WIP(Windows Information Protection)를 사용하여 엔터프라이즈 데이터 보호

참고

2022년 7월부터 Microsoft는 WIP(Windows Information Protection)를 더 이상 사용하지 않습니다. Microsoft는 지원되는 Windows 버전에서 WIP를 계속 지원합니다. 새 버전의 Windows에는 WIP에 대한 새로운 기능이 포함되지 않으며 이후 버전의 Windows에서는 지원되지 않습니다. 자세한 내용은 Windows Information Protection 일몰 발표를 참조하세요.

데이터 보호 요구 사항에 따라 Microsoft Purview Information ProtectionMicrosoft Purview 데이터 손실 방지 사용하는 것이 좋습니다. Purview는 구성 설정을 간소화하고 고급 기능 집합을 제공합니다.

적용 대상:

  • Windows 10
  • Windows 11

기업에서 직원 소유 디바이스가 증가함에 따라 이메일, 소셜 미디어, 퍼블릭 클라우드와 같은 앱과 서비스를 통해 실수로 데이터가 유출될 위험이 증가하고 있습니다. 예를 들어 직원이 개인 메일 계정에서 최신 엔지니어링 사진을 보내거나, 제품 정보를 복사하여 트윗에 올리거나, 진행 중인 영업 보고서를 공용 클라우드 저장소에 저장하는 경우가 이에 해당합니다.

이전의 EDP(엔터프라이즈 데이터 보호)인 WIP(Windows Information Protection)를 사용하면 직원에게 아무런 불편을 주지 않으면서 잠재적인 데이터 누출을 방지할 수 있습니다. WIP를 사용하면 사용자 환경이나 기타 앱을 변경할 필요 없이 직원이 업무에 사용하는 기업 소유 장치 및 개인 장치에서 실수로 데이터가 누출되지 않도록 엔터프라이즈 앱 및 데이터를 보호할 수도 있습니다. 또 다른 데이터 보호 기술인 Azure Rights Management도 WIP와 함께 작동합니다. 엔터프라이즈 인식 버전의 권한 관리 메일 클라이언트에서 전자 메일 첨부 파일을 보내는 경우와 같이 디바이스를 떠나는 데이터에 대한 데이터 보호를 확장합니다.

중요

Windows Information Protection 정직한 직원의 실수로 인한 데이터 누출을 막을 수 있지만 악의적인 내부자가 엔터프라이즈 데이터를 제거하는 것을 막기 위한 것은 아닙니다. WIP에서 제공하는 이점에 대한 자세한 내용은 이 항목의 뒷부분에 있는 WIP를 사용하는 이유를 참조하세요.

비디오: 실수로 잘못된 위치에 복사되지 않도록 엔터프라이즈 데이터 보호

필수 구성 요소

엔터프라이즈에서 Windows Information Protection 실행하려면 이 소프트웨어가 필요합니다.

운영 체제 관리 솔루션
Windows 10 버전 1607 이상 Microsoft Intune

- 또는 -

Microsoft Configuration Manager

- 또는 -

현재 회사 전체의 타사 MDM(모바일 디바이스 관리) 솔루션입니다. 타사 MDM 솔루션에 대한 자세한 내용은 제품과 함께 제공된 설명서를 참조하세요. 타사 MDM에 정책에 대한 UI 지원이 없는 경우 EnterpriseDataProtection CSP 설명서를 참조하세요.

엔터프라이즈 데이터 컨트롤이란?

효과적으로 공동 작업하려면 엔터프라이즈에 있는 다른 사용자와 데이터를 공유해야 합니다. 이 공유는 모든 사람이 보안 없이 모든 항목에 액세스할 수 있는 극단적인 것일 수 있습니다. 또 다른 극단적 인 것은 사람들이 아무것도 공유 할 수 없고 모두 매우 보안이 유지되는 경우입니다. 대부분의 엔터프라이즈는 이 두 극단 사이에 있는 방법을 사용하여 필수 액세스 제공과 부적절한 데이터 공개 가능성 사이에서 균형을 맞춥니다.

관리자로서 직원 자격 증명과 같은 액세스 컨트롤을 사용하여 데이터에 액세스할 수 있는 사용자를 결정할 수 있습니다. 그러나 누군가가 데이터에 액세스할 권리가 있다고 해서 데이터가 엔터프라이즈의 보안 위치 내에 유지된다는 보장은 없습니다. 따라서 액세스 제어는 좋은 시작이며 충분하지 않습니다.

결국 이러한 모든 보안 조치에는 한 가지 공통점이 생깁니다. 즉, 직원이 그다지 오래 불편을 참지 않고 보안 제한을 회피하는 방법을 찾을 것이라는 점입니다. 예를 들어 직원이 보호된 시스템을 통해 파일을 공유하는 것을 허용하지 않는 경우 직원은 보안 제어가 부족할 가능성이 높은 외부 앱으로 전환합니다.

데이터 손실 방지 시스템 사용

이러한 보안 난이도를 해결하기 위해 회사는 데이터 손실 방지(DLP라고도 함) 시스템을 개발했습니다. 데이터 손실 방지 시스템에는 다음이 필요합니다.

  • 시스템에서 보호해야 하는 데이터를 식별하여 분류할 수 있는 방법에 대한 규칙 집합. 예를 들어, 규칙 집합에는 신용 카드 번호를 식별하는 규칙과 주민 등록 번호를 식별하는 다른 규칙이 포함될 수 있습니다.

  • 정의된 규칙과 일치하는지 확인하기 위해 회사 데이터를 스캔하는 방법. 현재 Microsoft Exchange Server와 Exchange Online에서는 이 서비스를 전송 중인 메일에 제공하는 한편 Microsoft SharePoint와 SharePoint Online에서는 문서 라이브러리에 저장된 콘텐츠에 이 서비스를 제공합니다.

  • 데이터가 규칙과 일치하면 수행되는 사항(예: 직원이 적용을 건너뛸 수 있는지 여부)을 지정하는 기능. 예를 들어 Microsoft SharePoint 및 SharePoint Online에서 Microsoft Purview 데이터 손실 방지 시스템을 사용하면 공유 데이터에 중요한 정보가 포함되어 있음을 직원에게 경고하고( 선택적 감사 로그 항목 포함) 어쨌든 공유할 수 있습니다.

안타깝게도 데이터 손실 방지 시스템은 자체적으로 문제가 있습니다. 예를 들어 규칙 집합에 대한 세부 정보가 적을수록 가양성이 더 많이 생성됩니다. 이러한 동작으로 인해 직원들은 규칙이 업무 속도를 늦추고 생산성을 유지하기 위해 우회되어야 한다고 믿게 되며, 이로 인해 데이터가 잘못 차단되거나 부적절하게 해제될 수 있습니다. 또 다른 주요 문제는 데이터 손실 방지 시스템이 효율적이려면 광범위하게 구현되어야 한다는 것입니다. 예를 들어, 회사에서 메일에만 데이터 손실 방지 시스템을 사용하고 파일 공유나 문서 저장소에는 사용하지 않으면 보호되지 않는 채널을 통해 데이터가 누출되는 것을 발견할 수 있습니다. 데이터 손실 방지 시스템의 가장 큰 문제는 직원의 자연스러운 워크플로를 방해하는 혼란스런 환경을 제공한다는 것입니다. 직원이 볼 수 없고 이해할 수 없는 미묘한 규칙에 따라 다른 작업을 허용하면서 일부 작업(예: 시스템이 중요한 태그를 지정하는 첨부 파일이 있는 메시지 보내기)을 중지할 수 있습니다.

정보 권한 관리 시스템 사용

잠재적 데이터 손실 방지 시스템 문제를 해결하기 위해 회사에서는 정보 권한 관리(IRM이라고도 함) 시스템을 개발했습니다. 정보 권한 관리 시스템은 문서에 직접 보호를 포함시키므로 직원이 문서를 만들 때 적용할 보호를 직접 결정합니다. 예를 들어 직원이 조직 외부에서 문서를 공유, 인쇄, 전달하는 등의 작업을 중단하도록 선택할 수 있습니다.

보호 유형을 설정하고 나면, 권한이 있는 사용자만 열 수 있도록 한 후 호환 가능한 앱에서만 열 수 있도록 작성 앱에서 문서를 암호화합니다. 직원이 문서를 열고 나면 이제 앱에서 지정된 보호를 적용해야 합니다. 보호는 문서와 함께 이동하므로 권한이 있는 사람이 승인되지 않은 사람에게 보내는 경우 권한이 없는 사용자는 문서를 읽거나 변경할 수 없습니다. 그러나 이 기능이 효율적으로 작동하기 위해서는 정보 권한 관리 시스템에서 사용자가 서버와 클라이언트 환경 모두를 배포하고 설정해야 합니다. 또한 호환되는 클라이언트만 보호된 문서로 작업할 수 있으므로 호환되지 않는 앱을 사용하려고 하면 직원의 작업이 예기치 않게 중단될 수 있습니다.

직원이 퇴사하거나 장치 등록을 해제하면 어떻게 되나요?

마지막으로 직원이 장치를 떠나거나 등록을 취소할 때 회사에서 데이터가 유출될 위험이 있습니다. 이전에는 디바이스의 다른 개인 데이터와 함께 디바이스의 모든 회사 데이터를 지웠습니다.

WIP의 이점

Windows Information Protection 다음을 제공합니다.

  • 직원이 환경이나 앱을 전환할 필요 없이 개인 및 회사 데이터를 명확하게 구분.

  • 앱을 업데이트할 필요 없이 기존 LOB(기간 업무) 앱에 대한 추가 데이터 보호 제공.

  • 개인 데이터만 남겨두고 Intune MDM 등록 장치에서 기업 데이터를 초기화할 수 있는 기능.

  • 문제 및 수정 조치를 추적하는 데 감사 보고서 사용.

  • 기존 관리 시스템(Microsoft Intune, Microsoft Configuration Manager 또는 현재 MDM(모바일 디바이스 관리) 시스템과 통합하여 회사의 Windows Information Protection 구성, 배포 및 관리합니다.

WIP를 사용하는 이유

Windows Information Protection Windows 10 MAM(모바일 애플리케이션 관리) 메커니즘입니다. WIP는 엔터프라이즈 및 개인 디바이스(예: Intune 같은 엔터프라이즈 관리 솔루션에 등록한 후)에서 엔터프라이즈 데이터에 대한 액세스를 제거하는 기능과 함께 Windows 10 데스크톱 운영 체제의 앱 및 문서에 대한 데이터 정책 적용을 관리하는 새로운 방법을 제공합니다.

  • 데이터 정책 적용에 대한 사고 방식을 바꿉니다. 엔터프라이즈 관리자는 데이터 정책 및 데이터 액세스에 대한 규정 준수를 유지 관리해야 합니다. Windows Information Protection 직원이 디바이스를 사용하지 않는 경우에도 회사 및 직원 소유 디바이스 모두에서 엔터프라이즈를 보호하는 데 도움이 됩니다. 직원이 엔터프라이즈 보호 장치에서 콘텐츠를 만들 경우 해당 콘텐츠를 작업 문서로 저장하도록 선택할 수 있습니다. 회사 문서인 경우 로컬에서 엔터프라이즈 데이터로 유지 관리됩니다.

  • 엔터프라이즈 문서, 앱 및 암호화 모드를 관리합니다.

    • 엔터프라이즈 데이터 복사 또는 다운로드. 직원이 또는 앱이 WIP로 보호된 장치를 사용하는 동안 SharePoint, 네트워크 공유, 엔터프라이즈 웹 위치 등의 위치에서 콘텐츠를 다운로드할 때 WIP에서 장치의 데이터를 암호화합니다.

    • 보호된 앱 사용. 관리되는 앱(WIP 정책의 보호된 앱 목록에 포함된 앱)은 엔터프라이즈 데이터에 액세스할 수 있으며 허용되지 않는 엔터프라이즈 인식 또는 개인 전용 앱과 함께 사용할 때 다르게 상호 작용합니다. 예를 들어 WIP 관리가 차단으로 설정된 경우 직원은 한 보호된 앱에서 다른 보호된 앱으로 복사하여 붙여넣을 수 있지만 개인 앱에는 붙여넣을 수 없습니다. HR 담당자가 보호된 앱에서 엔터프라이즈 보호 위치인 내부 경력 웹 사이트로 작업 설명을 복사하려고 하지만 실수를 저지르고 개인 앱에 붙여넣으려고 시도합니다. 붙여넣기 작업이 실패하고 정책 제한으로 인해 앱을 붙여넣을 수 없다는 알림이 표시됩니다. 그러면 인사 담당자가 문제없이 구인 웹 사이트에 올바르게 붙여넣습니다.

    • 관리되는 앱 및 제한 사항. WIP를 통해 엔터프라이즈 데이터에 액세스하여 사용할 앱을 제어할 수 있습니다. 보호된 앱 목록에 앱을 추가한 후 앱은 엔터프라이즈 데이터로 신뢰할 수 있습니다. 이 목록에 없는 모든 앱은 WIP 관리 모드에 따라 엔터프라이즈 데이터에 액세스하지 못하도록 중지됩니다.

      개인 데이터를 건드리지 않는 기간 업무 앱을 수정하여 보호된 앱으로 나열할 필요는 없습니다. 보호된 앱 목록에 포함하기만 하면 됩니다.

    • 데이터 액세스 수준 결정. WIP를 통해 직원의 데이터 공유 작업을 차단하거나 재정의를 허용하거나 감사할 수 있습니다. 재정의를 숨기면 작업이 즉시 중지됩니다. 재정의를 허용하면 직원은 위험이 있다는 것을 인식하지만 작업을 기록하고 감사하는 동안 데이터를 계속 공유할 수 있습니다. 자동은 해당 설정을 사용하는 동안 직원이 재정의할 수 있는 작업을 중지하지 않고 작업을 기록합니다. 교육적인 조치를 취하거나 보호된 앱 목록에 추가해야 하는 앱을 찾을 수 있도록 부적절한 공유 패턴을 확인하는 데 도움이 되는 정보를 수집합니다. 감사 로그 파일 수집 방법에 대한 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법을 참조하세요.

    • 미사용 데이터 암호화. Windows Information Protection 로컬 파일 및 이동식 미디어에서 엔터프라이즈 데이터를 보호하는 데 도움이 됩니다.

      Microsoft Word와 같은 앱은 WIP와 함께 작동하여 로컬 파일과 이동식 미디어에 있는 데이터를 지속적으로 보호해 줍니다. 이 앱을 엔터프라이즈 인식 앱이라고 합니다. 예를 들어 직원이 Word WIP 암호화 콘텐츠를 열고 콘텐츠를 편집한 다음 다른 이름으로 편집된 버전을 저장하려고 하면 Word Windows Information Protection 새 문서에 자동으로 적용됩니다.

    • 공용 위치에 실수로 데이터 노출 방지. Windows Information Protection 공용 클라우드 스토리지와 같은 공용 공간에 실수로 공유되지 않도록 엔터프라이즈 데이터를 보호하는 데 도움이 됩니다. 예를 들어 Dropbox™가 보호된 앱 목록에 없는 경우 직원은 암호화된 파일을 개인 클라우드 스토리지에 동기화할 수 없습니다. 대신 직원이 Microsoft 비즈니스용 OneDrive 같은 보호된 앱 목록의 앱에 콘텐츠를 저장하는 경우 암호화된 파일은 로컬로 암호화를 유지하면서 비즈니스 클라우드에 자유롭게 동기화할 수 있습니다.

    • 이동식 미디어에 실수로 데이터가 노출되는 것을 방지. Windows Information Protection 복사하거나 이동식 미디어로 전송할 때 엔터프라이즈 데이터가 누출되지 않도록 방지합니다. 예를 들어 직원이 개인 데이터가 있는 USB(유니버설 직렬 버스) 드라이브에 엔터프라이즈 데이터를 배치하는 경우 개인 데이터가 없는 동안 엔터프라이즈 데이터는 암호화된 상태로 유지됩니다.

  • 엔터프라이즈 보호 장치에서 엔터프라이즈 데이터 제거. Windows Information Protection 관리자에게 개인 데이터를 그대로 두면서 하나 이상의 MDM 등록 디바이스에서 엔터프라이즈 데이터를 해지할 수 있는 기능을 제공합니다. 이는 직원이 퇴사하거나 장치를 도난당한 경우의 이점입니다. 데이터 액세스 권한을 제거하기로 결정했으면 장치가 네트워크에 연결할 때 장치에 대한 사용자의 암호화 키가 해지되고 엔터프라이즈 데이터를 읽을 수 없게 되도록 Microsoft Intune을 사용하여 장치를 등록 해제할 수 있습니다.

    참고

    Surface 장치를 관리하려면 Microsoft Configuration Manager 현재 분기를 사용하는 것이 좋습니다.
    Configuration Manager 엔터프라이즈 데이터를 해지할 수도 있습니다. 그러나 장치의 공장 기본 설정으로 복원을 수행하여 그렇게 합니다.

WIP 작동 방법

Windows Information Protection 기업에서 일상적인 문제를 해결하는 데 도움이 됩니다. 예:

  • 잠글 수 없는 직원 소유의 장치에서도 엔터프라이즈 데이터 누출을 방지하도록 지원

  • 엔터프라이즈 소유 장치에서 제한적 데이터 관리 정책으로 인한 직원 수고 감소.

  • 엔터프라이즈 데이터의 소유권 및 제어를 유지 관리하도록 지원.

  • 엔터프라이즈를 인식하지 않는 앱에 대한 네트워크 및 데이터 액세스 및 데이터 공유 제어 지원

엔터프라이즈 시나리오

Windows Information Protection 현재 이러한 엔터프라이즈 시나리오를 해결합니다.

  • 직원 소유 및 회사 소유 장치에서 엔터프라이즈 데이터를 암호화할 수 있습니다.

  • 직원 소유 컴퓨터를 포함하여 관리 컴퓨터에서 개인 데이터에 영향을 주지 않고 원격으로 엔터프라이즈 데이터를 지울 수 있습니다.

  • 직원에게 명확하게 인식할 수 있는 엔터프라이즈 데이터에 액세스할 수 있는 특정 앱을 보호할 수 있습니다. 보호되지 않는 앱이 엔터프라이즈 데이터에 액세스하는 것을 중지할 수도 있습니다.

  • 그 외에도 엔터프라이즈 정책이 적용되는 동안에는 직원이 개인 앱과 엔터프라이즈 앱을 전환할 때 작업을 중단할 필요가 없습니다. 환경을 전환하거나 여러 번 로그인할 필요는 없습니다.

WIP 보호 모드

엔터프라이즈 데이터는 엔터프라이즈 원본에서 디바이스에 로드된 후 또는 직원이 데이터를 회사로 표시하는 경우 자동으로 암호화됩니다. 그런 다음 엔터프라이즈 데이터가 디스크에 기록되면 Windows Information Protection Windows 제공 EFS(암호화 파일 시스템)를 사용하여 데이터를 보호하고 엔터프라이즈 ID와 연결합니다.

Windows Information Protection 정책에는 회사 데이터에 액세스하고 처리하기 위해 보호되는 신뢰할 수 있는 앱 목록이 포함되어 있습니다. 이 앱 목록은 AppLocker 기능을 통해 구현되며, 실행할 수 있는 앱을 제어하고 앱에서 회사 데이터를 편집할 수 있음을 Windows 운영 체제에 알립니다. 이 목록에 포함된 앱은 목록에 있는 경우 Windows에서 액세스 권한을 부여할지 여부를 결정할 수 있으므로 회사 데이터를 열도록 수정할 필요가 없습니다. 그러나 Windows 10의 새로운 기능으로 앱 개발자는 새로운 API(응용 프로그램 프로그래밍 인터페이스) 집합을 사용하여 엔터프라이즈 데이터 및 개인 데이터를 모두 사용하고 편집할 수 있는 인식 앱을 만들 수 있습니다. 인식된 앱으로 작업할 때 큰 이점은 API를 통해 앱이 데이터가 엔터프라이즈 소유인지 아니면 개인 소유인지를 결정할 수 있기 때문에 Microsoft Word 같은 이중 사용 앱을 실수로 개인 데이터 암호화에 대한 우려 없이 사용할 수 있다는 것입니다.

참고

감사 로그 파일 수집 방법에 대한 자세한 내용은 WIP(Windows Information Protection) 감사 이벤트 로그를 수집하는 방법을 참조하세요.

4가지 보호 및 관리 모드 중 1가지를 사용하도록 Windows Information Protection 정책을 설정할 수 있습니다.

모드 설명
차단 Windows Information Protection 부적절한 데이터 공유 사례를 찾고 직원이 작업을 완료하지 못하도록 합니다. 여기에는 앱 간에 엔터프라이즈 데이터를 공유하거나 조직 네트워크 외부에서 공유하려는 시도 외에도 기업에서 보호하지 않는 앱에 대한 엔터프라이즈 데이터 공유가 포함될 수 있습니다.
재정의 허용 Windows Information Protection 부적절한 데이터 공유를 찾고 잠재적으로 안전하지 않은 것으로 간주되는 작업을 수행하면 직원에게 경고합니다. 그러나 이 관리 모드에서는 직원이 정책을 재정의하고 데이터를 공유하여 감사 로그에 작업을 로깅할 수 있습니다.
자동 Windows Information Protection 재정의 허용 모드에서 직원 상호 작용에 대한 메시지가 표시될 수 있는 항목을 중지하지 않고 부적절한 데이터 공유를 기록하여 자동으로 실행됩니다. 네트워크 리소스 또는 WIP로 보호된 데이터에 부적절하게 액세스하려는 앱과 같이 허용되지 않는 작업은 계속 중지됩니다.
꺼짐 Windows Information Protection 꺼져 있으며 데이터를 보호하거나 감사하는 데 도움이 되지 않습니다.

WIP를 끄면 로컬에 연결된 드라이브에서 WIP 태그가 지정된 파일의 암호를 해독하는 작업이 시도됩니다. Windows Information Protection 다시 켜면 이전 암호 해독 및 정책 정보가 자동으로 다시 적용되지 않습니다.

WIP 끄기

모든 Windows Information Protection 및 제한을 끄면 WIP에서 관리되는 모든 장치의 암호를 해독하고 데이터 손실 없이 WIP 이전 상태로 되돌릴 수 있습니다. 그러나 권장되지는 않습니다. WIP를 끄도록 선택하면 항상 다시 설정할 수 있지만 암호 해독 및 정책 정보는 자동으로 다시 적용되지 않습니다.

다음 단계

사용자 환경에서 WIP를 사용하기로 결정한 후 WIP(Windows Information Protection) 정책을 만듭니다.