Microsoft 보안의 세 번째 주제는 “정보보호”입니다. 1) 사용자 계정 인증 및 접근 제어, 2) 침해 방지에 이어서 “기업의 중요한 정보 자산을 데이터 수명 주기 (Data Life Cycle) 동안 보호하고 관리”하는 방안에 대해 이야기해 보고자 합니다. 앞선 포스트 내용은 아래 링크를 이용하세요.
관련 블로그 링크: https://blog.naver.com/gowit_sps/221366429761
정보보호의 상황적 변화
기술적으로 정보보호를 들여다 보기 전에 정보보호의 상황적 조건을 살펴보는 것이 필요할 것 같습니다. 상황을 정확히 이해하면 기업이 추구해야 할 정보보호 방향과 전략이 명확해지고 최대한의 성과를 얻을 수 있기 때문입니다.
기업의 과거 보안 경계선: 방화벽
과거 (그리고 아직 일부 기업들이 고수하는) 기업의 보안 경계선은 방화벽이었습니다. 기업의 업무 범위와 IT시스템 환경이 내부에만 집중해도 충분한 조건이었기 때문이었죠. 아래 그림이 기업의 전통적 보안 경계를 보여주고 있습니다. 운영하는 IT 인프라와 서비스가 온-프레미스 환경이라 조직 내부 영역에서만 사용자 계정, 디바이스 관리 및 애플리케이션 그리고 데이터 보호가 이뤄지면 되었죠.
그림1) 기업의 과거 보안 영역
그러나, 모바일 업무 환경의 일상화, 디지털 비즈니스(예: 전자상거래, 협력업체까지 연결된 공급관리시스템 등)의 확대, 기업 내부를 넘어 협력 업체나 심지어 고객까지 온라인으로 연결되는 협업 범위의 확장으로 인해 기업이 방어해야 하는 보안 범위는 계속 넓어지고 있습니다. 이런 비즈니스 요구 및 환경 변화로 생기는 빈틈을 해커들이 계속 공격하고 있는 것이죠. 그렇다고 모바일 환경이나 디지털 비즈니스를 포기할 수는 없는 것이 기업의 딜레마이기도 합니다. 오늘날 대응해야 하는 보안 영역은 아래 그림과 같이 넓어지고 복잡해지고 있습니다.
그림 2) 기업이 통제해야 하는 현재의 보안 경계(영역)
그림 2는 오늘날 많은 기업 사용자가 이용하는 IT 인프라와 서비스 영역을 보여주고 있습니다. 그림 1과 비교해 보면 기업의 고민을 확실하게 이해할 죠. 결국, 기업은 이 전체를 보안 영역으로 수용하는 방어 전략과 실행 모델의 변화가 필요한 것이죠. 기업 사용자 대상의 설문 조사를 보면, 기업이 허용하지 않은 모바일 앱 및 서비스를 사용하는 직원 비율이 많게는 70%를 넘어서고 웹하드 등의 외부 저장 공간을 이용하는 비율도 50%가 넘는다고 합니다. 직원들은 회사에서도 허가 받지 않은 앱이나 외부 저장소를 이용합니다. 해당 앱으로 업무 논의나 자료를 전달하고 웹하드에 업무 자료를 업로드/다운로드하고 외부 사용자에게 공유하기도 합니다. 이 과정에서 의도하지 않은 보안 공격이 일어나는 경우가 허다합니다.
기업의 또 다른 고민, 신규 규제 (Compliance)
기업의 보안 고민을 깊게 하는 또 다른 요소는 “컴플라이언스 (Compliance)”라고 불리는 새로운 법 및 규제입니다. 대표적 규제가 ‘개인정보보호법’과 2018년 5월부터 시행된 유럽연합(EU) ‘General Data Protection Regulation (GDPR)’이죠. 이런 상황은 Microsoft가 진행한 기업대상 설문에도 잘 나와 있습니다:
비즈니스 환경의 변화로 인한 보안 영역의 확장과 지켜야 하는 규제의 증가는 기업의 보안 정책 및 체계 변화를 강요하고 있습니다. 예를 들어, 현재 보안 점검이 정기적(월, 분기)이라면 상시적으로, 지금까지 기업이 인정한 범위에만 보안을 적용했다면 이제는 Shadow IT (기업이 공식으로 인정하지 않았지만, 직원들이 실제로 업무에 사용하는 SW, 앱 및 컴퓨터 기기 등을 의미) 그리고 한 발 더 나아가 직원들이 사용하는 외부의 서비스 및 앱을 어떻게 수용하는 방안까지 확대되야 합니다. 보안 업무들이 개별적으로 (예: PC보안, 정보보호, 사용자 계정 보안 및 접근제어 SW등을 독립적으로 도입하고 운영하는 기존의 방식) 진행되었다면 앞으로는 “보안 라이프 사이클”이란 개념으로 통합해 운영.관리하면서 보안을 하나의 연속적 업무 프로세스로 전환하는 것이 필요합니다. 이 보안 라이프사이클 정책을 우선 적용해야 하는 영역이 “정보보호”입니다. 정보보호를 위한 Microsoft 라이프 사이클은 아래와 같습니다:
Microsoft 정보보호 라이프사이클
Microsoft는 완벽하게 정보를 보호하기 위한 4단계를 정의하고 있습니다:
그림 3) Microsoft 정보보호 4단계
Microsoft는 위에 언급된 4단계로 구성된 라이프 사이클을 통해 정보자산을 안전하게 보호하고 관리할 수 있다는 믿음을 가지고 있는 것이죠.
중요한 정보 자산의 라이프 사이클
아래 그림 4는 위에서 설명한 Microsoft가 정의한 정보보호 4단계 라이프 사이클(탐지 à 분류 à 보호 à 모니터링)에 맞춰서 중요 정보를 관리하는 흐름을 그림으로 표현한 겁니다.
그림 4) 정보보호 라이프 사이클
여러분 기업의 중요한 정보자산을 보호하는 방법은 무엇인가요? 체계화된 보안 체계가 필요하시다면 Microsoft가 제안하는 방법을 검토해 보세요. 그리고 전문기업 GowIT가 도와 드리겠습니다. 다음 블로그에서는 정보보호 4단계를 세부적으로 알아보겠습니다.
오피스 365 알아보기 https://cloud.gowit.co.kr/office365/
Microsoft 365 알아보기: https://cloud.gowit.co.kr/microsoft-365/
클라우드 도입 및 서비스 지원 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.