정보보호 3번째는 중요(민감) 항목으로 분류된 데이터의 보호 방법입니다. 중요 데이터를 탐지하고 회사가 정한 정책과 기준에 의해 분류 및 레이블링 작업을 마쳤다면 그 다음은 해당 데이터를 안전하게 보호하는 작업이겠죠. Microsoft는 이 단계를 “보호”라고 정의하고 있습니다.
관련 블로그 링크(데이터 분류): https://blog.naver.com/gowit_sps/221384803118

그림 1) 정보보호 4단계 라이프 사이클
데이터 위치에 따른 보호 방법
데이터를 잘 보호하기 위해서는 먼저 데이터가 저장된 위치와 공간에 대한 이해가 필요합니다. 지금까지 정보보호 이야기를 해오면서 반복 강조된 내용이기도 하죠.

그림 2) 모바일 기기에 위치한 데이터 보호
기업 정보 자산은 (1) 사용자 디바이스 (예, 휴대용 노트북, 태블릿, 스마트폰 등) (2) 기업 내부 온-프레미스 환경 (3)클라우드 (여기서는 퍼블릭 클라우드)에 분산되어 있을 가능성이 높습니다. 따라서, 빈틈을 최소화하는 데이터 보호를 위해서는 이 영역들에 대한 개별적 접근을 하면서 통합적 관리 및 운영을 보장하는 방법이 필요합니다.
1.모바일 기기에 저장된 데이터 보호
(1)MDM (Mobile Device Management, 모바일 디바이스 관리) 기능이 적용되지 않은 기기
모바일 환경이 일상화되면서 스마트폰과 태블릿 등의 사용자 기기에도 업무 데이터가 많이 저장되죠. 스마트폰의 이메일로 업무를 처리하거나 웹하드를 이용하는 과정에서 첨부 파일과 정보들이 해당 기기에 남습니다. 정보가 담긴 휴대용 기기 분실 가능성도 높습니다. 통계조사를 보면, 우리나라 휴대폰 분실은 연평균 113만대 수준이고 회수율은 56%에 그치고 있네요.
- 드라이브 암호화: 장치 분실이나 도난의 경우에도 권한이 없는 사용자가 장치 드라이브에 접근할 수 없도록 암호화로 차단하는 방법입니다. 당연히 USB같은 저장 장치의 암호화도 포함됩니다.
- 원격 삭제: 휴대전화, 태블릿 등을 분실 또는 도난 시, 해당 기기를 초기화 또는 사전 설정된 항목들을 삭제하는 방법입니다. 기기 회수가 불가능하다고 판단되면 중요 데이터의 유출을 원천적으로 차단할 수 있는 확실한 방법이죠.
(2) MDM (Mobile Device Management)기능이 적용된 기기
Microsoft 인튠(Intune)같은 MDM 서비스가 적용된 경우에는 더 포괄적이고 세부적 보안 통제가 가능합니다.
- 디바이스 보안 설정: 암호화, 암호 및 PIN (Personal Information Number) 설정 요건, 탈옥 / 루트 탐지 등의 보안 정책을 세부적으로 적용할 수 있습니다. 예를 들어, PIN은 최소 6 숫자로 구성해야 한다든가, 암호는 대소문자, 숫자 및 특수 문자로 구성한다는 정책을 강제할 수 있습니다. 안드로이드 OS 휴대전화는 탈옥을 하는 경우도 많죠. 이렇게 탈옥한 기기를 이용한 사내 네트워크 접근은 자동 차단하는 등의 섬세한 보안이 가능합니다.
- 원격 동작: 위 항목에서 정의된 세분화된 보안 기능 설정 (예: 앱 설치 및
암호화, 암호 및 PIN 설정 사항, 탈옥 / 루트 탐지 등) 작업을 원격에서 실행하고 관리할 수 있습니다.
- 앱 및 URL 제한: 모바일 디바이스 및 PC의 특정 애플리케이션 또는 의심스러운 URL 주소에 대한 액세스를 제한할 수 있습니다.

그림 3) MDM 모바일 기기의 세부 제어
- 업무 데이터 분리: 모바일 기기에 저장된 데이터를 개인과 업무용 데이터로 분리해서 관리하는 방법입니다. 분실된 기기의 데이터를 원격 삭제할 때 개인 데이터는 그대로 유지하고 업무용 데이터만 삭제할 수 있습니다.

그림 4) 모바일 매니지드 앱 관리
위 그림으로 설명해보죠. 그림에서 점선으로 표시된 영역에 “Managed Apps (매지니드 앱스)”로 표기된 앱들이 있습니다. 여기에는 업무 데이터를 다루는 MS워드, 파워포인트, 클라우드 스토리지인 비즈니스용 원드라이브 등이 있고, 점선 밖에는 개인용 앱인 트위터, 페이스북이 있죠. 이것이 “데이터 분리”입니다. 이 기능을 적용하면, 매니지드 앱에서 생성 및 공유되는 데이터나 정보를 개인용 앱으로 전달하거나 공유할 수 없습니다.
아래 나열된 모바일 앱 보호 정책을 이용해 모바일 기기를 보호하는 방법도 있습니다:
- 앱 암호 설정: 반드시 로그인 과정을 거쳐야만 앱을 사용할 수 있게 강제하는 방법
- 앱 접근 제어: PIN 또는 사용자 인증 정보 작업 후에 접근 허용
- 다른 사용자 이름으로 문서 저장, 복사 및 붙여 넣기 등의 작업 제한
- 앱 삭제 기능 (선택 가능 항목)
- 그리고 만약 여러분 기업이 윈도우 10을 적용하고 있다면 더욱 강력한 정보 정책을 실행할 수 있습니다.
2. 클라우드 및 온-프레미스 데이터 보호
클라우드와 온-프레미스에서 이용하는 보호 방안은 더 다양합니다. 보호 방법에는 기업이 보안 SW와 클라우드 보안 서비스를 통해 수행할 수 있는 것부터 데이터 정책에 의한 방법으로 나눌 수 있는데, 정책에 의한 방법을 먼저 보겠습니다:

그림 5) 클라우드 및 온-프레미스 데이터 보호
- 데이터 유지, 만료 및 삭제 정책: 업무용으로 생성, 편집 및 보관하는 자료의 문서 관리 체계를 수립하고 그 기준에 따라 클라우드와 온-프레미스 환경에 저장된 데이터를 관리하는 방식입니다. 이 작업은 담당자가 정해진 일정이나 주기에 따라 진행할 수도 있지만, 데이터 탐지 및 분류에 대한 블로그에서 설명한 것처럼 클라우드 서비스 (오피스 365 데이터 거버넌스 및 GDPR 서비스)및 전용 SW를 이용할 수 있습니다. 데이터가 여러 곳에 저장되고 분량도 많다면, IT 솔루션을 이용하는 것이 더 좋겠죠.
- 시각적 표시 추가: 문서에 “보안”이나 “Confiedential”같은 시각적 표시를 하는 방법입니다. 일명 워터마크라고도 하죠. 직접적 통제력은 부족하지만, 정보를 다루는 사람들에게 자료의 성격과 행동 지침을 전달하여 보안성을 높이는 효과를 갖습니다. 오피스 365 데이터 거버넌스 기능을 통해 자료에 레이블링을 적용하는 것도 아주 효과적이죠.
다음은 클라우드 보안 서비스 및 SW를 이용하는 방법입니다. 중복된 항목은 설명을 하지 않고 넘어갑니다:
- 파일 암호화
- 권한 관리 및 권한 기반 접근 제어: 사용자 담당 업무 및 직급 등에 따라 권한을 차등 부여하고 부여된 권한에 따라 접근할 수 있는 데이터 종류 및 범위 그리고 작업 (예: 읽기, 편집, 삭제, 다운로드, 공유 등)을 제한할 수 있습니다.
- 최종 사용 대상 정책 안내 및 알림: 사용자가 중요(민감) 항목으로 분류된 데이터나 자료에 접근하면, 해당 파일의 취급 정책과 주의 사항 등을 이메일, 팝-업 메시지 등으로 안내하고 허용되지 않은 행위를 시도하면 (예: 공유가 금지된 데이터를 이메일로 전송) 경고를 하는 방법입니다.
- 비정상 행위 탐지를 이용한 통제 및 보호: 정상적 경로나 행위를 통해 진행되는 보안 위험도 있지만, 상당 부분은 비정상 행동들이 사전에 발생하게 됩니다. 예를 들어, 특정 사용자 ID로 로그인한 적이 없던 클라우드 앱으로 로그인 시도가 반복적으로 발생한다던가, 특정 시점을 기준으로 자료 다운로드가 급증하는 등의 비정상 행위 등을 탐지하고 이 행위에 관련된 앱이나 서비스를 선제적으로 차단할 수 있습니다. Microsoft Cloud App Security가 이 분야의 대표적 클라우드 보안 서비스이죠.
하루가 다르게 늘어나는 중요 업무 데이터의 보호, 결코 쉬운 일이 아닙니다. 하지만, 많은 조직들의 노력과 경험으로 만들어진 정책과 프로세스를 참조하면서 하나씩 만들어가면, 의외로 쉽게 구현할 수 있습니다. 그 여정에 전문기업 GowIT가 동행해 드리겠습니다.
Microsoft 365 알아보기: https://cloud.gowit.co.kr/microsoft-365/
Microsoft 365 및 클라우드 도입 문의
고우아이티 컨설팅 담당 이은주 부장
02-462-5365 | gocloud@gowit.co.kr
https://cloud.gowit.co.kr
GowIT는 기업 환경에 최적화된 클라우드 서비스와 지원을 제공합니다.