금융회사에서 Teams를 쓰고 싶다고?
재고하고 또 재고하라
재고하길 바란다.
팀즈는 알다시피 MS의 SaaS 서비스다. SaaS는 현행 법령해석으로도 클라우드 이용에 무리가 있다. 컴플라이언스적인 부분을 차치하고서라도, Teams는 도메인 기반으로 통신하기 때문에 가장 먼저 금융회사에서 운영하는 방화벽이나 프록시에서 와일드카드를 지원해줘야 한다. (FQDN, PQDN 개념)
다른 SaaS도 도메인 기반으로 통신할 거다.
저희 방화벽은 지원 안 해요.
IP, Port만 열면 안 되나요?
안된다. *.teams.microsoft.com, *.lync.com 등등 이런 것들을 다 열어줘야 한다. IP 없이 도메인 정보만 존재하는 경우도 있기 때문에 만약 열어주지 않으면 서비스가 원활하게 안될 수 있다. (MS URL 및 IP주소 링크)
각 도메인별로, IP대역별로 어떤 서비스를 위해 열어줘야 하는지 구체적으로 설명해주진 않는다. 단순히 어떤 서비스를 위해 열어야 하는지 정도만 나와있다. (MS의 보안인가 보다.)
Teams 관련된 것만 열어주면요?
마찬가지로 서비스 운영을 장담하지 못한다. Teams에서 파일을 공유하게 되면 SharePoint, OneDrive에 저장되기 때문이다. 그렇다면 Teams, SharePoint, OneDrive만 열어주면 되는 것 아니냐라고 질문을 할 수 있겠지만, 필자도 동일하게 MSP에게 물어봤으나 서비스가 중간중간 안될 수 있다고 한다.
MS도 주기적으로 URL에 해당하는 IP대역을 변경하는 등 보안에 신경 쓰고 있기 때문에 초반에만 URL, IP, Port 딱 오픈하고 끝.... 이 아니란 얘기다. 물론 MS에서 사전에 공지를 하겠지만 MS에 맞춰 금융회사도 주기적으로 방화벽, 프록시 등 보안장비에서 변경 작업을 해줘야 한다.
금융보안 담당자라면 이 글을 본다면 이런 질문을 할 것이다.
SharePoint, OneDrive 저장된다고?
개인정보문서 암호화는?
그렇다. 암호화가 문제다. MS에서 자체적으로 스토리지 암호화를 하여 MS에 저장되는 data는 암호화되어 저장된다고 한다. 하지만 유출 시 암호화되어 유출되진 않는다고 한다. (뭔 소린지 필자도 모르겠다ㅋㅋㅋ)
아무튼, 추가적인 대안이 필요한 상황이다. 금융회사에서 사용하는 DRM을 풀지 않고 Teams에 업로드하면 MS Azure가 해킹당해 파일이 유출돼도 내용을 보지 못하지만, Teams에서 파일을 열어본다거나 협업에 불편함이 있을 것이다.
MS 서비스 중엔 AIP라고 Azure Information Protection인 놈이 있다. MS의 DRM이라고 생각하면 쉽다. 클라우드에 저장 시 암호화를 해준다 (민감도를 설정해준다.라고 표현하더라)
개인정보문서만 골라서 AIP 암호화를 하고 싶다면 MS의 Compliance 라이선스도 추가적으로 검토해야 할 것이다.
Teams에 파일을 공유할 때 금융회사의 DRM은 해제하고 동시에 MS AIP로 암호화 처리하여 SharePoint, OneDrive에 저장하면 암호화는 유지하면서 팀즈에서 협업을 즐길 수(?) 있다.
AIP도 DRM의 성격이기 때문에 망연계나 다른 시스템을 통해 외부로 반출하는 경우 DRM, AIP 모두 풀어서 보내 줘야 하기 때문에 DRM 복호화와 AIP 복호화를 처리해주는 시스템이 존재해야 한다.
즉, Teams에 저장된 문서 (= OneDrive나 SharePoint에 AIP로 암호화된 문서)를 다운로드할 때 AIP 복호화 처리를 해줘야 한다.
외부로 반출할 때만 AIP도 복호화 처리해주면 되잖아요?
굳이 Teams에서 파일 다운로드 시
복호화 시스템이 필요한가요?
AIP는 MS DRM이기 때문에 PC에 AIP Agent가 깔려있어야 AIP 걸린 문서를 열람할 수 있다.
(오피스 2019 이상이면 Agent가 없어도 AIP문서를 열어볼 수 있으나 AIP를 해제할 수는 없다.)
AIP Agent설치 없이 오피스 2016 이하라면 AIP 걸린 문서를 열람할 수 없을 것이다. 또한 PC 내 AIP Agent를 설치하더라도 DRM, AIP 모두 존재하는 환경에선 AIP와 DRM의 경합 문제가 발생될 수 있다.
DRM이 걸린 문서를 대상으로 AIP는 추가 암호화를 적용하진 않지만, AIP가 걸린 문서는 DRM이 한번 더 암호화할 것이다. 이런 경우 AIP가 적용되어있는지, 어떤 민감도(대외비인지 등)를 갖고 있는지 확인할 수 없다.
한마디로 DRM을 두 개 동시에 운영하고 있다고 보면 된다. 이외에도 여러 이슈들이 발생할 수 있기 때문에, 하나의 DRM만 운영될 수 있도록 하는 게 가장 좋다.
이 외에도 여러 가지 체크해야 할 것들이 많다. 모바일에서 Teams 접속통제, MDM과의 경합, DRM과 AIP경합 문제 등등.. 고민을 하면 할수록 다양한 문제들이 발견될 수 있다. 하지만 MS엔 무수히 많은 서비스들이 존재하기 때문에 이렇게 다양한 문제들은 결국엔 보완될 수 있다고 생각한다. (그만큼 서비스마다 추가 비용이..)
