이번 원드라이브 동기화 변경 사항이 적용되면 기업 사용자는 업무용 기기에서 개인 및 기업 원드라이브 계정을 모두 쉽게 동기화할 수 있게 된다. 그러나 사이버보안 관리자 입장에서는 보안과 IT 문제가 발생할 수 있기 때문에 동기화가 쉬워지는 것이 달갑지 않을 것이다.
이 기능은 원래 5월 11일에 출시될 예정이었지만, 6월로 출시가 연기됐다. 마이크로소프트는 출시 연기에 대해 즉시 설명하지 않았다. 여러 링크드인 및 기타 소셜 미디어 플랫폼에서 IT 및 보안 전문가는 새 기능을 두고 심각한 우려를 표명했다.
마이크로소프트의 의도는 명백하다. 직장에서 약간의 개인적인 활동을 하고 싶어하는 기업 직원을 지원해 일과 삶의 균형을 약간 개선하려는 것이다. 그러나 IT 책임자는 직원의 의료 기록, 세금 문서, 그리고 개인적인 사진과 동영상이 기업 시스템에 저장되는 것을 반가워하지 않는다.
데이터 흐름이 역전될 경우 문제는 더욱 심각해질 수 있다. 개인 및 기업 데이터 세트가 동기화되면 누군가가 실수로 민감한 기업 파일을 개인 원드라이브에 저장하고, 이 파일이 다시 개인 컴퓨터에 저장될 수도 있다.
사실 쉽게 비활성화할 수 있기는 해도 이 기능은 기본적으로 활성화되어 있다.
마이크로소프트의 새로운 기능에 대한 공식 설명은 다음과 같다. “이 기능을 사용하면 윈도우의 원드라이브 동기화 클라이언트가 비즈니스 기기와 연결된 알려진 마이크로소프트 개인 계정을 감지하고 사용자에게 개인 원드라이브 파일을 동기화할지 묻는 메시지를 표시한다. 사용자가 메시지를 수락하면 개인 파일이 업무 파일과 함께 동기화되기 시작한다. 이 기능을 기본적으로 사용하려면 별도로 설정할 필요가 없다. 관리자는 DisableNewAccountDetection 또는 DisablePersonalSync 정책을 사용해 이 기능을 억제하거나 비활성화할 수 있다.”
데이터 유출 위험
IDC 연구 디렉터 제니퍼 글렌은 “실제로 데이터 유출이 더 쉬워질 것이다. 동기화만으로 기업 정보가 개인 계정에 저장된다면, 내부자 위험 문제나 우려가 악화된다”라고 말했다. 또한, 이제 기업 비밀, 지적 재산권, 고객이나 다른 직원의 민감한 정보가 포함될 수 있다며 데이터 유출 상황 뿐만 아니라 준수 및/또는 개인정보 보호 위반 가능성도 있다고 언급했다. 설정을 조정해 이를 방지할 수 있지만, 데이터 분류 및 정책 조정이 항상 완벽하지 않기 때문에 여전히 취약점이 존재할 가능성이 있다는 의견이다.
글렌은 개인 드라이브에 여권 사본이나 처방전 목록이 포함된 PDF 파일이 저장되어 있고, 이 파일이 기업 드라이브와 동기화되었다고 가정해 보자고 말했다. 이제 이 정보는 기술적으로 기업 IT/보안 팀의 관리 범위에 속하게 된다. 보안 팀이 보호할 필요도 없고 원하지도 않는 추가 데이터가 생기는 것이다. 이미 보호해야 할 데이터가 너무 많은데도 말이다. 또한 기업의 데이터 접근 통제가 충분하지 않을 경우 개인정보 침해, 즉 법적 책임의 가능성이 있다. 글렌은 적절한 데이터 접근 통제는 지속적으로 개선해야 하는 작업이라고 말했다.
보안 컨설턴트들은 더 직설적으로 표현했다.
온라인 비즈니스 시스템의 보안 위험 평가 컨설턴트 조던 와이즈먼은 “미리 알리지 않고 이 설정을 기본값으로 설정하면 많은 관리자가 화를 낼 것이다. 마이크로소프트는 이런 일을 잘 하는 기업”이라고 비난했다.
규정 준수 악몽, 곧 시작될 것
준수 자동화 플랫폼을 판매하는 토론토에 본사를 둔 AI 기업 이지 오딧(Easy Audit)의 CEO 크리스티언 쿠리도 마이크로소프트의 업데이트에 문제가 많다고 말했다.
쿠리에 따르면 새로운 설정은 규정 준수 면에서 악몽이 될 가능성이 높다. 개인 데이터와 기업 데이터의 경계가 모호해지면서, 기업이 시행하는 모든 DLP 정책과 액세스 제어를 무력화시키기 때문이다. 쿠리는 초기 단계의 SaaS 신생업체가 기업 데이터를 깨끗하게 유지하고 규정을 준수하는 것이 얼마나 어려운지 직접 목격했다며, 이러한 혼란을 해결할 자원이 부족한 환경이 많을 것이라고 지적했다. 또한, 이제 원드라이브로 인해 기업 IP가 누군가의 개인 드롭박스나 아이클라우드로 유출될 통로가 열린 것이나 다름 없다며, 고객 데이터가 유출되지 않았다고 감사관에게 증명하기가 쉽지 않을 것이라고 우려했다.
쿠리는 이 기능이 기본 활성화한 된 점에도 매우 불만을 나타냈다. 피해가 발생하기 전에 기능을 발견하고 차단해야 하는 부담이 보안 팀에 전가될 텐데, 대부분은 제때에 발견하지 못할 것이기 때문이다.
마이크로소프트는 인터뷰 요청을 거절했다. 마이크로소프트 관계자는 성명서를 이메일로 보내겠다고 약속했지만, 기사 발행 시점까지는 이메일이 도착하지 않았다.
문제를 해결할 수 있는 정책이나 도구는 마이크로소프트 인튠 등 다양하다. 그러나 환경이 충분히 관리되지 않으면 동기화 옵션이 상황을 더 악화시킬 수 있다.
가트너의 연구 부사장 데니스 쉬는 이미 일반적인 기업 위협 환경에서 이러한 변경으로 인해 발생하는 데이터 문제가 상당 부분 존재한다고 말했다.
쉬는 관리자가 “새로운 기능을 주시하되 우선은 새 기능을 계속 비활성화해야 한다”라고 말했지만, 일반적인 기업의 위험 노출을 의미 있게 증가시키지는 않을 것이라고 예상했다. 개인 파일을 기업 노트북으로 가져올 수 있는 방법이 이미 너무 많기 때문이다.
쉬는 마이크로소프트의 변경 사항이 ‘즉각적인 노출’을 초래하지는 않을 것이라고 보지만 사용자가 사용 중인 로컬 원드라이브 동기화 폴더에 주의를 기울이지 않으면 기업 파일이 클라우드의 개인 원드라이브 계정으로 이동될 가능성이 높아진다고 덧붙였다.
직원에게도 위험
머큐리 리스크의 CISO 매튜 로젠퀴스트는 많은 직원이 개인 데이터를 고용주의 환경으로 가져올 때 자신이 감수하는 위험을 인식하지 못한다고 말했다.
로젠퀴스트는 “직원이 업무 시스템에 가져온 모든 것은 기업이 원하는 대로 사용할 수 있는 대상이 된다”라고 설명했다.
또한 “직원 승진 여부 같은 비즈니스 결정에 접근 권한을 부여하는 것과 마찬가지다. 만약 데이터가 유출된다면, 개인 기록도 유출된다”라고 덧붙였다.
로젠퀴스트는 또한 최종 사용자가 윈도우의 메시지를 무심코 클릭하는 경우가 많다며, 마치 아무도 읽지 않는 최종 사용자 라이선스 계약이나 마찬가지라고 말했다. 사용자는 그냥 아무 것이든 클릭하고 다음 페이지로 넘어가는 습관이 있고, 각각의 클릭이 어떤 결과를 초래할지 모르기 때문이다.
와이즈먼 역시 기업 시스템에서 공유할 특정 개인 파일만 선택하는 방법이 있지만, 전송에서 파일을 제외한다고 해서 IT 부서의 감시에서 반드시 보호되는 것은 아니라고 말했다. 와이즈먼에 따르면 원드라이브를 특정 폴더만 동기화하도록 구성하더라도 클라이언트는 동기화하지 않는 개체의 전체 이름을 열거한다. 파일 시스템에 나열하고 다운로드할 파일을 결정하는 방법이기 때문이다. 즉, 기업 기기에 개인 원드라이브의 모든 내용이 포함될 수 있다는 의미다.
이후 지난주 금요일, 마이크로소프트는 다음의 이메일 성명서를 통해 응답했다.
동일한 기기에서 개인 및 기업 원드라이브 계정을 모두 사용할 수 있는 기능은 이미 한동안 제공되어 왔다. 기업 기기에서 개인 계정을 이미 제한한 관리자는 이전과 동일하게 계속 관리할 수 있다. 이 업데이트에서는 기업 원드라이브가 설치된 기기에서 이미 개인 계정을 사용하고 있는 사용자에게 새로운 메시지가 표시되어 로그인을 요청한다. 중요한 점은 이 메시지가 개인 계정과 기업 계정 간의 파일을 자동으로 결합하거나 전송하지 않는다는 것이다. 사용자는 계정 간에 파일을 이동하거나 저장하기 위해 의도적으로 조치를 취해야 하며, 마이크로소프트는 기본적으로 도메인에 가입된 기기에서 알려진 폴더를 개인 원드라이브 계정으로 이동하는 것을 차단한다.
이 업데이트는 개인 파일을 기업 계정과 “동기화”하지 않는다. 단순히 동일한 기기에서 콘텐츠를 병합하지 않고 별도의 원드라이브 계정에 액세스할 수 있도록 하는 것이다. 받은 편지함을 결합하지 않고 한 기기에서 업무용 및 개인용 이메일을 모두 확인하는 것과 비슷하다. 기업 기기에서 개인 원드라이브 계정을 이미 비활성화한 기업은 설정에서 아무런 변화가 없을 것이다.
dl-itworldkorea@foundryco.com
Evan Schuman editor@itworld.co.kr
저작권자 Foundry & ITWorld, 무단 전재 및 재배포 금지
이 기사의 카테고리는 언론사의 분류를 따릅니다.
