보안 / 윈도우

윈도우 정보보호를 통한 데이터 유출 방지 방법

Jonathan Hassell | CSO 2018.01.17
지금은 개인이나 조직에 큰 영향을 줄 수 있는 정보를 보호해야 하는 시대다. 이런 정보가 악의적인 사용자나 범죄자의 수중에 들어가면 아주 심각한 악영향이나 결과가 초래될 수 있기 때문이다. 에드워드 스노든, NSA, 존 포데스타, 미 민주당 전국위 등 최근 언론 헤드라인을 장식했던 사건사고들은 정보 유출이 가져올 파괴적인 결과들을 알려줬다.


Credit: Getty Images Bank

사용자 기기에 윈도우를 주로 사용하는 조직들은 이런 문제에 대한 대답이 준비되어 있다. 여기서 '준비된 대답'이란 데이터 유출 방지 기술인 윈도우 정보보호(Windows Information Protection, WIP)이다. WIP는 비즈니스에 영향을 줄 수 있는 비밀로 분류된 정보, 기업의 보안 울타리 밖으로 유출될 수 있는 민감한 정보와 연결된 키워드를 찾는다. 그리고 데이터 유출을 막거나 경감할 계획을 세운다.

WIP가 유용한 상황
- 'BYOD' 프로그램을 통해 회사 리소스를 연결해 사용할 수 있는 스마트폰이나 태블릿 등 기업, 또는 직원 소유의 기기에 저장된 업무 관련 정보를 보호해야 한다.
- 데이터 유출 방지 기능이 탑재되어 있지 않은 비즈니스 애플리케이션을 사용하고 있을 경우, 1~2개의 유출 방지(보호) 계층이 필요하다.
- 또한 시스템 센터(System Center)나 마이크로소프트 인튠(Intune) 클라우드 기반 관리 플랫폼과 통합되는 보호 구조가 필요하다.

WIP의 작동원리와 사용 방법
WIP가 무엇인지, 또 어떤 방법으로 도입해 사용할 수 있는 방법을 알아보자.
먼저 WIP가 윈도우 10 기술이라는 점을 유념해야 한다. 전사적으로 WIP를 구현하기 위해서는 윈도우 7과 윈도우 8.1에서 윈도우 10으로의 마이그레이션을 완료해야 한다.

보호된 장치에서 새로운 문서, 스프레드시트, 기타 파일을 생성하면 WIP가 실행된다. 직원들에게 작업한 파일을 WIP의 모든 보호 기능이 적용되는 '업무 문서(Work Document)'로 저장할지 묻는다. 이 업무 문서는 보호된 장치에 로컬 저장하든, SD 카드나 USB 플래시 드라이브 같은 이동식 미디어에 저장하든 모두 기업 데이터로 간주된다. 기기나 이동식 미디어에 저장된 모든 업무 파일은 미사용(at rest) 상태에서 암호화된다.

새 콘텐츠만 보호하지 않는다. 직원이 보호된 기기에서 네트워크 공유를 방문하거나, 쉐어포인트(SharePoint) 문서 라이브러리나 기업 인트라넷에서 콘텐츠를 다운로드 받을 때, WIP가 암호화로 데이터를 잠근 후 정책을 적용한다.

또한 WIP는 보호된 기기의 애플리케이션을 통해 접속하는 데이터 주변에 장벽을 세운다. 관리자는 '업무 데이터'를 사용할 수 있는 앱을 지정하고, 이런 앱들 사이에만 데이터를 복사해 붙여넣기를 할 수 있게끔 설정할 수 있다. 반대로 특정 앱을 차단, WIP가 적용된 기기에서 차단된 앱(지메일, 시크릿 등)으로 데이터를 옮기지 못하도록 만들 수 있다.

기본적으로 화이트리스트 방식으로 앱을 제한한다. 모든 것을 차단한 후, 수동으로 화이트리스트에 추가해 업무 데이터 접속을 승인한다는 의미다. 마이크로소프트 오피스를 중심으로 일부 애플리케이션들은 WIP를 인식해 데이터를 보호한다. 이런 애플리케이션은 직원이 보호된 파일의 데이터를 새 문서로 붙여넣어, 새로운 문서처럼 저장하는 경우에도 데이터를 보호한다. WIP가 이를 인식, 자동으로 새 파일을 암호화 처리하기 때문이다.

이렇게 WIP을 인식하는 앱을 '인식 앱(Enlightened app)'이라 부른다. 윈도우 10 개발자는 선택에 따라 추가 코드 없이도 자동으로 이런 기능을 상속하는 WIP 인식 앱을 생성할 수 있다.

WIP는 여러 보호 수준을 지원한다. 때로는 직원들에게 WIP 보호 정책을 재정의(Override) 할 수 있는 권한을 줘야 하는 경우도 있다. 또는 데이터 이동 현황을 이해하기 위해 조직에서 발생한 행위를 감사만 할 수 있는 권한을 줘야 할 수도 있다.

문제가 발생한 경우, 개인 데이터는 건드리지 않은 상태에서 직원 소유 기기를 포함해 모든 컴퓨터 기기에서 보호된 기업 데이터를 원격 삭제할 수도 있다.

WIP 보호 엔진의 '주춧돌'인 WIP 정책을 이용해 이런 모든 일을 할 수 있다. 기기에 적용되는 WIP 정책에는 최신 윈도우 클라이언트 운영체제에 기본 탑재된 EFS(Encrypted File System)을 사용, 업무 관련 데이터나 기업이 출처인 데이터를 암호화하는 명령이 포함되어 있다. 또한 보호된 데이터를 사용할 수 있는 앱 화이트리스트도 포함되어 있다. 이는 앱로커(AppLocker) 기능에 기반을 두고 있다. 그런 후, 다음과 같이 4가지 모드 가운데 하나로 WIP 정책을 설정한다.

- Block WIP : 이는 사용자가 보호된 기업 콘텐츠와 관련해 수행하는 작업과 행위를 주시한다. 침해를 초래할 수 있는 작업과 행위를 하는 경우, 사용자의 작업을 차단한다. 보호된 데이터를 보호되지 않은 애플리케이션을 복사해 붙여넣기 하지 못하도록 차단하는 기능, 보호된 데이터를 기업 네트워크 외부로 전송하지 못하도록 차단하는 기능 등으로 구성되어 있다.

- Override Block : 이 모드는 WIP가 직원의 작업과 행위를 감시하도록 만들 수 있다. 그러나 작업을 차단하는 대신, 사용자에게 침해를 초래할 수 있다는 정보를 제공해 작업을 계속할지 결정하도록 만들 수 있다. 사용자가 WIP 경고를 무시(재정의)한 경우, 관리자가 추후 해당 작업을 감사, 평가할 수 있도록 로그로 기록한다.

- Silent WIP : 이 모드에서는 시스템을 모니터하지만, 침해를 초래할 수 있는 행위나 작업을 인식해도 이를 차단하거나, 사용자에게 경고하는 대신 로그로 기록만 한다(액세스 권한이 없는 사용자가 보호된 파일에 대한 접속을 시도하는 경우 등 침해가 확실한 행위는 예외). 대부분의 괸리자는 더 엄격한 모드를 사용하기 전, 네트워크의 데이터 이동 현황을 이해하는 기준으로 이 모드를 선택해 사용할 것이다.

- Off WIP : 이 모드는 WIP를 비활성화시킨다. WIP를 활성화한 적이 있다면, 윈도우가 기기의 보호된 파일의 암호화를 해독한다. 나중에 WIP를 다시 활성화시킬 경우, 파일에 WIP의 보호 정책을 다시 적용해야 한다. 기존 정책의 정보가 유지되지 않기 때문이다.

WIP 정책 적용 방법
윈도우 10 클라이언트 기기에 WIP를 적용해 관리하는 방법은 2가지다. 클라우드 기반 시스템 센터라 할 수 있는 서브스크립션형 관리 서비스인 마이크로소프트 인튠을 이용하는 방법, 기존처럼 SCCM(System Center Configuration Manager)를 배포하는 방법이다.

- 마이크로소프트 인튠 사용
인튠을 사용하려면, 브라우저를 열어 인튠 콘솔로 이동한다. 정책(Policy) 노드를 확장하면 표시되는 작업(Task) 영역에서 '정책 추가(Add Policy)'를 클릭한다.

'새 정책을 위한 탬플릿 선택(Select a template for the new policy)' 화면에 표시된 리스트의 윈도우 항목에서 'Windows Information Protection'을 선택한다(윈도우 10 데스크톱 및 모바일 이후 버전).

그리고 오른쪽의 '사용자 지정 정책 생성 및 적용(Create and Deploy a Custom Policy)' 라디오 버튼과 그 옆 '정책 생성(Create Policy)' 버튼을 클릭한다. 그런 다음 정책의 명칭과 설명을 입력한다.

이제 모던 앱, 또는 윈도우 10 앱으로 불리는 윈도우 스토어 앱이나 일반적인 Win32 데스크톱 앱에 대한 규칙을 추가할 차례다. 인기 있는 마이크로소프트 엑셀을 사용하는 데스크톱 앱을 중심으로 설명한다.

화면 중앙의 '추가(Add)' 버튼을 클릭한 후, '앱 규칙 추가(Add App rule)' 상자에 앱에 사용할 이름을 입력한다. 사용하고 싶은 WIP 모드를 선택한다(여기에서는 허용(Allow)). 그리고 '규칙 탬플릿' 리스트에서 '데스크톱 앱(Desktop App)'을 선택한 후 '바이너리 이름(Binary name)' 옆 상자에 표시를 한 후 EXCEL.EXE를 입력한다.

간편한 팁 하나를 소개한다. 게시자, 제품 이름, 파일 버전 등 다른 옵션에 대해 필터링하고 싶다면, 윈도우 10 기기에서 Get-AppLockerFileInformation
–Path "c:\path_to_binary\binary.exe"라는 파워셸(PowerShell) 명령을 사용한다.
그러면 원하는 정보를 얻을 수 있다. 이것을 복사한 후 인튠 화면에 붙여넣기할 수 있다.

정책을 적용할 앱을 추가한 후, 인튠에서는 'paste/drop/share restriction mode'라고 부르는, 다시 말해 Block, Override, Silent, Off 가운데 하나를 선택해야 한다.

다음은 기업 콘텐츠가 위치한 도메인 리스트인 기업 ID를 정의한다. WIP가 업무 관련 항목을 파악할 때 기준으로 사용하는 것이다. 이 리스트에는 기업이 이메일을 수신하는 모든 도메인이 포함되어 있어야 한다. '82ventures.com|jonathanhassell.com' 식으로 "|" 문자를 사용, 기업 ID(Corporate Identity) 필드에 여러 도메인을 입력할 수 있다.

이제 보호된 데이터를 처리하는 앱이 데이터를 작업할 수 있도록 승인한 네트워크 위치 리스트를 설정한다. 기본적으로 보호된 데이터를 쓸 수 있고, 검색할 수 있는 네트워크 위치 리스트다. 기업의 IP 범위가 좋은 출발점이다. 그리고 추후 리스트를 조정할 수 있다. 또한 윈도우 EFS 기능을 활성화 시키면 생성되는 DRA(Data Recovery Agent)를 업로드할 수 있다. 이는 키를 잃어버렸을 때, 인튠이 암호화된 데이터를 복구할 수 있도록 도와준다.

지금은 기본 설정 값을 유지한 후 '저장(Save)'을 클릭하자. 정책이 설정됐다. 이제 인튠의 정책 노드를 사용, 이 정책을 배포 그룹 리스트에 추가한다. 그러면 정책이 배포된다.

- SCCM(System Center Configuration Manager) 사용
SCCM을 사용해 WIP을 배포하기 위해서는 1606 이후 버전을 사용해 정책을 생성해야 한다. 기존 SCCM 버전에서 생성한 WIP 정책이 존재하는 경우, 이를 삭제한 후 다시 생성해야 한다.

SCCM 콘솔의 '자산 및 컴플라이언스(Assets and Compliance) 아래에서 "개요(Overview)"/"컴플라이언스 설정(Compliance Settings)"/"구성 항목(Configuration Items)"을 찾는다.

"구성 항목 생성(Create Configuration Item)" 버튼을 클릭한다. 마법사가 시작되면 원하는 이름과 설명을 입력한 후, 윈도우 10을 해당 항목의 지원 플랫폼으로 지정한다.

'구성할 장치 설정 그룹 선택(Select the device setting group)' 화면에서 '윈도우 정보보호(Windows Information Protection)'을 선택한다. 이후 인튠 앱 규칙 추가 방법과 유사한 방법으로 앱 규칙을 추가할 수 있다.

'paste/drop/share restriction mode'를 선택한 후 ID 도메인을 정의하고, 보호된 데이터가 위치한 기업 네트워크 위치를 선택하고, 옵션인 설정을 선택한다. 또 DRA 인증서를 업로드할 수 있다.

이후 설정을 검토한 후 '계속(Continue)'을 클릭한다. SCCM 배포 정책 설정 방법에 따라, 컴플라이언스 설정이나 기준 구성을 이용, SCCM으로 관리하는 기기에 정책을 적용할 수 있다.

적은 비용으로 정보보호하기
정보에 대한 권한을 관리하는 프로그램, 데이터 유출 방지 시스템이 다양하다. 그러나 지금까지는 WIP처럼 윈도우 10 같은 운영체제에 기본 탑재된 정보 보호 기술은 없었다. 윈도우 7 탄생 9주년을 앞둔 지금, 윈도우 10은 많은 조직에서 안정적으로 사용할 수 있는 운영체제로 성숙했다. WIP는 조사할 가치가 있는 기술이다. 또한 마이크로소프트 인튠과 함께 사용할 경우 적은 비용으로 정보를 보호할 수 있다. editor@itworld.co.kr

 
 Tags 윈도우10 WIP

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.