──────────────────────────────────────────────
AI DLP 솔루션 작동 메커니즘 소개
──────────────────────────────────────────────
──────────────────────────────────────────────
소만사 블로그 보러가기 ↓↓↓
PRESS
PRESS
칼럼
[CEO 보안칼럼] “다윗은 언제나 골리앗을 이긴다”
2024-11-15
URL 복사
“기술력 축적과 끈기로 기다리고 있으면 별의 순간은 반드시 온다”
국내 보안 솔루션 기업은 외산 보안 솔루션 대비 투자 환경이 크게 뒤쳐진다.
외형적으로 볼 때 시가 총액이 백대일인 경우가 많다.
예를 들면 10조 vs 1천억이다. 이정도의 외형 차이가 날 경우에 이길 가능성은 전무하다고 해도 과언이 아니다.
다윗과골리앗의 싸움이 아니라 계란으로 바위 치기이다.
설령 기술력이 크게 차이가 나지 않다 하더라도 외산제품에 대한 신뢰도가 높은 실무자들이 국산솔루션으로 갈아타는 것은 쉽지 않다.
특히 민간 대기업은 공공과는 달리 국내제품을 우선적으로 구매해야할 당위성도 없기 때문에 더욱더 여지가 없다.
그런데 놀랍게도 필자가 27년동안 사업을 한 경험으로 볼 때, ’다윗은 언제나 골리앗을 이길 수 있다.’라는 것이 결론이다.
어쩌다 가끔씩 이기는 것이 아니라 확실하게 이기는 방법이 있는 것이다.
도대체 무슨 일이 있었던 것일까.
힌트는 미국 자본시장의 활발한 인수합병에 있다. 미국기업은 초창기 10년동안은 대세 상승기이다. 기업공개(IPO)를 하고 욱일승천하면서 기세를 확산한다.
그런데 10년이 지나면서는 기세가 조금씩 꺽이는 경우가 발생한다. 시간이 지나면서 컴퓨팅 환경이 바뀌고, 보안의 패러다임이 바뀐 것이다.
퍼블릭클라우드 기업이 프라이빗 클라우드 영역까지 치고오니, 프라이빗 클라우드의 강자인 브이엠웨어(VMware)가 예전만하지 못한 것을 들 수 있다.
시트릭스(CITRIX)의 동영상 압축기술은 20년전에는 독보적이었는데 지금은 보편적인 기술이 되었다.
파이어아이가 초창기에는 동시에 수천개의 샌드박스을 관리하는 독보적인 기술로 각광받았는데,
엔드포인트에서 직접 악성코드 분석하는 EDR솔루션이 대세가 되면서 샌드박스 관리기술은 가치가 평가절하되었다.
이렇게 흔들리다가 결국은 최종 단계로 사모펀드로 인수합병을 당한다. 그리고 라이선스 폭탄이라는 정해진 미래(?)가 다가온다.
사모펀드는 결코 장기적으로 회사를 운영하지 않는다. 3년, 최대 5년내 인수합병비용을 털어내서 엑싯하는 것이 목표이다.
가장 쉬운 방법이 라이선스를 상향하는 일이다. 30%가 아니라 3배~5배씩 올리는 것이다.
고객은 볼멘소리를 하지만, 락인(lock in)이 걸려있어서 솔루션을 다른 것으로 교체하는데 꽤 많은 시간이 소요된다.
어떨땐 2-3년이 걸리기도 한다. 그동안은 꼼짝없이 끌려다닐 수밖에 없다.
오라클 같은 인프라 솔루션의 경우에는 교체가 거의 불가능하다. 금융자본주의의 꽃인 사모펀드는 냉혹한 머니게임이며, 장기적인 고객의 신뢰는 안중에도 없다.
그런데 이때가 다윗이 골리앗을 반드시 이기게 되는 별의 순간이다. 고객이 국내 회사에게 드디어 SOS를 치게 된다.
여기서 중요한 전제는 외산제품을 대체할 수 있는 수준의 기술력 축적이 반드시 있어야 한다는 것이다.
외산제품이 언제 사모펀드에 인수합병될지는 아무도 모른다.
어떨때는 10년, 15년을 기다려야 할 수도 있다. 재무적인 안정성을 바탕으로 기술인력을 키우면서 기다려야 한다.
적자가 지속되는 기업에 제대로된 기술인력이 남아있을리가 없다. 직원 이탈이 계속되는 기업에 기술축적은 요원한 일이다.
기술력을 축적하고 고객사에게 신뢰를 조금씩 축적하면서, 고래힘줄 같은 끈기로 기다리고 있으면 별의 순간은 반드시 온다.
소만사는 이러한 방법으로 외국 S사를 DLP부분에서 국내에서 몰아냈다. 15년이 소요된 것 같다.
그리고 동일한 방법으로 데스크탑 가상화 분야에서 V사와 C사 솔루션을 국내에서 조금씩 대체해 나가면서 고객 신뢰를 확보하고 있었다.
현재까지 10번 소만사 제품으로 교체 프로젝트를 수행한 바 있다.
그런데 너무나 우연하게도 외산 V와 C사가 최근에 사모펀드에 인수되었다.
그리고 앞으로 1~2년 내에는 라이선스 폭탄이라는 예정된 시한폭탄이 올 것이다.
상대적으로 적은 시장에서 고생하고 있는 국내 소프트웨어 업체에게 다시 한 번 당부하고 싶다.
기술력을 축적하고 기술 인재를 키우고 기다려라.
그려면 반드시 외산제품이 자멸하는 시기가 오게 된다. 다윗은 반드시 골리앗을 이긴다.
(글. 김대환 소만사 대표이사)
출처 : 데일리시큐(https://www.dailysecu.com)
PRESS
칼럼
[보안칼럼] ‘제로 트러스트’는 신기루인가, 아니면 오아시스인가?
2024-04-16
URL 복사
▶소만사 김대환 대표이사
[보안칼럼] ‘제로 트러스트’는 신기루인가, 아니면 오아시스인가?
분야는 특히나 유행에 민감하다. 트렌드가 바뀌면 민첩하게 옷을 갈아입고, 해당 분야 전문업체라고 목소리를 높인다.
대체로 3년마다 이런 물결이 반복된다. 때문에 고객들은 이들을 양치기 소년처럼 바라보기도 한다.
현 시점 보안 핵심 트렌드는 단연코 ‘제로 트러스트’이다. 항간에서는 제로 트러스트, AI보안 키워드가 포함되어야만
투자가 성사된다는 말이 나오기도 한다. 그러나 필자를 포함한 많은 이들은 ‘제로 트러스트’ 보안체계의 정의에 대해 쉽게 설명하지 못한다.
과연 ‘제로 트러스트’ 보안 트렌드는 내년이면 아무도 모르게 잊힐 신기루일까, 아니면 향후 10년간 길게 이어져 나갈 보안의 오아시스일까?
먼저 ‘제로 트러스트’ 보안체계가 탄생하게 된 배경부터 생각해본다.
IT보안분야가 직면하고 있는 가장 중요한 도전은 ‘클라우드 컴퓨팅’ 환경의 확대이다.
클라우드 컴퓨팅은 언제, 어디서든 원하는 서비스에 접근할 수 있는 기술이다. 사용자들은 이를 통해 업무 효율성을 확보한다.
서비스 자원추가가 필요할 경우 즉각적으로 조정하여 추가 용량을 확보할 수 있으며,
시스템 형상도 최신환경으로 손쉽게 유지할 수 있다는 장점이 있다.
‘클라우드 컴퓨팅’은 위와 같은 강점을 바탕으로 ‘퍼블릭 클라우드’ 혹은 ‘프라이빗 클라우드’로
향후에도 더욱 더 영향력을 넓혀갈 것임에는 의심의 여지가 없다.
그러나 보안관점에서의 ‘클라우드 컴퓨팅’은 우리에게 반드시 해결해야 할 만만치 않은 숙제를 남겨 주기도 한다.
클라우드 환경으로 전산인프라를 이전하면 보안 수준이 크게 높아진다는 말이 있다.
이는 사실이 아니다. 컴퓨팅 인프라가 사내가 아닌 회사 바깥에 있기에 오히려 개인정보 유출통제,
감사증적 확보, 인증 및 신분증명 측면에서 도전적인 문제를 야기한다.
보안담당자는 회사 밖에서 사내기밀정보가 열람될 경우 정보유출 방지를 위해 면밀하게 통제해야 할 필요가 있다.
외부 단말에 고객 개인정보가 다운로드 되는 일도 반드시 차단해야 할 것이다.
클라우드 서비스에 접속한 사용자의 세부 접속기록을 확보하는 일도 내부시스템과 비교했을 때 결코 쉬운 일이 아니다.
외부 접속자의 신원확인 절차는 철저하게 처리되어야 하며, 외부 단말은 악성코드 감염에 취약하기에 차단대책 역시 강화되어야 한다.
악성코드에 감염된 단말이 서비스에 접근하더라도 시스템은 무너지지 않아야 한다.
회사 외부로부터의 접근은 아무것도 믿을 수 없다는 ‘신뢰제로(Zero Trust)’ 전제에서 시작되어야 한다.
이러한 흐름 속에서 ‘클라우드 컴퓨팅’에 대한 보안전략을 재정의해야 할 필요성이 적극적으로 대두되었다.
그 결과물이 ‘제로 트러스트’ 보안체계이다.
현재 ‘제로 트러스트’는 미국 정부에서 적극적으로 추진하고 있다.
미 정부 역시 자국 공공시스템에 클라우드 인프라를 적극적으로 접목해온 것으로 알려져 있다.
‘제로 트러스트’는 보안기업에 따라, 이해관계에 따라 다양한 입장을 표방하고 있으며
널리 받아들여지는 개념 중 하나는 ▲인증, ▲디바이스, ▲네트워크, ▲애플리케이션, ▲데이터 등
총 5가지 축을 기반으로 지속적으로 보안 성숙도를 높여가는 것이다.
예를 들면 ▲백그라운드에서 지속적으로 본인여부를 확인하는 강화된 인증
▲네트워크 영역 세분화(마이크로 세그멘테이션, 망분리, 소프트웨어 정의 네트워크) ▲네트워크 이상행위 분석
▲개인정보 및 기밀정보 유출통제 조치 ▲행위기반 악성코드 통제 ▲단말 및 서버 가상화 등이 ‘제로 트러스트’기반 기술에 해당된다.
사실 새로운 것은 없다. 보안분야에서 수년 전부터 대두되어왔던 것들이 대다수이다.
결국 개별적으로 논의되던 기술이 ‘클라우드 컴퓨팅’ 시대에 들어와 체계적으로 정리된 것이 ‘제로 트러스트’ 보안체계라고 할 수 있다.
‘제로 트러스트’ 시대에는 기존에 없었던 전문 보안 솔루션이 탄생하기도 할 것이다.
그러나 대부분 기존 보안 솔루션에 ‘제로 트러스트’ 관점을 입혀 성장하게 될 것이다.
제품을 도입하는 기업/기관 입장에서는 ‘제로 트러스트’관점에서
보안 솔루션을 ‘오케스트레이션’하는 것이 주된 과제가 될 것이다. 업무 특성에 따라 선제적으로 도입해야 할 솔루션도 달라질 것이다.
‘제로 트러스트’를 향한 여정은 멀고 험난할 것이다. 현실은 사내 중요한 개인정보가 어디에 얼마나 있는지
전수검사도 제대로 못하고 있는 것이 현재 보안수준이기 때문이다. 업무PC가 몇 대인지, 외부반출 노트북이 몇 대 인지,
단말 자산파악도 제대로 되지 않는 곳도 있다는 것이 보안의 불편한 진실이다.
‘제로 트러스트’ 체계 도입에 적극적인 미국 국방부 역시 이를 위해 5~10년정도의 기간을 두고 성숙도를 높여가고 있다.
결국 모든 것은 투자여력과 전문인력 문제로 귀결되기도 한다.
‘제로 트러스트’ 보안을 위해서는 경영진, 더 나아가서는 CEO의 적극적인 관심과 투자가 필수적일 수밖에 없는 이유이다.
[글. 김대환 소만사 대표이사]
PRESS
칼럼
[보안칼럼]개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다
2024-04-01
URL 복사
개인정보가 어디에 있는지 알아야 개인정보를 보호할 수 있다
필자는 데이터보호 전문업체를 28년째 이끌고 있다. 30년간의 데이터 보호 트렌드를 간략하게 요약하면 초기 10년은 산업기밀 유출방지에 초점이 있었다. 모 전자 반도체 핵심기밀 유출사건 등이 배경이 됐다. 웹메일이나 USB 파일복사 등을 통한 기밀정보 유출을 차단하는 솔루션이 첨단기밀 산업체에 도입되는 계기가 됐다.
2008년 이후부터는 고객 개인정보보호가 데이터 보호의 중심에 서게 된다.
2008년 옥션 개인정보유출사고를 비롯하여 연이은 1000만건 이상 유출사고와 2011년 개인정보보호법 제정이 변곡점을 만들어냈다. 기존 개인정보 유출통제뿐만 아니라 개인정보 암호화와 접근통제, 접속기록 관리조치가 강화됐다. 2023년 전면 개정된 개인정보보호법은 형사처벌규정을 대폭 완화하고, 과징금 체계를 강화하는 변화를 이끌어냈다. 특히 중대한 과실이 발생할 경우 전체매출 3% 과징금이 시행됨에 따라 향후에도 개인정보는 데이터보호의 중심축이 될 것으로 기대된다.
개인정보보호의 첫걸음은 ‘고객의 개인정보는 도대체 어디에 있을까?’에 대한 기본질문에 대해 답하는 것이다. 지극히 당연한 말이다. 보호대상이 어디에 얼마나 있는지 정확히 알아야 보호할 수 있다. 그러나 이 당연한 것을 제대로 수행하는 기관이 별로 없다는 것이 불편한 현실이기도 하다. 회사에서 관리하는 고객개인정보는 데이터베이스 관리시스템(DBMS)에 테이블이라는 형식으로 저장돼 있다. 또는 서버에 파일형식으로 저장돼 있기도 하다. 물론 개인정보 취급자 개인용컴퓨터(PC)에도 다운로드해 저장돼 있기도 한다. 데이터 형식 측면에서 볼 때 텍스트 포맷 뿐만 아니라 이미지 스캔파일로 보관된 경우도 적지 않다. 이처럼 회사에서 운영되고 있는 모든 서버와 단말에는 개인정보가 저장되어 있을 잠재적 가능성이 있다. 그러나 개인정보 현황을 전수검사해 정확하게 파악하고 있는 기관은 10%가 채 되지 않는다.
개인정보보호 컨설팅 프로젝트엔 기관에서 관리 중인 개인정보파일 조사과정이 반드시 포함돼 있다. 이는 컨설턴트와 보안 담당자 인터뷰를 통해 진행된다. 컨설턴트는 개인정보가 얼마나 있는지 고객에게 질문한다. 보안담당자는 자기가 알고 있는 범위에서 최선의 답변을 주는 것으로 조사는 종료된다. 이처럼 형식적인 절차로 마무리된다. 과연 우리 회사에서 관리하고 있는 개인정보파일은 보안담당자가 알고 있는 내용 외에는 없을까?
정답은 예상하는 바와 같이 ‘보안담당자가 알지 못하는 곳에 수천만건의 개인정보가 여전히 보관돼 있음’이다. 10년 전에는 단일 서버에서 주민번호가(중복포함) 1억건 발견되는 사례도 있었다.
불편한 진실이지만 지금도 현장조사에서 수백만건의 개인정보가 무단으로 저장된 서버를 발견하는 것이 드물지 않다. 암호화, 파기, 유출통제 모두 개인정보가 어디에 있는지 알아야 제대로 할 수 있다.
PC내 개인정보파일 전수검사는 개인정보보호법 시행 13년이 지난 지금은 대부분 완료됐다.
이에 따라 PC내 개인정보파일의 파기, 암호화 그리고 유출통제도 대부분 완료됐다. 그러나 서버는 여전히 무풍지대다.
다행히 금융감독원은 수년 전부터 보안점검 시 서버의 개인정보 보유현황 점검을 포함했다. 금융기관은 DBMS와 파일서버에 저장된 개인정보파일을 전수검사하고 있으며, 이미지 파일로도 범위를 넓히고 있다. 그러나 나머지 기업과 공공기관의 서버 개인정보파일 전수검사 진행은 시작단계에 머멀러 있다. 지속적인 관심이 없는 한, 현재 상태로는 10년 후에도 지금과 큰 차이가 있을 것 같지 않다.
개인정보보호에 있어 가장 근본적인 질문을 다시 한번 던져보고 싶다.
PRESS
칼럼
논리적 망분리가 향후 망분리의 대세가 될 수밖에 없는 이유
2021-10-29
URL 복사
‘망분리’는 악성코드 유입차단과 개인정보 유출통제 때문에 도입된 망 차단조치다.
보안에 대한 경각심이 부쩍 높아진 2014년부터 전면적으로 도입되기 시작했고,
벌써 7~8년이상 운영/유지되고 있다.
현재 금융기관은 ‘전자금융감독규정’을 통해 인터넷 망분리를 명시화하고 있다.
정보통신망법에서도
‘개인정보 취급서버에 접근하는 단말은 반드시 망분리해야 한다”고 규정하고 있다.
망분리는 ‘물리적인 방식’과 ‘논리적인 방식’ 두가지가 있다.
물리적인 방식은 물리적으로 PC를 두 대 운영한다.
터넷이 물리적으로 단절되었기에 모든 보안업무에서 해방된 것은 아니다.
내부망 보안을 위해 PC OS패치, 소프트웨어 업데이트, 안티바이러스 등
보안솔루션 업데이트를 주기적으로 수행해야 한다.
이때 내부망의 PC와 인터넷망의 PC사이 자료 교환을 위해서 ‘망연계 솔루션’을 사용한다.
논리적인 방식은 인터넷 접속망에 PC 가상화 서버들을 두고,
해당 서버에 수백~수천개의 PC이미지를 형성하는 방식으로 이루어진다.
내부망에 위치한 PC는 가상화 서버에 생성된 가상 PC에 접속,
가상PC를 통해 웹 브라우징을 수행한다.
내부망 PC와 가상 PC는 화면제어정보만 공유할 뿐 실제 파일 데이터를 공유하지 않는다.
보안성 자체만을 비교하자면 물리적인 방식이 조금 더 우위에 있다고 볼 수 있다.
국방 및 특수 정보기관이 불편함을 감수하면서도 물리적인 망분리를 선택하는 이유이기도 하다.
그러나 사용 편리성과 관리 편의성 관점으로는 ‘논리적 망분리’가 우위에 있다.
업무 효율성을 고려할 수밖에 없는
대다수의 민간기업과 금융기관이 논리적인 망분리를 선택하는 이유이다.
재택근무시 물리적 망분리는 적용 자체가 불가능하기 때문에 논리적 망분리만을 적용할 수밖에 없다. 중요서버에 접근하는 단말에 대한 망분리도 기존에는 물리적 망분리를 적용한 경우가 있었지만,
이제는 재택근무 때문에 모두 논리적 망분리로 변경되고 있다.
재택근무시 서버 장애대응을 위해서는
재택근무 직원이 최종적으로는 회사 주요 서버에 접근해서 시스템 장애를 복구해야 하는데,
물리적 망분리로는 이러한 조치가 원천적으로 불가능하기 때문이다.
기존에는 가격측면에서도 물리적 망분리와 논리적 망분리 방식에 큰 차이가 없었다.
상황에 따라 논리적 망분리 방식이 물리적 망분리 방식보다 더 높게 구축비용이 책정되기도 했다.
외산제품으로 논리적 망분리를 구축할 경우,
본사지침상 고가정책을 고수하기 때문에 비용차이가 더 두드러지기도 했다.
그러나 2021년 올해부터 가격측면에서의 균형추가 기울기 시작했다.
논리적 망분리 방식이 물리적 망분리 방식대비
절반가격으로 구축하는 사례가 다수 나오기 시작했기 때문이다.
논리적 망분리가 물리적 방식대비 절반가격이 가능한 이유는 크게 두가지이다.
첫번째, 인터넷 접속환경에 맞추어 가상화PC의 컴퓨팅 파워용량과 라이선스를
내부망 PC 대비 절반으로 구성해도 문제가 없기 때문이다.
회사 업무 중 70~80%는 문서작업과 내부 인트라넷 관련된 작업이다.
인터넷 접속이 거의 필요없는 업무이다.
인터넷 접속이 반드시 필요한 업무는 전체 업무 기준으로 30%에 불과하다.
따라서 상시적으로 인터넷 가상화 PC를 운영하지 않고
필요할 때만 동적 제공하는 방식으로 구성하면 필요한 컴퓨팅 파워를 대폭 줄일 수 있다.
예를 들어 임직원 1만명 규모의 기업에 논리적 망분리를 구축한다고 가정해보자.
동시에 인터넷을 사용하는 경우는 최대 약 5천명정도 될 것이다.
따라서 5천대의 가상 PC만 동시에 운영할 수 있는 환경이면 된다.
컴퓨팅 파워도 절반이고 망분리솔루션 라이센스도 절반만 구매하면 되는 것이다.
두번째는 올해부터 시작된 외산제품의 가격 합리화이다.
국내업체가 망분리 시장에 적극적으로 진입함에 따라, 시장가격이 대폭 합리화되기 시작했다.
경쟁이 있으면 결국은 가격경쟁이 촉발되고 최종적으로는 합리적인 수준에서 가격이 형성된다.
이제는 논리적인 망분리를 채택하지 않을 이유가 없다.
공공기관의 경우 10년전 초기 도입시 물리적 망분리 방식으로 상당수 도입됐다.
10년이 지난 지금, 망분리 재구축 시기가 다시 도래했다.
이제는 민간을 넘어 공공까지, 사용성이 편리하고 가격도 절반수준으로 구축가능한
논리적 망분리 방식이 망분리의 대세가 될 것으로 예상해본다.
글. 김 대 환, 소만사 대표이사
PRESS
칼럼
왜 한국은 외산 DLP의 무덤이 되었을까
2021-04-30
URL 복사
외산보안 제품과 국내보안 제품은 태생적으로 개발투자금액이 20~30배 차이 난다.
한국기업이 30억 투자할 때 글로벌기업은 1,000억을 투자해서 개발한다.
따라서 최종 완성도 측면에서는 차이가 날 수밖에 없다.
그럼에도 불구하고 외산보안 제품은 생각보다 뿌리를 내리지 못하고 있기도 하다.
대표적인 분야가 DLP(Data Loss Prevention: 데이터 유출방지)이다.
10년 전 기세 좋게 국내에 진입했던 외산DLP솔루션은 조금씩 국내시장에서 철수하는 분위기이다.
해당제품을 10년 간 사용한 고객들은
“이제 더 이상 견디기 힘들다”는 고충을 국내기업에게 토로하기도 한다.
특히 인수합병 후 후유증을 겪고 있는 곳도 간혹 보인다.
라이선스 금액을 올리거나 유지관리금액을 대폭 상향해서
기존 고객들에게 실망을 안겨주기도 한다.
왜 이런 현상이 나타났을까?
시장은 고객과 함께 성장한다.
고객이 없으면 시장성장도 불가능하다. 반대로 고객이 있으면 시장도 자연스럽게 성장할 수 있다.
조선, 자동차, 중공업, 전자, 디스플레이, 반도체, 항공우주, 철강, 배터리, 화학 등
고부가가치 제조업이 발달한 곳은 DLP솔루션이 성장할 수 있는 충분한 토양이 된다.
글로벌 기업, 외산제품이라고 하지만 결국은 미국기업이고 미국제품이다.
그러나 미국은 DLP 솔루션 시장수요가 많지 않은 지역이다.
미국에는 세계적인 제조기업이 많지 않다.
이에 한국에서 미국 Best Practice를 수입하는 것이 아니라,
오히려 한국제조기업의 요구사항을 반영해 미국 DLP 로드맵을 수정해야 할 지경이다.
대부분의 IT솔루션은 미국기업이 다 장악하고 있다.
그러나 유독 독일기업이 장악하고 있는 분야가 있다.
누구나 알고 있는 곳이다. 바로 SAP이다.
SAP는 한 때 오라클을 넘보는 수준까지 도달했다.
지금도 시가총액 150조 이상으로 전세계 솔루션업체 중
상위에 랭크되어 있으며 쾌속순항 중이다.
SAP는 제조업이 발달한 독일에서 탄생했다.
SAP가 세계적인 솔루션으로 도약할 수 있었던 것은
SAP 생산관리솔루션인 ERP의 수요처가 가장 탄탄한 곳이 독일이었기 때문일 것이다.
현재 제조업이 크게 발달된 국가는 독일, 한국, 중국, 일본 등이 대표적일 것이다.
위와 같은 시장 생태계적 관점에서 볼 때 제조업체의 보안솔루션인 DLP는
오히려 한국에서 시작, 세계적으로 뻗어 나갈 수 있는 대표적인 솔루션이다.
특히나 한국은 로컬보안기업들이 20여년동안 기술력을 축적해온 바 있다.
분야 상관없이 시장환경만 제대로 주어진다면
3년 내로 외산 제품의 80%는 따라갈 수 있다.
5년이면 기능과 성능분야에서 넘어설 수 있다.
소프트웨어 분야에서 R&D 생태계가 잘 구축된 곳은 보안이 유일하기 때문이다.
DLP분야는 10년동안 한국기업이 도전해서 글로벌기업을 밀어내고 있는 대표적인 보안분야이다.
20년 전 시장은 외산기업이 절대강자였다.
한국기업의 한국 솔루션을 검토하면 그 회사 직원과의 친분관계를 의심받곤 했다.
성능, 기능은 부족하지만 ‘저렴한 가격, 고객적합화, 유지관리역량’을 내세워 읍소하기도 했다.
이제는 상황이 역전됐다.
“글로벌기업에게 휘둘리지 말고,
10년 이상 기술지원을 꾸준하게 하는 국산제품을 검토하십시오.
핵심기능과 성능에서는 이제 밀리지 않습니다.”라고
당당하게 말할 수 있는 상황이 되었다.
한 번 시계추가 기울기 시작하면 판세는 급격하게 달라질 수 있다.
국내 DLP 솔루션 업체의 국내 시장 석권은 이제부터 시작되었다.
5년 후에는 국내시장을 넘어 글로벌 진출도 가능할 것으로 기대한다.
[글. 소만사 김대환 대표]
https://www.dailysecu.com/news/articleView.html?idxno=123685
PRESS
칼럼
서버DLP가 언택트 시대의 DLP 중심이 된 이유
2021-04-29
URL 복사
서버 DLP는 서버 내 저장된 정보의 반출과 유출을 통제하는 기술을 의미한다.
과거 전통적인 DLP는 데이터가 회사 외부로 반출되는 것을 통제하는 역할을 했다.
서버에서 데이터를 조회한 후(1단계), 회사 PC에 데이터를 저장하고(2단계),
이후 외부로 반출/유출(3단계)하는 총 3단계를 통제했다.
회사통제범위를 벗어나는 대표적 채널은 크게 네 가지를 꼽았다.
USB 등 외부저장매체 복사, 메일 등 인터넷전송, 프린터를 통한 출력물,
마지막으로 노트북 등 디바이스 반출이다.
이에 따라 DLP는 PC, 노트북 등 엔드포인트 단말에서 USB 복사, 출력물 인쇄를 집중적으로 통제했다.
네트워크의 경우 인터넷으로 전송되는 모든 파일을 기록하고 통제하는 것을 기본으로 했다.
과거 서버DLP는 정보유출을 인지한 이후, 사고 역추적을 위해 도입되었다.
유출자가 어떻게 가장 먼저 데이터를 획득했는지 역추적을 위해
서버 반출내역까지 기록해야 할 필요가 있었다.
1단계 조회, 2단계 PC저장 기록기능은 부수적이며 고도화된 기능으로 인식됐다.
그러나 팬데믹 이후 비대면 생활이 기본이 되고,
재택근무가 뉴노멀로 자리잡게 되면서 상황이 달라졌다.
이제 우리는 회사PC가 아니라 집에 있는 PC를 통해
사내 네트워크에 접속한 후 사내 웹어플리케이션을 통해 업무를 수행한다.
집에서 사내망으로 접속한 후 직원들은 회사 웹어플리케이션에 바로 접속하여
데이터를 조회하거나 단말로 다운로드하게 된다.
이는 앞서 말한 1단계(조회)가 3단계(유출)로 이어지는 행동이 된다.
따라서, 중요정보를 체계적으로 보관하고 있는 서버 내 정보반출을 통제하고 추적하는 것이
DLP의 중요한 초점이 됐다. 이에 따라 서버DLP의 중요성이 부각되고 있다.
서버 DLP의 핵심기능은 Discover와 Prevent(Monitor)로 귀결된다.
Discover는 중요한 정보가 어디에 있는지 데이터 자산을 식별하는 행위이다.
주요 DBMS 테이블, 스토리지 서버에 저장된 파일에 기밀정보 또는 개인정보가 포함되어 있는지추적한다. 불필요한 정보는 삭제하여 유출위험을 해소하고,
보관된 파일은 암호화 저장하여 악용되지 않도록 보호한다.
Discover는 자산식별 기능이며, 가장 기본적인 기능이지만 제대로 사용하고 있는 곳은 생각보다 많지 않다.
DBMS에 저장된 데이터를 전수검사하는 것은 생각보다 어려운 일이기 때문이다.
실제로 비정형필드(CLOB, BLOB)에 저장된 데이터는 전수검사에 1주일 이상 걸리기도 한다.
스토리지 서버는 수백TB에 육박하기도 한다.
서버는 정의상 특정 개인의 소유가 아니기 때문에 방치된 데이터가 많이 발견되는 장소이기도 하다.
하나의 데이터 서버에서 1천만건의 주민번호가 발견되는 것은 일상다반사다.
이렇듯 검색에 오랜 시간이 소요되기 때문에 서버 내 정보를 검사하는 것은 검색속도가 핵심경쟁력이 된다.
Prevent는 사전통제라는 의미가 있고,
Monitoring은 사전통제보다는 정보수집 측면이 강조된 기술이지만
여기서는 Prevent로 통용하고자 한다.
Prevent는 서버로부터 외부로 전송되는 데이터를 실시간으로 분석한다.
데이터 안에 개인정보나 기밀정보가 포함되어 있을 경우 반출 전 사전통제한다.
예를 들어 서버 내에서 주민번호가 5건이상 포함된 파일을 다운로드하는 행위를 차단하는 것이 Prevent의 기능이다.
서버로부터 데이터를 반출하는 경로는 크게 3가지로 요약할 수 있다.
쿼리툴(Query Tool), 터미널 서비스, 그리고 웹이다.
서버에서 USB로 파일을 복사하여 반출하는 매우 드문 경우에 해당하며 대부분 서버의 USB포트는 차단되어있다.
DB서버는 쿼리를 통해서 데이터를 조회한다.
카드사 고객데이터 분석팀은 수시로 마이닝 작업을 하기 때문에
수백명이 지속적으로 고객데이터셋을 분석하는 쿼리를 던진다.
‘데이터 유출통제’ DLP관점에서는 ‘무엇을 조회했는가’가 아니라 ‘무엇을 가져갔는가’가 중요한 이슈가 된다.
따라서 응답값을 기록하고 저장하는 것은 Prevent에서 중요한 기능이다.
터미널 서비스는 유닉스 계열 텍스트기반 터미널서비스인 Telnet/SSH, FTP/SFTP가 대표적이다.
특히 FTP/SFTP는 파일 다운로드와 업로드에 특화된 터미널 서비스이다.
따라서 FTP/SFTP로 전송된 파일은 특별히 집중적으로 관리해야 한다.
윈도우 서버는 주로 RDP(Remote Desktop Protocol)와 같은 GUI기반의 터미널 서비스를 통해서 접근한다.
마지막으로 웹브라우저를 통해 웹어플리케이션에서 데이터를 조회하는 것은
서버 내 정보를 가져가는 대표적인 시나리오이다.
몇 년 전 정부기관에서 웹애플리케이션을 통해 다운로드한 데이터를 기반으로
국회에 질의한 적이 있었는데, 그 때 해당 데이터 안에 개인정보가 포함되어 있었다.
이후 다운로드된 데이터 내역을 모두 저장하는 규정이 개인정보관련 고시에 포함되기도 했다.
네트워크 DLP솔루션의 ‘Prevent’는 회사 외부로 나가는 웹데이터를 분석하는 기능이라면,
서버DLP의 ‘Prevent’는 회사 내부 웹애플리케이션 서버팜에서
(재택근무, 지사, 원격접속)사용자가 웹브라우저를 통해 조회한 데이터를 기록, 통제하는 것을 의미한다.
파일 다운로드 뿐만 아니라 웹화면 저장 및 재현까지
현재 서버DLP ‘Prevent’기능은 끊임없이 확장되고 있다.
클라우드 컴퓨팅, 모바일 컴퓨팅, 그리고 팬데믹 이후 언택트 시대에서는
네트워크 경계선이 더욱 희미해질 것이다.
따라서 단말(Endpoint)과 서버(Host)로 보안중심이 옮겨가는 것은 필연적인 일이 될 것이다.
서버DLP 역시 전통적인 DLP에서 비중을 계속 넓혀가며 확장될 것이다.
과거 전통적인 DLP는 데이터가 회사 외부로 반출되는 것을 통제하는 역할을 했다.
서버에서 데이터를 조회한 후(1단계), 회사 PC에 데이터를 저장하고(2단계),
이후 외부로 반출/유출(3단계)하는 총 3단계를 통제했다.
회사통제범위를 벗어나는 대표적 채널은 크게 네 가지를 꼽았다.
USB 등 외부저장매체 복사, 메일 등 인터넷전송, 프린터를 통한 출력물,
마지막으로 노트북 등 디바이스 반출이다.
이에 따라 DLP는 PC, 노트북 등 엔드포인트 단말에서 USB 복사, 출력물 인쇄를 집중적으로 통제했다.
네트워크의 경우 인터넷으로 전송되는 모든 파일을 기록하고 통제하는 것을 기본으로 했다.
과거 서버DLP는 정보유출을 인지한 이후, 사고 역추적을 위해 도입되었다.
유출자가 어떻게 가장 먼저 데이터를 획득했는지 역추적을 위해
서버 반출내역까지 기록해야 할 필요가 있었다.
1단계 조회, 2단계 PC저장 기록기능은 부수적이며 고도화된 기능으로 인식됐다.
그러나 팬데믹 이후 비대면 생활이 기본이 되고,
재택근무가 뉴노멀로 자리잡게 되면서 상황이 달라졌다.
이제 우리는 회사PC가 아니라 집에 있는 PC를 통해
사내 네트워크에 접속한 후 사내 웹어플리케이션을 통해 업무를 수행한다.
집에서 사내망으로 접속한 후 직원들은 회사 웹어플리케이션에 바로 접속하여
데이터를 조회하거나 단말로 다운로드하게 된다.
이는 앞서 말한 1단계(조회)가 3단계(유출)로 이어지는 행동이 된다.
따라서, 중요정보를 체계적으로 보관하고 있는 서버 내 정보반출을 통제하고 추적하는 것이
DLP의 중요한 초점이 됐다. 이에 따라 서버DLP의 중요성이 부각되고 있다.
서버 DLP의 핵심기능은 Discover와 Prevent(Monitor)로 귀결된다.
Discover는 중요한 정보가 어디에 있는지 데이터 자산을 식별하는 행위이다.
주요 DBMS 테이블, 스토리지 서버에 저장된 파일에 기밀정보 또는 개인정보가 포함되어 있는지추적한다. 불필요한 정보는 삭제하여 유출위험을 해소하고,
보관된 파일은 암호화 저장하여 악용되지 않도록 보호한다.
Discover는 자산식별 기능이며, 가장 기본적인 기능이지만 제대로 사용하고 있는 곳은 생각보다 많지 않다.
DBMS에 저장된 데이터를 전수검사하는 것은 생각보다 어려운 일이기 때문이다.
실제로 비정형필드(CLOB, BLOB)에 저장된 데이터는 전수검사에 1주일 이상 걸리기도 한다.
스토리지 서버는 수백TB에 육박하기도 한다.
서버는 정의상 특정 개인의 소유가 아니기 때문에 방치된 데이터가 많이 발견되는 장소이기도 하다.
하나의 데이터 서버에서 1천만건의 주민번호가 발견되는 것은 일상다반사다.
이렇듯 검색에 오랜 시간이 소요되기 때문에 서버 내 정보를 검사하는 것은 검색속도가 핵심경쟁력이 된다.
Prevent는 사전통제라는 의미가 있고,
Monitoring은 사전통제보다는 정보수집 측면이 강조된 기술이지만
여기서는 Prevent로 통용하고자 한다.
Prevent는 서버로부터 외부로 전송되는 데이터를 실시간으로 분석한다.
데이터 안에 개인정보나 기밀정보가 포함되어 있을 경우 반출 전 사전통제한다.
예를 들어 서버 내에서 주민번호가 5건이상 포함된 파일을 다운로드하는 행위를 차단하는 것이 Prevent의 기능이다.
서버로부터 데이터를 반출하는 경로는 크게 3가지로 요약할 수 있다.
쿼리툴(Query Tool), 터미널 서비스, 그리고 웹이다.
서버에서 USB로 파일을 복사하여 반출하는 매우 드문 경우에 해당하며 대부분 서버의 USB포트는 차단되어있다.
DB서버는 쿼리를 통해서 데이터를 조회한다.
카드사 고객데이터 분석팀은 수시로 마이닝 작업을 하기 때문에
수백명이 지속적으로 고객데이터셋을 분석하는 쿼리를 던진다.
‘데이터 유출통제’ DLP관점에서는 ‘무엇을 조회했는가’가 아니라 ‘무엇을 가져갔는가’가 중요한 이슈가 된다.
따라서 응답값을 기록하고 저장하는 것은 Prevent에서 중요한 기능이다.
터미널 서비스는 유닉스 계열 텍스트기반 터미널서비스인 Telnet/SSH, FTP/SFTP가 대표적이다.
특히 FTP/SFTP는 파일 다운로드와 업로드에 특화된 터미널 서비스이다.
따라서 FTP/SFTP로 전송된 파일은 특별히 집중적으로 관리해야 한다.
윈도우 서버는 주로 RDP(Remote Desktop Protocol)와 같은 GUI기반의 터미널 서비스를 통해서 접근한다.
마지막으로 웹브라우저를 통해 웹어플리케이션에서 데이터를 조회하는 것은
서버 내 정보를 가져가는 대표적인 시나리오이다.
몇 년 전 정부기관에서 웹애플리케이션을 통해 다운로드한 데이터를 기반으로
국회에 질의한 적이 있었는데, 그 때 해당 데이터 안에 개인정보가 포함되어 있었다.
이후 다운로드된 데이터 내역을 모두 저장하는 규정이 개인정보관련 고시에 포함되기도 했다.
네트워크 DLP솔루션의 ‘Prevent’는 회사 외부로 나가는 웹데이터를 분석하는 기능이라면,
서버DLP의 ‘Prevent’는 회사 내부 웹애플리케이션 서버팜에서
(재택근무, 지사, 원격접속)사용자가 웹브라우저를 통해 조회한 데이터를 기록, 통제하는 것을 의미한다.
파일 다운로드 뿐만 아니라 웹화면 저장 및 재현까지
현재 서버DLP ‘Prevent’기능은 끊임없이 확장되고 있다.
클라우드 컴퓨팅, 모바일 컴퓨팅, 그리고 팬데믹 이후 언택트 시대에서는
네트워크 경계선이 더욱 희미해질 것이다.
따라서 단말(Endpoint)과 서버(Host)로 보안중심이 옮겨가는 것은 필연적인 일이 될 것이다.
서버DLP 역시 전통적인 DLP에서 비중을 계속 넓혀가며 확장될 것이다.
PRESS
칼럼
화상회의 개인정보 유출 방지 대책 마련해야
2020-11-23
URL 복사
김대환 소만사 대표 “정보보호 수준 유지 화상회의 진행해야”
소만사 김대환 대표이사
화상회의는 비대면 시대의 새로운 업무표준이 되고 있다.
물리적 미팅을 위해 최소 몇 시간이나 며칠간 이동해야 했던 사례를 고려해보면,
화상회의는 시간·비용적 절감효과도 큰 편이다.
따라서 생산성 향상에도 긍정적인 영향을 미치고 있다.
화상회의는 사내 직원뿐 아니라 외부 전문가와의 적극적인 정보공유 활성화도 가능하게 했다.
특히 해외출장 중 직원과 소통이 가능해졌고,
재택근무시에도 사내근무처럼 업무긴장감을 유지할 수 있는 좋은 수단이 됐다.
그러나 이러한 화상회의는
개인정보유출과 악성코드유입 측면에서 잠재적인 위험성을 내포하고 있다.
특히 줌(ZOOM)을 비롯한 화상회의 솔루션은
원활한 회의진행을 위해 파일전송기능을 가지고 있다.
이를 통해 파일 업로드와 다운로드 모두 가능하다.
업무 생산성 해치지 않으면서 보안 위협 제거해야
재택근무 시행 전, 회사 내부에서 외부로 파일을 전송하거나 다운로드 받을 때
통상적으로 일반 웹서비스 전송, 메일전송 두 가지 밖에 없었다.
해당 채널은 중간 네트워크 보안장비에 의해서
정보유출과 악성코드 유입을 사전에 통제, 필터링 한 이후에 정보공유가 이뤄졌다.
그 외의 채널은 생산성 측면에서 효과가 없고 보안통제 비용도 상당했기에
보안정책에 따라 사용을 차단하고 있었다.
현재도 대규모 기업과 금융기관은 망분리 정책을 통해
인터넷 자료공유를 원천적으로 제한하기도 한다.
이런 관점에서 화상회의 채널은 통제되지 않은
제 3의 개인정보 유출 채널, 악성코드 유입통로가 될 수 있다.
정보보호는 업무 생산성을 해치지 않은 상태에서 이뤄지는 것이 가장 바람직하다.
따라서 화상회의 솔루션을 기업기관에서 사용하도록 적극권장하는 상태에서
보안 위협만 외과수술처럼 제거해 나가야 할 것이다.
정보호호 수준 유지하는 화상회의 진행해야
화상회의 솔루션이 보편화되면서 이에 대한 기술적 보호조치도 업그레이드 되고 있다.
화상회의 솔루션 기업들은 종단간 암호화와 사용자 인증을 강화하면서
화상회의 중 중요정보가 유출되거나 권한 없는 사용자가 회의실에 들어오지 않도록 하고 있다.
또한 화상회의 보호를 지원하는 솔루션은
화상회의 솔루션에서 공유되는 파일 내에 개인정보가 포함돼 있을 경우 전송을 차단하도록 한다.
최소한 사후감사 자료로 활용할 수 있도록 파일 그 자체를 로그로 남기는 것도 가능하다.
꼭 필요한 경우에는 상급자의 결재를 거친 후 전송되도록 조치할 수 있다.
또한 파일 내 악성코드가 포함되어 있으면 해당 파일공유를 차단하는 방식으로
엔드포인트PC와 정보자산을 보호해야 한다.
화상회의는 코로나19가 종식된 이후에도 보편적으로, 적극적으로 활용될 것이다.
사내 인프라와 업무환경의 변화에 따라서 사내 보호조치도 적극적으로 업그레이드되어야 한다.
이를 통해 업무 생산성의 증대와 더불어
정보보호 수준도 유지할 수 있는 경영목표를 달성할 수 있다.
PRESS
칼럼
공공기관 정보보호 책임관 도입이 시급한 이유
2020-09-28
URL 복사
한국 사이버 보안에는 수백가지 문제점이 있다.
열악한 시장과 투자환경, 형사처벌제도로 인한 인재부족, 사내 보안 조직 홀대, SW통합 발주 제 값 받기 등 매우 다양하다. 문제가 많은 만큼 해결책도 수십, 수백가지가 될 수 있다.
24년차 한국 보안 생태계에 몸담은 필자는 해결책을 단 한 가지로 압축해보았다. ‘공공기관 정보보호 책임관 제도도입’이다. 여기에는 ‘공공기관’과 ‘책임관’ 두개의 키워드가 들어있다.
먼저 ‘책임관’은 이는 민간기업의 임원을 의미한다. 필자는 국내 한 기업과 20년동안 일하면서 보안조직의 성장을 지켜봤다. 부장급 보안책임자가 있었을 때는 최소 한도의 투자만 진행됐다. 상이 책임자는 보안을 약 2% 정도밖에 생각하지 않았다. 보안 담당자도 ‘보안직군’에 대한 자부심이 없었다. 함께 일하는 업체 또한 고통스러울 수밖에 없었다.
이 회사는 10년 정체기 동안 뼈아픈 보안사고를 수차례 경험한 끝에 보안전담 임원자리를 마련했다. 보안전담 임원이기 때문에 업무가 오직 보안이었고, 성과도 보안으로 평가받게 되었다. 이후 10년동안 투자와 조직이 늘어나고, 직원 사기와 자부심이 높아졌다. 당연히 보안 수준도 높아졌다. 협력업체에도 숨통이 트였다. 이처럼 조직 최상위 의사결정권자가 관심에 따라 전체 생태계가 영향을 받는다.
중앙정부부처에는 정보보호 책임관이 몇 곳 있다. 산업통상자원부, 국토교통부(국토부)를 대표로 들 수 있다. 2015년 산업부에 ‘정보보호과’가 생기고 ‘정보보호책임관’이 부임하니 한국전력공사, 한국수력원자력 등 산하 주요 에너지 공기업에 ‘정보보호처장’이 임명됐다. 이후 5년동안 해당기관의 보안수준은 꾸준히 높아졌다.
두번째 키워드는 ‘공공기관’이다. 민간기관에서는 이미 임원급 정보보호최고책임자(CISO) 전담제가 시행되고 있다. 정보통신망법은 자산 5조원 이상 정보통신서비스 제공자에게 CISO를 임원으로 두도록 규정하고 있다. 금융기관은 2015년부터 자산 10조원 이상, 직원 1000명 이상인 경우 CISO를 임원으로 두고 있다. 기업의 부담감 호소에도 민간에서는 임원급 CISO 제도 운영 정책이 실시되고 있다.
공공기관은 대부분 정보보호책임관이 없다. 공공이 처리하고 있는 개인정보 규모는 민간기업보다 큰 곳이 매우 많다. 보건복지부 의료/복지정보를 고려하면 국내에서 가장 큰 개인정보처리자가 복지부 산하 공공기관임을 짐작할 수 있다. 국세청 납세기록을 정리하면 국민 사회생활 이력을 재현할 수 있고, 교육부정보로는 국민생애 12년 동안의 주요 활동 기록을 알 수 있다.
국민연금, 건강보험, 고용보험, 수도세, 전기세, 가스세, 재산세, 근로소득세 등 정기적으로 고지되는 비용청구기관이 보유한 국민 개인정보 규모는 대부분 민간기업보다 훨씬 광범위하고 세세하다. 민간에 견주면 통신사와 은행이 처리하는 개인정보량과 같다.
공공부문은 민감한 국민정보를 대규모 처리하기 때문에 ‘정보보호 책임관’은 민간이 아니라 공공부터 시작되었어야 한다. 비용부담이 큰 민간은 법으로 강제할 정도로 필요성이 충분히 인정됐지만 반면에 선제로 나서서 모범을 보여야 하는 공공에서는 오히려 시행되지 못했다.
‘정보보호 책임관’ 필요성은 명확하다. 20대 국회는 ‘정보보호 책임관’ 임명을 포함한 전자정부법 개정안이 발의했지만 우선순위에서 밀려 통과시키지 못했다. 21대 국회에서는 통과되기를 기대한다.
https://www.etnews.com/20200928000075
PRESS
칼럼
재택근무 도입 후, 개인정보 유출 위험 최소화하려면
2020-09-01
URL 복사
코로나19 재확산으로 인해 다시 재택근무를 시행하는 기업이 늘어났다.
대기업은 대부분 VDI(Virtual Desktop Infrastructure, 데스크톱가상화) 인프라가 구축되어 있다.
사무실로 출근하지 않아도 원격에서 VDI를 통해 사내 네트워크에 접속해 그룹웨어, 메일확인 등 일상적인 업무를 수행할 수 있다.
VDI로 접속하면 윈도우 화면정보만 전송되기 때문에 재택근무 PC로 파일이 업로드/다운로드 되지 않는다.
정보유출이나 악성코드 유입 위험으로부터 안전하다.
그러나 VDI 라이선스는 매우 고가이다.
투자비용이 만만치 않고, 원격접속시에는 사내에서 PC를 이용하는 것보다 반응속도가 느린 단점이 있다.
영상, 디자인 등 특수직종에는 적합하지 않다.
VDI는 컴퓨팅이 서버에서 이루어지고, 엔드포인트 PC에서는 오직 화면만 보이는 구조이다.
개발업무는 대부분 컴퓨팅이 데스크탑 PC에서 이루어지기 때문에, 일반적인 VDI방식으로는 업무하기 쉽지않다.
보안관점에 있어서, 재택근무의 도입은 기존 사내근무에서 발생하지 않았던 문제를 야기시키고 있다.
첫번째, 재택근무는 회사 직원과의 물리적인 접촉을 완벽하게 없앴다. 보는 눈이 없기 때문에 동료에 의한 오남용 견제효과를 무력화시킨다.
두번째, 원격접속으로 들어오는 직원이 영업본부 K과장이 맞는지, 아니면 K과장의 계정을 해킹한 해커인지 확인하기 어렵다. 정교한 본인인증절차가 필요하다.
세번째, 사옥이라는 물리적인 보호체계가 없다. 노트북, 출력물, USB 도난에도 취약하다.
마지막으로 재택근무는 네트워크 보안장비의 도움을 받지 못한다. 악성코드가 재택근무 PC를 공격하면 속수무책으로 보안사고가 발생할 수 있다.
재택근무는 피할 수 없는 선택이다.
기업과 기관은 개인정보/기밀정보 유출통제, 내외부 접속시 데이터 공개범위 세분화, 엔드포인트 PC 보안체계 강화, 강화된 인증체계 구성, 철저한 감사로그 확보라는 보완대책을 마련해야 할 것이다.
특히 개인정보유출은 개인과 법인 모두 형사처벌에 처해질 수 있는 것이 현재의 법체계이다.
재택근무 도입 전 보안담당자는 다음 문제를 해결해야 한다.
첫번째, 개인정보 및 기밀정보 유출을 통제할 수 있어야 한다.
사옥 안에서 근무할 때는 업무상 취득한 개인정보를 외부로 반출하기 쉽지 않다.
USB와 같은 이동식 저장매체를 반입하는 것도 어렵다. 밖으로 가지고 나가는 것도 까다롭다.
문서도 마찬가지다. 모 반도체기업은 특수 코팅된 용지를 사용해서 문서를 출력한다.
회사 밖으로 가지고 나갈 때 센서가 이를 감지하고 경보를 울리기도 한다.
사내에서 근무할 경우, PC에 저장된 개인정보 및 기밀정보 파일에 대해서는 모두 기록이 남는다.
웹메일 및 클라우드 전송, USB 파일 복사, 프린터 출력 등이 통제되고 기록이 남는다.
하지만 재택근무시 이러한 물리적 보호조치 중 몇 가지는 무력화된다.
VDI방식으로 재택근무를 할 경우, 파일 자체가 PC에 다운되지 않기 때문에 안전하다고 생각할 수 있다.
하지만 화면 캡쳐, 사진촬영, 수기로 옮기는 행위는 막을 수가 없다.
회사에서는 스마트폰이나 영상촬영장치를 반입해도 주변 눈치가 보여서 촬영하기 어려우나 재택근무환경에서는 그러한 긴장관계로부터 자유롭다.
재택근무가 자택 내 자기만의 방에서 이루어지면 다행이다.
하지만 그런 환경을 확보할 수 있는 직원은 생각보다 많지 않다.
재택근무를 수행하는 많은 장소 중 하나는 카페이다.
카페에서는 고개만 살짝 돌리면 옆자리 사람이 뭘 하는지, 뭘 보는지 알 수 있는 환경이다.
이 경우에는 화면 워터마킹 기능을 강화하거나, 화면캡쳐 방지(인식) 기능을 적용하는 것이 좋다.
두번째, 내외부에 접속에 따른 정보공개범위 제한이 필요하다.
사내에서 내부 시스템에 접근하는 경우, 단순 데이터 조회에 대해서는 크게 신경 쓰지 않는다.
외부로 노출되는 것이 아니기 때문이다.
그러나 외부에서 조회할 때는 이야기가 달라진다.
단순 조회도 통제할 수 없는 ‘외부노출’ 개념이 적용, 보호되어야 한다.
원격접속시에는 사내메일조회도 ‘외부전송수준’으로 보호해야 할 수도 있다.
어떠한 방식으로도 정보가 노출, 유출될 수 있기 때문이다.
사내 개인정보처리시스템도 접속 장소에 따라서 노출되는 정보수준이 차등화 되어야 할 것이다. 민감한 개인정보, 핵심디자인 설계도면, 보안수준이 높은 회계정보 등은 원격접속시 조회되지 않도록 권한관리를 세분화해야 할 것이다.
그래서 콜센터를 운영하는 모 회사는 재택근무자들에게는 상품설명 등 일반 안내서비스 처리하도록 하고,
고객개인정보 조회가 필요한 서비스는 사내 콜센터에서 운영하는 이원적인 체계를 유지하고 있다.
고객정보, 기밀정보를 조회할 수 있는 웹어플리케이션의 권한관리 조정은 금방 처리할 수 있는 업무가 아니다.
이와 연동된 사내 주요 프로그램과 함께 수정되어야 하기에, 수개월 이상 소요된다.
하지만 감염위험을 최소화하기 위해, 재택근무는 당장 시행돼야 한다. 기다릴 수가 없다.
만일 VPN 원격접속을 통해서 사내 웹어플리케이션에 접속할 경우에는 웹어플리케이션과 PC 사이에 시큐어 웹프록시를 설치하는 것이 좋다.
원격접속시 웹프록시는 사용자 권한에 따라 특정한 메뉴접속을 차단하기도 하고, 민감한 정보가 노출되는 화면에서는 화면조회내역을 모두 남기도록 구축할 수 있기 때문이다.
세번째, 엔드포인트 보안강화와 인증강화가 필요하다.
사내에는 네트워크에서 엔드포인트 PC에 이르기까지, 여러 단계로 악성코드차단/정보유출방지에 관한 기술적 조치가 구축되어 있다.
방화벽, IPS, APT, 유해사이트 접속차단, 웹프록시, 네트워크 DLP, 스팸차단솔루션 등이 네트워크를 겹겹으로 보호하고 있다.
물리적으로 인터넷망과 내부망을 원천적으로 차단하여 ‘망분리 정책’으로 운영하는 곳도 다수 존재한다. 금융기관이 대표적이다.
그러나 재택근무시 사용하는 노트북은 어떠한 네트워크 보안장비의 도움없이 바로 인터넷에 노출된다.
오직 엔드포인트 보안솔루션으로만 보호받을 수 있다.
이에 따라서 재택근무시에는 안티바이러스/EDR, DLP등 주요 엔드포인트 보안솔루션을 반드시 설치하고 정책을 강화해야 한다.
예를 들면 사내시스템 접속시에는 다른 인터넷 트래픽을 모두 차단하는 설정을 하는 것이다.
최근 방화벽과 같은 경계선 보안(Perimeter Security) 솔루션 개발은 살짝 주춤하고,
엔드포인트 보안이 조금 더 강화되는 추세가 보이고 있다.
클라우드 환경 도입 증가 및 재택근무의 확산 때문이다.
네트워크 보안에 무방비한 상태에서 악성코드에 감염될 경우, 내가 사용하는 재택근무 PC가 불법접근 PC로 이용될 수도 있다.
PC가 악성코드에 감염, 장악된 후 내 PC를 숙주로 나도 모르는 사이에 사내 네트워크에 들어와 마음대로 정보를 유출하고 데이터를 위변조시킬 수 있기 때문이다.
로그인 체계를 강화해야 할 것이다.
마지막으로 감사기록 확보와 이상징후를 통제해야 한다.
원격접속으로 들어온 영업본부 K과장이 정말 본인지 맞는지 100% 확신할 수 없기에, 감사로그 확보와 이상징후 분석능력이 더 업그레이드되어 있어야 한다.
최근, 솔루션 개발자와 협력업체 원격지원에 대한 감사로그 확보가 이슈 되고 있다.
솔루션 개발은 일반적인 VDI접속 환경과는 다르다.
VDI는 컴퓨팅이 모두 서버에서 이루어지고, 단순히 화면만을 받아보는 구조인데 개발자들은 모든 컴퓨팅이 개발자 데스크탑에서 이루어진다.
솔루션 컴파일을 위해서는 사내 데스크탑의 강력한 컴퓨팅파워가 필요하고, 사내 데스크탑을 통해서만 사내 소스코드 관리서버와 통신할 수 있기 때문이다.
물론 해외 글로벌회사 중 몇몇은 솔루션 소스코드 자체도 깃허브(Github) 같은 곳에 올려놓고 개발하는 경우가 있긴 하다.
개발자들은 VDI보다 재택근무 PC에서 VPN으로 윈도우터미널서비스에 접속하여 로컬 데스크탑처럼 작업하는 것을 더 선호한다.
윈도우 터미널 서비스 내역은 자체적으로 감사로그가 기록되지 않는 단점이 있었다.
이를 보완하기 위해 RDP(Remote Desktop Protocol) 프록시 등을 통해서 작업 감사기록을 남기는 것을 검토해야 한다.
원칙적으로 협력업체는 자사에서 원격터미널 서비스를 통해 거래처 네트워크 인프라와 서버에 접근할 수 없다. 금지하고 있다.
특히 금융기관은 감독규정 등으로 엄격하게 규제하고 있다.
그러나 코로나19로 인하여 협력업체가 회사사옥에 방문, 근무하는 것을 제한하게 되면서 그 절충안으로 원격접속을 통한 지원을 용인하고 있다.
장애발생시 협력업체의 빠른 지원이 필요한 것은 코로나19 이전에도 이후에도 동일하기 때문이다.
이 경우 사내직원이 원격접속 내역을 실시간으로 모니터링하고 있기는 하다.
그러나 원격접속을 통해 작업한 내역에 관하여 세부적인 감사기록을 자동적으로 남기는 것도 반드시 검토되어야 한다.
재택근무는 한 두 달 시행하고 끝나는 것이 아니다.
바이러스가 종식될 때까지 상당기간 계속 지속될 것으로 예측된다.
보안 담당자는 새로운 비즈니스 환경에 따라, 새로운 보안 대응체계를 구축해 나가야 할 것이다.
국내 보안 솔루션 업체들은 클라우드, 재택근무 관련 기술개발을 꾸준히 진행해왔으며 적용사례를 확대해 나가고 있다.
화면 캡처방지, 화면 워터마킹, RDP프록시를 통한 터미널서비스 접속기록관리, 시큐어웹프록시, VPN, VDI 솔루션 등이 대표적이다.
물론 언제나 가장 중요한 것은 ‘보안에 대한 마인드’이기에, 직원들의 보안인식 또한 재택근무에 맞추어 강화되어야 할 것이다.
글. 김대환 소만사 대표이사
https://www.dailysecu.com/news/articleView.html?idxno=112973
대기업은 대부분 VDI(Virtual Desktop Infrastructure, 데스크톱가상화) 인프라가 구축되어 있다.
사무실로 출근하지 않아도 원격에서 VDI를 통해 사내 네트워크에 접속해 그룹웨어, 메일확인 등 일상적인 업무를 수행할 수 있다.
VDI로 접속하면 윈도우 화면정보만 전송되기 때문에 재택근무 PC로 파일이 업로드/다운로드 되지 않는다.
정보유출이나 악성코드 유입 위험으로부터 안전하다.
그러나 VDI 라이선스는 매우 고가이다.
투자비용이 만만치 않고, 원격접속시에는 사내에서 PC를 이용하는 것보다 반응속도가 느린 단점이 있다.
영상, 디자인 등 특수직종에는 적합하지 않다.
VDI는 컴퓨팅이 서버에서 이루어지고, 엔드포인트 PC에서는 오직 화면만 보이는 구조이다.
개발업무는 대부분 컴퓨팅이 데스크탑 PC에서 이루어지기 때문에, 일반적인 VDI방식으로는 업무하기 쉽지않다.
보안관점에 있어서, 재택근무의 도입은 기존 사내근무에서 발생하지 않았던 문제를 야기시키고 있다.
첫번째, 재택근무는 회사 직원과의 물리적인 접촉을 완벽하게 없앴다. 보는 눈이 없기 때문에 동료에 의한 오남용 견제효과를 무력화시킨다.
두번째, 원격접속으로 들어오는 직원이 영업본부 K과장이 맞는지, 아니면 K과장의 계정을 해킹한 해커인지 확인하기 어렵다. 정교한 본인인증절차가 필요하다.
세번째, 사옥이라는 물리적인 보호체계가 없다. 노트북, 출력물, USB 도난에도 취약하다.
마지막으로 재택근무는 네트워크 보안장비의 도움을 받지 못한다. 악성코드가 재택근무 PC를 공격하면 속수무책으로 보안사고가 발생할 수 있다.
재택근무는 피할 수 없는 선택이다.
기업과 기관은 개인정보/기밀정보 유출통제, 내외부 접속시 데이터 공개범위 세분화, 엔드포인트 PC 보안체계 강화, 강화된 인증체계 구성, 철저한 감사로그 확보라는 보완대책을 마련해야 할 것이다.
특히 개인정보유출은 개인과 법인 모두 형사처벌에 처해질 수 있는 것이 현재의 법체계이다.
재택근무 도입 전 보안담당자는 다음 문제를 해결해야 한다.
첫번째, 개인정보 및 기밀정보 유출을 통제할 수 있어야 한다.
사옥 안에서 근무할 때는 업무상 취득한 개인정보를 외부로 반출하기 쉽지 않다.
USB와 같은 이동식 저장매체를 반입하는 것도 어렵다. 밖으로 가지고 나가는 것도 까다롭다.
문서도 마찬가지다. 모 반도체기업은 특수 코팅된 용지를 사용해서 문서를 출력한다.
회사 밖으로 가지고 나갈 때 센서가 이를 감지하고 경보를 울리기도 한다.
사내에서 근무할 경우, PC에 저장된 개인정보 및 기밀정보 파일에 대해서는 모두 기록이 남는다.
웹메일 및 클라우드 전송, USB 파일 복사, 프린터 출력 등이 통제되고 기록이 남는다.
하지만 재택근무시 이러한 물리적 보호조치 중 몇 가지는 무력화된다.
VDI방식으로 재택근무를 할 경우, 파일 자체가 PC에 다운되지 않기 때문에 안전하다고 생각할 수 있다.
하지만 화면 캡쳐, 사진촬영, 수기로 옮기는 행위는 막을 수가 없다.
회사에서는 스마트폰이나 영상촬영장치를 반입해도 주변 눈치가 보여서 촬영하기 어려우나 재택근무환경에서는 그러한 긴장관계로부터 자유롭다.
재택근무가 자택 내 자기만의 방에서 이루어지면 다행이다.
하지만 그런 환경을 확보할 수 있는 직원은 생각보다 많지 않다.
재택근무를 수행하는 많은 장소 중 하나는 카페이다.
카페에서는 고개만 살짝 돌리면 옆자리 사람이 뭘 하는지, 뭘 보는지 알 수 있는 환경이다.
이 경우에는 화면 워터마킹 기능을 강화하거나, 화면캡쳐 방지(인식) 기능을 적용하는 것이 좋다.
두번째, 내외부에 접속에 따른 정보공개범위 제한이 필요하다.
사내에서 내부 시스템에 접근하는 경우, 단순 데이터 조회에 대해서는 크게 신경 쓰지 않는다.
외부로 노출되는 것이 아니기 때문이다.
그러나 외부에서 조회할 때는 이야기가 달라진다.
단순 조회도 통제할 수 없는 ‘외부노출’ 개념이 적용, 보호되어야 한다.
원격접속시에는 사내메일조회도 ‘외부전송수준’으로 보호해야 할 수도 있다.
어떠한 방식으로도 정보가 노출, 유출될 수 있기 때문이다.
사내 개인정보처리시스템도 접속 장소에 따라서 노출되는 정보수준이 차등화 되어야 할 것이다. 민감한 개인정보, 핵심디자인 설계도면, 보안수준이 높은 회계정보 등은 원격접속시 조회되지 않도록 권한관리를 세분화해야 할 것이다.
그래서 콜센터를 운영하는 모 회사는 재택근무자들에게는 상품설명 등 일반 안내서비스 처리하도록 하고,
고객개인정보 조회가 필요한 서비스는 사내 콜센터에서 운영하는 이원적인 체계를 유지하고 있다.
고객정보, 기밀정보를 조회할 수 있는 웹어플리케이션의 권한관리 조정은 금방 처리할 수 있는 업무가 아니다.
이와 연동된 사내 주요 프로그램과 함께 수정되어야 하기에, 수개월 이상 소요된다.
하지만 감염위험을 최소화하기 위해, 재택근무는 당장 시행돼야 한다. 기다릴 수가 없다.
만일 VPN 원격접속을 통해서 사내 웹어플리케이션에 접속할 경우에는 웹어플리케이션과 PC 사이에 시큐어 웹프록시를 설치하는 것이 좋다.
원격접속시 웹프록시는 사용자 권한에 따라 특정한 메뉴접속을 차단하기도 하고, 민감한 정보가 노출되는 화면에서는 화면조회내역을 모두 남기도록 구축할 수 있기 때문이다.
세번째, 엔드포인트 보안강화와 인증강화가 필요하다.
사내에는 네트워크에서 엔드포인트 PC에 이르기까지, 여러 단계로 악성코드차단/정보유출방지에 관한 기술적 조치가 구축되어 있다.
방화벽, IPS, APT, 유해사이트 접속차단, 웹프록시, 네트워크 DLP, 스팸차단솔루션 등이 네트워크를 겹겹으로 보호하고 있다.
물리적으로 인터넷망과 내부망을 원천적으로 차단하여 ‘망분리 정책’으로 운영하는 곳도 다수 존재한다. 금융기관이 대표적이다.
그러나 재택근무시 사용하는 노트북은 어떠한 네트워크 보안장비의 도움없이 바로 인터넷에 노출된다.
오직 엔드포인트 보안솔루션으로만 보호받을 수 있다.
이에 따라서 재택근무시에는 안티바이러스/EDR, DLP등 주요 엔드포인트 보안솔루션을 반드시 설치하고 정책을 강화해야 한다.
예를 들면 사내시스템 접속시에는 다른 인터넷 트래픽을 모두 차단하는 설정을 하는 것이다.
최근 방화벽과 같은 경계선 보안(Perimeter Security) 솔루션 개발은 살짝 주춤하고,
엔드포인트 보안이 조금 더 강화되는 추세가 보이고 있다.
클라우드 환경 도입 증가 및 재택근무의 확산 때문이다.
네트워크 보안에 무방비한 상태에서 악성코드에 감염될 경우, 내가 사용하는 재택근무 PC가 불법접근 PC로 이용될 수도 있다.
PC가 악성코드에 감염, 장악된 후 내 PC를 숙주로 나도 모르는 사이에 사내 네트워크에 들어와 마음대로 정보를 유출하고 데이터를 위변조시킬 수 있기 때문이다.
로그인 체계를 강화해야 할 것이다.
마지막으로 감사기록 확보와 이상징후를 통제해야 한다.
원격접속으로 들어온 영업본부 K과장이 정말 본인지 맞는지 100% 확신할 수 없기에, 감사로그 확보와 이상징후 분석능력이 더 업그레이드되어 있어야 한다.
최근, 솔루션 개발자와 협력업체 원격지원에 대한 감사로그 확보가 이슈 되고 있다.
솔루션 개발은 일반적인 VDI접속 환경과는 다르다.
VDI는 컴퓨팅이 모두 서버에서 이루어지고, 단순히 화면만을 받아보는 구조인데 개발자들은 모든 컴퓨팅이 개발자 데스크탑에서 이루어진다.
솔루션 컴파일을 위해서는 사내 데스크탑의 강력한 컴퓨팅파워가 필요하고, 사내 데스크탑을 통해서만 사내 소스코드 관리서버와 통신할 수 있기 때문이다.
물론 해외 글로벌회사 중 몇몇은 솔루션 소스코드 자체도 깃허브(Github) 같은 곳에 올려놓고 개발하는 경우가 있긴 하다.
개발자들은 VDI보다 재택근무 PC에서 VPN으로 윈도우터미널서비스에 접속하여 로컬 데스크탑처럼 작업하는 것을 더 선호한다.
윈도우 터미널 서비스 내역은 자체적으로 감사로그가 기록되지 않는 단점이 있었다.
이를 보완하기 위해 RDP(Remote Desktop Protocol) 프록시 등을 통해서 작업 감사기록을 남기는 것을 검토해야 한다.
원칙적으로 협력업체는 자사에서 원격터미널 서비스를 통해 거래처 네트워크 인프라와 서버에 접근할 수 없다. 금지하고 있다.
특히 금융기관은 감독규정 등으로 엄격하게 규제하고 있다.
그러나 코로나19로 인하여 협력업체가 회사사옥에 방문, 근무하는 것을 제한하게 되면서 그 절충안으로 원격접속을 통한 지원을 용인하고 있다.
장애발생시 협력업체의 빠른 지원이 필요한 것은 코로나19 이전에도 이후에도 동일하기 때문이다.
이 경우 사내직원이 원격접속 내역을 실시간으로 모니터링하고 있기는 하다.
그러나 원격접속을 통해 작업한 내역에 관하여 세부적인 감사기록을 자동적으로 남기는 것도 반드시 검토되어야 한다.
재택근무는 한 두 달 시행하고 끝나는 것이 아니다.
바이러스가 종식될 때까지 상당기간 계속 지속될 것으로 예측된다.
보안 담당자는 새로운 비즈니스 환경에 따라, 새로운 보안 대응체계를 구축해 나가야 할 것이다.
국내 보안 솔루션 업체들은 클라우드, 재택근무 관련 기술개발을 꾸준히 진행해왔으며 적용사례를 확대해 나가고 있다.
화면 캡처방지, 화면 워터마킹, RDP프록시를 통한 터미널서비스 접속기록관리, 시큐어웹프록시, VPN, VDI 솔루션 등이 대표적이다.
물론 언제나 가장 중요한 것은 ‘보안에 대한 마인드’이기에, 직원들의 보안인식 또한 재택근무에 맞추어 강화되어야 할 것이다.
글. 김대환 소만사 대표이사
https://www.dailysecu.com/news/articleView.html?idxno=112973
