[MS 오피스365를 활용한 스마트워크] 8. 기업 비밀유출, 어떻게 막을 수 있을까?

[IT동아 강일용 기자] 중소기업과 스타트업의 고민 중 하나가 바로 기업 내 보안이다. 보안은 크게 두 가지로 나눌 수 있다. 외부의 위협이 기업 속으로 침투하는 것을 막는 것과 기업 내부의 기밀이 외부로 유출되는 것을 막는 것이다. 지난 기사에 이어 오늘은 오피스365를 활용해 기업 내부 비밀이 외부로 유출되는 것을 막는 방법에 대해 알아보자.

외부의 보안 위협은 적절한 시스템과 직원들의 의식 개선을 통해 막아낼 수 있다. 하지만 내부에서 기업의 정보가 유출되는 것은 '적절한' 대책만으론 부족하다. 보다 강도높은 시스템과 보안 기술이 필요하다.

규모가 큰 기업이라면 내부의 정보가 외부에 유출되지 않도록 시스템을 구축할 수 있다. 하지만 중소기업과 스타트업에겐 힘든 일이다. 사업을 신경쓰는 것만으로도 힘에 부치는데 정보 유출까지 신경쓸 겨를이 없다. 하지만 정보 유출의 피해는 생각보다 크다.

애써 준비한 신규 사업, R&D, 고객 정도보 등이 고스란히 유출된다고 가정해보자. 이는 기업 존립 자체를 흔들 수 있다. 중소기업연구원에 따르면 지난 2011년부터 3년 동안 중소기업이 정보 유출로 입은 피해가 115% 증가했다. 많은 중소기업과 스타트업이 연매출의 20%에 달하는 피해를 정보 유출로 인해 입고 있다.

오피스365는 이러한 정보 유출을 방지할 수 있도록 5가지 핵심 보안 기능을 제공한다. '다단계 인증', '모바일 장치 관리', '이메일 유출 방지', '권한 관리 및 데이터 유출 방지', '이메일 장기 보존' 등이다. 자세히 알아보자.

다단계 인증(Multi-Factor Authentication)이란 불의의 사고로 직원의 아이디와 패스워드가 유출되어도, 해커가 이메일과 회사 내부의 저장소에 접근할 수 없게 하는 기능이다. 오피스365는 수상한 장소(새PC 포함) 또는 오랜 만에 로그인할 경우 문자 또는 전화로 본인 인증을 받아야만 오피스365에 로그인할 수 있는 기능을 기본 제공한다. 관리자가 이 기능을 상시 활성화해 놓으면 모든 기업 구성원이 2중 인증을 받아야만 하기 때문에 해킹 및 정보 유출로부터 한층 더 안전해진다.

모바일 장치 관리(Mobile Device Management, MDM)란 모바일 기기 속 회사 정보를 원격으로 관리 및 삭제할 수 있는 기능이다. 스마트워크 시대에 맞춰 기업 구성원이 자신의 모바일 기기로 언제 어디서나 일하는 BYOD (Bring Your Own Device)가 확산되고 있다.문제는 이러한 모바일 기기를 분실했을 때다. 모바일 기기를 통해 회사 네트워크에 접속하거나, 모바일 기기 속 회사 정보가 누출될 우려가 있다.

기업 관리자는 오피스365 관리센터 > 모바일 장치 관리 메뉴에서 구성원들의 모바일 기기에서 회사 정보가 누출되는 것을 방지할 수 있다. 오피스365의 MDM 기능을 활용하면 해당 기기에서 오피스365를 강제로 로그아웃 시킬 수 있다. 또, 오피스365 관련 앱 속 데이터에 접근할 수 없게 하거나, 앱 자체를 초기화할 수 있다. 과거에는 이러한 MDM 솔루션을 이용하려면 이동통신사 또는 네트워크 업체의 솔루션을 구매해야 했지만, 오피스365에는 기본적으로 포함되어 있다. MDM을 이용하려면 관리자가 미리 MDM 관련 설정을 켜두어야 한다.

이메일 유출 방지(Information Right Management, IRM)란 이메일을 재발송하거나, 복사, 프린트, 화면 캡처할 수 없도록 하는 보안 기능이다. 이 기능을 활성화하고 보낸 이메일은 다른 이들에게 재발송할 수 없고, 텍스트를 복사할 수 없으며, 내용을 프린트할 수도 없다. 심지어 이메일 화면을 캡처하는 것도 불가능하다. 윈도우 기본 캡처 프로그램 뿐만 아니라 다른 회사에서 만든 화면 캡처도구도 무력화시킬 수 있다. 상대가 아웃룩, 아웃룩닷컴 뿐만 아니라 지메일 등 다른 이메일 서비스를 이용하더라도 적용된다. 습관적으로 이메일을 다른 사람들에게 전달하는 기업 또는 사용자에게 이메일을 보내야 할 때 유용하다. 다만 이 기능을 활용하더라도 화면을 카메라로 찍는 것은 막을 수 없기에, 타사 또는 타인에게 이메일을 보내는 것은 언제나 신중해야 한다.

오피스365는 기업 구성원이 기업 정보를 외부로 유출하는 것을 막는 기능도 갖추고 있다. 권한 관리 서비스(Exchange RMS)와 데이터 유출 방지 서비스가 그것이다.

권한 관리 서비스란 이메일에 특정 단어가 포함되면 발송되지 않도록 차단하는 기능이다. 발송이 차단된 이메일은 기업 관리자에게 전달된다. 회사 내부에서만 자주 사용되는 단어와 회사 운영에 관한 단어를 권한 관리 서비스에 등록해두면 직원이 악의적으로, 또는 무의식적으로 기업 정보를 유출하는 것을 방지할 수 있다.

데이터 유출 방지 서비스란 이메일 내부 글자 또는 첨부 파일에 데이터 보안 표준(PCI DSS)에 위배되는 내용이 있을 경우 외부 발신을 차단하는 서비스다. 신용카드 번호, 주민등록번호 등 고객 데이터가 데이터 보안 표준에 위배되는 대표적인 데이터다. 고객의 정보가 엑셀 문서 속에 섞여서 외부로 유출되는 사태를 미리 방지할 수 있다.

권한 관리와 데이터 유출 방지 서비스를 이용하고, 외부 이메일 서비스 및 클라우드 서비스 접근을 차단하면 이메일을 통한 회사 정보 유출을 막을 수 있다. 기업의 정보를 클라우드 상에서 관리하면 해당 정보에 접근한 기업 구성원이 누구인지도 파악할 수도 있다.

또, 권한 관리와 데이터 유출 방지 서비스를 너무 빡빡하게 관리해서 구성원들이 이메일을 제대로 이용할 없다는 불만을 제기하는 것에 대비해 특정 단어나 상황을 예외 처리하는 기능도 제공하고 있다.

기업 구성원이 중요한 내용이 담긴 이메일을 삭제하더라도 다시 복구하는 기능도 갖추고 있다. 백업하지 않은 문서가 반드시 필요한 경우에 유용하다. 익스체인지 관리 센터 > 사서함 > 소송 보존 메뉴에 접속해 이를 활성화하면, 기업 구성원이 해당 이메일을 아웃룩에서 삭제하더라도 익스체인지 프로그램(이메일 클라이언트)에는 보존 기한 동안 계속 보관되어 있다. 심지어 보존 기한을 무기한으로 지정해두면 모든 이메일을 영구적으로 백업할 수 있다. 다만 PC에 백업용량을 감당하기 위한 저장공간이 필요하다.

오피스365의 보안 기능을 활용하면 직원이 PC, 노트북, 모바일 기기 분실 등 불의의 사고를 당해 기업 정보가 유출되는 것과 정보의 중요성을 인지하지 못하고 무의식적으로 기업 정보를 유출하는 것을 막을 수 있다. 또, 구성원이 악의적으로 기업 정보를 유출하려는 것도 상당수 방지할 수 있고, 유출하려는 행위 자체를 감지할 수도 있다. 다만 작정하고 고도의 기법을 활용해 기업 정보를 유출하는 것은 제아무리 솔루션이 뛰어나도 막는 것이 어렵다. 보안 솔루션에만 너무 의지하지 말고, 기업 정보 유출이 범죄라는 것을 구성원들에게 각인시키는 것도 잊지 말아야 한다.

[스마트워크 시대] 1. 대한민국 스마트워크의 현실 - http://it.donga.com/24208/

[MS 오피스365를 활용한 스마트워크] 2. 중소기업과 스타트업 - http://it.donga.com/24234/

[MS 오피스365를 활용한 스마트워크] 3. 기업 구성원에게 스마트워크란? - http://it.donga.com/24280/

[MS 오피스365를 활용한 스마트워크] 4. 클라우드가 IT 관리자에게 주는 이점 - http://it.donga.com/24330/

[MS 오피스365를 활용한 스마트워크] 5. 워킹맘을 위한 스마트워크 - http://it.donga.com/24370/

[MS 오피스365를 활용한 스마트워크] 6. 중소기업의 해외 진출 - http://it.donga.com/24415/

[MS 오피스365를 활용한 스마트워크] 7. 랜섬웨어, 어떻게 대비해야 하나? - http://it.donga.com/24463/

글 / IT동아 강일용(zero@itdonga.com)