모든 문서암호화...외부 저장 매체사용 원천 차단

문서 반출 및 복호화시, 상급자 3명중 1명이상 승인 필수

최근 기업의 내부정보유출 방지를 위한 솔루션도입과 함께 보안시스템 강화 움직임이 활발하게 진행되고 있다.

올들어 사내 보안시스템을 구축한 KCC와 사내통합그룹웨어 ‘아이리스 시스템’에 대한 보안시스템을 강조하는 DRM을 도입한 동국제강그룹, 그리고 STX팬오션은 150억원을 투입해 IT시스템을 구축하면서 사내경영정보와 기술 및 시스템보안을 위한 보안시스템을 한층 강화한다는 계획하에 추진하고 있는 중이다.

특히 KCC는 국내 최초로 실리콘 모노머 생산기술을 차세대 수익창출원으로 판단, 최근 해외에도 대규모 투자가 이루어지는 등 신사업 추진과정에서 보안시스템의 필요를 인식해 최고경영층의 지시하에 보안시스템 구축을 추진했다. 

KCC 경영정보실 서광호 부장은 “대기업 외부정보유출 사례가 지속적으로 발생하는 가운데 최고경영층으로부터 지난해 초 보안시스템 구축을 철저히 하라는 지시하에 본격적으로 사업에 착수하게 됐다”며 “통합보안시스템을 PC보안 및 문서보안에 집중해 문서의 외부 유출에 대한 철저한 보안시스템을 구축하여 지난 3월 21일부터 가동중에 있다”고 밝혔다.

또한 그는 도입 배경에 대해 “KCC의 기술 및 관리부문의 중요 전자문서의 보안을 위하여  PC보안 및 PC-DRM 솔루션을 도입함으로써 비인가된 사용자의 접근을 통제하고 인가자에 의한 정보 무단 유출을 원천적으로 방지할 수 있는 통합전산보안 시스템을 구축하고자 한 것”이라고 덧붙였다.

현재 이 시스템은 KCC본사와 중앙연구소, 전주1. 2. 3 공장에서 우선적으로 가동중에 있으며 운영 후 보완할 점을 수정하여 점차 전사에 적용을 확대할 방침이다.

◆외부 해킹 방지 및 웜바이러스 감염 방지 = KCC PC보안의 주요 기능으로는 PC방화벽을 통해 IP 및  Port를 제어하고 불법적인 네트워크 트래픽에 의한 침입탐지, 외부로부터 해킹 방지 및 웜바이러스에 의한감염을 방지해준다. 또한 FDD, USB, CDRW 등 각종 매체의 사용을 제한하고 파일 전송시 원본이 남게돼 관리자에게 통보된다.

한편 특정 IP로는 변경할 수 없도록 IP설정을 제어하고 이는 IP제어를 통한 효율적인 자원관리를 하며, PC환경은 사내 망과 사외 망으로 구분되어, 사외 망으로 분류되었을 경우 적합한 절차를 거치지 않으면 모든 매체와 통신 차단, 로그인창으로 인한 화면 차단 등 PC자체를 사용할 수 없게 된다. 

 

<KCC 통합보안시스템은 복호화된 문서를 반출시 반드시 상급자의 승인이 있어야 한다. 복호화문서반출 신청화면 이미지>

 

◆모든 문서 암호화...유출된다해도 열람 불가능 = PC-DRM(Digital Rights Management)의 주요 기능을 살펴보면 문서를 생성해 PC에 저장 시 모든 문서는 암호화돼 저장되고 불법 유출시 열람이 불가능 하도록 돼있다. 또한 암호화된 문서의 저장, 편집을 통제하고 열람횟수와 인쇄횟수를 지정해 제한할 수 있다. 문서의 사용기간을 지정해 사용기간이 초과된 경우도 문서 열람을 제한할 수 있다.

암호화된 문서는 키보드 또는 공개된 캡쳐 툴을 이용해 캡쳐가 되지 않도록 돼 있고 암호화된 문서를 프린터로 출력시 인쇄물에는 지정된 형식의 워터마킹 문구(출력 파일명, 출력자 계정, 회사명, 소유권 문구)가 삽입돼 출력되는 기능을 가지고 있다.

◆특이행동 사전 탐지 = 통합보안시스템은 사내 PC사용 환경에서 일어나는 매체, 메일, 통신 등을 이용한 파일 전송 및 침입 탐지 내역, 불법 프로그램의 실행 내역 등이 모두 서버로 전송되어 통계 자료로 만든다. 또한 외부 저장 매체의 기본 사용은 원천적으로 차단되며 결재를 통해 사용 가능하더라도 FDD, USB 등의 이동 가능형 매체의 경우 파일복사, 이동 등 파일 전송에 대한 원본 파일이 서버로 전송되어 관리된다.

◆문서유출 철저히 통제 = 현재 사용하고 있는 그룹웨어 메일의 경우 사내메일과 사외메일로 구분되며 그룹웨어를 통해 사외메일 발송시에는 파일을 첨부할수 없다. 또한 아웃룩 익스프레스의 사용은 통제되고 암호화된 문서는 적법한 철차를 거치지 않고 외부로 유출될 경우 외부에서 열람이 불가능하고 또한 적법한 절차를 통해 반출했더라고 권한이 없는 외부인에게 전달했을 때에는 열람할 수 없다. 

◆문서 외부 반출 절차 복잡해... = 암호화된 문서를 외부로 반출시 원문으로 반출해야 하는 경우는 복호화 반출 절차를 거쳐야 한다. 복호화 반출 절차는 상위 3명 중 한 명의 승인 절차를 거쳐야 하고 승인을 얻은 경우에는 암호화된 문서를 원문으로 저장할 수 있으며 원문을 메일로 보낼 수 있는 기능을 제공한다.

또한 KCC 그룹웨어 시스템에서 사외로 첨부파일 메일을 보낼 경우 적법한 절차를 거치지 않고는 보낼 수 없다. 첨부파일을 외부 사용자에게 전달해야 할 경우 DRM을 통한 외부반출 기능을 이용해 메일발송을 할 수 있다. 외부 반출 시 ACL(Access Control List)을 통해 열람 횟수, 인쇄횟수, 유효기간, 저장, 편집 기능 여부 등을 설정할 수 있으며 외부 사용자는 반출시 제한된 보안 정책에 의해 첨부파일을 열람할 수 있도록 돼 있다. 또한 기본보안정책을 초과해 외부 반출시에는 상위자 3명 중 한 명의 승인을 득한 경우에 한해 반출이 가능하고 암호화된 문서를 적법한 절차를 거치지 않고 외부로 유출시에는 외부 열람이 불가능하다.

KCC 서광호 부장은 “보안을 위해서 직원들이 어느 정도 불편함을 감수 해야 한다. 시스템 도입전에 보안교육을 실시해 직원들이 충분히 인지하고 있고 회사일만 집중한다면 이전과 비교해 큰 불편을 느끼는 일은 없을 것”이라며 “보안시스템이 내부정보 유출방지의 효과도 있지만 직원들의 업무 집중도를 높여 생산성 향상에도 도움이 되지 않을까 생각한다”고 말했다. 

또한 그는 “보안은 물리적보안, 시스템보안, 프로세스보안 등 위험요소별로 분류할 수 있다”며 “그 중에서 제일 중요한 보안요소는 인적보안이다. 직원들의 보안의식 고취와 보안습관을 끌어올리는 것이 보안의 첩경”이라고 강조했다.

KCC 전산부 윤훈섭 과장은 “현재 보안전담팀은 없지만 이번에 통합보안시스템을 구축한 업체에 로그분석리포트와 특이행동에 대한 리포트 개발을 요청하였으며 주기적으로 모니터링 할 계획이다”라며 “최적의 솔루션과 이에 대한 관리상 시스템만 구축돼 있다면 굳이 전담팀이 없어도 충분하다”고 밝혔다.

KCC 통합보안시스템은 1차 적용 사업장에서 나온 문제점들을 보완해 안정화 후 상반기 내에 전사에 적용할 방침이다.

[길민권 기자(boannews@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com). 무단전재-재배포금지.>