하나의 Windows 10, 두개의 보안 영역, Windows 10 엔터프라이즈 데이터 보호(Enterprise Data Protection, EDP)

image

지난 주, Windows 10이 공식적으로 사용자들에게 다운로드가 시작되면서, 전 세계 1,400만 사용자가 다운로드를 받아, Windows 10을 설치하였다는 소식이 전해지고 있습니다. 하나 둘씩, Windows 10의 IT Pro와 관련된 포스팅을 정리하고 있는데, 오늘은 EDP(Enterprise Data Protection)으로 알려진 기술을 살펴보겠습니다.

일반적으로 기업에서는 업무용 디바이스에 대한 보안을 위해 망분리나 디바이스 분리라는 측면의 접근을 많이 사용합니다. 실제 업무를 보는 디바이스와, 개인용 디바이스에 대한 물리적, 혹은 가상화 기술을 이용한 논리적 분리를 하여, 상호간의 보안 침범을 원천적으로 막기 위함이지요. 사용자 입장에서 2가지 디바이스의 사용은 이용에 대한 불편함을 초래하게 됩니다. 다른 측면에서 운영 체제 위에 하나의 소프트웨어를 설치하고 이를 통해 분리를 하는 기술 역시, 개인적인 의견에서는 운영 체제의 처리 방식은 결국 하나이기 때문에, 해당 소프트웨어의 보안 문제, 혹은 버그, 운영 체제의 문제, 버그에 대해서도 취약할 수 밖에 없습니다.

모바일 디바이스에서도 하나의 디바이스에 2개의 환경을 구성하고, 상호간의 교신을 할 수 없게 처리하는 기술이 존재합니다. 이는 2개의 운영 체제가 설치된 형태와 동일한 기술로, 2개의 운영 체제를 처리하기 위한 디바이스의 부하도 어떻게 할 수가 없다고 보입니다.

image

Windows 10의 접근은 원천적으로 하나의 운영 체제내에 2개의 컨테이너(Container)를 만들고, 상호 컨테이너간의 교신에 대한 보안 정책을 구성할 수 있게 합니다. 이를 EDP라고 칭합니다. (위 그림은 Windows 10 Phone의 그림이지만, Windows 10부터는 PC용과 Phone용이 동일한 바이너리이므로, 이는 Windows 10 PC에도 동일한 형태로 처리됩니다.)

image

버전을 비교해놓은 Microsoft의 사이트에 따르면, EDP는 Professional 이상의 에디션에서 사용이 가능합니다. Windows 10에서 EDP를 사용하려면, 어떠한 형태가 업무용으로 처리해야 하는지에 대한 정책 구성이 필요합니다. 해당 정책은 3가지 형태, Microsoft Intune, System Center Configuration, Windows 10을 지원하는 MDM 기술(Microsoft 이외 벤더)에서 구성할 수 있습니다. (Windows 10의 경우에는 관리를 위한 MDM API를 Microsoft 이외의 벤더에서도 적극적으로 활용할 수 있도록, 모두 공개해놓았으며, 기존 Windows 8.1까지의 MDM API의 부족함을 해결하고자, 거의 모든 관리 영역을 다 지원하고 있습니다.)

image

우선 관리자는 MDM 기술내에서 EDP를 위한 정책을 만들어야 합니다. 1차적으로 어떤 응용 프로그램이 업무용인지에 대한 선언을 해야 합니다. 업무용 응용 프로그램에서 만들어진 데이터들은 업무용으로 처리되어야 하고, 정책에 따라 암호화(EFS, RMS)할 수 있게 됩니다.

image

이렇게 업무용으로 지정된 응용 프로그램 중, EDP를 사용자 고지 수준부터 지원하는 경우에는 응용 프로그램을 실행했을 경우, 이에 대한 공지가 팝업으로 뜨게 됩니다.

EDP-01 image

2차적으로 디바이스의 위치에 따라 업무 환경인지, 개인 환경인지를 구분할 수 있게 됩니다. 관리자는 네트워크 위치에 따른 정책을 선언할 수도 있습니다.

image

이렇게 선언된 2가지 형태의 정책은 업무용이라는 구분을 지을 수 있는 근간이 되게 됩니다. 업무용으로 선언된 응용 프로그램의 데이터를 선언되지 않은 응용 프로그램에서 사용, 전달할 경우에 대한 정책도 선언해야 합니다.

image

차단(Block)의 경우에는 아예 열 수 없게 한다는 의미입니다. 재정의(Override)의 경우에는 사용자에게 메시지를 띄워 어떻게 할지를 결정하라고 합니다. (가장 상단의 그림이 이에 해당됩니다.) 감사(Silent) 모드의 경우에는 사용자에게는 제한이 걸리진 않지만, 관리 기술에서 해당 사항을 감사하여(Audit), 로그에 남긴다는 의미입니다. 해제(Off)는 당연히 아무것도 하지 않는다는 것이죠. (https://technet.microsoft.com/ko-kr/library/dn985838(v=vs.85).aspx 참고)

상단의 그림은 Windows 10에서 기본적으로 제공되는 Photo 앱이 업무용 응용 프로그램으로 등록되어 있고, 이를 Facebook/Twitter와 같은 비업무용 응용 프로그램으로 공유할 때, 나타나는 메시지입니다. 정책적으로는 재정의(Override)가 선언되어 있는 것이죠.

EDP의 업무용 응용 프로그램으로 선언할 수 있는 정책은 암호화에 대한 부분입니다. 업무용 응용 프로그램으로 데이터를 만들었을 경우, 외부 유출을 막고자, 조직내에서 운영되는 IRM/DRM 기술에 연계하고 싶은 경우가 많습니다. EDP에서는 이 역시, 기본 지원하여, 파일을 저장할 때 사용하는 대화 창에서 암호화가 강제로 적용되도록 할 수 있습니다. 해당 암호화는 사용자가 해제할 수 없습니다. 지금은 데이터에 대한 그림을 보여드리고 있지만, 아예 드라이브 전체, 하드 디스크 전체를 강제로 암호화할 수 있도록 지정할 수 있습니다.

image

더불어, 저장된 파일에 대해서도, 추가적인 암호화 적용이 가능합니다.

image

아이콘에서 감을 잡으신 분도 계실 거라 생각합니다. 기본적으로는 Azure RMS와 연계되어 암호화를 적용할 수 있으며, Azure RMS가 적용되지 않은 경우에는, 인증서 기반의 암호화를 사용하는 EFS(암호화 파일 시스템, Encrypted File System)을 사용합니다. 뒤에서 살펴볼 내용이지만, EDP를 위해 디바이스를 MDM 기술에 등록할 때, 관련된 사용자 인증서가 배포되기에, EFS로 암호화가 적용된 파일은 다른 디바이스에서도 열어볼 수 있습니다. Azure RMS의 경우에는 동일한 ID를 사용하기에, ID에 근간한 RMS 암호/해독 방식을 사용하게 되죠. (EFS는 꽤 역사가 긴 기술이죠?  )

image

암호화된 파일은 탐색기 내에서 어떠한 정책에 의해 암호화되었는지 표시해줍니다.

image

당연한 이야기지만, 업무용 응용 프로그램으로 지정되지 않은 응용 프로그램에서는 열어볼 수 없습니다.

image

EDP 정책에서 네트워크에 대한 정의를 내려놓았기 때문에, 지정된 네트워크에서 다운로드된 데이터에 대한 처리도 가능합니다.

image

업무용 환경이라고 지정된 곳에서 다운로드했을 경우, 자동으로 암호화를 하여, 업무용 응용 프로그램에서만 열어볼 수 있게 하는 셈이죠. 이는 별도의 USB나 외장 매체로 저장될 경우에도 유지되기에, 분실로 인한 데이터 유출시, 데이터 내용을 확인할 수 없게 됩니다.

image

응용 프로그램에서 디스크로 저장할 경우, 앞서 언급드린 바와 같이 정책에 따라, 암호화가 처리되며, 이는 사용자가 하기 싫더라도, 강제 반영할 수 있습니다.

image

데이터에 대해 복사/붙여넣기, 공유등을 이용하여 응용 프로그램간 송신에 대해서도 정책에 선언된 응용 프로그램간에만 가능하게 하며, 다른 응용 프로그램으로 전송시 차단, 혹은 고지할 수 있습니다. 또한 지정된 네트워크 이외로 파일을 전송할 경우에 대해서도 제한이 가능하겠죠? (네트워크에 대한 정의를 내려놓았으니까요)

image

IT 관리자가 정책에 로그에 남기는 것을 정의하였다면, MDM 서비스와 Windows 10 디바이스내 이벤트 뷰어에 해당 사실이 남게 됩니다.

네트워크에 대한 정의가 내려져 있으므로, 이러한 형태의 시나리오도 커버가 가능합니다. 사내 네트워크로 지정된 환경내에 Exchange Server나 Office 365가 있는 경우에 해당 서비스/서버에서 송수신되는 메일은 엔터프라이즈 데이터로 처리되며, hotmail과 같은 개인 메일은 개인 데이터로 처리됩니다. 이에 상호간의 데이터 전송 처리를 막을 수가 있죠. 회사 메일 주소를 사용할 경우에는 데이터에 대한 붙여넣기나 첨부가 가능하지만, 개인 메일은 불가능하게 처리할 수 있습니다.

image

이는 Windows 기반 앱뿐만 아니라, 이기종용 앱에서도 동일하게 지원합니다. (위 그림은 지정된 네트워크내의 메일 서비스 이용시 붙여넣기가 나타나는 모습니다. 아래의 그림은 hotmail.com 사용시 나타나지 않는 모습입니다.)

image

네트워크 정의를 통해 가질 수 있는 시나리오는 엔터프라이즈 데이터를 OneDrive나 기타 웹 사이트에 전송할 수 없게 하고, 지정된 사내 SharePoint, 혹은 Office 365의 SharePoint 서비스, 마지막으로 조직에서 지정된 곳에만 전송할 수 있게 합니다.

이러한 EDP 정책은 어떻게 Windows 10 디바이스에 적용하게 될까요?

image

Windows 10에서 제공하는 회사 액세스 기술을 이용합니다. 회사내 학교에 연결하게 될 경우, 미리 구성된 서비스에 사용자의 ID를 이용하여, 디바이스가 등록되는 절차를 밟게 됩니다. 이후 MDM 정책이 Windows 10 디바이스로 동기화되게 되죠.

image

등록과 제거에 대한 부분도 모두 로그에 기록되게 됩니다.

image

기술적으로는 매우 이해하기 쉬운 형태입니다. MDM 서비스에 조직의 사용자 ID를 통해 등록을 하면, MDM 서비스에서 EDP를 위한 정책을 내려주게 됩니다. 해당 정책에서 구성된 응용 프로그램/네트워크, 그리고 지정되지 않은 응용 프로그램/네트워크간의 송수신을 어떻게 처리할지에 대한 정책이 구성됩니다. 더불어, 지정된 응용 프로그램/네트워크에서 생성되거나, 수신된 데이터를 암호화할 것인지에 대한 여부, 나아가 이 데이터를 송신할 경우(다른 네트워크, 저장 장치 등), 정책을 적용할 수 있는 형태입니다. 결국 정책내에서 선언된 경우에는 별도의 컨테이너가 내부적으로 만들어지고, 이 컨테이너와 지정되지 않은 컨테이너(기본 Windows 환경이겠죠)간에는 상호 교신을 허가하지 않을 수 있다는 것입니다.

마지막은 이제 디바이스가 더이상 조직에 연결되지 않을 경우에 대한 부분입니다. 바로 연결된 형태를 끊을 경우(제거)에 대한 부분이죠. 우선 관리자는 등록된 디바이스를 끊을 수 없도록, MDM에서 선언할 수 있습니다. 이경우, 제거를 클릭하면, 할 수 없다는 메시지가 나오게 됩니다.

image

제거를 허용하였기에, 제거를 클릭하면, 관련된 정보가 삭제된다는 메시지가 뜨게 됩니다. MDM 정책에서 업무용으로 선언된 컨테이너를 어떻게 할지에 대한 구성이 가능하다는 의미죠. 만약 관리자가 삭제를 지정해놓았을 경우, 모든 업무용으로 지정된 데이터는 삭제가 됩니다. 물론 구성된 정책도 같이 삭제가 되겠죠. EFS나 Azure RMS를 위한 키 역시 같이 삭제됩니다.

image

제거의 경우에는 MDM 서비스에서 분실한 디바이스에 대해 원격 제거도 가능합니다. 분실하였다고 지정된 디바이스가 네트워크에 연결되면, 모든 정책내 관련 데이터는 소거하는 기술(Wipe)도 있습니다.

이해를 돕기 위해, 상당히 많은 그림을 첨부하여, 내용이 길어졌습니다. 아직까지 Windows 10의 EDP는 테스트를 해보실 수는 없습니다. 관련된 MDM 서비스가 공식적으로 제공되어야 하는데, Microsoft Intune/System Center Configuration Manager vNext가 현재 막바지 준비중에 있으며, 곧 EDP를 Windows 10에 적용할 수 있는 서비스가 제공될 것입니다. (추후 업데이트) 회사 액세스 항목에서 장치를 등록하는 것은 Windows Server+System Center/Microsoft Azure(Intune)에서 기존 처리하던 방식과 크게 틀리지 않습니다. (Windows Server/Microsoft Azure의 장치 등록 서비스(Device Registration Service)를 이용하여 Workplace Join(작업 공간 가입) 활용 (장치 인증/사용자 SSO 처리) 포스팅 참고)

하나의 운영 체제에서 운영 체제 기술로 보안 컨테이너를 분리할 수 있는 기술이 있는 것은 매우 유용합니다. 별도의 추가 분리 작업 없이, Windows에서 기본적으로 제공하는 컨테이너 기술을 사용하므로, 사용자가 느끼는 성능 부하도 미미합니다. 앞서 여러 포스팅에서 살펴본 Windows 10의 보안 기술과 함께, EDP 역시 엔터프라이즈 조직에서 사용자의 편의성을 유지하면서, 보안을 높힐 수 있는 좋은 기술이 될 것이라 생각합니다.