WIP(Windows Information Protection)를 사용하여 엔터프라이즈 데이터 보호

적용 대상:

  • Windows 10 버전 1607 이상
  • Windows 10 Mobile 버전 1607 이상

각 Windows 버전에서 지원되는 기능에 대한 자세한 내용은 Windows 10 Professional, Enterprise, Education 에디션 비교를 참조하세요.

기업에서 직원 소유 장치가 증가하면서 기업의 제어를 벗어나는 메일, 소셜 미디어, 공용 클라우드 등의 앱 및 서비스를 통해 실수로 데이터가 손실되는 위험도 증가하고 있습니다. 예를 들어 직원이 개인 메일 계정에서 최신 엔지니어링 사진을 보내거나, 제품 정보를 복사하여 트윗에 올리거나, 진행 중인 영업 보고서를 공용 클라우드 저장소에 저장하는 경우가 이에 해당합니다.

이전의 EDP(엔터프라이즈 데이터 보호)인 WIP(Windows Information Protection)를 사용하면 직원에게 아무런 불편을 주지 않으면서 잠재적인 데이터 누출을 방지할 수 있습니다. WIP를 사용하면 사용자 환경이나 기타 앱을 변경할 필요 없이 직원이 업무에 사용하는 기업 소유 장치 및 개인 장치에서 실수로 데이터가 누출되지 않도록 엔터프라이즈 앱 및 데이터를 보호할 수도 있습니다. 마지막으로 또 다른 데이터 보호 기술인 Azure Rights Management를 WIP와 함께 사용해서 권한 관리 메일 클라이언트의 엔터프라이즈 인식 버전에서 메일 첨부 파일을 보낼 경우와 같이 장치를 떠나는 데이터에 대한 데이터 보호를 확장할 수 있습니다.

중요

WIP는 실수로 인한 데이터 누출을 정직한 직원으로부터 막을 수 있는 반면 악의적인 내부자는 엔터프라이즈 데이터를 제거하지 못하게 합니다. WIP에서 제공하는 이점에 대한 자세한 내용은 이 항목 의 부분에 있는 WIP를 사용하는 이유를 참조하세요.

비디오: 엔터프라이즈 데이터가 실수로 잘못된 장소로 복사되지 않도록 보호

필수 조건

기업에서 WIP를 실행하려면 이 소프트웨어가 필요합니다.

운영 체제 관리 솔루션
Windows 10 버전 1607 이상 Microsoft Intune

-또는-

Microsoft Endpoint Configuration Manager

-또는-

현재 회사 전체의 타사 MDM(모바일 장치 관리) 솔루션. 타사 MDM 솔루션에 대한 자세한 내용은 제품과 함께 제공된 설명서를 참조하세요. 타사 MDM에서 정책에 대한 UI를 지원하지 않으면 EnterpriseDataProtection CSP 설명서를 참조하세요.

엔터프라이즈 데이터 컨트롤이란?

효과적으로 공동 작업하려면 엔터프라이즈에 있는 다른 사용자와 데이터를 공유해야 합니다. 이 공유는 모든 사용자가 보안 없이 모든 항목에 액세스할 수 있는 방법부터 사용자가 아무 항목도 공유할 수 없고 모두 극도로 보안되는 방법까지 사용하여 다양하게 수행할 수 있습니다. 대부분의 엔터프라이즈는 이 두 극단 사이에 있는 방법을 사용하여 필수 액세스 제공과 부적절한 데이터 공개 가능성 사이에서 균형을 맞춥니다.

관리자로서 직원 자격 증명과 같은 액세스 컨트롤을 사용하여 데이터에 액세스할 수 있는 사용자를 결정할 수 있습니다. 그러나 사용자에게 데이터에 대한 액세스 권한이 있다고 해서 데이터를 반드시 엔터프라이즈의 보안 위치에 둔다는 보장은 없습니다. 즉, 액세스 컨트롤은 좋은 시작 방법이긴 하지만 충분하지 않습니다.

결국 이러한 모든 보안 조치에는 한 가지 공통점이 생깁니다. 즉, 직원이 그다지 오래 불편을 참지 않고 보안 제한을 회피하는 방법을 찾을 것이라는 점입니다. 예를 들어, 직원이 보호된 시스템을 통해 파일을 공유하도록 허용하지 않으면, 직원은 보안 컨트롤이 결여되어 있을 가능성이 큰 외부 앱으로 전환할 것입니다.

데이터 손실 방지 시스템 사용

이러한 보안 부족 문제를 해결하기 위해 회사는 데이터 손실 방지(DLP라고도 하는) 시스템을 개발했습니다. 데이터 손실 방지 시스템에는 다음이 필요합니다.

  • 시스템에서 보호해야 하는 데이터를 식별하여 분류할 수 있는 방법에 대한 규칙 집합. 예를 들어, 규칙 집합에는 신용 카드 번호를 식별하는 규칙과 주민 등록 번호를 식별하는 다른 규칙이 포함될 수 있습니다.

  • 정의된 규칙과 일치하는지 확인하기 위해 회사 데이터를 스캔하는 방법. 현재 Microsoft Exchange Server와 Exchange Online에서는 이 서비스를 전송 중인 메일에 제공하는 한편 Microsoft SharePoint와 SharePoint Online에서는 문서 라이브러리에 저장된 콘텐츠에 이 서비스를 제공합니다.

  • 데이터가 규칙과 일치하면 수행되는 사항(예: 직원이 적용을 건너뛸 수 있는지 여부)을 지정하는 기능. 예를 들어, Microsoft SharePoint 및 SharePoint Online에서 Microsoft 데이터 손실 방지 시스템을 사용하면 공유된 데이터에 중요한 정보가 포함되어 있음을 직원에게 경고하고, 그래도 여전히 선택적 감사 로그 항목과 함께 공유하도록 할 수 있습니다.

안타깝게도 데이터 손실 방지 시스템은 자체적으로 문제가 있습니다. 예를 들어 덜 세부적인 규칙 집합일수록 가짓 긍정이 더 많이 만들어지며, 직원이 규칙이 작업을 느리게 하여 생산성을 유지하려면 무시해야 하다는 것을 생각하게 하여 데이터가 잘못 차단되거나 잘못 릴리스될 수 있습니다. 또 다른 주요 문제는 데이터 손실 방지 시스템이 효율적이려면 광범위하게 구현되어야 한다는 것입니다. 예를 들어, 회사에서 메일에만 데이터 손실 방지 시스템을 사용하고 파일 공유나 문서 저장소에는 사용하지 않으면 보호되지 않는 채널을 통해 데이터가 누출되는 것을 발견할 수 있습니다. 그러나 데이터 손실 방지 시스템의 가장 큰 문제는 종종 직원이 볼 수 없는 미묘한 규칙에 따라 일부 작업(예: 시스템에서 중요한 것으로 태그를 지정하는 첨부 파일이 있는 메시지 보내기)을 중지하고 다른 작업을 허용하여 직원의 자연스러운 워크플로를 방해하는 교착상태를 제공한다는 것입니다.

정보 권한 관리 시스템 사용

잠재적 데이터 손실 방지 시스템 문제를 해결하기 위해 회사에서는 정보 권한 관리(IRM이라고도 함) 시스템을 개발했습니다. 정보 권한 관리 시스템은 문서에 직접 보호를 포함시키므로 직원이 문서를 만들 때 적용할 보호를 직접 결정합니다. 예를 들어 직원이 조직 외부에서 문서를 공유, 인쇄, 전달하는 등의 작업을 중단하도록 선택할 수 있습니다.

보호 유형을 설정하고 나면, 권한이 있는 사용자만 열 수 있도록 한 후 호환 가능한 앱에서만 열 수 있도록 작성 앱에서 문서를 암호화합니다. 직원이 문서를 열고 나면 이제 앱에서 지정된 보호를 적용해야 합니다. 문서에 보호가 적용된 상태로 이동하므로 권한이 있는 사용자가 권한이 없는 사용자에게 문서를 보내면 권한이 없는 사용자가 문서를 읽거나 변경할 수 없습니다. 그러나 이 기능이 효율적으로 작동하기 위해서는 정보 권한 관리 시스템에서 사용자가 서버와 클라이언트 환경 모두를 배포하고 설정해야 합니다. 호환 가능한 클라이언트만 보호된 문서에 대해 작업할 수 있으므로 직원이 호환되지 않는 앱을 사용하려고 하면 예기치 않게 작업이 중단될 수 있습니다.

직원이 퇴사하거나 장치 등록을 해제하면 어떻게 되나요?

마지막으로 직원이 퇴사하거나 장치 등록을 해제할 때 회사에서 데이터가 누출될 위험이 있습니다. 이전에는 장치에 있는 모든 개인 데이터와 함께 회사 데이터를 장치에서 모두 제거하기만 하면 되었습니다.

WIP의 이점

WIP에는 다음과 같은 이점이 있습니다.

  • 직원이 환경이나 앱을 전환할 필요 없이 개인 및 회사 데이터를 명확하게 구분.

  • 앱을 업데이트할 필요 없이 기존 LOB(기간 업무) 앱에 대한 추가 데이터 보호 제공.

  • 개인 데이터만 남겨두고 Intune MDM 등록 장치에서 기업 데이터를 초기화할 수 있는 기능.

  • 문제 및 수정 조치를 추적하는 데 감사 보고서 사용.

  • 기존 관리 시스템(Microsoft Intune, Microsoft Endpoint Configuration Manager 또는 현재 MDM(모바일 장치 관리) 시스템)과 통합하여 회사의 WIP를 구성, 배포 및 관리합니다.

WIP를 사용하는 이유

WIP는 Windows 10의 MAM(모바일 응용 프로그램 관리) 메커니즘입니다. WIP는 Windows 10 데스크톱 운영 체제의 앱 및 문서에 대한 데이터 정책 적용을 관리하는 새로운 방법과, 엔터프라이즈 및 개인 장치(Intune과 같은 엔터프라이즈 관리 솔루션에 등록한 후)에서 엔터프라이즈 데이터에 대한 액세스를 제거하는 기능을 제공합니다.

  • 데이터 정책 적용에 대한 사고 방식을 바꿉니다. 엔터프라이즈 관리자는 데이터 정책 및 데이터 액세스에 대한 규정 준수를 유지 관리해야 합니다. WIP는 직원이 장치를 사용하지 않는 경우에도 회사 및 직원 소유 장치에서 엔터프라이즈를 보호하는 데 도움이 됩니다. 직원이 엔터프라이즈 보호 장치에서 콘텐츠를 만들 경우 해당 콘텐츠를 작업 문서로 저장하도록 선택할 수 있습니다. 작업 문서일 경우 엔터프라이즈 데이터로 로컬에서 유지 관리됩니다.

  • 엔터프라이즈 문서, 앱 및 암호화 모드를 관리합니다.

    • 엔터프라이즈 데이터 복사 또는 다운로드. 직원이 또는 앱이 WIP로 보호된 장치를 사용하는 동안 SharePoint, 네트워크 공유, 엔터프라이즈 웹 위치 등의 위치에서 콘텐츠를 다운로드할 때 WIP에서 장치의 데이터를 암호화합니다.

    • 보호된 앱 사용. 관리되는 앱(WIP 정책의 보호된 앱 목록에 포함된 앱)은 엔터프라이즈 데이터에 액세스할 수 있으며 허용되지 않는 앱, 엔터프라이즈 인식 앱 또는 개인 전용 앱과 함께 사용할 경우 다르게 상호 작용합니다. **** 예를 들어 WIP 관리가 차단으로설정된 경우 직원이 보호된 앱 하나에서 다른 보호된 앱으로 복사하여 붙여넣을 수 있지만 개인 앱에는 붙여넣을 수 없습니다. HR 사람이 보호된 앱에서 내부 구인 웹 사이트인 엔터프라이즈 보호 위치로 작업 설명을 복사하려는 경우 실수를 하고 대신 개인 앱에 붙여 넣는 것을 하려는 경우를 상상해 본다. 붙여넣기 작업이 실패하고 정책 제한으로 인해 앱에서 붙여넣을 수 없다는 알림이 팝업으로 표시됩니다. 그러면 인사 담당자가 문제없이 구인 웹 사이트에 올바르게 붙여넣습니다.

    • 관리되는 앱 및 제한 사항. WIP를 통해 엔터프라이즈 데이터에 액세스하여 사용할 앱을 제어할 수 있습니다. 보호된 앱 목록에 앱을 추가한 후 엔터프라이즈 데이터로 앱을 신뢰합니다. 이 목록에 없는 모든 앱은 WIP 관리 모드에 따라 엔터프라이즈 데이터에 액세스하지 못하도록 중지됩니다.

      개인 데이터를 터치하지 않는 업무용 앱을 수정하여 보호된 앱으로 나열할 필요가 없습니다. 보호된 앱 목록에 포함하기만 합니다.

    • 데이터 액세스 수준 결정. WIP를 통해 직원의 데이터 공유 작업을 차단하거나 재정의를 허용하거나 감사할 수 있습니다. 재정의를 숨기면 작업이 즉시 중지됩니다. 재정의를 허용하면 직원은 위험이 있다는 것을 인식하지만 작업을 기록하고 감사하는 동안 데이터를 계속 공유할 수 있습니다. 자동은 이 설정을 사용하는 동안 직원이 다시 설정할 수 없는 작업을 중지하지 않고 작업을 기록합니다. 교육 작업을 수행하거나 보호된 앱 목록에 추가해야 하는 앱을 찾을 수 있도록 부적절한 공유 패턴을 보는 데 도움이 되는 정보를 수집합니다. 감사 로그 파일 수집 방법에 대한 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법을 참조하세요.

    • 미사용 데이터 암호화. WIP는 로컬 파일 및 이동식 미디어의 엔터프라이즈 데이터를 보호합니다.

      Microsoft Word와 같은 앱은 WIP와 함께 작동하여 로컬 파일과 이동식 미디어에 있는 데이터를 지속적으로 보호해 줍니다. 이 앱을 엔터프라이즈 인식 앱이라고 합니다. 예를 들어 직원이 Word에서 WIP로 암호화된 콘텐츠를 열고, 콘텐츠를 편집한 다음 편집된 버전을 다른 이름으로 저장하려는 경우 Word에서 새 문서에 WIP를 자동으로 적용합니다.

    • 공용 위치에 실수로 데이터 노출 방지. WIP는 공용 클라우드 저장소와 같은 공용 위치에 엔터프라이즈 데이터가 실수로 공유되지 않도록 방지합니다. 예를 들어 Dropbox™ 보호된 앱 목록에 없는 경우 직원이 암호화된 파일을 개인 클라우드 저장소에 동기화할 수 없습니다. 대신 직원이 보호된 앱 목록의 앱(비즈니스용 Microsoft OneDrive)에 콘텐츠를 저장하는 경우 암호화된 파일은 로컬에서 암호화를 유지하면서 비즈니스 클라우드에 자유롭게 동기화할 수 있습니다.

    • 이동식 미디어에 실수로 데이터가 노출되는 것을 방지. WIP는 엔터프라이즈 데이터를 이동식 미디어로 복사하거나 전송할 때 해당 데이터가 누출되는 것을 방지합니다. 예를 들어 직원이 개인 데이터도 있는 USB(범용 직렬 버스) 드라이브에 엔터프라이즈 데이터를 저장하는 경우 엔터프라이즈 데이터는 암호화된 상태로 유지되지만 개인 데이터는 암호화되지 않습니다.

  • 엔터프라이즈 보호 장치에서 엔터프라이즈 데이터 제거. WIP는 개인 데이터만 유지하는 동안 하나 또는 여러 MDM 등록 장치에서 엔터프라이즈 데이터를 해지하는 기능을 관리자에게 제공합니다. 이 기능은 직원이 퇴사하거나 장치를 도난당하는 경우에 유용합니다. 데이터 액세스 권한을 제거하기로 결정했으면 장치가 네트워크에 연결할 때 장치에 대한 사용자의 암호화 키가 해지되고 엔터프라이즈 데이터를 읽을 수 없게 되도록 Microsoft Intune을 사용하여 장치를 등록 해제할 수 있습니다.

    참고

    Surface 디바이스를 관리하려면 Microsoft Endpoint Configuration Manager의 현재 분기를 사용하는 것이 좋습니다.
    Microsoft Endpoint Manager를 사용하여 엔터프라이즈 데이터를 해지할 수 있습니다. 그러나 장치의 공장 기본 설정으로 복원을 수행하여 그렇게 합니다.

WIP 작동 방법

WIP를 사용하면 기업의 일상적인 문제를 해결할 수 있습니다. 예:

  • 잠글 수 없는 직원 소유의 장치에서도 엔터프라이즈 데이터 누출을 방지하도록 지원

  • 엔터프라이즈 소유 장치에서 제한적 데이터 관리 정책으로 인한 직원 수고 감소.

  • 엔터프라이즈 데이터의 소유권 및 제어를 유지 관리하도록 지원.

  • 네트워크 및 데이터 액세스와 엔터프라이즈에서 인식하지 못하는 앱에 대한 데이터 공유를 제어하도록 지원

엔터프라이즈 시나리오

WIP는 현재 다음과 같은 엔터프라이즈 시나리오를 해결합니다.

  • 직원 소유 및 회사 소유 장치에서 엔터프라이즈 데이터를 암호화할 수 있습니다.

  • 직원 소유 컴퓨터를 포함하여 관리 컴퓨터에서 개인 데이터에 영향을 주지 않고 원격으로 엔터프라이즈 데이터를 지울 수 있습니다.

  • 직원에게 명확하게 인식할 수 있는 엔터프라이즈 데이터에 액세스할 수 있는 특정 앱을 보호할 수 있습니다. 보호되지 않는 앱이 엔터프라이즈 데이터에 액세스하는 것을 중지할 수도 있습니다.

  • 그 외에도 엔터프라이즈 정책이 적용되는 동안에는 직원이 개인 앱과 엔터프라이즈 앱을 전환할 때 작업을 중단할 필요가 없습니다. 환경을 전환하거나 여러 번 로그인할 필요가 없습니다.

WIP 보호 모드

엔터프라이즈 소스에서 장치에 엔터프라이즈 데이터를 로드한 후 또는 직원이 데이터를 회사로 표시한 경우 해당 데이터가 자동으로 암호화됩니다. 그런 다음 엔터프라이즈 데이터를 디스크에 쓰면 WIP에서 Windows 제공 EFS(Encrypting File System)를 사용하여 데이터를 보호하고 엔터프라이즈 ID와 연결합니다.

WIP 정책에는 회사 데이터에 액세스하고 처리하기 위해 보호되는 신뢰할 수 있는 앱 목록이 포함되어 있습니다. 이 앱 목록은 AppLocker 기능을 통해 구현되며, 실행할 수 있는 앱을 제어하고 앱에서 회사 데이터를 편집할 수 있음을 Windows 운영 체제에 알립니다. 이 목록에 앱이 포함되어 있으면 Windows에서 해당 앱에 액세스 권한을 부여할지 결정할 수 있으므로 회사 데이터를 열기 위해 해당 앱을 수정하지 않아도 됩니다. 그러나 Windows 10의 새로운 기능으로 앱 개발자는 새로운 API(응용 프로그램 프로그래밍 인터페이스) 집합을 사용하여 엔터프라이즈 데이터 및 개인 데이터를 모두 사용하고 편집할 수 있는 인식 앱을 만들 수 있습니다. 인식 앱을 사용하여 작업하면 API를 통해 앱에서 데이터가 엔터프라이즈에서 소유하는지 아니면 개인이 소유하는지 판별할 수 있으므로 개인 데이터 암호화를 그다지 고려하지 않고도 Microsoft Word와 같은 이중 용도 앱을 사용할 수 있습니다.

참고

감사 로그 파일 수집 방법에 대한 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법을 참조하세요.

4가지 보호 및 관리 방법 중 하나를 사용하도록 WIP 정책을 설정할 수 있습니다.

모드 설명
차단 WIP에서 부적절한 데이터 공유 사례를 찾아 직원이 작업을 완료할 수 없도록 중지합니다. 여기에는 앱 간에 엔터프라이즈 데이터를 공유하거나 조직 네트워크 외부에서 공유하려는 시도 외에도 기업에서 보호하지 않는 앱에 대한 엔터프라이즈 데이터 공유가 포함될 수 있습니다.
재정의 허용 WIP에서 부적절한 데이터 공유를 찾아 직원이 잠재적으로 안전하지 않은 것으로 간주되는 행위를 하는 경우 해당 직원에게 경고합니다. 그러나 이 관리 모드에서는 직원이 정책을 재정의하고 데이터를 공유하여 감사 로그에 작업을 로깅할 수 있습니다.
자동 WIP는 자동으로 실행되며, 재정의 허용 모드에서 직원 상호 작용을 위해 메시지로 표시되는 어떤 항목도 중지하지 않고 부적절한 데이터 공유를 로깅합니다. 네트워크 리소스 또는 WIP로 보호된 데이터에 부적절하게 액세스하려는 앱과 같이 허용되지 않는 작업은 계속 중지됩니다.
꺼짐 WIP가 꺼져 있으며 데이터를 보호하거나 감사할 수 없습니다.

WIP를 끄면 로컬에 연결된 드라이브에서 WIP 태그가 지정된 파일의 암호를 해독하는 작업이 시도됩니다. WIP 보호를 다시 켜도 이전 암호 해독 및 정책 정보가 자동으로 다시 적용되지는 않습니다.

WIP 끄기

모든 Windows Information Protection 및 제한을 끄면 WIP에서 관리되는 모든 장치의 암호를 해독하고 데이터 손실 없이 WIP 이전 상태로 되돌릴 수 있습니다. 그러나 WIP를 끄지 않는 것이 좋습니다. WIP를 끄는 경우 언제든지 다시 켤 수 있지만 암호 해독 및 정책 정보가 자동으로 다시 적용되지 않습니다.

다음 단계

기업에서 WIP 사용을 결정한 후에는 다음을 수행해야 합니다.

참고

이 항목을 개선할 수 있도록 편집 내용, 추가 내용 및 피드백을 제공해 주세요. 이 항목에 참여하는 방법에 대한 자세한 내용은 Windows IT 전문가 설명서 편집을 참조하세요.