IT DONGA

쉽고 강력한 문서보안, 시큐어디스크 가이드 2부

김영우

[IT동아 김영우 기자] 지난 기사(http://it.donga.com/26762/)에서 이스트소프트의 기업용 문서 보안 솔루션인 시큐어디스크의 대략적인 특징에 대해 살펴봤다. 시큐어디스크는 사내 PC에서 이용하는 모든 주요 파일을 서버로 집중화 시키고 외부로의 복사나 이동을 원천적으로 차단할 수 있다. 하지만 사내 구성원들이 복잡한 이용법을 새로 공부할 필요는 없다. 이용자 입장에선 윈도우 탐색기에 파일 저장용 드라이브가 추가된 것으로만 보이기 때문이다.

시큐어디스크 서비스의 구성

파일 확장자 별로 보안 규칙을 지정하는 등의 유연한 정책을 적용할 수 있어 응용프로그램의 버전이 바뀔 때마다 업무에 지장을 받는 기존의 DRM 솔루션과도 차별화되며, 여러 팀원이 하나의 문서를 공동 편집하는 등의 협업에도 제약이 없는 것 역시 시큐어디스크의 장점이다. 이번 시간에는 시큐어디스크를 직접 이용해보며 이 솔루션의 면모를 직접 살펴보자.

관리자 입장에서의 시큐어디스크

시큐어디스크 시스템을 구축하기 위해서는 서버가 필요하다. 물리적인 서버를 이용할 수도 있고 클라우드 기반의 가상머신을 서버로 쓸 수도 있는데, 이는 각 기업의 특성에 맞춰 선택하자. 편의성 측면에서는 클라우드 서버가 더 나을 수 있지만 시큐어디스크를 실제로 이용하는 기업이나 공공기관 중에는 물리 서버를 더 선호하는 경우도 많았다고 이스트소프트의 관계자는 전했다. 시큐어디스크를 이용하기 위한 클라이언트 소프트웨어는 윈도우 운영체제 전용이지만, 서버는 윈도우 외에 리눅스를 기반으로 구축하는 것도 가능하다.

시큐어디스크 관리자 페이지<시큐어디스크 관리자 페이지>

서버가 구축되면 IT관리자를 위한 관리자 페이지로 접속이 가능하다. 관리자 페이지에서는 시큐어디스크 시스템의 운영을 위한 각종 설정을 할 수 있다. 가장 중요한 기능은 ‘관리’탭에 모여 있다. 관리탭의 가장 상단에 있는 사용자/부서 관리 메뉴에서는 사용자 등록, 조직도의 편집 및 그룹 구성 등 시큐어디스크를 이용하는 사내 부서 및 구성원들에 대한 전반적인 관리를 행한다. 시큐어디스크에 등록된 사용자들에게는 각기 다른 권한을 줄 수 있다. 이를테면 각 디스크에 대한 접근 권한 및 이용 가능한 용량 등을 지정할 수 있다.

사용자별 권한 설정<사용자별 권한 설정>

시큐어디스크 관리 메뉴에서는 시스템의 가장 핵심적인 기능 전반을 설정한다. 가장 중요한 건 역시 각 사용자의 PC에서 어떤 종류의 파일을 저장하거나 반출하지 못하게 할 지를 지정하는 것이다. 특정 애플리케이션 버전별로 보안정책을 설정하는 기존의 DRM 기반 파일 보안 솔루션에서는 강력한 보안 능력을 얻는 대신, 해당 애플리케이션이 버전업 되면 기존의 버전에서 작성한 파일을 이용하지 못하게 되는 불편이 있었다. 이를 해소하기 위해 추가적인 시간과 비용이 드는 경우도 있다.

프로세스 및 확장자를 지정해 파일 유출을 차단하며, 화면 캡처나 인쇄 역시 차단 가능하다<프로세스 및 확장자를 지정해 파일 유출을 차단하며, 화면 캡처나 인쇄 역시 차단 가능하다>

시큐어디스크는 이와 달리, 프로세스에 기반한 보안정책을 지정할 수 있다. 이를테면 시큐어디스크의 로컬저장차단 메뉴에 ‘POWERPNT.EXE’ 프로세스를 등록하면 버전에 상관 없이 파워포인트를 구동해 생성한 파일은 사용자의 PC에서 반출할 수 없게 되고, 편집 후에 해당 파일은 자동으로 시큐어디스크 서버, 혹은 외부 반출을 할 수 없는 사용자 PC 내의 보안 영역에만 저장된다.

다만, MS 파워포인트 외에도 파워포인트 파일을 생성하거나 편집할 수 있는 다른 애플리케이션이 있을 수 있다. 이런 경우를 대비해 시큐어디스크에서는 파일의 확장자 별로 보안정책을 지정하는 것도 가능하다. 이를테면 ‘PPT’나 ‘PPTX’ 확장자를 시큐어디스크 보안 정책에 등록하면 MS 파워포인트 외에 다른 애플리케이션으로 생성하거나 편집한 파워포인트 파일도 사용자 PC에서 저장하거나 반출하는 것이 차단된다. 파일의 복사 뿐 아니라 일부 텍스트만 복사해서 붙여넣기 기능, 화면 캡쳐 기능, 인쇄 기능 등도 금지시킬 수 있다.

불가피하게 파일 반출을 해야 할 경우, 결재선의 지정이 가능<불가피하게 파일 반출을 해야 할 경우, 결재선의 지정이 가능하다>

물론, 경우에 따라서는 보안 파일을 외부로 반출해야 할 때도 있다. 이 때는 해당 직원이 결정권자에게 반출 승인을 요청할 수 있으며, 시큐어디스크 관리자에서 파일 반출 권한이 있는 결재선을 설정할 수 있다.

사용자들의 파일 작업 내역 및 보안 위반 내역을 담은 로그를 열람 가능하다<사용자들의 파일 작업 내역 및 보안 위반 내역을 담은 로그를 열람 가능하다>

그 외에 시큐어디스크 관리 페이지에서는 시큐어디스크 시스템에 속한 사용자들의 작업 내역을 확인할 수 있는 로그 관리 메뉴의 이용이 가능하다. 이 곳에서는 언제 어떤 사용자가 어떤 파일을 업로드나 다운로드, 혹은 삭제했는지 확인 가능하며, 파일의 복사나 이동을 시도하는 등의 보안 위반 내역까지도 알 수 있다. 여기에 더해 파일이 삭제된 기록도 조회가 가능하며, 삭제된 지 30일 이전의 파일이라면 복원하는 것도 가능하다. 이를 통해 랜섬웨어에 의한 데이터의 유실에도 대비도 가능하다.

사용자 입장에서의 시큐어디스크

시큐어디스크 관리자는 위와 같이 다양한 기능을 제어한다. 반면, 시큐어디스크를 사용자(임직원) 입장에서는 자신의 업무용 PC에 시큐어디스크 소프트웨어를 설치하는 것 외에 따로 이용법을 익힐 필요가 그다지 없다.

PC에 시큐어디스크를 설치하면 관리자가 지정한 형식의 파일은 모두 시큐어디스크로 옮겨진다<소프트웨어 설치 후,  관리자가 지정한 형식의 파일은 모두 시큐어디스크로 옮겨진다>

PC에 시큐어디스크 소프트웨어를 설치하고, 관리자에게 할당 받은 ID와 비밀번호를 입력하면 사용자의 윈도우 탐색기(내 컴퓨터)에 시큐어디스크용 드라이브가 만들어진다. 참고로 시큐어디스크 설치 과정에서 사용자의 PC에 보관된 모든 파일 중, 관리자가 보안 지정한 형식의 파일(예: 파워포인트 파일, PDF 파일 등)은 외부 반출을 할 수 없는 사용자 PC 내의 보안 드라이브나 시큐어디스크 서버로 일괄 이동하게 된다(관리자 설정에 따라 다름).

사용자 PC의 탐색기에 시큐어디스크의 보안용 드라이브가 생성된다<사용자 PC의 탐색기에 시큐어디스크의 보안용 드라이브가 생성된다>

PC에 생성되는 보안드라이브의 종류는 관리자가 설정할 수 있다. 기본적으로는 사용자의 PC에 중요 파일을 전혀 보관하지 못하도록 서버에 연결된 네트워크 드라이브만 이용하는 것이 보안성은 가장 좋다. 하지만 노트북의 경우는 네트워크에 접속하지 않고 오프라인 상태에서 작업을 해야 할 때도 있으므로 이 때를 대비해 PC 내에 파일을 보관할 수 있되, 외부 반출은 불가능한 보안 드라이브를 함께 생성할 수도 있다.

결재선의 승인을 거쳐야 외부로 파일의 반출이 가능하다<결재선의 승인을 거쳐야 외부로 파일의 반출이 가능하다>

시큐어디스크를 설치, 적용하더라도 불가피하게 보안 파일의 외부 반출을 해야 할 때도 있다. 이 대는 해당 파일을 오른쪽 클릭하여 ‘SecureDisk’ 메뉴 안에 있는 반출 기능을 이용하다. USB 메모리나 PC 내에 생성된 반출함으로 파일 반출이 가능한데, 이를 위해선 반출 요청 후 당연히 결제선의 승인을 얻어야 한다.

기업 뿐 아니라 공공기관에도 이용할 만한 보안 솔루션

이스트소프트 시큐어디스크의 대략적인 이용 방법은 위와 같다. 관리자에게는 최대한 다양한 데이터 보안 기능을, 사용자에게는 간편한 이용방법을 동시에 제공하는 것이 시큐어디스크의 최대 특징이라 할 수 있다. 이러한 장점에 힘입어 시큐어디스크는 민간기업 외에 정부통합전산센터를 비롯한 다수의 공공기관에도 도입된 바 있다. 보안성이 극히 높은 데이터를 다수 취급하면서 외부인의 접촉이 잦은 기관이라면 시큐어디스크의 도입을 고려해 볼 만 하다.

글 / IT동아 김영우(pengo@itdonga.com)

이전 다음