• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사무실 보안에 가장 취약한 것은 문서 복사 2007.11.16

[칼럼]복합기를 활용한 문서정보유출 방지

 

 

디지털 복합기 및 네트웍 프린터가 보편화된 기업의 사무실 환경에서 고객은 보다 효율적인 복합기 및 프린터의 관리와 더불어 기업에서 중요시되는 문서 보안까지를 하나로 통합한 솔루션을 원하고 있다. 그 이유는 사업기밀과 관련된 종이문서의 유출이 빈번하게 일어나기 때문이다.


디지털 복합기 및 네트워크 프린터가 보편화된 기업에 또 다른 변화가 오고 있다. 기업은 지금까지 새로운 장비를 구입해서 업무 생산성을 높이고 구매 가격이 가장 낮은 기기를 구매하는 것이 가장 커다란 구매 형태였다. 


하지만 고객은 보다 효율적인 복합기 및 프린터의 관리와 더불어 기업에서 중요시되는 문서 보안까지를 하나로 통합한 솔루션을 원하고 있다. 그 이유는 무엇일까? 사업기밀과 관련된 유출수법이 문제였다. 2007년 중소기업청 조사결과에 의하면 산업 기밀 유출관련 전체 수법 중 가장 큰 유형은 복사에 의한 절취이며 약 39.4% 해당하는 수치를 보이고 있다.


다시 말해서 보안에 가장 취약한 종이문서를 복사한다는 것이다. 이렇듯 이러한 수법이 큰 비율을 차지하는 이유는 사용 흔적이 남지 않기 때문이다. 그렇다면 사무기기인 복합기를 이용한 보안이란 어떠한 형태인지 알아보자.


현재 캐논의 디지털 복합기중 MEAP이라는 플랫폼을 탑재한 기기들이 판매되고 있고 이 복합기는 기본적인 복사, 프린터, 스캔, 팩스 이 외에 MEAP플랫폼에 JAVA로 만들어진 다양한 프로그램을 운영할 수 있다.


캐논에서는 복합기에 사용자를 인증할 수 있는 여러 가지 방식으로 인증 프로그램을 운영할 수 있다. 운영 형태에 따라서 사용자의 ID및 비밀번호를 입력하거나 IC카드를 이용하여 간단하게 인증을 받은 이후에 복합기를 사용할 수 있는 것이다. 인증을 거친 이후에는 복합기에서 사용되는 각종 작업들에 대한 LOG를 인증 정보와 함께 복합기에 저장하는 기능도 운영할 수 있다. 하지만 이러한 정보만으로도 복합기 사용자가 어떠한 문서를 복사했는지에 대한 정보는 확인 할 수 없다.


따라서 캐논의 CIMS(CANON Integrated Management System)과 MEAP기반의 복합기를 이용하게 되면 사용자 및 로그 정보 이외에도 이미지 정보를 동시에 저장할 수 있다.


또한 이러한 이미지 정보의 양이 많을 경우를 대비해 CIMS의 Document Sheriff라는 옵션을 이용하게 되면 저장된 이미지 파일을 자동으로 OCR(광학적 문자인식)해 TEXT 파일로 변화 한 후에 미리 설정한 중요 단어가 포함된 문서의 복사, 프린터 등이 실행되면 해당 작업에 대해 보안 관리자에게 메일로 통보하게 되어 문서 유출에 대한 대비를 할 수 있다.


사용자 인증 및 작업 이미지 저장 솔루션


사원증 및 학생증, 신용카드로 널리 보급되어 있는 IC카드를 복합기에도 그대로 사용할 수 있다. IC카드를 복합기에 장착된 리더기에 갖다 대기만 하면 사용자를 확인하여 인가된 사용자만 사용을 할 수 있다.


따라서 외부인을 철저히 통제하며 로그인 사용자별 로그를 저장하여 분석해 불필요한 사용에 대한 통제도 할 수 있다. 또한 AMS라는 기능을 확장하면 로그인한 사용자별로 권한을 조정해 컬러 등에 사용을 제한 할 수 있다.


복합기 및 프린터로 처리되는 문서의 양은 평균적으로 하루에 적게는 10Page에서 많게는 100Page 이상의 문서를 복사, 출력, 스캔, 팩스 등의 작업을 하고 있다. 또한 이러한 문서들의 내용은 아주 사소한 내용부터 아주 중요한 회사 기밀에 해당하는 문서도 있을 것이다.  대부분의 회사는 다양한 PC및 네트워크 보안장비를 갖추고 또한 성능을 갈수록 높여가고 있지만 복합기나 프린터로 처리되는 문서에 대한 정보유출에 대한 부분은 상당히 관대하게 여겨지고 있는 것이 현 실정이다.


캐논에서는 CIMS에 ‘IC카드 로그인Pack’과 ‘ImageStorage Pack’을 확장해 문서처리 과정(복사, 출력, 스캔 )에서 모든 문서를 사용자별로 구분해 작업과 동시에 해당 이미지를 스토리지 서버로 저장하고 또한 저장된 이미지는 고성능의OCR를 거쳐 Text화 되고 해당 Text중 중요한 단어가 들어간 문서를 찾아내 즉시 관리자에게 보안유출 경고 메시지를 보내게 되어 회사 기밀 유출에 신속히 대응할 수 있도록 할 수 있다.

 


팩스 보안 및 전자문서 암호화 솔루션


전화선을 이용해 주고받은 팩스는 문서 보안의 또 하나의 사각지대이다. 캐논에서는 시큐어 팩스 시스템을 이용해 누가 언제 어떤 문서를 주고 받았는지의 내용을 저장·확인할 수 있으며 웹팩스 송수신 이 외에도 캐논만의 MEAP을 이용해 복합기에서도 종이 팩스를 보낼 수도 있다. 또한 CIMS와 연계하여 통합 로그관리를 할 수 있다.


문서 스캐너를 이용해 전자화된 문서는 메일 또는 USB 메모리 등을 통하여 손쉽게 외부에 유출될 수 있다. 캐논에서는 복합기를 이용해 문서를 스캔 시 PDF 암호화 기능을 이용해 전자화된 문서도 철저히 관리할 수 있다. 또한 보다 정확한 문서의 보증을 위하여 공인 인증서를 포함한 PDF 문서를 생성하여 문서의 수정 여부를 확인할 수 있다.


이 외에도 최신의 복합기에는 PC와 동일하게 CPU, 메모리, HDD 등이 탑재되어 있고 복합기를 이용해 작업된 문서는 일시 또는 영구적으로 복합기내 HDD에 저장되게 된다. 따라서 복합기 또는 복합기 내부에 HDD를 도난당한다면 회사 내의 중요 정보가 유출될 위험이 있다. 캐논은 암호화 Kit를 이용해 HDD에 저장 시 모든 DATA를 암호화해서 저장하므로 HDD 해킹의 위협으로부터 안전하게 지킬 수 있다.

 

 

TIP

기업보안담당자가 지켜야 할 ‘보안13계명’ 


“해커들이 점점 더 전문화되고 상업화된 방식으로 악성코드 및 서비스를 개발·배포하고 사용하고 있다.” 시만텍은 최신 ‘인터넷 보안 위협 보고서’ 제12호를 통해 이와 같은 경고 메시지를 전달했다. 사이버 범죄자들은 계속해서 금전적 이득을 목표로 하고 있으며 더욱 전문적인 공격 방법, 툴, 전략을 활용해 악성활동을 계속하고 있다. 더욱 위험한 것은 해커들은 사용자들이 안전할 것이라고 신뢰하는 온라인 환경을 이용해 간접 공격을 실행하는 방식을 택하고 있어 위협이 더욱 가중되고 있다. 다음은 시만텍이 기업 보안담당자들에게 전하는 ‘기업 보안담당자가 지켜야할 보안 13계명’이다.


1. 특정 기술 또는 장애요소로부터 시스템을 보호하기 위해 복수의 방어 시스템을 중복적·교차적으로 구현하는 심도 있는 보안 관행을 적용한다. 이는 클라이언트 시스템에 대해 정기적으로 업데이트된 안티바이러스, 방화벽, 침입탐지 및 침입 시스템이 포함되어야 한다.

2. 불필요한 서비스를 비활성화하고 제거한다.

3. 하나 이상의 네트워크 서비스가 악성코드나 위협에 공격받을 경우, 패치가 적용될 때까지 해당 서비스를 비활성화 시키거나 접근을 막는다.

4. 항상 최신 패치를 적용 및 유지하고 특히 HTTP, FTP, 메일, DNS 서비스 등 방화벽을 통해 접근 가능한 퍼블릭 서비스를 실행 중인 컴퓨터의 관리에 유의한다.

5. 감염된 모바일 사용자들을 네트워크에 접근하지 못하도록 하고 모든 네트워크에 들어오기 이전에 필요한 요건을 충족시킬 수 있도록 네트워크 컴플라이언스 솔루션 도입을 고려한다.

6. 패스워드 정책을 수립·시행한다.

7. 이메일 서버에서 신속하게 격리하여 추가적인 감염을 방지한다. 사후 분석을 수행하고 컴퓨터를 신뢰할 수 있는 미디어에 복구한다.

8. 감염된 컴퓨터를 신속하게 격리하여 추가적인 감염을 방지한다. 사후 분석을 수행하고 컴퓨터를 신뢰할 수 있는 미디어에 복구한다.

9. 직원들에게 첨부파일을 함부로 열지 말도록 교육한다. 또 바이러스 스캔 작업을 거치기 전에는 인터넷으로부터 다운로드 한 소프트웨어를 열어 보지 않도록 주지시킨다.

10. 비상 대응 절차를 구현한다. 여기에는 외부 공격으로 인한 심각한 데이터 손실로부터 복구하기 위한 백업·복구 솔루션이 포함되어야 한다.

11. 보안 예산의 필요성에 대한 경영진 교육을 실행한다.

12. 보안 환경의 테스트를 통해 적절한 통제 환경이 구축되었는지 확인한다.

13. 파일 공유 프로그램, 무료 다운로드, 프리웨어/쉐어웨어 소프트웨어를 통해 컴퓨터에 자동적으로 설치될 수 있는 보안 리스크와 이메일 메시지의 첨부파일 링크 또는 인스턴트 메시징 클라이언트 등을 통해 노출될 수 있는 위험에 주의한다. 또한 기업 내부적으로 승인된 애플리케이션만을 데스크톱에 설치하도록 주의해야 한다.

 

[월간 정보보호21c 통권 제87호 길민권 기자(info@boannews.com)]

             

             <저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>