[써보니어때?/문서보안] 워터월 DLP / 두루안 쉐도우큐브 DRM


본 사용자리뷰는 쉐어드IT 리뷰이벤트 “써보니 어때?”를 통해 werther20회원님께서 작성해 주신 내용입니다.

안녕하세요.

현재 당사에서는 DLP, DRM 2가지 운영중이여서 2제품을 다 다뤄보도록 하겠습니다.
부족하더라도 많은 지도편달 부탁드립니다.^^;
(너무 개인적인 견해가 강해서.. 부정적인 사항들이 많이 보여지며 구버전이다 보니 개선안된점을 얘기할 수 있으니 양해부탁드립니다..)
궁금하신 사항이 있으시면 댓글주시면 제가 아는한 도움을 드리도록 하겠습니다.

매체보안-DLP

1. 現 사용중인 제품 : 통합내부정보유출방지 시스템 (Waterwall (워터월) – Version : 4.0)
2. 적용 : 본/지사 및 관계사 적용 (전체 임직원 PC)
3. 정책 : 온라인 / 오프라인 / 매체제어 (개인정보보호 모듈 포함)
4. 기간 : 2006년 03월~ 현재까지 (약 10년이상 활용 – 3.0 -> 4.0 up)
5. 형태 : 구축형 / DB : MS-SQL

-선택하게된 이유 : 2006년 중소기업 불법유출방지사업을 신청하여 지원받은 DLP제품(Watwerall 3.0)으로 다른제품은 생각하지 않고(그당시에 정부지원 사업이 되는 제품이 워터월 제품만 알고있어서…) 해당 제품으로 선정하였습니다.

처음 이 제품을 선택하고 구축하였을 당시에 말들이 엄청 많았습니다. 주변 업체들 중에서도 비슷한시기나 아니면 이후에 도입하고 나서 중도 포기한 업체가 많이 있습니다.

(제 지인들 회사에서 많이 포기했네요.. DLP를 포기하고 그냥 DRM사용하는 업체들이 많네요.)
포기한 업체들은 거의 공통적인 이슈가 있었습니다. 물론 저희도 동일하게 다 겪었구요..^^;

 

단점 – 이슈가 있었던 부분 (최신 Version에서 해결되었는지는 모르겠습니다.)
– 프로그램 버그 수정 Delay 및 업체 대응 미비
– 통합관제 미흡 (정책 / 조직 / 리포트 화면이 다 별도의 창으로 구성되어있음. 별도 로그인 필요)
– 신규 OS Update시 비용추가 발생 및 적용 delay (이부분은 다른 제품들도 동일할 것 같습니다.)
– 에이전트 삭제되는 현상(특정 백신에서 강제삭제됨. 특히 중국에서 사용하는 PC들 전체가 설치시 키보드 먹통증상 및 강제 삭제되는 현상이 발생됨.) – 제일 큰 이슈였습니다.

초창기 3.0버전에 문제가 많아 2012년도에 버전up(4.0)으로 진행하였으나 여전히 문제가 발생을 하곤 했습니다. 최신버전에서는 위의 사항이 다 개선되었으면 좋겠습니다.

너무 단점들만 나열해놓아서 별로일 것이라고 보여지겠지만.. 현재 저희가 사용하는 부분에는 크게 이상없이.. 만족하게 사용중에 있습니다. (장점은 다른 DLP도 동일할 것으로 생각이 듭니다.)

 

장점 – 개인, 팀, 부문단위로 구분하여 정책 적용
– 오프라인 (워터마크, 프린터차단, 화면보호기, 화면로그, 이동저장장치반출, 소프트웨어제어 등)
– 온라인 (온라인 파일반출, 허가/차단메일주소, 파일전송허용주소, 차단사이트 등)
– 정책 설정PC 지정(IP로 지정하여 특정 IP에서만 정책이 설정하도록 세팅 – 워터월콘솔)

최종 제품 평가 : ★★☆☆☆

초창기에 설치를 해서 그런지 모르겠지만 해당 제품은 대기업 및 군부대에 많이 납품을 한 제품이여서 모든 것이 큰업체 위주로 맞춰져서 처음 구축시에 실망을 많이 했었습니다. 또한 초기 구축당시 개발사의 인력들이 많이 그만두어서 업무인수인계가 안되는 실정까지 벌어지고 개선약속도 지켜지지 않아…결국에는 유지보수를 포기하였습니다. 물론 회사가 안정화가 되어서 유지보수를 재개하였지만.. (아 지금은 다시 유지보수를 안하고 있습니다.. 회사 사정상..)

여전히 그 기억이 새록새록 나네요…^^;; 지금은 10년넘게 사용하면서 안되는 것은 그냥 포기하며 쓰고 있어 별로 불편함을 느끼지 못하였지만 최근 다른 회사 방문해서 그 회사의 DLP구축된 것을 보고나서는 저희 제품이 많이 미흡한 것을 알았습니다. 당연히 현재 출시되는 버전은 안그러겠지요?^^.. 당연히 좋으리라 믿습니다..

구축하실 때 당연히 그러겠지만 많은 업체들 Benchmarking가보시길 바랍니다. 업체랑 함께 가지마시고 따로 가신다면 더욱더 좋구요.. 한군대가 아니라 여러업체들을 꼭 가보시고.. DEMO는 꼭 해보시길 바랍니다. 한두명이 하는 것이 아니라.. 적어도 회사의 한팀이상 적용해서 한번 구동을 해보면.. 어떤 문제점이 있는지는 대번에 알수 있으니.. 많이 공부하시고 많이 눈여겨보시길 바랍니다.

 

DLP / DRM 에이전트 설치후 Tray Icon.

Waterwall은 파란색 나비 Icon.. 회사 임직원들이 독나방이라고 부릅니다.^^*
Shadowcube는 주황색 Icon. 그냥 문서보안이라고 칭합니다.

image001


DLP 에이전트 설치 사이트

설치파일은 32bit, 64bit로 구분되어 있습니다. 설치방법은 해당 사이트에서 설명되어있습니다.
image002


에이전트 설치화면

설치파일을 실행하면 사용권 동의하고 나면 주 사용자 인증
(ID입력하면 하단에 아이디/이름/Department가 자동 세팅됨. 비밀번호 입력후에 재시작)
image004image003
재부팅하고 나면 로그인창이 나타남 ID/PW 입력하면 바로 DLP적용됨(자동로그인이 편함)
정책에서 화면보호기 설정을 해놓으면 Waterwall 화면보호기 작동.
(윈도우화면보호기와 중복사용가능함. – 저희는 2가지 동시 사용중입니다.)
image005

 

에이전트 실행화면 – 이동저장장치/로컬보안영역/사용자정보/정책확인/설치정보 확인
image006

image007


Waterwall 관리자 로그인 화면(조직 및 사용자 등록 관리)

사용자가 관리자권한으로 등록되어있어야지만 로그인이 가능합니다.
image008

 

Waterwall 관리자 화면. 부서(사업장) 추가 및 사용자 등록가능(부서이동 및 비번변경 등)
image009

image010

 

Waterwall 리포터 로그인 화면 : 現 버전에서 가장 아쉬운 것이 리포트 인 것 같습니다. 많이 미흡합니다. 기능은 많지만 속도가 느리며 안되는 사항들이 많음.
(물론 구버전이며 유지보수를 안해서 발생하는 문제입니다)

image011

image012

 

Waterwall Console 로그인 화면
image013

정책설정하는 핵심 기능입니다. 온/오프라인, 개인정보차단 등 개인/부서/그룹간 정책 설정을 하는 화면. (IP제한을 통한 Console 접속할 수 있는 대상자를 제한하여 효율적 관리)

現 사용자 로그인여부 및 패치버전 확인/ 사용자 PC 정보확인하여 현재 DLP의 정책을 받아서 운영중인지 아니면 우회를 하는지 확인이 가능합니다.

오프라인 > 소프트웨어 제어를 통하여 실행파일 차단하여 관리 (SNS/P2P/Cloud 등)

image014


문서보안-DRM

1. 現 사용중인 제품 : Duruan ShadowCube 6.0
2. 적용 : 본/지사 및 관계사 적용 (전체 임직원 PC)
3. 문서암호화 : MS오피스, 한글, PDF, 이미지, 메모관련 파일들 암호화
4. 문서그룹 : 공통 / 연구소 / 인비
5. 기간 : 2013년 12월~ 현재까지 (2년9개월 활용)
6. 형태 : 구축형 / DB : PostgreSQL (MS-SQL, Oracle이 아닌 PostgreSQL 활용)

– 선택하게된 이유 : 전자문서 형태의 정보 발생으로부터 정보의 사용/폐기에 까지 회의내 중요 문서의 불법적인 유출을 통제하기 위하여 문서보안시스템을 알아보던 중 가장 Simple하며 구축기간이 짧게 걸리는 제품을 선정하였습니다. (물론 구축금액도 가장 저렴한 것이 가장 중요한 요소지만…^^*)

– 함께 고민한 제품 : 마크애니 DocumentSafer / 파수 Secure Document
(B/M 확인 및 DEMO해보고 결정하였습니다.)

– 검토기간 : 3개월 검토후 구축(그 이전에도 구축검토를 하였다가 무산됨.)

장점
– 가격대가 저렴함 (타사 제품 대비 1/3이상)하며 DB 선택할 수 있음.(PostgreSQL 활용)
– DRM의 기본 기능을 다 갖추고 있으며 에이전트가 상당히 가벼움. 구축기간이 짦음.
– 타 시스템과 연계 (현재 암호화된 문서를 메일로 외부보낼시 자동 복호화기능 개발적용)

단점
– 문서그룹간에 이동이 쉽지 않음. A문서그룹을 열고 있을 때 B문서그룹의 문서를 열람못함
– OS/문서암호화 대상의 upgrade시 버전 up필요(비용발생 – 다른 DRM도 유사할 것으로 보임)
– 간혹 라이선스 업데이트가 되지 않고 문서 생성하거나 문서 열림이 안되는 경우.

최종 제품 평가 : ★★★★☆

생각보다 점수가 잘나왔네요..^^

약 3년동안 사용해보니 가장 중요한 것은 도입이후 크게 문제점없이 적용한 부분이 였습니다. 도입이후 1~2주정도 불편사항들이 있었지만.. 빠르게 안정화되어 불만사항이 거의 없어졌으며 암호화/복호화하는 부분도 사전에(도입전) 기준을 마련하여 적용하여 큰 이슈없이 순조롭게 구축하게되어… 최종 제품평가 점수가 나온 것 같습니다.

다른 문서보안프로그램도 정말 좋겠지만 구축기간, 그리고 금액, 안정성 등을 고려 했을시 해당 제품은 중소/중견기업에 가장 적합해 보여집니다. 물론 대기업에도 적용해도 됩니다^^~
암호화되는 문서들도 다양합니다. 설계관련 문서들 그리고 기본적인 MS, 한글 등의 제품들도 암호화가 다되며 복호화 또한 Simple하게 할 수 있습니다. 그렇다고 보안이 허술한 부분은 아닙니다. 복호화 할 수 있는 권한을 줘서 기록을 남기며, 권한이 없는 사용자는 팀장/부문장까지 결재Process를 타도록 설계가 되어있습니다.

또한 외부에서도 사용할 수 있도록 특별라이선스 기능이 있어 편리하게 사용이 가능합니다.
(라이선스 기간이 있어 기본기간을 넘어서면 라이선스만료가 되어 해당문서를 열람하지 못함)
당사는 해당 복호화내역 및 특별라이선스 발급 등에 대하여 주간단위로 보고하여 보안에 한층 더 신경을 쓰고 있습니다. (매일 복호화내역 점검 및 특별라이선스 전자결재 적용, List化)

ShadowCube 에이젼트 설치 화면
클라이언트 다운로드후 실행해서 Next, Next하여 설치.
image015

설치하고 재부팅하면 로그인하라는 창이 나타납니다.
당연히 바로 로그인이 되지 않습니다. 인증서관리에서 인증서를 추가해서 로그인을 해야합니다.

image018

image018-1


ShadowCube 환경설정

1. 자동로그인 설정 (부팅이후 라이선스 로그인여부)
2. 언어설정 (현재 한국어/영어 만 가능)
3. 라이선스 : 현재 라이선스 타입/라이선스 시간/등등 확인가능하며 특별라이센스 요청가능
(특별라이센스는 사내가 아니라 외부에서 사용하기 위한 라이선스. 기간/요청사유/권한 등 신청)
4. 업데이트설정 : 업데이트 확인 (서버 패치 등을 통하여 에이젼트 업데이트)
5. 알림설정 : 알림메세지 활성화 및 ShadowCube 결재/승인 내역 알림
6. 문서그룹변경 : 문서그룹 자동변환 기능
7. SecurePDF : 문서를 PDF 암호화/인쇄 및 복사 금지 권한 세팅
8. 실행모드 : 일반모드, 트레이 모드 선택

image020


ShadowCube 문서관리 : 문서 복호화요청(결재 상신 및 결재완료 문서 확인)

image021


ShadowCube 관리자-인증서 발급수 및 용량정보 등 확인가능하며, 사용자/부서 추가, 정책설정, 인증관리, 로그통계, 환경설정 등 관리.

PS : Waterwall과 다르게.. 이곳은 한화면에서 모든 것을 관리가능합니다..ㅜ.ㅜ Waterwall..
image022

 

ShadowCube 관리자(객체설정 > 사용자 관리)
사용자 추가 및 권한부여(암호화 모듈 적용)
image023

 

ShadowCube 관리자(정책설정 > 문서그룹 정책)
– 당사는 3가지 그룹사용 : 공통/인비/연구소
image024
문서그룹을 선택시 문서그룹별 부서/사용자 권한 부여가능
image025

 

ShadowCube 관리자(정책설정 > 보안대상 정책) : MS-Office, 한글 등
image026-1

 

ShadowCube 관리자(정책설정 > 라이센스 정책)
라이센스속성, ShadowCube속성,보안파일형식,비암호화폴더,워터마크,컨텐츠보안,출력제한 등
image027-1

 

ShadowCube 관리자(인증관리 > 인증서 발급현황)
image028

 

ShadowCube 관리자(인증관리 > 라이선스 발급현황)
image029

 

ShadowCube 관리자(인증관리 > 특별라이센스 관리)
특별라이센스 발급자에 대한 관리 화면입니다. (승인 및 결재내역, 폐기/삭제 등 관리)
image030

 

ShadowCube 관리자(로그통계 > 복호화로그)
누가 암호화된 문서를 복호화 했는지. 어떤 사유로 복호화를 하였는지 확인하며 보안에 문제가 없는지 체크하는 화면입니다. 매일 매일 확인
image031

 

ShadowCube 관리자(환경설정)
일반설정(클라이언트설정/인증관리등), 데이터베이스설정하는 화면입니다.
image032

종합적으로 보면 어느것이 더 좋다라는 것은 없는 것 같습니다.

(뭐가 더 좋아? 라고 물으신다면.. 전 살짝.. DRM을 손들어주고 싶지만.. 하나밖에 구축되지 못한다고 했을 시에는 보안에 구멍이 존재하게 되어.. 2가지 다 구축이 필요합니다.)

서로의 장단점이 분명하기에 서로를 보완할 수 있도록 DLP, DRM을 다 함께 구축하여 운영하시는것이 효율적으로 판단됩니다. 회사에서 시간과 돈이 된다면 2가지 함께 구축하시길 권해드립니다.

제품은 상관없다! 라고 할 수는 없지만. 요즘 제품들의 퀄리티가 많이 좋아져서 사전에 준비만 잘하신다면 실패할일이 없어보입니다.

문서집중화에 대해서는 검토를 하다가 포기를 하였지만 이부분도 나쁘지 않을 것 같습니다. 검토만 했지 구축하여 운영을 하지 못하여 도움이 크게 되지는 못합니다. 다만 업체말로는 현재 문서집중화가 더 주목을 받고 있다라고는 합니다.

회사에서 보안을 담당하여 항상 새로운 제품이 나오고 항상 새로운 방법으로 그것을 해제시키는 제품이 나오고해서.. 취약점이 드러나 이리저리 욕을 먹고있습니만.. 그래도 시스템이 구축되지 않는것보다는 구축되어 운영하고 있는 것이 훨씬 더 좋다라는 것입니다. 당연한 말이겠지요?^^..

물론 실패를 할 수 도 있습니다. 저희도 시스템 도입에 실패를 많이해서 돈을 엄청 날려먹었지만…ㅠ.ㅠ

두려워하지 마시고 시스템을 도입하셨으면 합니다. (물론 사전에 검토를 많이 해야합니다^^* )

매일매일 건강하시길 빌겠습니다.

Review 읽어주셔서 너무 감사합니다.

About SharedIT

SharedIT

Leave a Reply

15 개의 댓글이 있습니다 - "[써보니어때?/문서보안] 워터월 DLP / 두루안 쉐도우큐브 DRM"

메일 알림 설정
정렬:   최신 | 오래된 | 추천
heaveny

DRM, DLP 이런 프로그램들이 그나마 현재 회사의 보안을 지켜줄수 있는 선택할수 있는 최선의 솔루션이라고 생각합니다. 앞으로 클라우드 및 문서중앙화 등등 신기술이 점점 발전되고 있으나 물리적, 관리적 보안에는 저 솔루션들 만한게 없는듯 합니다. 리뷰 잘 봤습니다~

sjkim5200

혹시 운영중에 DLP나 DRM을 우회하려는 시도나 무력화 하는 방법을 공유하려는 시도는 없으셨나요?

werther20

DLP에서 우회하는 부분들이 많았습니다.
초기에 Cloud, 메신저 등을 통해서 많이 유출이 되었었습니다.
일일히 해당사이트, 포트, 프로그램확장자 등을 차단하고 있지만 하루에도 수십개의 사이트 및 프로그램이 생겨나서… 100% 막을수는 없었습니다.
그리고 초창기 저희 DLP제품의 삭제Tool이 인터넷에서 손쉽게 구할수 있어서 문제가 되었고.. 또한 백신에서 DLP 에이젼트를 삭제하는경우도 많았습니다^^;;;

DRM에 대해서는 아직까지 그런 문제는 없어보여지고 있습니다. 복호화한 문서에 대한 부분이 조금 걸리지만 이부분은 어디까지 공개를 하고 암호화를 해야하냐라는 정책을 제대로만 잡아준다면.. 문제가 없지 않을까 싶습니다..

JOYH
제 개인적인 의견으로는 보안 프로그램 구성은 한가지 제품으로 구성하는 게 너 낫다고 봅니다. 물리적 보안 일 경우 이중 보안이 더 효과적일 수 있지만 DRM 과 DLP 이중으로 구성할 경우 보안적인 효과 보다는 직원들 업무적인 불편함을 더 가중시키는 효과만 나올거라고 봅니다. 저의 짧은 식견으로 보안을 효과적으로 관리 및 운영하기 위해서는 큰 카테고리를 정해서 물리보안, 매체제어, 접근 통제 등등 보안 항목들을 나열하여 해당 보안 항목들을 어떻게 관리할 것인지 어떻게 직원들을 보안 교육 시킬 것인지가 더 낫다고 봅니다. DRM 과 DLP 은 매체 제어 및 문서 보안 관리 항목을 어떻게 할 것인지이고 해당 솔루션만 있다고 해서 보안이 완벽하게 되는 건 아니기에 그렇죠. 보안이라는… Read more »
werther20

네 맞는 말씀입니다.
다만 포인트는 두개의 제품이 바라보는 방향이 틀린부분이 있습니다.
문서보안이라고 해서 완벽한것은 아니고 매체보안이라고 해서 또 완벽한것은 아닙니다.
제가 사용해보니(제 개인적으로)… 한가지로는 어려웠습니다. 취약한점이 많아서..^^;;
그래서 매체보안과 문서보안은 서로 상호 보완하여 운영하는것이 좋을것 같습니다.

임직원들이 불편하다고 호소하는것은 초기 몇달밖에 되지 않습니다. 임원분의 강력한 의지만 보여준다면.. 저희는 몇주도 소요안되었네요…
임직원 교육으로만 되는것은 분명히 한계가 있습니다. 매번 정기적교육 및 홍보, Compliance까지 진행하지만.. 잘되지 않더라구요^^;

JOYH님 말씀처럼.. 제일 중요한것은 인적보안입니다.
해당 인적보안을 어떻게 관리하고 개선해나갈것인가는 영원한 숙제인것 같습니다.
그래서 인식교육이나 Audit 등을 통해서 지속적으로 주입하고 있습니다.

좋은 말씀감사합니다~~^^*

JOYH

보안은 뭘 어떻게 하던 완벽한 건 없어요 직원들의 불편함을 감수하더라도
DRM + DLP 솔루션으로 가는 게 우리 회사 보안 정책에 맞다 라고 하시면
그렇게 가야 겠죠.

다만, 과연 그렇게 한다고 해서 보안이 더 잘된다 라고 할 수 있을까
라는 의구심이 든다 라는 거죠. ㅇㅇ 같은 대기업에서도 (왠지 대기업 실명을 공개하면 안될 거 같아서 수정했습니다.) 정보 유출이
일어나는데요 최근에 그러한 일이 있긴 했습니다. 방송에는 안나왔지만요

자체적으로만 너무 포커스를 맞추시는 게 아니라 국정원 같은 우리나라
정보기관과 협력을 통해서 어찌되었던 정보 유출이 안되게
최대한 효과적인 방법을 찾는 게 중요하다고 봅니다.

werther20

JOYH님. 답글 감사합니다.
DRM+DLP를 하였을시 보안이 더 잘된다라고 할수 있을까라는 질문에..
네.. 더 잘됩니다. 제가 경험한 바로는 더 잘되었습니다. 주변 업체 담당자들을 봐도 훨씬 더 보안유출을 차단이 되었다고 합니다.

당연히 대기업들은 이것보다 훨씬 더 … 정보유출일 차단하는 솔루션들이 많겠지만.. 유출을 되니.. 보안이 완벽할 수는 없습니다. 다만. 최대한 보안을 유지하고 관리적/물리적/인적으로 지원할 수 밖에는 없습니다.

저희회사에서는 현재기준으로는 최대한 효과적인 방법은 위 두가지 솔루션을 접목하고 주기적인 교육 및 Audit활동입니다. 물론 이부분도 미흡한것이 있어 추가적으로 생각은 하고 있지만…

이런것때문에 저희는 지방경찰청이 운영하고 있는 팀과 협업해서 점검도 받고 있습니다.. 보안인증도 준비하고 있구요.. 암튼..^^;; 회사내에서 잘 운영해서 쓰고 임직원들이 불편을 겪지 않는다면.. 좋은시스템이지 않을까요?~^^* (보안운영해서 만족해하는 임직원들은 거의 극소수겠지만..)

wansoo

아무래도 보안을 100% 완벽하게 갖출 수 없으니~
한개로 막을 수 있는게 60%라면 한개 더 추가해서 80% 또다른 보완 제품을 사용해서 90%,… 로 강화시키는게 맞지 않을까 싶네요.
돈이 부족하고, 보안의 중요성이 낮다면 한가지라도 구축해서 운영해도 충분할 수 있겠지만요~

werther20

wansoo님 답글 감사합니다.
완벽한것이 없기에.. 하나로 안되니 두개.. 두개로 안되면 세개로해서.. 운영하고 있지않나 생각이 듭니다. 아무리 한개의 솔루션에 올인을 해서 관리한데도..부족한것이 보였거든요..
임원분의 강력한 의지와.. 자금만 있다면… 이런 고민을 안하겠지만요^^;;

10milesback

ㅎㅎㅎ 독나방이라니요

werther20

울회사 직원들이 부르는 애칭입니다.
독나방…ㅎㅎㅎㅎㅎ

wansoo

언제나 열심이시고, 관리를 잘 하시는 듯~ ^^*

werther20

열심히만 하고.. 관리는 잘 하지 못하고 있습니다..
매번 할때마다 부족해서.. wansoo님께 많이 배워갑니다^^~

ins5250

DRM도 예산부족으로 못하는데 DRM +DLP 라니

werther20

예전에 정부지원금으로 도입한것도 있고.. 저렴하게 구축을 해서.. 운영중입니다.
DLP는 유지보수를 현재 하지않고 자체적으로 운영중이라서.. 조만간에는 최신OS에 대해서 지원이 불가하여 사용중지하지않을까싶습니다.(윈10)

wpDiscuz