2020.02.21

데이터 손실을 방지하는 네트워크 설정법

Susan Bradley | CSO
조직과 컴퓨터는 데이터로 가득하다. 대부분의 데이터는 다른 사람에게는 쓸모 없지만, 모든 기업에는 공격자가 경쟁자가 접근하고 싶어하는 주요 자산이 있다. 

데이터는 여러 방법으로 기업에서 유출될 수 있다. 인터넷이 생기기 전에는, 기업에서 갖고 나오려면 파일을 저장 장치로 옮기는 방법 밖에 없었다. 이제 데이터 도둑은 수많은 클라우드 서비스를 통해 대량의 파일을 훔칠 수 있다. 공격자는 종종 파일을 압축해서, 파일이 이동할 때 네트워크 트래픽 모니터링이 잘 식별하지 못한다. 

데이터 유출을 방지하기 위해 어떤 방법을 사용해야 할까? 핵심은 데이터 유출 방지(Data Loss Prevention, DLP) 기술을 적용해 데이터 이동을 차단 또는 추적하거나, 파일 이동시 트리거되는 경고를 설정하는 것이다. 또한 외부의 공격뿐만 아니라 내부 사용자의 위협에서 보호해야 한다. 
 

내부 사용자의 데이터 유출에 대한 기본적인 위협    

데이터 유출은 종종 인적 자원의 문제다. 직원이 만족스럽지 않으면, 기업의 데이터를 훔치는 행위를 기업의 문화에 대한 적절한 조치라고 정당화할 것이다. 먼저 직원이 공유하거나 노출해서는 안되는 데이터를 이해하도록 교육시켜야 한다. 직원이 따라야 하는 승인된 매뉴얼을 만들어야 한다. 또한 기업의 데이터가 올바르게 식별되고 계층화되는지 확인하고, 그에 따라 데이터를 보호해야한다.  

미국의 전직 CIA와 NSA 요원으로, 미국의 광범위한 민간인 및 외국 정상 도·감청을 폭로했던 에드워드 스노든은 민감한 문서에 접근할 수 있었고, 유출할 수 있었다. 그렇기 때문에 사용자가 알아야 할 기본 구문을 사용해 기본적인 파일 액세스 권한을 설정해야 한다. 평범하고 익숙한 NTFS 파일과 폴더 권한을 설정해, 실제로 필요한 사용자만 액세스를 허용해야 한다. 
 

파일 감사와 네트워크 모니터링 사용

파일과 폴더에 대한 감사를 항상 활성화해 직원의 파일 액세스와 사용을 추적한다. 모니터링할 감사를 설정하지 않으면 누가 무엇에 액세스했는지 확인할 수 없다. 그룹 정책을 시작하고, 파일 공유 위치에서 감사를 실행한다. 

그런 다음 도구를 사용해 계층화를 기반으로 데이터를 보호하고, 중요하거나 압축된 파일이 네트워크에서 이동할 때 경고하도록 설정한다. 온프레미스 파일 서버의 경우 ‘파일 서버 리소스 관리자(File Server Resource Manager, FSRM)’를 사용해 중요한 정보가 담긴 파일을 식별하고 이동할 수 있다. FSRM을 사용해 분류와 파일을 기반으로 중요한 데이터를 암호화할 수도 있다. 

다음으로, 방화벽에 어떤 옵션이 있는지 검토한다. 간단히 웹 필터를 설치해, 사용자가 온라인 수단을 사용해 네트워크 외부로 파일을 이동할 수 없도록 파일 공유 웹사이트나 특정 익명화 서비스(anonymizer) 위치를 차단할 수 있다. SMTP/S 스캐닝 규칙을 설정해 발신 zip 파일이나 기타 압축 파일 형식을 차단할 수 있다. 

워크스테이션 측에는 모니터링 소프트웨어를 설치해 사용자 활동과 시스템을 사용을 추적하고, 부적절한 행동이 취해지면 플래그를 지정한다. 익스체인지(Exchange) 2013 이상 또는 오피스 365를 사용하는 경우, DLP 정책을 설정해 데이터 유출을 방지할 수 있다. 익스체인지 2013은 전송 규칙을 설정해, 이메일에 포함된 정보에 기초해 데이터 전송을 제한할 수 있다. 키워드, 사전, 정규 표현식에 따라 데이트와 파일의 분류를 민감(혹은 민감하지 않음)으로 설정해, 이메일의 DLP 정책의 위반 여부를 판단할 수 있다. 
 

오피스 365에서 데이터 액세스 권한 설정하기 

규정 준수는 오피스 365 어드반스드 데이터 거버넌스(Advanced Data Governance)의 일부이다. 이는 오피스 365 E5/A5/G5 라이선스, Microsoft 365 E5/A5/G5 라이선스, Microsoft 365 E5/A5/G5 준수 라이선스, 독립형 라이선스인 Office 365 Advanced Compliance의 일부이다. 

정보 권한 관리(Information Rights Management, IRM)를 ‘애저 정보 보호 프리미엄 플랜(Azure Information Protection Premium plan)을 포함한 오피스 365 플랜’ 또는 ‘정보 관리가 포함된 오피스 365 플랜’에서 사용할 수 있다. 예를 들어 오피스 365 E3나 오피스 365 E5 플랜을 이용중이라면 IRM이 포함된다. 

다음 단계에 따라 IRM을 활성화한다: 
•    “관리 센터”로 이동한다.
•    “설정”으로 이동한다. 
•    “서비스”로 이동한다.
•    “마이크로소프트 애저 정보 보호(Microsoft Azure Information Protection)”로 이동한다. 
•    “마이크로소프트 애저 정보 보화 설정 관리Manage Microsoft Azure Information Protection Settings)”으로 이동한다.
•    권한 관리 페이지에서 “활성화”를 클릭한다. 
•    “권한 관리(Rights Management)를 활성화하시겠습니까?”라는 메시지가 표시되면 “활성화”를 클릭한다. 

이제 권한 관리가 활성화돼 있고, 비활성화하는 옵션이 표시된다. 



고급 기능을 클릭하면 ‘전달 금지 규칙’을 구성할 수 있다. 
 

애저 정보 보호(Azure Information Protection)는 사용자 당 2달러(미국 기준)이며, 문서나 이메일에 중요한 데이터가 있는지를 자동으로 감지하고, 정책 설정에 따라 자동으로 제한을 적용하도록 설정할 수 있다. 클라이언트는 워크스테이션에 설치되어 설정을 실행한다. 

마지막으로, 파일을 외부로 유출하는 물리적인 방법을 차단하는 것을 잊으면 안된다. 시스템 BIOS 설정을 구성해 USB 포트의 사용을 차단하면 사용자가 플래시 드라이브를 사용해 기업의 중요한 정보를 지울 수 없다. 정책 설정에는 제조업체의 BIOS 소프트웨어나 그룹 정책 설정을 사용할 수 있다. 

데이터는 어떤 방식으로든 유출될 수 있다. 외부 공격자뿐 아니라 내부 사용자의 위험으로부터 데이터를 보호하는 최선의 방법을 평가했는지 확인하자. editor@itworld.co.kr 


2020.02.21

데이터 손실을 방지하는 네트워크 설정법

Susan Bradley | CSO
조직과 컴퓨터는 데이터로 가득하다. 대부분의 데이터는 다른 사람에게는 쓸모 없지만, 모든 기업에는 공격자가 경쟁자가 접근하고 싶어하는 주요 자산이 있다. 

데이터는 여러 방법으로 기업에서 유출될 수 있다. 인터넷이 생기기 전에는, 기업에서 갖고 나오려면 파일을 저장 장치로 옮기는 방법 밖에 없었다. 이제 데이터 도둑은 수많은 클라우드 서비스를 통해 대량의 파일을 훔칠 수 있다. 공격자는 종종 파일을 압축해서, 파일이 이동할 때 네트워크 트래픽 모니터링이 잘 식별하지 못한다. 

데이터 유출을 방지하기 위해 어떤 방법을 사용해야 할까? 핵심은 데이터 유출 방지(Data Loss Prevention, DLP) 기술을 적용해 데이터 이동을 차단 또는 추적하거나, 파일 이동시 트리거되는 경고를 설정하는 것이다. 또한 외부의 공격뿐만 아니라 내부 사용자의 위협에서 보호해야 한다. 
 

내부 사용자의 데이터 유출에 대한 기본적인 위협    

데이터 유출은 종종 인적 자원의 문제다. 직원이 만족스럽지 않으면, 기업의 데이터를 훔치는 행위를 기업의 문화에 대한 적절한 조치라고 정당화할 것이다. 먼저 직원이 공유하거나 노출해서는 안되는 데이터를 이해하도록 교육시켜야 한다. 직원이 따라야 하는 승인된 매뉴얼을 만들어야 한다. 또한 기업의 데이터가 올바르게 식별되고 계층화되는지 확인하고, 그에 따라 데이터를 보호해야한다.  

미국의 전직 CIA와 NSA 요원으로, 미국의 광범위한 민간인 및 외국 정상 도·감청을 폭로했던 에드워드 스노든은 민감한 문서에 접근할 수 있었고, 유출할 수 있었다. 그렇기 때문에 사용자가 알아야 할 기본 구문을 사용해 기본적인 파일 액세스 권한을 설정해야 한다. 평범하고 익숙한 NTFS 파일과 폴더 권한을 설정해, 실제로 필요한 사용자만 액세스를 허용해야 한다. 
 

파일 감사와 네트워크 모니터링 사용

파일과 폴더에 대한 감사를 항상 활성화해 직원의 파일 액세스와 사용을 추적한다. 모니터링할 감사를 설정하지 않으면 누가 무엇에 액세스했는지 확인할 수 없다. 그룹 정책을 시작하고, 파일 공유 위치에서 감사를 실행한다. 

그런 다음 도구를 사용해 계층화를 기반으로 데이터를 보호하고, 중요하거나 압축된 파일이 네트워크에서 이동할 때 경고하도록 설정한다. 온프레미스 파일 서버의 경우 ‘파일 서버 리소스 관리자(File Server Resource Manager, FSRM)’를 사용해 중요한 정보가 담긴 파일을 식별하고 이동할 수 있다. FSRM을 사용해 분류와 파일을 기반으로 중요한 데이터를 암호화할 수도 있다. 

다음으로, 방화벽에 어떤 옵션이 있는지 검토한다. 간단히 웹 필터를 설치해, 사용자가 온라인 수단을 사용해 네트워크 외부로 파일을 이동할 수 없도록 파일 공유 웹사이트나 특정 익명화 서비스(anonymizer) 위치를 차단할 수 있다. SMTP/S 스캐닝 규칙을 설정해 발신 zip 파일이나 기타 압축 파일 형식을 차단할 수 있다. 

워크스테이션 측에는 모니터링 소프트웨어를 설치해 사용자 활동과 시스템을 사용을 추적하고, 부적절한 행동이 취해지면 플래그를 지정한다. 익스체인지(Exchange) 2013 이상 또는 오피스 365를 사용하는 경우, DLP 정책을 설정해 데이터 유출을 방지할 수 있다. 익스체인지 2013은 전송 규칙을 설정해, 이메일에 포함된 정보에 기초해 데이터 전송을 제한할 수 있다. 키워드, 사전, 정규 표현식에 따라 데이트와 파일의 분류를 민감(혹은 민감하지 않음)으로 설정해, 이메일의 DLP 정책의 위반 여부를 판단할 수 있다. 
 

오피스 365에서 데이터 액세스 권한 설정하기 

규정 준수는 오피스 365 어드반스드 데이터 거버넌스(Advanced Data Governance)의 일부이다. 이는 오피스 365 E5/A5/G5 라이선스, Microsoft 365 E5/A5/G5 라이선스, Microsoft 365 E5/A5/G5 준수 라이선스, 독립형 라이선스인 Office 365 Advanced Compliance의 일부이다. 

정보 권한 관리(Information Rights Management, IRM)를 ‘애저 정보 보호 프리미엄 플랜(Azure Information Protection Premium plan)을 포함한 오피스 365 플랜’ 또는 ‘정보 관리가 포함된 오피스 365 플랜’에서 사용할 수 있다. 예를 들어 오피스 365 E3나 오피스 365 E5 플랜을 이용중이라면 IRM이 포함된다. 

다음 단계에 따라 IRM을 활성화한다: 
•    “관리 센터”로 이동한다.
•    “설정”으로 이동한다. 
•    “서비스”로 이동한다.
•    “마이크로소프트 애저 정보 보호(Microsoft Azure Information Protection)”로 이동한다. 
•    “마이크로소프트 애저 정보 보화 설정 관리Manage Microsoft Azure Information Protection Settings)”으로 이동한다.
•    권한 관리 페이지에서 “활성화”를 클릭한다. 
•    “권한 관리(Rights Management)를 활성화하시겠습니까?”라는 메시지가 표시되면 “활성화”를 클릭한다. 

이제 권한 관리가 활성화돼 있고, 비활성화하는 옵션이 표시된다. 



고급 기능을 클릭하면 ‘전달 금지 규칙’을 구성할 수 있다. 
 

애저 정보 보호(Azure Information Protection)는 사용자 당 2달러(미국 기준)이며, 문서나 이메일에 중요한 데이터가 있는지를 자동으로 감지하고, 정책 설정에 따라 자동으로 제한을 적용하도록 설정할 수 있다. 클라이언트는 워크스테이션에 설치되어 설정을 실행한다. 

마지막으로, 파일을 외부로 유출하는 물리적인 방법을 차단하는 것을 잊으면 안된다. 시스템 BIOS 설정을 구성해 USB 포트의 사용을 차단하면 사용자가 플래시 드라이브를 사용해 기업의 중요한 정보를 지울 수 없다. 정책 설정에는 제조업체의 BIOS 소프트웨어나 그룹 정책 설정을 사용할 수 있다. 

데이터는 어떤 방식으로든 유출될 수 있다. 외부 공격자뿐 아니라 내부 사용자의 위험으로부터 데이터를 보호하는 최선의 방법을 평가했는지 확인하자. editor@itworld.co.kr 


X