| [기고] 협업 데이터에 대한 보안 시급 | 2009.05.16 | |
“비 보안 환경 하에서의 협업, 중요 데이터의 유출 야기할 수 있어”
최근의 정보 유출사례들을 살펴보면 외부의 무단 침입으로 인한 유출보다 기업 임·직원 및 퇴직자에 의한 정보유출이 훨씬 높은 비중을 차지하고 있으며, 유출의 주체 중 일부는 외부 협력업체나 상생업체, 컨설팅업체의 직원 등으로 데이터 접근에 대한 인가된 사용자, 즉 데이터에 대한 접근이 가능한 사용자들이다. 기업의 핵심 역량에 집중하기 위해 부가적인 부분들은 외부 협력사에 아웃소싱을 맡김으로써 비용적인 측면에서의 절감과 업무효율적인 부분에서 경쟁력을 향상시키고자 하는 기업들이 증가함에 따라 기업 내부의 중요 데이터들은 더 이상 사내에서만 유통되지 않고, 기업과 기업 간에서 활발하게 공유되고 있다. 예를 들어 자동차 한 대를 보더라도 자동차 설계, 제조 및 판매를 맡고 있는 원청업체가 따로 있고, 자동차에 들어가는 바퀴와 핸들, 갖가지 관련 부품들을 제조하여 납품하는 협력업체가 따로 있으며, 운동화 하나만 보더라도 원청업체에서는 운동화의 디자인 제작과 판매를 담당하고, 운동화의 생산은 OEM을 맡기는 경우가 대부분이다. 즉 현대 시대에서 하나의 완성 제품, 서비스를 대량으로, 빠른 시간 내에 원활하게 제공하기 위해서 협력업체와의 관계 유지는 필수 불가결한 요소이며, 이 과정에서 협업데이터의 공유 역시 불가피한 요소 중 하나이다. 협업데이터의 보안 필요성 연이은 산업기밀 유출, 고객정보 유출 등의 사건·사고로 인해 대기업 및 금융사를 중심으로 내부 보안의 필요성을 느끼고 있는 공공기관 및 중소기업에 이르기까지 넓은 시장에서의 실수요가 증가함에 따라 정보유출방지시스템의 도입은 점차 비중이 확대되고 있는 추세이며, 내부보안은 점차 정보보호를 위한 필수 요소로 인식이 변화되고 있지만, 아직까지도 정보유출방지 방안은 대부분 대규모 사업장을 중심으로 도입, 운영이 되고 있으며, 조직 내부에만 보안이 적용되어 있기 때문에 협업 데이터에 대한 유출 위험이 존재하고 있다. 이러한 이유로 협업을 진행하는 과정에서 협업데이터가 협력업체에 안전하게 전달되었다 하더라도 원청업체에 안전하게 돌아온다는 것은 보장할 수 없는 것이 현실이다. 규모가 큰 대형 기업일수록 협업을 함께 진행하는 협력업체의 수도 늘어날 수밖에 없으며, 이 과정에서 공유되는 자료 역시 많아질 수밖에 없다. 하지만 대기업과 협력관계를 맺고 있는 대부분의 업체의 경우 규모가 영세한 사업체가 많기 때문에 스스로 보안시스템을 도입하기에는 비용적인 측면에서 큰 부담으로 다가온다. 안전하고 원활한 협업데이터 공유를 위해서는 협력업체에 고비용이 소요되는 전사적인 보안시스템의 도입을 강제하기보다는 정보가 안전하게 공유, 유통될 수 있는 보안 통로를 마련해주는 것이 올바른 방법일 것이다. 간단하고 안전한 협업데이터 보안 방안 ? 보안 웹하드, 보안 파일서버 데이터는 사용자에 의해 생성되고, 사용 또는 유통되며, 데이터의 효용성이 없는 경우에는 폐기되는 3단계의 Life-Cycle을 거친다. 이중에서 사용 및 유통단계에서 데이터의 유출이 가장 빈번하게 나타나고, 보안의 위협 역시 가장 많이 존재하기 때문에 이 단계에 대한 강력한 보안방안이 요구되는데, 보안이 적용된 보안 웹 하드나 보안파일서버를 협업 시 사용하여 데이터를 공유하면 간단하고 안전하게 협업데이터를 공유할 수 있다. 특히 웹 하드를 통한 데이터 공유의 경우 아이디와 비밀번호의 공유하는 경우가 많아 누가 어떻게 정보에 접근했는지, 정보의 유통 현황은 어떻게 되는지, 또 데이터 유출이 일어나더라도 그 사실을 알 수 없고, 이에 대한 통제도 불가능하기 때문에 협업 데이터가 유출될 위험성이 높다. 또한 많은 기업에서 공동 프로젝트를 진행하거나 협업을 위해 데이터를 수집, 저장하고, 유통하는 또 하나의 수단으로 활용되고 있는 파일서버 역시 간단한 사용자 인증을 통해 접근이 가능 하고, 사용이력이 전혀 남지 않아 데이터의 사용이나 반출에 대한 제어가 어려우며, 이로 인해 대량의 정보가 한꺼번에 유출될 위험이 높다는 치명적인 한계가 존재한다. 하지만 협업 데이터가 공유되는 수단인 웹 하드나 파일서버에 보안을 적용한다면 이러한 문제는 쉽게 해결될 수 있다. 보안이 적용된 사용자 단에서, 보안이 적용된 데이터를, 보안이 적용된 웹 하드나 파일서버를 통해 유통시키고, 다운로드 하는 협력업체의 사용자도 데이터를 보안이 적용된 사용자 환경으로만 다운로드 받을 수 있게 한다면 기존 환경의 변화 없이 보안을 적용할 수 있기 때문이다. 이를 통해 사용자의 편의성이나 업무효율성은 향상할 수 있으면서도 강도 높은 보안성과 안전성이 유지되는 협업 환경을 구현할 수 있다. 웹 하드나 파일서버에서 보안을 적용하면 사용자 인증을 거치고 인증이 통과된 사용자만이 데이터에 접근이 가능하며, 지정된 보안 형식 또는 암호화할 수 있는 영역으로만 다운로드 시킬 수 있도록 제어하기 때문에 중요 협업데이터의 유출을 방지한다. 보안을 적용하기 위해서는 협업에 앞서 협업을 진행하는 사용자만이 정보를 공유할 수 있도록 강력한 접근제어와 사용권한에 대한 관리자의 보안정책 설정이 가능해야 하는데, 권한이 있는 사용자만이, 허가되는 범위 내에서 데이터를 사용할 수 있도록 제어하도록 관리자는 사용자 행위 및 데이터 접근에 대한 권한을 설정하고, 세부적으로 데이터의 사용기간이나 인쇄 가능여부 등에 대해 설정함으로써 비인가자에 의한 유출은 물론 인가자에 의한 유출까지도 차단할 수 있는 보안방안을 제시해야 한다. 사용자 접근 제어와 함께 중요시되는 보안방안이 바로 암호화인데, 사용권한이 없는 비인가자의 무단 사용을 방지하고, 문서 또는 심지어 PC가 통째로 유출된 경우에도 해당 문서에 대한 확인이 불가능하게 함으로써 협력사와의 공유 환경에서도 높은 보안성을 유지하도록 해야 한다. 더 강력한 보안을 위해서라면 파일서버에 아예 암호화된 영역을 설정할 수도 있다. 강력하게 암호화된 영역에서 암호화된 영역으로만 반출, 반입이 가능하도록 함으로써 협업데이터가 USB와 같은 저장매체, E-Mail, 웹사이트 등을 통해 무단 유출되는 것을 원천 차단하는 방법이다. 그 외에도 인쇄, 복사&붙여넣기, 캡쳐, 이메일 첨부, 메신저 파일 전송, 이동형저장매체나 노트북 반출 등에 대한 기본적인 제어방안들이 제공됨으로써 예상 가능한 모든 유출 경로에 대한 차단이 이루어져야 하며, 사용현황에 대한 이벤트 별 이력관리를 통해 중요 데이터에 대한 현황파악 및 관리는 물론, 만일의 정보 유출 시 사후감사가 가능하도록 대비하여야 한다. 맺음말 지금까지 보안시스템적인 측면에 대해 중점적으로 기술했지만, 사실 이러한 보안시스템 적용 이전이나 이후에 인적 보안의 확립은 아무리 강조해도 지나치지 않다. 시스템을 도입하여 운영하는 주체도, 중요 정보를 유출하는 주체도 모두 사람이기 때문이다. 2009년에는 작년부터 시작된 경기침체의 본격화로 인해 생계형 범죄가 증가할 것으로 예측된다. 인사처우에 불만을 가지거나 고액의 금액 제안에 의해 기업의 중요 정보를 “판매하는” 케이스가 증가될 수 있으며 어려운 경기로 오랜 노하우와 정보를 한번에 획득하려 핵심정보를 노리는 손길 역시 늘어날 것으로 보인다. 기업의 중요 정보는 기업에 속해있는 중요 자산이며, 이를 유출하는 행위는 명백한 범죄행위임을 유념 해야 할 것이다. 또한 기업에 종사하는 임직원은 법에 의한 처벌이 무서워서가 아니라, 자신 스스로 정보 유출과 같은 부정한 수법을 통해 자신의 사익을 채우지 않도록 경계해야 할 것이다. 업무환경의 다양화와 빠른 정보의 이동 환경에 적합한 보안시스템의 운영과 함께 인적 보안이라는 요소는 필요충분조건이며, 이를 통해 정보유출방지는 물론 안전한 정보공유 환경의 실현이 가능할 것이다. 한 부분만 충족되었다고 해서 보안 위협을 피할 수 있는 것은 아니며, 당장의 피해가 없다고 해서 보안에 소홀히 해서는 안 될 것이다. 기업 데이터의 중요도를 인식하고 있는 기업이라면 기업의 업무 프로세스와 데이터의 이동 경로, 이동 경로 상의 내·외부의 사용자에 따른 총체적인 데이터 보안 방안에 대해 고민해야 할 것이다. [글 : 이재필 소프트캠프 부사장 jplee@softcamp.co.kr]
<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
