DRM을 사용 중인데 문제가 되는 것이 해제 권한입니다. 팀장 이상만 해제 권한을 줬다가 직원들 반발이 심해 전체 해제권한을 부여했습니다. 해제권한을 축소하고 싶은데 좋은 방법이 있을까요?
[보안뉴스 원병철 기자] DRM 해제 권한은 조직의 특성이나 정보보호 인식수준에 따라 다르겠지만, 보통 팀장과 팀 내 대리 인원을 지정해 운영합니다. 업무상 직원 반발이 심한 경우에는 사후관리체계를 강화할 필요가 있습니다.
.jpg)
ⓒ iclickart
즉, 암호해제 권한자의 암호해제 이력에 대한 주기적 점검이 필요하며, 보안담당자 입장에서는 해제 권한 부여에 대한 승인 프로세스를 정립해 CISO 등의 승인을 거쳐 해제 권한을 부여하는 등의 절차를 강화할 필요가 있습니다.
[김기남 잡코리아 매니저(cadetkim@naver.com)]
DRM 해제권한을 준다는 것은 DRM 사용 예외를 주는 것으로, 전형적인 관리에 의한 보안 홀이라 할 수 있습니다. 근본적인 해결책은 없고, 원칙적인 방법으로 보안정책을 세우고 이를 고수할 수밖에 없습니다.
보안과 편리함의 상충을 피할 수는 없지만, 전문적인 보안 컨설팅 조직의 도움을 받아 조직의 정보흐름과 보안대상 설계를 명확히 하고, 좀 더 사용자 친화적인 DRM 제품을 도입해 업무흐름을 유연하게 구성한다면 정보유출방지와 효율적인 관리에 도움이 될 것입니다.
경영진에게 보고한 후, 현재 DRM 보안 체계에 대해 설명하고 부서마다 보안 우선순위를 산정해 문서 보안이 꼭 필요한 부서에는 강제적으로 DRM 해제 권한을 주지 않는 방향으로 협의해야 합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
사용자가 DRM을 해제하겠다는 것은 DRM을 사용하지 않겠다는 것과 같습니다. 비즈니스의 가용성과 정보보안은 항상 충돌할 수밖에 없으나, 그렇다고 그냥 눈뜨고 홀을 만들어 주기에는 위험 부담이 큽니다. 이럴 경우에는 결재 시스템을 통해 명확한 근거를 남기도록 하고, 관리자 또는 부서장의 확인 후 해제를 하도록 하는 것을 추천합니다.
관리자와 부서장들도 최종 결재권자에게 승인을 받도록 하는 것이 좋으며, 여의치 않다면 자가 승인의 형태로 근거와 DRM을 해제하는 문서의 사본을 남기도록 하는 것이 좋을 것 같습니다.
해제를 하는 이유가 내부적으로 사용하기 위해서인지, 외부로 반출해 개인적으로 활용하기 위해서인지, 외부로 반출해 협업하기 위해서인지 명확히 알 필요가 있으며, DRM 해제가 많은 사용자들은 따로 모니터링해 불필요한 해제가 있는지, 내부기밀정보를 해제하는지 등을 면밀히 관찰할 필요가 있습니다.
마지막으로 이렇게 DRM이 해제된 문서들은 어떤 방법으로든 재활용되거나 외부로 유출될 수 있기 때문에 다시 암호화할 수 있도록 예외처리에 대한 대응 조치도 반드시 해야 할 것입니다.
추가적으로 주기적인 정보보안 교육을 통해 사용자들을 설득하고 그들을 이해하려는 노력들도 필요하다고 봅니다. 기술로만 모든 것을 해결할 수 있는 시대는 지나갔습니다. 기술과 사람, 조직, 절차 등이 잘 융합된 스마트한 보안문화를 만들어 가는 것이 현재의 정보보안이 아닌가 싶습니다.
[조우진 파수닷컴 컨설팅사업본부 선임(wustyle@fasoo.com)]
에버노트 등 클라우드 환경을 사용하는 데 있어 내부정보 유출을 방지할 수 있는 가장 효과적인 방법은 무엇이 있을까요?
클라우드 서비스를 사용하지 못하게 막는 것이 가장 좋은 방법이겠지만, 현실적으로 어렵다면 특정 클라우드 서비스만 이용하도록 제어하는 것이 좋을 것 같습니다. 그리고 해당 클라우드에 업로드 되는 내부정보, 개인정보에 대한 모니터링을 강화하는 것이 효율적으로 생각됩니다.
[오원철 유니포인트 부장(k5172@hanmail.net)]
클라우드 환경에서는 외부에 의한 공격 보다는 내부자에 의한 유출 사고가 많이 때문에 계정접근 관리와 데이터 보호가 중요하며, 기업 정책 및 프로세스에 맞게 데이터 혹은 네트워크에 대한 접근 관리가 이루어져야 합니다. 데이터의 식별과 분류를 위해 DLP 혹은 DRM 솔루션 도입이 필요합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] DRM 해제 권한은 조직의 특성이나 정보보호 인식수준에 따라 다르겠지만, 보통 팀장과 팀 내 대리 인원을 지정해 운영합니다. 업무상 직원 반발이 심한 경우에는 사후관리체계를 강화할 필요가 있습니다.
ⓒ iclickart
즉, 암호해제 권한자의 암호해제 이력에 대한 주기적 점검이 필요하며, 보안담당자 입장에서는 해제 권한 부여에 대한 승인 프로세스를 정립해 CISO 등의 승인을 거쳐 해제 권한을 부여하는 등의 절차를 강화할 필요가 있습니다.
[김기남 잡코리아 매니저(cadetkim@naver.com)]
DRM 해제권한을 준다는 것은 DRM 사용 예외를 주는 것으로, 전형적인 관리에 의한 보안 홀이라 할 수 있습니다. 근본적인 해결책은 없고, 원칙적인 방법으로 보안정책을 세우고 이를 고수할 수밖에 없습니다.
보안과 편리함의 상충을 피할 수는 없지만, 전문적인 보안 컨설팅 조직의 도움을 받아 조직의 정보흐름과 보안대상 설계를 명확히 하고, 좀 더 사용자 친화적인 DRM 제품을 도입해 업무흐름을 유연하게 구성한다면 정보유출방지와 효율적인 관리에 도움이 될 것입니다.
경영진에게 보고한 후, 현재 DRM 보안 체계에 대해 설명하고 부서마다 보안 우선순위를 산정해 문서 보안이 꼭 필요한 부서에는 강제적으로 DRM 해제 권한을 주지 않는 방향으로 협의해야 합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
사용자가 DRM을 해제하겠다는 것은 DRM을 사용하지 않겠다는 것과 같습니다. 비즈니스의 가용성과 정보보안은 항상 충돌할 수밖에 없으나, 그렇다고 그냥 눈뜨고 홀을 만들어 주기에는 위험 부담이 큽니다. 이럴 경우에는 결재 시스템을 통해 명확한 근거를 남기도록 하고, 관리자 또는 부서장의 확인 후 해제를 하도록 하는 것을 추천합니다.
관리자와 부서장들도 최종 결재권자에게 승인을 받도록 하는 것이 좋으며, 여의치 않다면 자가 승인의 형태로 근거와 DRM을 해제하는 문서의 사본을 남기도록 하는 것이 좋을 것 같습니다.
해제를 하는 이유가 내부적으로 사용하기 위해서인지, 외부로 반출해 개인적으로 활용하기 위해서인지, 외부로 반출해 협업하기 위해서인지 명확히 알 필요가 있으며, DRM 해제가 많은 사용자들은 따로 모니터링해 불필요한 해제가 있는지, 내부기밀정보를 해제하는지 등을 면밀히 관찰할 필요가 있습니다.
마지막으로 이렇게 DRM이 해제된 문서들은 어떤 방법으로든 재활용되거나 외부로 유출될 수 있기 때문에 다시 암호화할 수 있도록 예외처리에 대한 대응 조치도 반드시 해야 할 것입니다.
추가적으로 주기적인 정보보안 교육을 통해 사용자들을 설득하고 그들을 이해하려는 노력들도 필요하다고 봅니다. 기술로만 모든 것을 해결할 수 있는 시대는 지나갔습니다. 기술과 사람, 조직, 절차 등이 잘 융합된 스마트한 보안문화를 만들어 가는 것이 현재의 정보보안이 아닌가 싶습니다.
[조우진 파수닷컴 컨설팅사업본부 선임(wustyle@fasoo.com)]
에버노트 등 클라우드 환경을 사용하는 데 있어 내부정보 유출을 방지할 수 있는 가장 효과적인 방법은 무엇이 있을까요?
클라우드 서비스를 사용하지 못하게 막는 것이 가장 좋은 방법이겠지만, 현실적으로 어렵다면 특정 클라우드 서비스만 이용하도록 제어하는 것이 좋을 것 같습니다. 그리고 해당 클라우드에 업로드 되는 내부정보, 개인정보에 대한 모니터링을 강화하는 것이 효율적으로 생각됩니다.
[오원철 유니포인트 부장(k5172@hanmail.net)]
클라우드 환경에서는 외부에 의한 공격 보다는 내부자에 의한 유출 사고가 많이 때문에 계정접근 관리와 데이터 보호가 중요하며, 기업 정책 및 프로세스에 맞게 데이터 혹은 네트워크에 대한 접근 관리가 이루어져야 합니다. 데이터의 식별과 분류를 위해 DLP 혹은 DRM 솔루션 도입이 필요합니다.
[한국산업기술보호협회 중소기업기술지킴센터]
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
