IT Solutions/Security

문서 중앙화와 보안고려사항

2017.05.24 09:30

최근, 중국 해커 중 일부가 한국에 대한 무차별적인 공격을 주장하거나 특정 업체가 랜섬웨어를 이용해 돈을 요구한다는 뉴스가 흘러나오고 있습니다. 일반 PC를 대상으로 불특정 다수를 공격하는 악성코드도 발견되어, 이젠 주변에서 해킹을 당했다는 사람도 나타나고 있습니다.


실제로, 저도 주변에서 랜섬웨어에 의해 데이터를 유실하였다는 소식도 들은 적이 있습니다. 상황이 이렇다 보니, 회사 보안 담당자는 정보 유출뿐만 아니라 정보 훼손에 대해서도 비중을 두고 고민하게 되었습니다.



IT 처리 시스템은 메인 프레임을 중앙화한 환경 구축이 필요합니다. 유닉스(UNIX) 기반의 오픈 환경을 가상화하는 클라우드(Cloud) 환경을 확산하는 방향입니다. 그러나, 시스템에서 처리하는 정보 자산은 클라우드 환경의 개방성으로 인해, 중앙으로 통제 범위를 가져가는 것이 필요할 것입니다. 이런 이유로 문서 중앙화에 대한 필요성은 상대적으로 이해가 쉬운 상황이라고 할 수 있습니다.



 문서 중앙화 란?

문서 중앙화란 ‘Document Management’의 하나로 말 그대로 정보 자산인 문서를 중앙으로 모아 관리하는 것을 말합니다. 중앙화에 필요한 기능을 제공하는 것이 문서 중앙화 솔루션인데요. 문서를 중앙으로 송수신하여 관리하는 기능과 서버 장애 시 PC에서의 작업을 지원하는 것이 중요 기능입니다. 특히, PC에서의 작업을 지원할 경우, 다양한 채널을 통한 정보 유출 방지를 위해 DLP(DataLossPrevention)의 기능이 필요합니다.

이 솔루션은 크게 2가지 방향에서 분화하였습니다. 하나는 문서 관리 솔루션에서 DLP 보안을 융합하는 방향과 DLP 솔루션에서 문서 중앙화 기능을 융합하여 개선한 것입니다. 글로벌 업체는 규모가 있는 업체 중심으로 국내에 진출하였기에 주로 문서관리 솔루션에서 개선하였습니다. 반면, 국내에서는 상대적으로 DLP 보안에서 문서 중앙화 기능을 융합하는 방향의 제품이 더 많습니다. 

그렇다면, 문서 중앙화를 추진할 때 고려해야 할 보안 사항은 어떠한 것이 있을까요? 적어도 다음 3가지를 고려해 볼 수 있습니다.


[문서 중앙화 보안 사항]

1. 시스템의 가용성 및 확장성 

2. 업무상 자료교환과 운영 효율성을 고려한 정책 수립

3. PC Agent 설치에 따른 다양한 이슈 해결


위에 언급한 3가지 사항에 대해 자세히 알아보겠습니다.



 시스템의 가용성 및 확장성

IT에 관심이 있는 분이라면 보안과 관련이 없어도 많이 들어보셨을 것입니다. 일반적으로 보안의 3요소를 CIA라고 하여 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability)을 이야기합니다. 여기서 볼 수 있는 가용성은 보안을 외부로부터 지키는 것뿐 아니라 내부에서의 안정적인 사용을 보장하는 것으로 이해하면 되겠습니다. 

이를 문서 중앙화에 적용해 보면, 문서가 중앙에 집중되어 있으므로, 시스템이 불안하면 사용자의 문서 사용이 불가합니다. 이를 위해 네트워크부터 하드웨어, 서비스 제공에 필요한 소프트웨어의 각 레이어에 대한 장애 대비가 필요할 텐데요. 최근에는 OS, DBMS, WAS, 스토리지 등 시스템 인프라 기능에서 이중화, 다중화 지원을 하고 있습니다. 그러므로, 사전 계획 단계에서 준비하면 큰 문제가 되지 않을 것으로 생각합니다.

인프라의 가용성을 반영한 후에는 솔루션의 가용성을 살펴볼 수 있습니다. 솔루션의 가용성을 검토하기 위해서는 이미 적용된 사례를 살펴보는 방법이 상당히 효율적인데요. 최근에 도입된 사례를 중심으로 어떠한 아키텍처를 적용하였는지 검토하는 것이 좋습니다. 



도입하고자 하는 회사와 유사한 환경에서 안정적으로 운영될 수 있는 모습을 가늠해 보는 것입니다. 즉, 솔루션이 안정된 서비스를 제공하기 위해서 이미 검증이 된 아키텍처의 사용을 일차적으로 검토하시기를 권고합니다. 


물론 빠르게 변화하는 환경에 비해 신기술 적용이 느린 감은 있습니다. 그러나, 안정성이 있어야 하는 곳에서는 상당히 효과가 높은데요. 더구나 회사 인원의 대다수가 관여하는 문서 중앙화는 안정성이 흔들리면 시스템 효과가 크게 반감되기 때문에, 불필요한 모험을 감행하지 않는 것이 좋습니다. 다행히 문서 중앙화는 이미 도입사례가 있어, 다양한 사례를 통해 적용된 아키텍처를 살펴보고 회사별로 적절한 선택을 하면 될 것입니다.


확장성은 가용성보다는 우선순위가 밀릴 수 있는 항목입니다. 문서 중앙화 시스템의 확장성을 고려할 때는 네트워크와 스토리지 부분에 비중을 두고 고려하시기 바랍니다. 문서가 중앙화되기 때문에 파일 송수신에 대한 필요성이 높아지는데요. 이는 곧 네트워크 병목으로 이어질 수 있습니다.



PC에서 문서를 사용할 때에는 변경 이력 관리를 개인이 하게 됩니다. 그러나 문서 중앙화의 경우, 이력 관리 기능이 있어 그 사용량이 PC 대비 몇 배가 될 수도 있습니다. 문서를 수정하여 적용할 때, 기존 문서를 별도 삭제하지 않는다면 하나의 문서가 수십 개의 문서로 남아 있는 상황이 발생할 수 있죠.


이는 문제 발생 시, 복구의 관점에서는 매우 효과적이나, 스토리지 저장이라는 관점에서는 불필요한 데이터 저장이 늘어나는 상황입니다. 따라서 예측했던 사이즈가 점점 증가하여 스토리지의 확장을 고려하는 상황이 필요할 수 있기에 처음 설계 시부터 확장성을 고려하는 것이 좋은 선택이라 할 수 있습니다. 



 업무상 자료교환과 운영 효율성을 고려한 정책 수립

문서 중앙화는 문서 관리를 위한 기본 기능으로 접근 권한에 대한 정책을 수립할 수 있습니다. 중앙에서 관리하는 문서에 대한 접근 권한은 기존 사용하고 있는 회사 규정에 따라 이를 시스템으로 준용하면 쉽게 접근할 수 있습니다. 그러나 PC 사용을 허용하게 되면서, 문서 중앙화에 따라 정보 유출 방지 관점에서 접근하면 DLP의 영역에 대한 통제까지 고민해야 하는 상황에 이르게 됩니다. 

DLP의 정책 수립과 마찬가지로 문서 중앙화를 운영하는 담당자 입장에서는 가능한 최소의 정책을 유지하는 것이 효과적일 것입니다. 그러나 DLP 정책을 수립하신 분은 경험해 보셨겠지만, PC라는 환경의 다양성을 고려하게 되면 그 정책의 수가 엄청 분화할 수 있다는 점에 당황스러움을 경험할 수도 있습니다.

이는 PC 사용에 따른 다양성이 그 원천 요인이라 할 수 있습니다. PC 사용자는 동일한 문서를 처리하는 데 있어 사용자 성향, 대상 업무, 사업장 환경 등 다양한 요인에 따라 사용 방법이 다릅니다. 예를 들어 PC 브라우저의 설정을 보더라도 누구는 Default 설정을 사용하지만 다양한 보안 옵션을 활성화하여 PC를 지키기 위한 활동을 하곤 합니다. 



PC는 말 그대로 개인적인 자원입니다. 개인에 따라 다양할 수밖에 없습니다. 또한, 대상 업무에 따라 문서를 주고받는 사이트 주소도 다르고, 사용하는 프로그램도 다르기 때문에 그에 대한 연동을 고려해야만 합니다. 사업장 환경에 대해서는 공용 PC를 사용하는 환경, 노트북을 이용하여 이동성이 강화된 환경, 특정 시뮬레이션을 위한 전용 환경 등 환경의 다양함이 항상 존재합니다.


이런 제약을 고려하여 문서 중앙화 정책 수립기준 원칙을 세워야만 합니다. 기본은 표준의 원칙을 유지하되 예외를 최소화할 필요가 있습니다. 예를 들어, 문서 중앙화 정책을 적용하면 문서 반출 방법을 마련할 수 있습니다. 특정 승인 절차 아래 내부 메일, USB 저장 매체 또는 URL 허용 등으로 반출할 수 있다고 정의하는 것이죠. 


물론, 업무상 회사 외부의 기관과 자료를 주고받는 일이 많은 사용자는 많은 제약이 따른다고 불편을 호소할지도 모릅니다. 그러므로, 어떤 기준으로 외부 기관과의 자료 송수신이 많은가를 판단할지 고민이 필요할 것입니다. 그러나, 이러한 예외가 늘어날수록 운영단계의 정책 관리에 있어서 많은 어려움을 수반하게 됩니다.


항상 그렇듯이 가장 중요한 기준을 세우고, 정책 허용을 판단하여야 합니다. 통제가 가능한 정책을 우선순위에 따라 정렬하고, 정책 간 충돌이 발생할 경우 우선순위에 따라 조정을 하는 것입니다. 


이렇게 예외를 최소화하다 보면, 정책을 상대적으로 완화하여 적용할 수 있습니다. 이후, 완화한 정책을 보완할 수 있는 모니터링 방안을 지속해서 고려하면 됩니다. 모니터링을 위해서는 담당자의 지속적인 활동이 절대 필수이므로 업무상의 식별 TASK로 관리하여 꾸준히 수행 및 향상할 수 있도록 지원해야 할 것입니다.



 PC Agent 설치에 따른 다양한 이슈 해결

마지막으로 사용자별로 설정이 필요합니다. 활용하는 PC에 별도 Agent 설치를 하여 발생하는 이슈를 해결해야 하기 위함입니다. PC의 다양성을 살펴보기 위해 하나의 예로 앞서 언급된 브라우저의 보안 설정을 살펴보겠습니다. 우리나라는 IE의 비중이 상당히 높다고 알려져 있습니다. 그런데도, 그 브라우저의 옵션 특히 보안 옵션에 대해 이해하는 사용자는 얼마나 될까요? 



보안에 대한 인식이 강화되면서 PC 보안 설정을 사용하는 사용자가 늘고 있습니다. 그러나 그 설정으로 인해 발생하는 에플리케이션의 다양한 결과에 대해서 이해하기 어려운 부분도 상당히 많습니다. 보안 관련 업무를 하는 필자도 브라우저의 보안 옵션을 모두 알고 적용하지는 못하고 있으니 일반 사용자는 더욱 그럴 것으로 생각해 봅니다. (물론, 더 잘 사용하는 분도 많다는 것도 잘 알고 있습니다.) 


프로젝트를 하다 보면 PC 사용자의 장애 문의가 접수되는 경우가 있습니다. 여러 가지 원인을 살펴보지만 어떤 경우에는 PC의 보안 설정 때문에, 그 원인이 밝혀지는 경우를 경험하게 됩니다. PC 사용자에게 문의하면 그 설정이 무엇을 의미하는지 모르는 경우입니다. 다만, 다른 사이트에서 보안을 권고하여 설정하였다는 답변을 받곤 합니다. 참으로 쉽지 않습니다. 다양한 사이트에서의 설정을 모두 알 수는 없으니까요.


유사 사례로 사용자의 PC가 먹통이 되어 재부팅을 해야 한다는 상황이 있었습니다. 원인을 살펴 보니 인터넷 온라인 거래사이트에서 적용된 보안 모듈과 DLP 모듈과의 상충으로 발생하는 현상이었습니다. 온라인 거래사이트의 보안 프로그램을 확인한 후 모듈 수정을 하고 나서 해결이 되었지만, 그 처리 범위가 광대해 짐을 다시 한번 실감한 경우라 할 수 있습니다. 


이렇듯 PC에 별도 프로그램을 설치하는 프로젝트를 하다 보면, 다양한 OS 및 다양한 브라우저에 대해 테스트를 해야 합니다. 문서 중앙화도 결국 DLP가 관련되어 있기에 이를 벗어날 수는 없습니다. 이를 위해서는 테스트 PC를 여러 대 구성하여 이들에 대해 각각 테스트해야만 합니다. 



최근 들어 가상화된 환경을 꾸며 테스트를 상대적으로 쉽게 할 수 있긴 합니다. 그러나, 이러한 부분은 말 그대로 테스트 환경에 불과합니다. 나름 Clean 환경인 셈이죠. 이렇게 되다 보니 PC에 별도 프로그램을 설치하는 프로젝트가 더 어려운듯합니다.


이러한 제약을 해결하기 위해서는 PC에서 통제 범위를 줄일 필요가 있습니다. 사용자의 PC 환경을 조사하여 지원이 가능한 OS 범위를 확정하고, 또한 브라우저 지원 범위도 확정하는 것이 필요합니다. 대국민 서비스인 경우에는 이러한 것이 매우 어려운 일이지만 회사 내의 범위에서는 표준 PC 환경이 있으니, 이 범위에 대해 프로젝트 초기에 확정할 필요가 있다는 것입니다.

이를 통해 정확한 환경을 확정하고 주도면밀한 테스트를 수행하여 효과적으로 문서를 중앙에서 관리하고 정보 유출을 방지하게 됩니다. 최근 랜섬웨어 이슈로 많이 바쁘신 상황일 텐데요. 설명해 드린 문서 중앙화를 검토하시어 좀 더 안전한 보안 환경을 꾸며 보시기 바랍니다. 


글 l LG CNS 보안컨설팅팀 


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로