본문 바로가기

STUDY/ㄴ ETC

데이터를 보호하는 10가지 방법

데이터를 보호하는 10가지 방법

우리는 운영체제와 애플리케이션을 언제나 재설치할 수 있지만 데이터는 그럴 수 없다. 그래서 데이터가 컴퓨터나 네트워크에서 가장 중요하다. 여기서 유실과 허가되지 않은 접근으로부터 데이터를 보호하는 10가지 방법을 소개한다.
곰곰이 생각해보면 컴퓨터나 네트워크에서 가장 중요한 것은 데이터를 만드는 것이다. 그것보다 먼저, 원래 데이터는 컴퓨터나 네트워크의 존재 이유이고 보안 전략을 짤 때 비트와 바이트로 이루어진 데이터를 가장 우선해야 한다. 운영체제와 애플리케이션은 언제나 재설치할 수 있지만 사용자가 만든 데이터는 그럴 수 없고 한번 유실되면 다시 주워 담을 수 없다.
어떤 데이터는 기밀이 유지돼야 한다. 데이터가 유실되길 바라지 않을 뿐만 아니라 다른 사람의 허가없이 데이터에 접근하는 것도 원하지 않는다. 주민등록번호(social security number), 신용카드, 은행 계좌 번호 등이 노출되면 다른 사람이 당신을 사칭할 수도 있다. 노출된 회사 문서에 거래 비밀, 고용원과 고객의 개인정보, 회사의 재정 보고서 등이 포함돼 있을지도 모른다.

중요한 데이터가 유실되거나 허가없이 접근하려는 것으로부터 보호하는 몇 가지 방법을 살펴보자.

1. 데이터를 일찌감치, 그리고 자주 백업하라
규칙적으로 데이터를 백업하는 것이 데이터가 유실되는 것으로부터 보호하는 가장 중요한 방법이다. '만약 시스템이 고장 나면 얼마나 많은 데이터가 유실될 것인가?'는 '얼마나 자주 백업하는가?'에 달려있다. 일주일 분량인가? 하루 분량인가? 한 시간 분량인가?  간단히 백업하려면 윈도우에 기본으로 포함된 백업도구(ntbackup.exe)를 사용할 수 있다. 마법사 모드를 사용하면 백업하고 복원하는 것을 쉽게 할 수 있고 수동으로 백업을 설정할 수도 있다. 또 자동으로 백업되도록 예약할 수도 있다. 정교하게 백업할 수 있는 서드파티의 백업 프로그램도 많이 있다. 백업 프로그램을 사용할 때마다 백업 테이프와 디스크를 원본과 함께 유실될 수 있는 화재, 폭풍 등 다른 자연 재해에 대비해 원본과 멀리 떨어진 곳에 사본을 보관하는 것도 중요하다.

2. 파일과 공유 권한 사용하라
다른 사람이 데이터에 접근하지 못하게 하려면 먼저 데이터 파일과 폴더에 권한을 설정한다. 만약 데이터가 네트워크에 공유되면 네트워크로 파일에 접근할 수 있는 계정과 접근할 수 없는 계정을 구분해서 공유권한을 설정한다. 윈도우 2000과 XP에서 파일과 폴더의 등록정보(주: 혹은 속성) 창의 공유 탭을 선택한 다음에 권한을 클릭해 설정할 수 있다. 그러나 공유 권한은 데이터가 저장된 컴퓨터를 사용하는 사람에게는 적용되지 않는다. 만약 다른 누군가와 한 컴퓨터를 같이 사용한다면 파일 권한을 사용해야 한다. 또 NTFS로 포맷된 파티션에 저장된 파일과 폴더에만 적용가능하기 때문에 NTFS 권한으로 불린다. 파일 권한은 등록정보 창의 보안 탭에서 설정할 수 있고 공유 권한보다 훨씬 정교하게 설정할 수 있다. 두 가지 모두 사용자 계정과 그룹의 권한을 설정할 수 있고 읽기전용에서부터 모든 권한까지 다양한 수준의 권한을 부여할 수 있다.
(주: 실제로 윈도우 XP에서는 원문과는 좀 다르다. 원문처럼 하는 것이 가능하긴 하지만 쉽지 않다. 파일의 경우는 아예 공유 탭이 숨겨져 있고 - 파일의 권한 및 소유자를 변경시키는 것도 숨겨져 있다 - 폴더의 경우에도 공유 탭에 권한 버튼이 없고 계정 별로 공유시키는 것도 쉽지 않다. XP에서는 보안을 위해서 게스트 계정만 네트워크를 통해 접근이 가능한 공유폴더를 만들고 실제로 공유하고자 하는 파일이나 폴더를 공유폴더 안으로 복사하는 방법이 권장된다)

3. 문서에 암호를 걸어라
MS 오피스와 어도비(Adobe) 애크로뱃(Acrobat) 같이 생산성 향상 애플리케이션에서는 문서마다 암호를 설정할 수 있다. 암호를 입력해야만 문서가 열린다. MS 워드 2003에서 문서에 암호를 걸려면 도구 | 옵션 메뉴를 클릭해 옵션 창을 열고 보안 탭을 선택, 열기 암호와 쓰기 암호를 설정할 수 있고 사용되는 암호화 알고리즘도 설정할 수 있다. 불행히, 엘콤소프트(Elcomsoft)의 AOPR(Advanced Office Password Recovery) 같이 오피스 암호를 복구하는 상용 프로그램이 있기 때문에 암호가 걸린 MS 애플리케이션의 문서는 상대적으로 취약하다. 일반적인 문에 있는 표준 자물쇠 같이 이 방법은 보통사람을 침입자로 변하게 할지도 모르지만 침입자를 판별하는 것으로 꽤 쉽게 해결할 수 있는 도구가 있다. 문서를 압축하고 암호화하기 위해서 윈집(WinZip)이나 피케이집(PkZip) 같은 압축 소프트웨어를 사용할 수도 있다.

4. EFS를 사용하라
윈도우 2000, XP 프로, 서버 2003은 EFS(Encrypting File System)를 지원한다. NTFS 파일 시스템에 있는 모든 파일과 폴더는 윈도우에 기본으로 탑재된 인증서를 사용하는 암호화 방법을 사용할 수 있다. 체크 박스에 체크하면 간단히 파일과 폴더가 암호화된다. 등록정보 창의 일반 탭에서 고급 버튼을 클릭하고 '데이터 보호를 위해 내용을 암호화'를 체크한다. 단, NTFS 압축과 EFS 암호화를 동시에 사용할 수 없다. EFS는 보안과 성능 때문에 비대칭와 대칭 암호화 방식을 둘 다 사용한다. EFS로 파일을 암호화하려면 EFS 인증서가 있어야 한다. EFS 인증서는 윈도우 인증기관에서 발급받거나 네트워크에 인증기관이 없을 때 자체적으로 만들어서 사용할 수 있다. EFS 파일은 암호화한 사용자와 복구 도구에 권한을 부여해 열 수 있다. EFS 파일에 접근할 수 있도록 다른 사용자에게 권한을 부여할 수 있는데 윈도우 XP/2003에서는 가능하지만 2000에서는 불가능하다.(주: 비대칭 암호화는 암호화하는 키와 복호화하는 키가 다른 것을, 대칭은 두 키가 같은 것을 말한다.) EFS는 디스크에 있는 데이터를 보호하는 것이다. 만약 EFS 파일을 네트워크를 통해 전송하고 누군가 스니퍼를 사용하여 데이터 패킷을 캡처한다면 데이터는 노출될 것이다.

5. 디스크 암호화를 사용해라
디스크 전체를 압축할 수 있는 제품도 있다. 사용자도 모르게 디스크의 모든 내용을 암호화한다. 디스크에 데이터가 쓰여질 때 자동으로 암호화하고 다시 메모리로 읽힐 때 자동으로 복호화한다. 파티션 안에 일종의 컨테이너를 숨기고 이 컨테이너를 숨겨진 디스크처럼 보이게 만드는 프로그램도 있다. 다른 사용자는 오직 보이는 디스크에만 저장할 수 있다. 디스크 암호화 제품은 이동 가능한 USB 드라이브를 암호화하는데 사용될 수 있다. 주 암호뿐만 아니라 다른 사용자에게 좀 더 낮은 권한을 부여하는 보조 암호도 만들 수 있는 제품도 있는데 PGP의 홀디스크 인크립션(Whole Disk Encryption)과 드라이브크립트(DriveCrypt) 등이 그렇다.

6. PKI를 사용하라
PKI(Public Key Infrastructure)는 공개 키와 개인 키 그리고 디지털 인증서를 관리하는 시스템이다. 키와 인증서는 신뢰할 수 잇는 제 3자(로컬 네트워크에 설치된 인증서버나 베리사인 같은 공개 인증기관)에게 발급받기 때문에 인증서를 사용하면 보안은 강력해진다. 수신자의 공개키로 암호화해서 공유하려는 데이터를 보호할 수 있다. 암호화하는데 사용한 공개키와 짝을 이루는 개인키의 소유자만 복호화할 수 있다.

7. 스테가노그라피를 사용해 데이터를 숨겨라
스테가노그라피(steganography) 프로그램으로 다른 데이터에 데이터를 숨길 수 있다. 예를 들어, .JPG 파일, MP3 파일, 심지어 다른 텍스트 파일에 에 메시지를 숨길 수 있다(단, 텍스트 파일에 숨기는 것은 데이터를 숨길 수 있는 곳, 데이터가 중복되는 곳이 많지 않기 때문에 어렵다). 스테가노그라피는 메시지를 암호화 하지 않기 때문에 종종 암호화 소프트웨어와 함께 사용된다. 먼저 데이터를 암호화하고 그 다음에 스테가노그라피 소프트웨어로 다른 파일에 숨긴다. 공개/개인 키 암호화 기술을 사용해 비밀키 같은 것을 교환해야 하는 스테가노그라피 기술도 있다. 많이 사용되는 스테가노그라피 소프트웨어로 스테고매직(StegoMagic)이라는 공개 프로그램(freeware)이 있고 이 프로그램은 메시지를 암호화하고 .TXT, .WAV, .BMP 파일에 숨길 수 있다.

8. IP 보안으로 전환시 데이터를 보호해라
네트워크를 모니터링하고 프로토콜을 분석하는 소프트웨어인 스니퍼로 해커가 네트워크로 전송되는 데이터를 캡처할지도 모른다. 전송 중에 데이터를 보호하기 위해 IPSec(Internet Protocol Security)을 사용할 수 있다. 단, 전송 시스템과 수신 시스템 모두 IPsec을 지원해야 한다. 윈도우 2000 이후 버전의 MS 운영체제는 IPSec를 기본으로 지원한다. 네트워킹 모델 수준에서 동작하기 때문에 애플리케이션은 IPSec을 사용하는지 알 수 없다. ESP(Encapsulating Security Payload)은 보안을 위해 IPSec에서 사용하는 데이터 암호화 규약이다. 게이트웨이 간에서는 터널 모드(tunnel mode)로 동작하고, 엔드 투 엔드에서는 전송 모드(transport mode)로 동작한다. IPSec 정책을 만들고 인증 방법과 IP 필터를 선택해야 한다. IPSec은 TCP/IP 프로토콜의 등록정보 창에서, 고급버튼을 클릭한 후 옵션 탭에서 설정한다.

9. 안전한 무선 전송을 하라
해커는 네트워크나 장비에 물리적으로 접근할 필요가 없다. 무선 AP(Access Point)에 보안이 설정되어 있지 않으면 무선 네트워크에 접속할 수 있는 노트북과 수신율을 높이기 위한 안테나를 가지고 있는 사람이 데이터를 캡처하고, 네트워크에 참여하며 데이터가 저장된 컴퓨터에 접근할 수 있다. 암호화하는 무선 네트워크에서만 데이터를 전송하거나 저장해야 한다. 되도록이면 WEP(Wired Equivalent Protocol)보다 안전한 WPA(Wi-Fi Protected Access)를 사용하는 것이 좋다.

10. 권한을 관리해 꼼꼼하게 제어하라
데이터를 전송해야 하지만 한번 다른 컴퓨터로 보낸 데이터가 보호되는지 걱정된다면 윈도우의 RMS(Rights Management Services)를 사용하여 수신자가 할 수 있는 일을 제어할 수 있다. 예를 들어, 워드 문서를 받은 수신자가 읽을 수는 있지만 수정, 복사, 저장은 할 수 없도록 권한을 설정할 수 있다. 이메일 수신자가 다른 사람에게 포워딩할 수 없도록 막을 수 있고, 심지어 특정 날자 혹은 시간에 메시지나 문서가 만료돼 그 이후로 더 이상 접근할 수 없게 설정할 수도 있다. RMS를 사용하려면 윈도우 서버 2003 서버를 RMS 서버로 설정해야 한다. RMS로 보호되는 문서에 접근하려면 인터넷 익스플로러 애드인이나 별도의 클라이언트 소프트웨어가 필요하고 권한이 부여된 사용자는 RMS 서버에서 인증서를 다운받아야 한다.

[출처] ZDNet Korea (06/04/19)