금융회사의 정보보안을 담당하다 보면 업무 PC의 보안설정에 대해서 관리해야 하는 일이 반드시 생긴다.
예를 들면 아래와 같은 설정이다.
1. 윈도우 업데이트 설정
2. 윈도우 암호 복잡도 설정
3. 화면보호기 설정
4. 비트락커 설정
5. 기타 등등
이러한 설정들을 어떻게 통제할지 고민을 하다 보면 AD(Active Directory)라는 개념도 마주하게 될 것이다. AD란 간단하게 설명하자면 윈도우의 정책을 모아두고 있는 DB라고 생각하면 된다. 업무 PC들이 이 DB로부터 설정값(윈도우 암호 복잡도 등)을 받아와서 적용되는 걸로 이해하면 쉽다.
또한 AD는 MS에서 개발한 서비스로 윈도우 환경을 표준화하고 관리하기에 편하다. (AD개념 링크)
그럼 업무 PC 통제하려면
AD 사용하는 게 최고인가요?
꼭 그렇진 않다. 먼저 통제 목적으로 AD를 사용하려면 업무 PC에서 도메인 조인이라는 작업을 진행해야 한다. 업무 PC를 AD에 연결하는 작업으로 이해하면 되는데 여러 가지 작업을 거쳐야 한다.
업무 PC의 사용자 계정을 새로 만들고, 기존에 쓰던 계정의 프로필(바탕화면, 즐겨찾기 등)을 옮겨주고, DNS 설정 변경 등..
계정의 프로필을 옮기고, 도메인 조인을 하고 이러한 작업을 '이행'이라고 표현한다.
IT전공이 아닌 일반 임직원이 수행하기란 쉽지 않다. 그래서 '이행도구'를 이용해서 임직원이 직접 AD와 조인하도록 하는데, 이 도구 또한 비용이 들어가게 된다.
직접 사람이 출장나가서 작업하는 게 더 저렴할 수 도 있다.
AD를 조인하더라도 제한적인 사항이 있다. 필자는 비트락커와 보안정책을 중점으로 검토했으나, AD를 사용해본 적 없는 필자의 큰 그림(?)엔 추가 서비스가 더 필요했다. MBAM, SCCM 등 추가 서비스엔 추가 비용이 들어간다.
망분리 예외시 관리자 권한을 제거해야 하는데,
이때 AD가 필요한 거 아닌가요?
일단 관리자 권한 제거에 반드시 AD가 필요한 건 아니다. 일반적으로 업무 PC의 도메인 계정을 일반 유저 계정으로 생성하여 도메인 조인을 진행하고, 관리자 권한이 필요한 SW는 PC권한솔루션으로 권한을 상승(관리자 권한)시켜 돌아가게 해 준다.
도메인 조인 없이 이행도구를 활용하면 된다. 이행도구를 커스텀해야 하기 때문에 이행도구를 공급해주는 업체의 도움이 필요하다.
업체 도움을 받을 수 없어도 이행은 가능하다. migwiz와 같이 데이터를 옮길 수 있는 툴이 있다. Win 10에서는 migwiz지원이 안될 것이다. OneDrive를 쓰라는 MS의 큰 그림일지도..
먼저 새로운 유저 계정을 생성하고 이행도구를 통해 기존 관리자 계정의 프로필을 옮긴다. 바탕화면의 데이터가 많을수록 옮기는 시간이 오래 걸릴 것이다.(1시간 정도?)
프로필을 옮겼다면 새로 만든 유저 계정에서 관리자 권한을 제거하고, 기존 관리자 계정의 비밀번호를 사용자가 알 수 없게 변경 처리한다. 이후에 관리자 권한이 필요한 SW는 PC권한솔루션으로 상승시키게 정책을 내려주면 끝난다.
이미 금융회사에서 PC 보안을 도입해서 사용하고 있다면 큰 효과는 없다. 윈도우 비밀번호 설정, 화면보호기 설정 등 PC의 보안설정은 대부분 PC보안솔루션으로 커버가 가능하다. 오히려 솔루션에서 더 섬세하게 컨트롤이 가능하다. 또한 NAC을 통해 여러 솔루션의 SSO연동까지 가능하니 AD 도메인 조인의 매력은 점점 떨어진다.
예시 1) 특정 기간에 특정 USB 읽기 허용, 특정 부서 오후 6시 PC OFF 등.
예시 2) NAC로그인 시 DRM 자동 로그인 등.
AD도입 자체가 그리 작은 프로젝트는 아니다. 전체 임직원의 PC를 대상으로 수행해야 하고, AD환경에서 기존에 사용하고 있던 SW의 영향 파악 등 부수적으로 검토하고 비용이 드는 경우가 많기 때문이다.
(현재 필자가 다니는 회사 환경에서 AD도입은 의미 없다고 MS 파트너사를 통해서도 전달받았다.)