기업보안과 리눅스의 활용에 관한 방안
이번에 DRM 솔루션을 구입 할 예정인데 이와 관련된 제품을 사용해보신 분들이 있으신지요?
현재 저희 회사는 몇몇 회사의 솔루션을 알아보는 중인데
과연 현실적으로 인터넷이나 IT기기를 이용한 정보유출을 완벽하게 막을수 있을런지 의문입니다.
아마도 백이면 백의 사람들이 기존과 달리 불편함을 느낄 것이고 권한조정을 요청 할 것입니다.
강력하게 보안정책을 밀고나간다곤 하지만 여러이유로 얼마못가서 흐지부지해질것 같기도 하고요.
예로 이미 수년전에 고가의 방화벽을 구입하였지만 지금은 갖은 이유들로 사실상 유명무실해졌습니다.
지금까지 각종 패키지의 유지보수 비용도 엄청납니다.
대부분 출장비만 수십만원이고 설정하나 건들이려고 해도 기술지원을 받아야만 되게끔 정책을 만들어
놓아서 IT부서의 지출비용이 너무 커졌고 회사는 IT솔루션들에 대해 매우 부정적인 입장입니다.
소프트웨어및 하드웨어 구입비용에 거품이 들어가고 유지보수비용의 과다책정으로
배보다 배꼽이 더 큰 지경이니 IT부서에 있는 제가 봐도 너무 한다라는 생각이 들 정도입니다.
이런 상황에서 또 고가의 DRM솔루션을 구입하는것이 여간 꺼림직한게 아닙니다.
할수없이 해야만 한다면 철저하게 제품을 파악하여 제대로 된 서비스를 받고 비용을 지불해야겠다는
생각에서 이 글을 작성하고 있으며 이곳에 많은 고수분들의 조언을 들으려 합니다.
우선 DRM솔루션을 구입하기전에 기업 정보보안에 무료로 사용이 가능한 리눅스를 최대한 활용해보고자 하는데
리눅스 지식이 부족하여 이곳에 많은 전문가분들에게 어떻게 활용이 가능할지 애기를 들어보고자 합니다.
참고로 USB나 저장매체, PC포트들의 제어는 못한다 할지라도 현재 프린터서버, 팩스서버, 메일서버, 파일서버를 비롯해서 모든 클라이언트가 MS 제품인데 각 서버마다 설치된 각종 소프트웨어들의 라이센스가 말씀안드려도
얼마나 될런지 짐작되실줄 압니다. (수시로 뻗어버리지만 윈도우가 편리한(?) 이유는 리부팅이면 OK입니다)
리눅스만 잘 활용한다면 적지않은 비용을 절감하고 보안도 강화될수 있을꺼란 기대를 합니다.
비록 조그만 관심일지라도 고맙게 생각하겠습니다.
- 추가내용 -
* 프린터서버 이용의 로그 (출력물에 워터마킹이 가능하면 더 좋겠지만 법적인 문제가 발생했을 경우 소송시에 로그가 필요하다고 하여 로그는 반드시 남겨야 합니다)
* 팩스서버 이용의 로그 (현재 이용상에 문제점도 있습니다. 잘뻗고 일일이 알려줘야 합니다)
* 메일서버 이용의 로그와 모니터링 (메일내용까지 모니터링. 첨부파일 검색)
* 파일서버 이용의 로그와 제어 (공유폴더 접근제어)
* 캐드파일형식 전송불가(SMTP, FTP등 각종 프로토콜 제어)
* 웹사이트 이용제한
* 웹사이트 이용 모니터링(어떤 사이트에 어떤 컨텐츠를 열람하고 어떤 파일을 다운로드 받고 전송하는가)
* 중앙에서 각 클라이언트의 원격제어
간략하게나마 필요한 솔루션을 정리해보았는데 이외에도 활용가능한 분야가 있을지 모르겠습니다.
관련정보를 알아보기위해 검색을 하여 가능은 할 것 같은 기능들만 적어보았습니다.
유닉스상에서 펄스크립트나 쉘프로그래밍이 가능한 개발자를 모셔오는것도 감안하였습니다.
왜 굳이 완제품을 사서쓰지 않고 리눅스 서버관리자와 유닉스 개발자를 모셔오냐고 하신다면
기존 윈도우 기반의 솔루션들이 몇년만 지나면 유지보수가 어려워지고 (폐업, 합병으로인한 유지보수 책임전가등)
업데이트가 되질 않는 경우(윈2000에서만 동작, XP에선 사용불가 예) 팩스서버), 업데이트는 되나
몇년전에 구입한 비용을 그대로 지불해야 한다는 불합리성, 추가확장 불가, 타솔루션과 연동 불가,
내부로직을 전혀 알수가 없으며 잦은 다운으로 인하여 소프트웨어 자체의 신뢰도가 떨어지는등
많은 이유가 있습니다.
그러나 저희가 직접 수정이 가능하고 업데이트를 할 수 있는 구조라면 위와 같은 문제들이 줄어들것이라
생각이 듭니다. 부정적인 입장에서 글을 써주신다해도 도움이 될 것이라 생각하고 다양한 의견을 듣고 싶습니다.
클라이언트가 모두
클라이언트가 모두 윈도우즈 기반이라면 결국 리눅스와 연관지어서 고민하시는 것보다는 윈도우즈 쪽에서 먼저 고민하시는 것이 빠를 것 같습니다.
정확히 어떤 경우에 대해서 어떤 제약을 걸 필요가 있는 것인지를 기술해 주시면 좀더 이야기하기 편할 것 같습니다.
내용을
내용을 추가하였습니다.
기대는....
기대만 하시는게 좋을 수도 있습니다.
과거 리눅스 기반의 많은 시스템들의 도입에 대한 유지보수비에 대해 조사 분석한 결과를 보면 결국 보안과 기술적인 문제에 대해 잘알고있는 인력부족으로 인력에 대한 투자가 상당한것으로 나왔었습니다. 또한 윈도우에서 리눅스로 마이그레이션이나 윈백해 나가는 비용도 만만치 않습니다. 현시점에서는 어떤지 모르겠지만 사실 예전이나 지금이나 별반다르지 않다고 생각합니다.
사내의 전문인력은 아니더라도 잘 이해하고 있는 사람이 꽤나 있어야 합니다. 또한 일반적인 편견에 부딪칠 일도 있으며 문제 발생시 보상과 책임에 대한 문제또한 만만한게 아닙니다.
뭐 많습니다만, 비용적인 부분만 생각한다면 크게 줄어들지는 않는다입니다. 실제로 경험해본봐 리눅스는 무료니까...라는 생각만으로 쉽게 접근할 수 있는것은 아닙니다.
----------------------------------------------------------------------
인생 뭐있어? 백수로 사는거야~ 가는거야~
----------------------------------------------------------------------
인생 뭐있어? 백수로 사는거야~ 가는거야~
지금까지 모든
지금까지 모든 IT기술들을 외주로 운영함에따라 벌어진 사태들중 운영비는 매년 증가하였지만
만족 할 만한 서비스를 받지 못했습니다. 심지어 폐업및 합병으로 인해 돈을 주고도 업데이트나
유지보수를 받지못하는 경우(예로 EDMS), 업데이트가 된다 할지라도 새로 사는 비용과 동일하거나
더 많은 비용을 지불해야 하는 불합리함등 문제가 많이 있습니다.
인력확보의 어려움에 대해서는 동감하고 있었습니다.
하지만 위와 같은 이유들로 어렵겠지만 자체적으로 관리를 해보고자 합니다. 이것은 제 고집이 아니라
의견입니다. 잘못 판단 할 수도 있는 문제이니 이곳에서 얻게되는 정보들을 취합하여 신중하게 고민해보겠습니다.
제가 너무 가볍게 읽었나봅니다.
외주 솔루션에 의한 문제군요....
제가 다니는 쪽에서 외주는 2년전부터 하지않습니다.
근본적인 이유는 가격이 아니라 솔루션의 질 문제였습니다.
그 후 생산과 유지보수및 관리는 전산팀에서 모두 담당하여 책임 또한 전산팀이 지게되었습니다. 하지만 권한도 최대한 갖게되었습니다.
인원이 조금(4명) 늘었지만 윗선과 아랫선, 다른부서들에게 왜 기존의 것을 대체하려는지와 무엇이 바뀌는지 그리고 적절한 협조 요청을 통해서 원만하게 일을 하고있습니다.
----------------------------------------------------------------------
인생 뭐있어? 백수로 사는거야~ 가는거야~
----------------------------------------------------------------------
인생 뭐있어? 백수로 사는거야~ 가는거야~
앞으로 정보보안이
앞으로 정보보안이 필요한 회사라면 보안전문가 또는 보안담당자들이 있어야 할듯 합니다.
주변에서 주워듣기론 소잃고 외양간 고치는 일들이 많습니다.
제가 다니는 회사의 경우...
를 가지고 간략히 쓰자면 ...
저희 회사는 I 머시기사 (밝히기 좀 그렇습니다. 양해부탁드립니다.) 의 DRM 툴을 사용합니다.
IT 기기를 이용한 정보유출은 하드를 통째로 떼어가지 않는 이상 불가능하고 - USB 메모리 등은 PC 에 꽂아 봤자 인식만 되고 아예 읽지도 쓰지도 못하게 됩니다. 정확히는 화면 중앙부에 큼직한 경고화면이 뜨면서 당장 빼라고 나오죠. 빼기전까지는 키보드고 마우스고 전혀 인식하지 않고 먹통 상태가 됩니다. - 하드를 떼어 가더라도 xls, doc, ppt, txt, pdf 등등은 DRM 으로 암호화 되어 있어서 회사 인트라넷에 접속하지 않고는 열 수가 없습니다. CD 라이터는 CD 롬이 되어 버립니다. 쓰기 자체가 안되니깐 ...
게다가, 기본적으로 달려 있는 I/O 장치(키보드, 마우스, 프린터) 외에 다른 I/O 장치(하다못해 USB 마우스...)를 PC 에 붙이기 위해서는 팀장 결재를 받아서 정보화지원팀에서 허가를 내려줘야 합니다. 하다못해 프린터를 딴 걸로 바꿀 때도 역시나 위와 마찬가지로 인식하는 순간 당장 경고화면이 큼직하게 뜹니다. - 같은 모델의 프린터라면 상관없더군요.
인터넷의 경우, 인트라넷 외에는 로그인이 불가능합니다. 흔히 사용하는 한메일 같은 곳이나 네이버 메일, gmail 등은 로그인이 안됩니다. 보통 사용하는 IE 에서 암호화가 걸리는 순간, 그러니깐 브라우저 왼쪽 아래에 자물쇠가 나올 때, 패쓰워드를 입력한다든가 등등, 에 지금 사용하고 있는 IE 창은 죽어 버립니다. 모든 메일은 인트라넷을 통해서만 가능하고 다른 것은 로그인이 필요없는 것은 읽을 수 있습니다만, 로그인을 해야 한다면 불가능합니다. 물론, 제 경우는 ... 약간 예외적인 경우로서 '연구소' 소속이기 때문에 특허문서나 논문을 찾는다는 핑계로 제가 있는 사무실은 좀 자유롭기는 합니다. 덕분에 가끔 여직원들이 와서 인터넷 쇼핑으로 뭐 사려는데, 인터넷 접속 좀 할 수 있냐고 도움을 청하기도 하죠. ^^;
인트라넷으로 메일을 외부로 발송할 경우에는 첨부 파일이 있을 경우나 일정 크기 이상의 메일(메일의 내용이 좀 길 경우...) 또는 특정 낱말이나 패턴이 있는 메일은 일단 모두 결재를 받도록 되어 있습니다. 가끔 ... 이것 때문에 좀 황당하게 결재를 받아야 합니다만 ...
응용프로그램들 ... 의 경우 각 팀마다 또는 사원마다 필요한 것이 딱 깔리고 그 외에는 깔 수가 없습니다
지금 저희 회사는 winzip 을 사이트라이센스로 쓰고 있는데, 알집이나 빵집을 깔고 싶어서 깔면 . 일단 깔립니다. 그리고, 약 1,2 분 후 경고창이 뜨면서 uninstall 됩니다. 그래서 회사 내부에서는 100 % 정품 환경이고, 게임 같은 건 아예 안됩니다.
물론, 백이면 백 .. 불편함을 느낍니다. 하지만, 권한조절은 아예 불허하고 있습니다. - 위에서 언급했다시피 제가 있는 사무실쪽은 필요에 의해서 대리급 이상에 한해서 좀 풀어주긴 했습니다만 ... 이건 좀 특수한(?) 부서의 필요성에 의해서이지요.
덕분이라고 해야 하려나... 하여간에 이러한 이유로 정보유출은 없는 걸로 알고 있습니다. 아마 제가 다니는 회사의 최고급 정보유출은 회식날짜가 음식점에 알려져서 음식점에서 회사 앞으로 봉고버스 보내는 정도로 알고 있습니다. 얼마전까진 영업쪽을 빼면 명함에 부서명도 기재가 안됐었거든요... 그냥 이름, 전화번호, e-mail, 직급, 끝...
비용은 ... 윗선에서 알아서 할테니 얼마인지는 모르겠고... 뭔가 안돼서 전화 걸면 바로 응답해 줍니다. 물론, 가끔 삽질로 알려주기도 합니다만 ... - 예를 들어서 pdf 파일을 열어야 하는데, 아크로뱃 리더 버전이 낮아서(6.0 부터는 개인사용자에게만 무료입니다. 기업은 리더... 도 사야 하죠.) 글꼴이 깨지는데 어떻게 하느냐 .. 라는 질문에 MS 워드에서 열어봐라.. 라고 했던 기억이 아스라히 떠오릅니다.
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
I 모사가 어딘지
I 모사가 어딘지 메일로 알려 주셨으면 합니다.
저희 쪽도 필요 할거 같아서요.
높이 날다 떨어지면.
아푸다 ㅡ,.ㅡ
정보는 안전하겠지만 숨막히겠군요.
편리함과 보안은 Trade-off 관계이긴 한데
꽤 불편한 것은 참아야겠군요. 그건 그렇고...
무식한 질문인지는 모르겠지만
메일까지 검색한다면 Privacy는 안전한가요?
회사에서 개인적인 메일을 보내선 안된다는 규정이
있다면 할 말 없구요. ^^a 후다닥~ ==33
메일은 근본적으로
메일은 근본적으로 보안이 안되지 않을까요? 공개키 방식 암호화로 본문을 처리하지 않는 이상은요.
경유하는 메일 서버 마다 적어도 루트 권한의 관리자라면 그 내용을 볼 수 있고 스팸 필터링도 일단 그 내용을 읽을 수 있기 때문에 가능할 것이구요.
--
마잇
--
마잇
공 vs. 사 ...
회사에서는 회사일을 하는 것이지, 개인 업무는 집에나 PC 방에서 하는 겁니다.
회사에서 메일 검색은 필수라고 봅니다. 가장 많은 정보가 빠져나갈 수 있는 경우이거든요. 저희 회사의 경우 첨부파일 크기가 0 이 아니면 무조건 결재를 받아야 메일이 외부로 발송가능합니다. - 내부에서야 1 기가짜리도 첨부 가능합니다.
물론, 개인 메일을 주고 받기는 합니다. 'XX 고등학교 YY 회 동문회 어디서 모임.' 이라거나... 등등...
어느정도 규모가 있는 회사라면 회사 취업 규칙에도 명시되어 있습니다. 회사 자산(컴퓨터, 장비, 기계, 책상 등등)으로는 회사일만 하라고 ...
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
http://akpil.egloos.com
---------
귓가에 햇살을 받으며 석양까지 행복한 여행을...
웃으며 떠나갔던 것처럼 미소를 띠고 돌아와 마침내 평안하기를...
- 엘프의 인사, 드래곤 라자, 이영도
즐겁게 놀아보자.
저희 회사도..
내년부터 비슷한 규정으로 바뀔 예정이라고 합니다. 저도 어느정도는 '회사 자산으로는 회사 일만'에 동의합니다. 그런데, 웬만한 시간에 퇴근을 해야 집에서 개인 일을 하죠 .... oTL
May the F/OSS be with you..
----------------------------
May the F/OSS be with you..
ㅋ
ㅋ
고통이 지천에 있다한들 어이해 멈출수있더냐
몇자 적어봅니다.
인용 : 예로 이미 수년전에 고가의 방화벽을 구입하였지만 지금은 갖은 이유들로 사실상 유명
무실해졌습니다.지금까지 각종 패키지의 유지보수 비용도 엄청납니다.
대부분 출장비만 수십만원이고 설정하나 건들이려고 해도 기술지원을 받아야만 되게끔 정책을
만들어 놓아서 IT부서의 지출비용이 너무 커졌고 회사는 IT솔루션들에 대해 매우 부정적인
입장입니다.
저는 보안엔지니어로써 3년전부터 DRM과 PC보안을 많이 구축해봤으나, 님께서 말씀하신 말들 그대로입니다.
DRM과 PC보안같은 솔루션들은 Client단에 Application 이 깔려야 됩니다. 1 copy당 대략
30~40만원씩받지요.100유저만돼도 3000만이네용... 이 Clien단 Application에서 굉장히 말썽을 많이 부립니다. 솔루션 구축도중에 고객들한테 제품다시빼라는 소리 한두번 들은게 아니에요..--;
일단 첨음 솔루션을 어렵사리 구축하면 경영진입장에선 굉장히 흐뭇해 하지만,
사후 관리가 정말 힘들지요..
클라이언트단 app에서는 Windows98,Windows2000,WindowsXp등등 크게 3개로 분류하고 각 O/S당
설치된 서비스팩에도 영향이가고 각 패치에도 영향이갑니다.
보안담당자는 셀수 없는문의가 잇달아지고, 다시깔고 다시깔고,,흑..대충이렇습니다.
불편함때문에 DRM이나 PC보안 창고에 처박아두는 싸이트 곧곧에있습니다. 명목상 관리는 하지만, 정책은
거의 clear하지요..
DRM보다는 요즘 화두가 많이 되는 NAC의 고급기능을 연구해보심이 좋을듯합니다.
고통이 지천에 있다한들 어이해 멈출수있더냐
기업보안이라는
기업보안이라는 주제로 리눅스의 활용방안을 들어보고자 했는데 아쉽습니다.
물론 범위를 너무 넓게 잡았던것 같기도 하고 지금 주제를 다시보니 날로 얻어먹으려했던것 같기도 하네요.
제가 보안전문가도 아니고 네트워크 전문가도 아니지만 기업보안 영역에대해 말씀드려보면
크게 기업보안은 외부보안과 내부보안으로 나눌수 있습니다.
warpdory님의 회사와 같이 저장매체와 같은 장치제어및 내부 네트워크의 통제는 ESM이라하여 내부보안 영역입니다.
DRM은 좀 더 구체적인 문서보안을 애기합니다. 그렇지만 DRM 솔루션의 초기구축비용이 훨씬 더 고가이기때문에
보통 DRM 프로젝트를 진행하면 DRM 솔루션 업체가 메인이 되고 보완적인 측면에서 ESM이 옵션정도로 포함되는듯 합니다.
이 DRM의 기능은 각종 포맷에대한 암/복호화 또는 보안영역을 벗어났을때
암호화를 통해 열람이 불가능하게끔 하여 외부유출을 원천적으로 차단되는 효과가 있습니다.
즉 기업내부문서를 USB나 어떤 저장매체에 담아갔다고 하더라도 외부에서는 볼수가 없게됩니다.
ESM/DRM외에 angpang27님을 통해 알게된 NAC 역시 엔드포인트 보안으로 내부보안 영역에 포함시켜도 될듯 합니다.
리눅스는 이런 영역에서 활동하기는 어려울듯 하고(NAC 에서 부분적으로 활용은 가능할것도 같습니다만) 외부보안을 위한 솔루션인 방화벽 만큼은 가능하리라 생각합니다.
방화벽으로써의 리눅스에대해서는 직접 알아보도록 하겠습니다.
쓰는 사람들이
쓰는 사람들이 따라줘야 제대로된 보안이 되죠.
Written By the Black Knight of Destruction
Written By the Black Knight of Destruction
그게 현실적으로
그게 현실적으로 어려워서 통제시스템을 구축하려는겁니다.
그리고 보안정책이 있음에도 정책을 위반하는 행위를 하려는 직장인은 없다고 봅니다.
프로그램 적인 보안과 함께...
보안 의식 강화 교육이 변행되어야 한다고 생각합니다...
약간 다른 이야기지만..
요즘 증권관련 회사에 잠시 출근하고 있는데... 뭐 아시다시피 이런곳들이 증권/싸이/쇼핑몰/메신저 등등을 모두 차단하고 있지요..
헌데 요즘 나오는 hsdpa 모뎀 때문에 불편함을 못 느끼겠더라구요.. 흐... 개발 서버쪽 내부아이피는 유선인데 따로 라우팅 잡고 .. 인터넷은 무선모뎀으로 쓰고..
내년/내후년 되서 무선 모뎀 환경이 널리 퍼지게 되면..보안 모델도 상당히 바뀌지 않을까요.
SK/KTF 가 경쟁자는 무선이 아니라 유선이다 라고 말하면서 공격적으로 나오는 한 무제한 종량제는
상당히 오래 갈듯하구요..
뭐 전파 재밍 은 불법이니 이거 막힐꺼 같지도 않고.. 으음...
아무리 보안을 열심히 한다고 하더라도...
보안은 사람이 지키지 않으면 지켜지기 힘드니까요...
DRM 부분은 리눅스에서는 지양하는 부분이라, DRM 지원을 바라시는 것은 무리일 듯 싶습니다.
다만 네트워크 제어 정도는 가능하겠지요. (말 그대로 방화벽겸 라우터가 되는 것입니다.)
리눅스 네트워크 서버만 잘 활용해도 네트워크를 통한 보안은 확실히 지켜집니다.
문제는 클라이언트에서의 보안인데... 윈도우즈라면 이것 또한 귀찮아집니다.
NIS 로 통합된 계정을 관리하는 것도 아니고... 물론 계정 서버는 따로 만들 수 있겠지만...
클라이언트에서의 장치 제어등을 일일이 다 관리하려면... 골치아프네요.
윈도우즈에서의 보안이란 것을 신경 써본적이 없어서...
====
( - -)a 이제는 학생으로 가장한 백수가 아닌 진짜 백수가 되어야겠다.
팩스서버 저희것을
팩스서버 저희것을 써보시는 것은 어때요? ㅋㅋ
이상 비공식 영업멘트였습니다.