그룹웨어 보안

그룹웨어 보안

클라우드 그룹웨어에 대한 우려의 목소리가 간혹 있습니다. 바로 보안과 커스터마이징에 대한 이슈입니다.

그 중 첫 번째, 클라우드 그룹웨어의 보안에 대해 논해볼까요?

여러분은 ‘보안’이라고 하면, 주로 어떤 것들을 생각하시나요?
해킹? 디도스? 스미싱? 스팸? … 아마 주로 외부에서 들어오는 공격들을 예측할 것입니다.

여기서 간과하면 안 되는 부분이 있습니다.
외부로부터 내부 정보를 지키는 것도 중요하지만, 그에 앞서 내부에서 외부로 정보가 새어나가는 위험이 더 크다는 사실을 말입니다.
이러한 측면에서 본다면, 기업이 중요하게 생각해야 할 보안은 위험한 순서에 따라
[내부 보안 > 외부 보안]으로 구분할 수 있습니다.

내부 보안 : 회사 내 이해관계자(주로 직원)의 접근을 말합니다.
외부 보안 : 외부 사람(주로 해커)의 접근으로, 기본적으로는 제한되어 있습니다.

2가지 경우를 자세히 살펴보겠습니다.

① 내부 보안

내부자 보안 관리는 기업이 사내 정보를 보호함에 있어 핵심적인 부분이라고 할 수 있습니다.
아래와 같이 실제로 내부인이 어떤 상황에 대해 이해관계자일 확률이 높을뿐더러 접근도 쉽기 때문입니다.

– 사내 직원(전산담당자, 혹은 개발자)이 S 혹은 A 등급 정도의 높은 보안이 요구되는 사장의 메일을 열람한 경우, 그리고 이를 유출한 행위

구축형 그룹웨어의 경우, 내부자에 의한 보안 위협이 더 높아집니다. 서버와 인프라를 모두 기업 내에서 관리하기 때문에 사내 전산 담당자는 마음만 먹으면 데이터를 열람할 수 있습니다. 정보를 유출하지 않았다고 문제가 안 되는 것이 아니라, 본인의 계정이 아닌 것을 열어보는 것 자체가 전산 담당자의 보안 지침에 위배되는 행위인 것입니다. 그렇다고 이를 기술적으로 통제할 수 있는 범위도 제한적이므로 기업 내에서는 상호간 신뢰에 의존할 수 밖에 없습니다.

이렇듯 구축형 그룹웨어에서 ‘사내 전산 담당자를 어떻게 믿을 수 있는가’ 하는 문제가 제기되면서, 외부에 모든 인프라와 데이터를 맡기는 것, 즉, 임대형(클라우드형) 그룹웨어가 내부 보안 측면에서 더 안전하겠다는 주장이 나오게 됩니다.

비유를 들자면, ‘집 안의 금고보다 외부 은행에 돈을 맡기는 것이 더 낫다’라는 것입니다. 가족 중 누군가가 금고를 열어 돈을 가져가는 확률이 외부 도둑이 침입해 금고를 털어갈 확률보다 더 높을테니까요.

다시 본론으로 돌아와, 내부 보안을 위해서는 구축형보다는 임대형(클라우드형) 그룹웨어를 이용하는 것이 더 낫다고 언급하였는데,
그럼 ‘그룹웨어 업체 직원은 또 어떻게 믿을 수 있는가?’라는 의문이 나옵니다.




그룹웨어 업체의 컴플라이언스 제도

쉽게 말해, 하이웍스 그룹웨어를 이용한다고 하면 이곳에서 고객사의 데이터를 어떻게 관리하고 있는지, 개발 및 전산 담당자들이 고객사의 데이터를 유출 할 위험은 없는지에 대한 보안을 다루는 내용입니다.

이 부분은 전적으로 업체에서 책임지고 지켜야 하는 부분입니다.
하이웍스의 경우, 가비아가 컴플라이언스 보안을 책임지고 진행하고 있습니다.

여기서 핵심 부분이 바로 ‘업체 내부 직원에 대한 관리 감독’입니다. 마치 금융감독원이 각 시중은행에 행동 지침을 주고 감사를 주기적으로 진행하거나, 지점마다 있는 내부 보안 감사원이 은행 직원들을 관리·감독하는 것과 같은 맥락입니다. 곧, 은행은 은행 직원이 사고 행위를 했다면, 이에 대한 모든 책임을 지는 것과 같습니다.

가비아는 업체의 전산 담당자가 고객사의 PC나 서버에 원격 접속하여 데이터를 열람하거나 빼낼 수 있는 위험을 방지하기 위해,
업체 내부적으로 ‘원격 접속 승인’ 정책을 두어 고객의 요청이나 업무적인 이유 외에는 원격으로 고객사의 데이터에 접근할 수 없도록 하고 있습니다.

또한, 데이터 접근에도 ‘권한 분리 및 제한’을 두어 아무 직원이나 고객사 데이터에 접근할 수 없도록 하고 있습니다.
더불어 고객사의 비공개 데이터에 대해서는 기본적으로 ‘암호화’하는 방법도 진행하고 있습니다.

이 밖에도 다양한 스펙트럼에서 컴플라이언스 보안을 지키기 위해 노력하고 있지만, 무엇보다 가장 근본적인 부분인 직원들의 보안 의식과 마인드를 고취시키기 위해 체계적인 교육을 주기적으로 실시하고 있습니다. 전산 담당자뿐만 아니라, 고객 데이터에 접근할 수 있는 모든 직원들을 대상으로 고객사 데이터 보안에 대한 보안 지침과 관리에 대한 교육을 지속적으로 진행합니다.

② 외부 보안

외부에서 들어오는 공격에 대한 보안을 뜻하는 ‘외부 보안’에서는 해킹 이슈를 빼놓을 수 없습니다. 최근 들어 랜섬웨어, 디도스, 스미싱 등 공격 방법도 다양화되고 있는데요. 보안은 이론적으로 100% 방어될 수 없습니다. 이것은 전 세계 어떤 나라에서도 마찬가지입니다.

이럼에도 가비아는 모든 경우의 수를 따져 다양한 공격에 대한 사전 방어와 차단, 혹시라도 발생할 수 있는 장애에 대해서도 확실한 대책으로 접근해 해결하는 보안 서비스를 제공합니다.

하이웍스 그룹웨어를 이용하면 강력한 외부 보안 서비스를 받을 수 있습니다.
보안 때문에 클라우드형(임대형) 그룹웨어 도입을 주저하셨다면 하이웍스를 최우선으로 고려해 보시기 바랍니다.

통과하기 까다롭다는 ‘ISMS 인증 획득’을 통해 보안과 안정성을 입증 받고 있습니다.
업계 유일 코스닥 상장사로서 객관적 신용도를 보장하며, 기업의 규모나 서비스 퀄리티 면에서 타사와는 차별화된 매리트를 가집니다.
보안 조직을 별도로 구축하고 있어, 보안 전문가의 관제를 직접 받을 수 있습니다.
24시간/365일 기술지원으로 어떠한 문제 상황에서도 즉각 대응이 가능합니다.
기술적으로는 별도의 IDC 센터를 두고 서버 이중화와 실시간 백업을 필수로 진행하고 있습니다.

[출처] http://library.gabia.com/contents/business_solution/5275

2개의 댓글이 있습니다.

약 6년 전 | 제이컴즈 | 010-2871-8756

내부 유출에 대해서 은행과 비교를 하셨는데 은행은 고객에게 너의 돈이 얼만큼 있다고 입금된 돈에 대해서 항상 24시간 열람이 가능하고 언제든지 인출도 가능합니다. 정보라는 것은 가치를 평가하기 애매한 부분이 있고 또한 어떤 정보가 어떤식으로 유출이 되었는지 파악도 해야 합니다. 은행도 1 금융권 은행에 맡기는 게 안전하냐 아니면 2 금융권 3 금융권에 맡기는 게 안전하냐 라는 차이도 있구요 그리고 남의 돈을 횡령 하는 것은 심각한 범죄라고 인식하지만 사소한 고객의 정보는 쉽게 보는 인식이 있거든요 결국 높은 보안이 요구되는 사장의 메일은 내부 직원이 보느냐 아니면 외부 업체가 보느냐 등등 사람이 누구냐만 다를 뿐이지 누군가는 볼 수 밖에 없습니다. 사장의 메일에 문제가 생겨서 볼 수 밖에 없는 상황이 오지 않는다고 보장할 수 없는 거죠. 결론적으로 내부 직원이 관리 하느냐 아님 외부 업체가 관리 하느냐 에 대해서 어떤식으로 전산 관리자를 통제하고 관리할 것인지에 대해서 고민해야 하는 게 포인트 입니다. 그게 없다면 내부에서 관리하던 외부 업체에 맡기던 유출의 결과물은 똑같다고 봅니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

약 6년 전

요즘 이것때문에 고민이 많습니다.~

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입