안녕하세요
고민이 있어 이렇게 글을 올립니다.
사내에 중요한 자료를 보호하기 위해 외부로 발송하는 첨부 메일은 관리자 승인을 받아야만 전송이 됩니다.
다만, 운영상 사내 메일끼리의 첨부 메일은 제외입니다.
여기서 문제가 발생합니다.
자기 자신한테 기밀자료를 첨부하여 메일을 발송한 후,
집으로 가서 다운로드 받는다면 집에 기밀자료가 저장됩니다.
물론 DLP에서 모든 첨부파일 내역은 로그에 기록되어 집니다.
하지만. 기록일 뿐이라는 생각이 듭니다.
프록시 서버를 두어 메일시스템을 외부에서 접속 못하게 구성도 해보았지만,
출장이 많고 납품한 장비에 직접 업데이트를 하기 위해선 외부에서 메일을 접속해야 하는 상황이라,
프록시 서버는 제거하였습니다.
타 회사는 어떻게 운영하고 계신지 공유 부탁드립니다.
10개의 답변이 있습니다.
보안이란게 웃긴게 회사에서 막는다고 막는데 작정하고 하면 막을수가 없더라구요~DLP/DRM을 적용해도 개인메일로 보내버리면 막을 방도가 없으니 난감하더라구요
작정하고 그런일을 벌인다면 막고 뚫고의 반복입니다만...
OTP 로그인 및 VPN 접속 과같은 2차 3차 보안 망을 구축하지않고선
집에서 다운받는걸 막을 방법은 없어보입니다.
sdg87 | 4년 이상 전
저희는 본인에게 메일발송하여 다운로드 하는것을 막기 위해 사내에서는 그룹웨어 메일을 통해서 발송 가능하도록 하고 (외부 발송 모니터링) 그룹웨어에서 받은 메일 내 첨부파일(office파일, CAD, 한글 등) 은 모두 자동 DRM 적용되도록 운영하고 있습니다. (본인에게 보낸 뒤, 외부에서 본인계정으로 로그인 후에 다운로드 하더라도 DRM이 자동 적용되어 열리지 않음)
sdg87 | 4년 이상 전
나는누구인가 | 4년 이상 전
우리 회사 역시 질문자께서 작성하신 내용을 모두 고민하여 보았습니다.
사내 보안 문서 관리는 분류상 4가지 입니다.
DRM, DLP, 문서중앙화, 마지막으로 가상데스크톱(망분리) 입니다.
각 특성을 이야기 하자면 장점단점이 있습니다.
DRM은 추적 관리가 됩니다. 이메일 전송을 하면 메일 전송 이력과 수신자의 아이덴티티를 확인하고(물론 수신자도 뷰어 설치가 되어야죠) 수신을 하면 수신 이력, 횟수 등등이 기록되어 집니다. 수신하고 수신 받은 파일을 재전송 해도 다른 이가 열어서 볼 수 없는 막강한 기능까지도 있습니다.
단점은 도면(3D 도면)이나 기타 솔루션을 관리하기 위해서는 커스터마이징이 많다는 겁니다.
즉 버전 업이 되면 그 버전에 맞게 개발을 해야 하고 그 기간이 오래 걸리죠. 테스트도 해야 하고 버그 패치도 해야 하고요. 그래서 운영상의 어려움이 있습니다.
다음은 DLP 입니다. 매체 제어 및 사용자 PC 제어입니다. DRM 보다는 운영상의 편리함이 있는 반면, 관리 기능은 그만큼 되지 않습니다. 위 답변 내용 중에 하나가 있네요.
그리고 관공서나 은행권에서 도입하여 운영하는 망분리 입니다.
가상데스크톱 방식을 많이 사용합니다. 아예 개인화 PC와 콘솔 형식의 접근 방법도 있겠지요.
일단 비용이 많이 발생합니다. 외부에서 접근 하려면 VPN 접속 방법을 또 두어야 합니다.
네트워크 신뢰성을 보장해야 하고 내부 통제 프로세스도 가져야 합니다.
마지막으로 문서 중앙화 입니다.
위 질문자께서 집에서 작업할 경우가 있다고 하셨는데, 문서 도면 기타 정의된 파일은 중앙에 저장됩니다.
마찬가지로 다수가 접근하여 사용하려면 시스템 접근성(네트워크 신뢰성 포함)이 보장 되어야 합니다.
중앙 저장이어서 반출시 승인 절차 거쳐야 합니다.
클라우드 방식으로도 운영 가능하여 서버를 반드시 내부에 두어야 하는 것은 아닙니다.
이상 고민하고 운영 중입니다. 많은 참고 되기를 바랍니다.
sdg87 | 4년 이상 전
DRM도 있고 MS 0365에는 기한을 정하고 한번만 전달 하는 방법도 있습니다. 한번 검토해보세요
sdg87 | 4년 이상 전
다른분들도 답변을 달아놓으셨지만.. DRM이 가장 Best인것 같습니다.
내부적으로는 복호화하지 않고 암호화된 메일로 공유되며, 외부로 발송승인시 복호화하여 메일 전송.
(그렇다고 보낸메일의 첨부파일이 복호화되진 않음. 받는 사람기준 복호화됨)
외부에서 메일 확인을 하더라도.. 첨부파일같은경우는 열람불가 (앱상에서 다운불가)
그리고 외부에서 접속시에 VPN접속프로그램이 설치되어야지 제대로 작동이 되도록 세팅해놓았습니다.
sdg87 | 4년 이상 전
werther.chan | 4년 이상 전
이메일을 웹브라우저로 사용하시는지요? 메일서비스를 아웃룩만 사용하도록 메일서버에서 설정이 가능하다면 아웃룩으로 사용하고 문서중앙화 솔루션으로 통제가 가능합니다. 문서중앙화에서는 아웃룩에서 자신한테 보낸 첨부파일을 다운로드하면 특정 보안영역으로만 저장하게 할 수 있습니다. 이것이 로컬의 보안영역이 될 수도 있고, 중앙의 문서중앙화서버가 될 수도 있습니다. 여기에 저장된 파일은 승인없이 반출할 수 없게 됩니다.
고민에 대한 해결책은 DRM 솔루션을 통해 암호화 시키고 복호화 가능한 사내에서만 사용할 수 있도록 하는게 방법일 거 같긴하네요.
요즘은 DLP에도 암호화 같은 DRM 기능들이 추가되는 경우가 많다 보니 현재 적용한 DLP에 사내에서만 복호화해서 사용할 수 있는 암호화 기능이 포함되어 있는지도 확인해 볼 필요가 있을 것 같고요.
집으로 가져 가려면 USB 메모리나 외장 하드 등등으로 옮겨야 할 것 같은데...
DLP의 매체 제어 기능을 활용하는 것도 방법이 아닐까 싶기도 하고요.
wansoo | 4년 이상 전
sdg87 | 4년 이상 전
첨부화일의 다운로드 경로를 내부 IP에서만 접근이 가능하게 방화벽이나 o/s 또는 웹서버에서 제한을 걸면 어떨까요?
sdg87 | 4년 이상 전
인가된 PC에서만 다운로드 되도록 하면 될까요? 아니면 DRM 추가적용? 보안 문제는 따지다보면 끝이 없는지라 하나 막으면 또 다른 구멍이 나오고 계속 그렇죠.......
sdg87 | 4년 이상 전
쿨가이 | 4년 이상 전