MS 애저 환경에서 데이터 분류부터 원격 파기까지
생성부터 시작되는 정보보호의 전 과정, 사용자도 직관적으로 파악 가능
[보안뉴스 문가용] MS가 새로운 클라우드 기반 서비스를 제공한다. 마이크로소프트 애저 인포메이션 프로텍션(Microsoft Azure Information Protection, 이하 애저 IP)으로 사용자(대부분 업체)가 데이터를 생성 및 수정하는 시점에 분류, 레이블링, 보호를 모두 할 수 있게 해준다. 게다가 iOS 환경이든 안드로이드든, 윈도우든 구애받지 않는다.
이 서비스는 애저의 권한 관리 기능인 Azure Rights Management(이하 애저 RMS)와 데이터 분류 및 레이블링 기술인 시큐어 아일랜드(Secure Islands)를 통합하고 업그레이드시킨 것으로 MS는 시큐어 아일랜드를 지난 12월에 인수한 바 있다. 이 애저 IP는 마이크로소프트의 클라우드 플랫폼인 애저를 통해 제공된다.
이는 결국 기업 내 네트워크의 경계선이 무너지고 클라우드로의 이전이 가속화되는 가운데 정보를 어떻게 보호해야 하는가 고민하고 있는 시장의 필요를 그대로 반영한 결과라고 볼 수 있다. MS의 수석 제품책임자인 앤드류 콘웨이(Andrew Conway)는 “정보를 보호하려면, 보호 조치 과정도 명료해서 사용자가 자신이 하는 행동을 이해할 수 있어야 한다”며 MS가 한 발 더 나아갔음을 강조했다.
하지만 이 서비스의 핵심은 혁신적이라거나 새롭다고 보기는 힘들다. 결국 아이덴티티 관리이기 때문이다. “클라우드 환경에서의 디렉토리 서비스와 아이덴티티 시스템을 마련하기 위해 아낌없는 투자를 했고, 그 결과 이번 애저 IP 서비스가 시작될 수 있었던 것입니다.”
보호의 과잉 vs. 보호의 결핍
보호 및 보안을 위한 기업들의 가장 큰 고민은 바로 ‘어느 정도로 보호해야 하는가?’이다. 콘웨이는 “정보를 보호하라는 말이 실제 업무를 담당하는 사람의 입장에서는 매우 모호하다”며 “어떤 정보를 보호해야 하는지, 어느 수준으로 보호해야 하는지에 대한 결정을 내리는 건 간단한 일이 아니”라고 설명했다. “그 중요한 개인정보라도 직원의 것이냐 고객의 것이냐에 따라 사용하는 보안 솔루션이 달라질 수 있고, 사업 관련 정보라도 대외비냐 아니냐에 따라 정책들이 다르게 적용되어야 합니다. 효율성 문제죠.”
그렇기 때문에 기업의 정보보안 실태는 항상 두 가지 중 하나다. 과잉보호를 하고 있거나 턱없이 부족하거나. “그렇기에 데이터 보호에서 처음 이루어져야 하는 단계는 ‘분류’입니다.” 애저 RMS는 시작부터 데이터를 암호화한다. 파일이 새로 만들어지든 이메일이 새로 작성되든 해당 정보를 암호화하고, 이 암호화를 풀도록 해주는 퍼미션(permission)도 부착한다. 이 퍼미션은 해당 데이터가 가는 모든 곳을 쫓아간다. 네트워크 테두리 바깥에도 예외는 없다. 이 과정을 사용자가 직접 처리할 수도 있다. 이로써 분류의 고민은 해결된다.
또, 클라우드 환경이 독특한 것은 정보가 공유되고 통제되는 현황에 대한 가시성을 쉽게 확보할 수 있다는 것이다. “애저 내에서, 문서를 예로 들면, 제작자들이 문서가 어디서부터 어디로 이동하는지 쉽게 파악할 수 있고, 특별히 민감한 정보라면 논리적 시한폭탄을 설치해 사용을 제한할 수도 있습니다. 원격에서 아예 특정 사용자의 접근을 제한할 수도 있고요.”
이것이 가능한 건 이번 서비스의 핵심이 아이덴티티 보안이기 때문이다. “정보가 움직이는 데에 있어 경계선이라는 게 더 이상 의미를 가지고 있지 않습니다. 기존의 네트워크 보안은 효율성이 예전만하지 않아요. 누가 데이터를 다루고 있는지, 누가 얼마나 다루게 할 건지 미리 설정하고 관리해야 하죠.” 엔터프라이즈 전략그룹(ESG)의 마크 바우커(Mark Bowker)의 설명이다.
“이번에 MS가 발표한 서비스가 기존의 클라우드 보안 솔루션들과 다른 것이 있다면 사용자가 쉽고 직관적으로 데이터에 대한 보안을 분류 단계부터 직접 관리할 수 있다는 겁니다. 클라우드 서비스 제공자가 보안을 책임져 주는 것에는 한계가 있는 건데, 여기에 사용자들을 개입시킨 것이죠. 그렇다고 네가 직접해라, 하는 것도 아니에요. 데이터 보안의 생애주기를 사용자가 이해할 수 있도록 한 것에 가깝죠.”
‘우리가 모든 걸 다 해결해줄 테니 사용자는 생업에만 종사하라’는 식의 솔루션이 지금도 안 나오는 건 아니지만 바우커는 “되돌아보면 그런 솔루션들 중 정말 믿고 맡길만한 게 얼마나 있었는지 궁금하다”며 “보안 업계에 있다고, 보안을 전문으로 한다고 해서 모든 걸 우리만 떠맡을 수는 없고, 그럴 상황도 아니”라고 강조했다. “전염병 걸리면 환자들 스스로도 격리를 해야죠. 개인위생도 신경 써야 하고요. 마찬가지입니다.”
얼마 전 가디 에브론(Gadi Evron)이라는 보안 전문가가 본지에 페이스북의 그룹 관리 기능이 알게 모르게 사용자들을 훈련시킨다는 내용을 기고한 바 있다. 그룹 신청자를 선별해야 할 때 페이스북이 필요한 데이터를 제공해주지만 결정은 결국 사용자가 내리도록 한다는 내용으로, 사용자는 자연스레 데이터를 ‘보안’이라는 측면에서 분석하고 판단을 내리는 훈련을 하게 된다는 것이었다.
사용자 참여의 교묘하면서도 친절한 유도 내지는 코칭 역할까지 겸하는 서비스가 보안 솔루션 발매의 새로운 트렌드가 될 것인지 귀추가 주목된다. 한편 애저 IP 서비스는 연말쯤부터 공개될 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
생성부터 시작되는 정보보호의 전 과정, 사용자도 직관적으로 파악 가능
[보안뉴스 문가용] MS가 새로운 클라우드 기반 서비스를 제공한다. 마이크로소프트 애저 인포메이션 프로텍션(Microsoft Azure Information Protection, 이하 애저 IP)으로 사용자(대부분 업체)가 데이터를 생성 및 수정하는 시점에 분류, 레이블링, 보호를 모두 할 수 있게 해준다. 게다가 iOS 환경이든 안드로이드든, 윈도우든 구애받지 않는다.
이 서비스는 애저의 권한 관리 기능인 Azure Rights Management(이하 애저 RMS)와 데이터 분류 및 레이블링 기술인 시큐어 아일랜드(Secure Islands)를 통합하고 업그레이드시킨 것으로 MS는 시큐어 아일랜드를 지난 12월에 인수한 바 있다. 이 애저 IP는 마이크로소프트의 클라우드 플랫폼인 애저를 통해 제공된다.
이는 결국 기업 내 네트워크의 경계선이 무너지고 클라우드로의 이전이 가속화되는 가운데 정보를 어떻게 보호해야 하는가 고민하고 있는 시장의 필요를 그대로 반영한 결과라고 볼 수 있다. MS의 수석 제품책임자인 앤드류 콘웨이(Andrew Conway)는 “정보를 보호하려면, 보호 조치 과정도 명료해서 사용자가 자신이 하는 행동을 이해할 수 있어야 한다”며 MS가 한 발 더 나아갔음을 강조했다.
하지만 이 서비스의 핵심은 혁신적이라거나 새롭다고 보기는 힘들다. 결국 아이덴티티 관리이기 때문이다. “클라우드 환경에서의 디렉토리 서비스와 아이덴티티 시스템을 마련하기 위해 아낌없는 투자를 했고, 그 결과 이번 애저 IP 서비스가 시작될 수 있었던 것입니다.”
보호의 과잉 vs. 보호의 결핍
보호 및 보안을 위한 기업들의 가장 큰 고민은 바로 ‘어느 정도로 보호해야 하는가?’이다. 콘웨이는 “정보를 보호하라는 말이 실제 업무를 담당하는 사람의 입장에서는 매우 모호하다”며 “어떤 정보를 보호해야 하는지, 어느 수준으로 보호해야 하는지에 대한 결정을 내리는 건 간단한 일이 아니”라고 설명했다. “그 중요한 개인정보라도 직원의 것이냐 고객의 것이냐에 따라 사용하는 보안 솔루션이 달라질 수 있고, 사업 관련 정보라도 대외비냐 아니냐에 따라 정책들이 다르게 적용되어야 합니다. 효율성 문제죠.”
그렇기 때문에 기업의 정보보안 실태는 항상 두 가지 중 하나다. 과잉보호를 하고 있거나 턱없이 부족하거나. “그렇기에 데이터 보호에서 처음 이루어져야 하는 단계는 ‘분류’입니다.” 애저 RMS는 시작부터 데이터를 암호화한다. 파일이 새로 만들어지든 이메일이 새로 작성되든 해당 정보를 암호화하고, 이 암호화를 풀도록 해주는 퍼미션(permission)도 부착한다. 이 퍼미션은 해당 데이터가 가는 모든 곳을 쫓아간다. 네트워크 테두리 바깥에도 예외는 없다. 이 과정을 사용자가 직접 처리할 수도 있다. 이로써 분류의 고민은 해결된다.
또, 클라우드 환경이 독특한 것은 정보가 공유되고 통제되는 현황에 대한 가시성을 쉽게 확보할 수 있다는 것이다. “애저 내에서, 문서를 예로 들면, 제작자들이 문서가 어디서부터 어디로 이동하는지 쉽게 파악할 수 있고, 특별히 민감한 정보라면 논리적 시한폭탄을 설치해 사용을 제한할 수도 있습니다. 원격에서 아예 특정 사용자의 접근을 제한할 수도 있고요.”
이것이 가능한 건 이번 서비스의 핵심이 아이덴티티 보안이기 때문이다. “정보가 움직이는 데에 있어 경계선이라는 게 더 이상 의미를 가지고 있지 않습니다. 기존의 네트워크 보안은 효율성이 예전만하지 않아요. 누가 데이터를 다루고 있는지, 누가 얼마나 다루게 할 건지 미리 설정하고 관리해야 하죠.” 엔터프라이즈 전략그룹(ESG)의 마크 바우커(Mark Bowker)의 설명이다.
“이번에 MS가 발표한 서비스가 기존의 클라우드 보안 솔루션들과 다른 것이 있다면 사용자가 쉽고 직관적으로 데이터에 대한 보안을 분류 단계부터 직접 관리할 수 있다는 겁니다. 클라우드 서비스 제공자가 보안을 책임져 주는 것에는 한계가 있는 건데, 여기에 사용자들을 개입시킨 것이죠. 그렇다고 네가 직접해라, 하는 것도 아니에요. 데이터 보안의 생애주기를 사용자가 이해할 수 있도록 한 것에 가깝죠.”
‘우리가 모든 걸 다 해결해줄 테니 사용자는 생업에만 종사하라’는 식의 솔루션이 지금도 안 나오는 건 아니지만 바우커는 “되돌아보면 그런 솔루션들 중 정말 믿고 맡길만한 게 얼마나 있었는지 궁금하다”며 “보안 업계에 있다고, 보안을 전문으로 한다고 해서 모든 걸 우리만 떠맡을 수는 없고, 그럴 상황도 아니”라고 강조했다. “전염병 걸리면 환자들 스스로도 격리를 해야죠. 개인위생도 신경 써야 하고요. 마찬가지입니다.”
얼마 전 가디 에브론(Gadi Evron)이라는 보안 전문가가 본지에 페이스북의 그룹 관리 기능이 알게 모르게 사용자들을 훈련시킨다는 내용을 기고한 바 있다. 그룹 신청자를 선별해야 할 때 페이스북이 필요한 데이터를 제공해주지만 결정은 결국 사용자가 내리도록 한다는 내용으로, 사용자는 자연스레 데이터를 ‘보안’이라는 측면에서 분석하고 판단을 내리는 훈련을 하게 된다는 것이었다.
사용자 참여의 교묘하면서도 친절한 유도 내지는 코칭 역할까지 겸하는 서비스가 보안 솔루션 발매의 새로운 트렌드가 될 것인지 귀추가 주목된다. 한편 애저 IP 서비스는 연말쯤부터 공개될 예정이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
