SharedIT | 묻고 답하기(AMP)

망분리 재택 근무 시 회사 자산 반출 방지 방안

약 160명 정도의 중소기업에서 보안팀에 근무중 입니다.

망분리가 되어 있는 환경으로 물리PC 2대(내부망, 외부망) 사용하고 있습니다.


작년부터 시행해온 재택근무는 VPN을 사용하여 내부망에 연결하여 사용하고 있습니다.

RDP로 연결하여 사용하다보니 내부자료를 개인PC에 옮기는 것은 일도 아니게 되었습니다.

그래서 회사의 자산를 보호하기 위하여 방안을 찾고 있습니다.


  • 원격 접속 

      - 현재 : 개인PC > VPN > 업무용PC

      - 변경 : 노트북(회사자산) > VPN > 업무용PC (대안으로 생각한 방식이며 고민중입니다)

              . 노트북 활용은 회사에서는 외부용PC로 사용하고, 재택 시 원격용으로 사용하는 방안


  • 보유 중인 보안솔루션 

      - NAC, DLP, 망연계, 백신 (내/외부망 동일)

 

  • 질문

  • 1.재택 시 단말 1대로 내부망, 외부망을 동시에 붙여서 사용할 수 있을까요? 

       - 구축형으로 보유중인 보안솔루션을 활용하고 싶어서 드리는 질문입니다.

    2. 망분리 환경에서 업무용PC > 노트북으로 허가된 사용자만 개인 반출 가능할까요? 

       - 자료 반출이 승인 프로세스의 의하여 진행되었으면 합니다. (또는 허가된 사용자)

    3. 질문 no.2 가능하다면 필요한 부분은 어떤 것일까요? (솔루션 등)

    4. 다른 회사에서는 재택 시 자료반출을 어떻게 하시는지 궁금하네요..


Tags : 태그가 없습니다.

9개의 답변이 있습니다.

guest
  0 추천 | 2년 이상 전 | 알서포트/quit/1704243333 | 07077114638

답변이 조금 늦었습니다. 귀사와 비슷한 고민을 하는 기업 대상으로 재택근무솔루션 구축을 진행하였고

국내 80여개 이상 기업에 납품하였습니다.

망분리 환경이 물리적 망분리라면 각 PC를 제어할 수 있는 원격제어 서버를 별도로 구성하고

재택근무용 PC에서 클라이언트를 각 접속하는 형태로 2대의 PC를 동시에 제어하는 방식이 가능할 것 같습니다.

기존에 사용하는 방식인 VPN-RDP 구성의 경우 기업에서 외부원격접속자에 대한 통제,관리가 어려울 것 같으며, 염려하시는 파일 송/수신 제한을 할 수 없을 것 같습니다.


저희 솔루션의 경우 내부 자료 유출 방지를 위한 접속 전 외부 단말기 사전체크 기능을 통해

재택근무용 노트북을 별도로 구매하시지 않고 사용자들의 재택PC로 원격접속이 가능하게끔 구현이 가능할 것 같습니다.

연락주셔서 자세히 설명드릴 수 있는 자리 마련하여 주시면 감사하겠습니다.

엔큐씨
  0 추천 | 2년 이상 전 | (주)엔큐컨설팅 | 01087494079

얼마전에 재미있게 보았던 재택근무 솔루션 동영상 링크 보내드립니다

4분 동영상이니 시간되실때 보시면 도움되실수 있을겁니다

https://www.youtube.com/watch?v=8kyKPJc5bfQ


관련해서 궁금하신 내용은 쪽지 주시면 추가로 도움 드리도록 하겠습니다.

psb
  0 추천 | 2년 이상 전
  • 1.openvpn 을 통한 허용한 ip 에 대해서만 원격 데스크톱으로 사무실 본인 pc를 사용

  • 2.문서중앙화 솔루션으로 외부반출파일에 대한 승인건에 대해서만 외부반출 허용

문서중앙화 솔루션은 비대면바우처 사업에도 지원하고 있는 상품이 있어서 활용하시면 좋을 거 같습니다.

Genghis Khan
  0 추천 | 2년 이상 전

전체 내용을 봤을때

내부/외부 네트워크 보안 

그리고 문서 보안 부분이 있다면

문서중앙화 솔루션이 있다면

여러가지 해결점을 찾을수 있을것 같네요

seskys79 | 2년 이상 전

구체적으로 설명 가능하실까요?

phiphu (주)황낌 | 2년 이상 전

중앙 시스템에서 자료들을 유지하고 관리할 수 있습니다. 이렇게 간단한 그시스템은 구글 drive 입니다.

jyyoon
  0 추천 | 2년 이상 전 | 투씨에스지 | 02-320-5000

재택근무PC 전용 보안 관리 솔루션이 있습니다.

외부에서 업무중(VPN연결, RDP연결 중)에 파일 송수신이나 캡쳐, 출력, USB사용, 클립보드 등을 통제하고 모니터링할 수 있습니다.

상기 솔루션 기준으로 문의주신 내용에 대한 답변을 드려봅니다.

  • 질문

  • 1.재택 시 단말 1대로 내부망, 외부망을 동시에 붙여서 사용할 수 있을까요? 

       - 구축형으로 보유중인 보안솔루션을 활용하고 싶어서 드리는 질문입니다.
       > 동시에 붙는 것은 망연계 컴플라이언스 때문에 불가능하다고 봐야 할 것 같습니다.
       > VPN 설정이나 계정을 분리하여 외부망과 내부망을 따로 붙도록 설정하여야 할 것 같습니다.
         

    2. 망분리 환경에서 업무용PC > 노트북으로 허가된 사용자만 개인 반출 가능할까요? 

       - 자료 반출이 승인 프로세스의 의하여 진행되었으면 합니다. (또는 허가된 사용자)
       > RDP 특성상 별도의 승인 프로세스를 통해서 진행되지는 않습니다.
       > 사용자/부서별 정책 설정은 가능하기 때문에 개인반출을 허용한 사용자/부서를 대상으로
          언제 어떤 파일을 수신(생성/수정)하였는지 모니터링은 가능합니다.

    3. 질문 no.2 가능하다면 필요한 부분은 어떤 것일까요? (솔루션 등)
       > 재택근무PC 보안 관리용 별도 보안 솔루션 입니다.

    4. 다른 회사에서는 재택 시 자료반출을 어떻게 하시는지 궁금하네요.
       > 저희 고객 기준으로 대부분의 고객사들은 말씀드린 것처럼 별도 솔루션을 가지고 재택근무PC로의
          파일 전송을 통제하거나 모니터링하는 방식을 적용하였습니다.
       > RDP 프로토콜을 통한 파일 송수신을 제한하고 내부에 구축된 승인/반출 시스템을 통해
          메일 및 파일 링크를 전달하는 방식으로 자료를 반출하는 경우도 많이 있습니다.

원하시는 답변이 되었는지 모르겠네요^^;;

혹 상기 솔루션과 관련해서 궁금하신 내용은 부담없이 쪽지 주시면 추가로 설명해드리도록 하겠습니다~

seskys79 | 2년 이상 전

상세한 답변 감사드립니다.

추가로 궁금한 사항은 쪽지로 여쭤보겠습니다.

wansoo
  0 추천 | 2년 이상 전

DLP( Data Loss Prevention)가 데이터 유출을 차단하기 위한 솔루션에 해당되겠고요.

현재 사용중인 DLP 솔루션에 탑재된 기능을 활용해서 도움 받을 수 있는지를 우선 검토해 볼 필요가 있을 것 같아 보이고요.

현재 사용중인 DLP에 마땅한 기능이 없다면 다른 DLP 솔루션을 검토해 볼 필요도 있을 것 같아 보이고요.

RDP를 이용해서 접속함으로 인해, 파일 복사, 클립보드 공유 등등으로 내부 자료가 접속한 개인 컴퓨터로 복사될 위험이 있다면 RDP에서 보안 위험이 있는 기능들이 작동되지 못하게 설정하는 방법을 적용해서 보완 할 수도 있을 것 같고요.

RDP 원격 접속보다는 VDI를 이용한 접속으로 원격 작업을 하는 것이 보안 관점에서 유리할 걸로 보여지고요.

VDI 솔루션 도입을 위한 비용이 문제 이긴 하겠지만...

물리적인 망분리를 하여 각 망에 접속하는 각각의 물리적인 컴퓨터를 별도 이용하는 환경으로 보이는데, 논리적인 망분리를 한다면 각각의 물리적인 컴퓨터를 별도로 운영할 필요없이 한대의 물리 컴퓨터로 각 망에 접속할 수 있는 논리 컴퓨터로 접속해서 작업할 수 있는 환경을 운영할 수 있을거라 생각되고요.

전체적인 물리적인 망분리, 전체적인 논리적인 망분리 방식이 아니더라도 논리적인 망분리 개념을 도입해서 물리적으로 분리된 양쪽 망을 연결 시켜 주는 다리 역할로 이용해도 되지 않을까 싶기도 하고요.

내용을 너무 추상적으로 적은게 아닌가 싶긴 한데... 오픈 소스와 네트워크 기본 개념 등을 적용시켜서 구현한다면 큰 비용 투자 없이 구체화 가능할 거라 생각되네요.

seskys79 | 2년 이상 전

다양한 의견 감사드립니다.

  • 1.DLP에서 RDP에 한해서만 파일복사나 클립보드 등을 제한하는 것은 없어 보입니다. 

  • 2.RDP 기능 제한은 사용자에게 맡겨야 하는 리스크가 있어서 고민해 보겠습니다.

  • 3.VDI는 비용이 너무 커서 배제하고 있습니다.

wansoo | 2년 이상 전

RDP 클립보드 사용하지 못하게 제한하는 방법은 서버에서 rdpclip.exe 가 실행되지 못하게 막아 버리면 됩니다.

windows system32 아래에 있는 rdpclip.exe 파일명을 변경하거나 삭제해서 작동하지 못하게 만들어 버려도 될 것 같고요.


빅테크
  0 추천 | 2년 이상 전 | 빅테크놀로지 | 010-2841-1458

인터넷을 활용하는 환경은 일반 pc로 접근하고 가상의 공간에서 내부망에 접속하는 방법이 있을거 같습니다.

 일반노트북(외부망) + VDI (내부망) 가 어떠실런지요? 

문서승인반출솔루션 ( 내부CEO 승인 ) -기간,클릭횟수 외 지정 가능

 VDI (일반 노트북  저장 X ) , 저장은 내부 스토리지에서만 저장 가능 , 협업가능

문의하신 부분에 대해 어느정도 설명이 될거 같습니다. 추가 설명이 필요하시면 쪽지 주세요.

seskys79 | 2년 이상 전

VDI 도입은 비용적면에서 부담되네요.

답변 감사드립니다.

낭만생선
  0 추천 | 2년 이상 전
  • 1.RDP를 쓰되 외부의 개인 PC에서 내부의 개인 PC로 파일 복사가 안되도록 하는 방법

  • 별도의 솔루션을 쓰지 않는다면 아래의 원격 웹 엑세스로 방법을 찾아야 합니다.

 - https://hy2on.tistory.com/62


2. "재택 시 단말 1대로 내부망, 외부망을 동시에 붙여서 사용" 

 - 이걸 원하시는 이유가 외부의 개인 PC에서 내부로는 내부망용 한대밖에 못붙어서 그러신것 같은데

    그렇다고 외부망(인터넷망)을 동시에 붙이면, 보안에 취약해 집니다.

    다음이나 지메일 같은 개인 메일로 온 스팸 메일 잘못 클릭하면 해커한테 내부망 내어주게 되는것이죠.

    기존 회사내에서의 업무 환경이 인트라넷과 외부 인터넷망이 철저하게 분리가 되어 있던 환경이었다면

    거기에 익숙해져 있을테니 인터넷은 스마트폰으로 접속을 하던지등의 정책을 쓰는게 적절해 보입니다.


3. 자료 반출의 승인 프로세스

 - 이건 DRM이나 문서 중앙화 같은 솔루션이 필요합니다.

   모든 문서가 암호화 되는게 기본이니 상당한 업무의 혼란이 처음에 발생합니다.

   많은 검토가 필요하죠.

seskys79 | 2년 이상 전

상세한 답변 감사드립니다.


핵심은 재택근무 시 내부자료가 외부로 반출할 때 승인절차가 있었으면 했는데요


아무래도 재택솔루션이나 DRM 등 추가 솔루션 구입이 필요할 것 같네요.


검토해 보겠습니다.

빨간신발
  0 추천 | 2년 이상 전

저는 vpn을 사용하지 않고

접근제어솔루션을 사용하고 있습니다

vpn도 없고 네트워크 담당자가 통제를 하는것도 아니지만

스스로 접근제어솔루션을 통해서만 접속이 가능하게 설저하고 그렇개 하고 있습니다

나로인해 사고를 대비해 스스로 방어하고 있습니다

제가 원격을 붙으면 모든 기록이되고 데이터 공유는 접근제어솔루션을 통해서만 가능합니다

seskys79 | 2년 이상 전

재택솔루션이 아니라 접근제어솔루션을 사용하시면


망분리 환경에서 외부PC > 접근제어솔루션 연결이 가능한지 궁금합니다.


(내부망PC, 외부망PC 둘 다 접근이 안될 것 같은데 내부망PC에만 접근하시는건가요?)


또한, 접근제어를 사용하실 때 자료 반출은 어떻게 하시나요? (내부망PC > 개인PC)


빨간신발 | 2년 이상 전

외부PC -> 접근제어솔루션 -> 내부망PC or 외부망PC

모두 가능합니다. 네트워크 단에서 접근제어솔루션이 내부망, 외부망 모두 접속이 가능하게 하시거나, 접근제어솔루션에 NIC를 두개 넣어서 하나는 내부망, 하나는 외부망으로 연결하셔도 됩니다.

외부PC에서 접근제어솔루션으로 접근하면 id/pw로 인증하고 2차인증을 실시합니다.

접근제어솔루션에서 내 PC에 rdp로 연결하면 2차인증 한번 더 하고 내 PC 윈도우 로그인화면서 로그인 진행합니다.

기본적으로 Ctrl+C/V는 안되는고 파일을 옮기려면 별도의 sftp나 네트워크 드라이브를 통해서 전송합니다.

모든 전송기록은 로그가 남습니다.

접속해서 작업하는 내용도 초단위로 기록됩니다.

seskys79 | 2년 이상 전

내부망PC / 외부망PC 2개망 모두 접속하면 더 위험하지 않을까요.


말씀해주신대로 접근제어솔루션에 대하여 이해하였습니다.


내부적으로 검토해 보도록 하겠습니다.


조언 감사드립니다.