스, 퇴사한 직원의 디바이스에서 비즈니스 데이터를 쉽게 제거할 수도 있습니다. 자신의 업무와 관련해 본인 소유 디바이스(BYOD, Bring Your Own Device)를 사용하도록 허용하는 기업의 IT 정책에 따라 사용하게 되는 BYOD 기기의 경우 드라이브 암호화, 원격 삭제 등으로 데이터를 보호할 수 있고, MDM(Mobile Device Management)이 적용된 디바이스라면 디바이스 보안 설정, 원격 동작, 앱 및 URL 제한 등으로 데이터를 보호하는 것도 가능합니다.
개인 디바이스에 대한 관리가 개인 영역을 과도하게 침해할 수도 있고 불필요한 낭비를 가져올 수도 있는 만큼 고우아이티의 프리미엄 서비스를 통해 Microsoft 365 기능을 설정하고 규정 준수 정책을 시행하면 훨씬 만족도가 높을 것입니다.
질문 4. 업종 특성상 기밀 문서를 많은 직원들이 공유합니다. 내부자 위협으로부터 문서를 안전하게 보호하고 싶습니다.
중요 문서 사수를 위해 AIP 적용은 필수!
중앙집중형 문서관리도 자료 보호에 효과적
민감한 정보를 다루지 않는 기업은 없습니다만, 다루는 정보의 양이나 빈도 측면에서는 특별히 높은 업종이 있습니다. 예를 들면 IT, 바이오·제약, 법무법인, 회계법인 등이 대표적입니다. 이들 기업이 다루는 신기술, 특허, 영업 기밀, 재무 정보 등은 특히 내부자들의 집중 타깃이 될 수 있으므로 강력한 문서 보안을 고려할 필요가 있습니다.
기업의 문서 유출을 막는 강력한 문서 보안 서비스로 Microsoft 365의 AIP(Azure Information Protection)가 있습니다. AIP는 기업의 주요 문서와 메일을 분류하고 레이블을 적용함으로써 문서 유출로 인한 피해가 발생하지 않도록 돕습니다.
사용자 데이터 식별 및 분류 후 사용자의 신용카드 번호나 은행 계좌번호 등과 같은 개인정보 또는 중요한 회사정보가 포함된 파일이나 이메일 데이터에 민감도 레이블에서 범주를 지정해 데이터를 보호할 수 있습니다. 레이블이 적용된 문서를 활성화했을 때 워터마크, 머리글/바닥글을 보여줌으로써 문서/데이터 오용을 방지합니다. 또 메일, 초대 및 문서에 대해 암호화를 적용해 조직의 허용된 사용자가 아닌 무단 사용자가 중요 데이터에 액세스 하지 못하도록 차단합니다. 액세스가 허용된 사용자도 해당 문서 편집 여부, 읽기전용 제한 또는 인쇄가능 여부 등에 대한 권한을 차등 설정할 수도 있습니다. 이메일의 경우 메일을 전달하거나 전체 회신 옵션을 사용할 수 없도록 설정하는 것도 가능합니다.
결재 승인을 완료한 최종 문서의 보호를 위해 중앙집중 방식의 관리를 고려할 수도 있습니다. 고우아이티가 개발한 고웍스 3.5를 활용하는 것인데요, 중요 파일에 대한 접근 통제는 Microsoft 365 보안에 따라 설정하고 권한 조정을 통해 자료 유출을 원천 차단할 수 있습니다.
지금까지 3회에 걸쳐 보안의 중요성과 중소기업을 위한 보안 성숙도 레벨, 실제 Q&A를 통한 기업별 보안 성숙도 레벨 활용법까지 살펴봤습니다. 기업에 맞는 보안 수준을 파악하고 성숙도를 적용하기까지 많은 시간과 노력이 필요한데요, 고우아이티가 제안하는 5단계 보안 성숙도 레벨에 대한 이해를 통해 기업이 필요로 하고 희망하는 보안 시스템을 파악하는데 조금이나마 도움이 되었길 바랍니다.
기업에 적합한 보안 성숙도를 파악하고 계획을 수립하는 과정에서 어려움을 겪은 후 기업 환경에 맞도록 솔루션을 설정하는 작업에 대한 부담감을 느끼실 수도 있을 것입니다. 보안 정책 설정 및 적용에 어려움이 없도록 고우아이티 기술전담팀이 초기 환경 설정 및 맞춤 보안 설정을 도와드리겠습니다. 언제든 문의하세요.
중소·중견 기업이 디지털 트랜스포메이션으로 전환부터 보안에 이르기까지 길고 긴 여정을 안전하게 하실 수 있도록 준비되어 있는 Microsoft 365 no.1 CSP 파트너 고우아이티와 함께하시기 바랍니다. 감사합니다.
클라우드 전문기업 GowIT는
기업환경에 최적화된 클라우드 서비스와
GowIT고객사를 위한 차별화된 기술지원 서비스를 제공합니다.
[상담 문의]