목차/09. Data Owner와 사용자 알림

09Data Owner와 사용자 알림Data Owner와 사용자 알림

DLP를 단순한 차단 장치가 아니라 사람이 함께 굴리는 체계 로 만드는 핵심이 Data Owner알림(notification) 입니다. 이 장은 데이터의 책임자를 정의하고, 그들과 사용자에게 어떻게 닿을지를 설계하며, 위반이 일어났을 때 무엇을 어떻게 통지하고, 그 문구를 조직 문화에 맞게 다듬고, 사용자가 스스로 사건을 처리하도록 Ask User 규칙·Self Incident-Handling Portal·이메일 회신을 구성하는 전 과정을 빠짐없이 정리합니다. 대부분의 데이터 유출은 고의가 아니라 실수 라는 전제 위에, 위반 순간의 자동 설명과 안내만으로도 단기간에 유출을 크게 줄일 수 있다는 것이 DLP의 철학입니다.

Data Owner 정의하기

Data Owner관리자나 팀장처럼 특정 데이터를 책임지는 사람 입니다. 일반 사용자보다 큰 책임을 지며, 어떤 데이터를 보호하고 어떤 데이터는 외부로 내보내도 되는지를 관리자(당신)와 미리 상의 해야 합니다. 정의는 Data Type 단위로 하며, 한 Data Type에는 필요한 만큼 여러 Data Owner를 둘 수 있습니다.

Data Owner를 정의하려면:

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭을 보여 줍니다.
  2. 탐색 트리에서 Data Types 를 클릭합니다.
  3. 목록에서 Data Type 하나를 더블클릭합니다. 해당 Data Type의 속성 창이 열립니다.
  4. Data Owners 를 클릭합니다.
  5. Add 를 클릭합니다. Add Data Owners 창이 열립니다.
  6. 이 데이터를 책임질 사용자나 그룹을 선택합니다.
  7. 필요한 만큼 Data Owner를 추가합니다.
  8. OK 를 클릭합니다.
  9. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  10. SmartConsole에서 정책을 설치(install policy)합니다.

이렇게 두면 Data Owner는 자기 데이터가 어떻게 움직이는지 자동 알림과 리포트로 적시에 받아 보게 됩니다. 이는 관리자를 경영진과 직원 사이의 난처한 위치 에서 벗어나게 해 주는 장치이기도 합니다 — 사용 문제를 데이터의 실제 책임자가 직접 다루기 때문입니다.

회사 가이드라인(Corporate Guidelines) 준비하기

DLP를 켜기 전에 사용자가 데이터 전송·보호에 관한 사내 가이드라인 을 익히도록 해 두는 것이 좋습니다. 예를 들어 회사 가이드라인은 조직이 사생활 보호법 같은 법적 기준을 준수 하고 지식 재산을 보호하도록 보장해야 합니다.

특히 직원의 이메일을 타인이 열람하지 못하도록 보호하는 법규가 있는 국가·지역 에서는 법적 문제로부터 조직을 지켜야 합니다. 대부분의 경우, "DLP 규칙을 위반한 모든 이메일은 캡처되어 검토될 수 있다" 고 사용자에게 알리는 것만으로도 법규 요건이 충족됩니다.

DLP 게이트웨이가 회사 가이드라인으로 연결되게 하려면:

  1. Security Gateway에서 $DLPDIR/config/dlp.conf 파일을 엽니다.
  2. corporate_info_link 파라미터를 찾아, 값을 회사 가이드라인의 URL(형식: http://www.example.com)로 바꿉니다.
  3. 파일을 저장하고 닫습니다.
  4. DLP 게이트웨이에 정책을 설치합니다.

Data Owner와 연결하기

첫 정책을 설치하기 전에, Data Owner들에게 이메일을 먼저 보내 협의해 두는 것이 좋습니다. 그 이메일에는 다음을 담습니다.

  • Data Owner가 데이터 보호에 대해 지는 책임 을 설명합니다.
  • 자동 알림의 예시 를 보여 주고, 사건에 어떻게 대응할지에 대한 회사 가이드라인을 함께 논의합니다.
  • 보호하고 싶은 Data Type과 예외(exception) 를 알려 달라고 요청합니다.
  • 허용하지 않을 예외를 미리 정해 둡니다. 예컨대 "누구도 보호 대상 데이터를 개인 집 이메일 주소로 보내지 않는다"는 회사 차원의 DLP 가이드라인을 만들 수 있습니다. 이런 조직 전체 가이드라인 은 어떤 Data Owner가 업무 관행상 바람직하지 않은 요청을 했을 때 충돌을 막아 줍니다 — 개인적으로 그 요청을 되돌리는 대신, 가이드라인을 가리키면 됩니다.

알림은 균형 이 중요합니다. 사건이 생길 때마다 매번 Data Owner에게 알리면 그 사람을 압도해 체계의 효과가 떨어지고, 반대로 너무 적게 알려도 안 됩니다. 알림 체계는 Data Owner가 자기 데이터에 대한 통제력을 유지 하고 유출 가능성 문제를 해결하도록 도와야 합니다.

규칙 동작별 Data Owner 알림 권장

규칙 동작Data Owner 알림 권장
Detect일반적으로 Detect 규칙은 Data Owner에게 알리지 않는 것 이 좋습니다.
Inform User때때로 Data Owner는 무엇이 나갔는지 알고 싶지만 전송을 막거나 지연시키지는 않으려 합니다. 이 사건의 알림 여부는 Data Owner의 필요에 따라 정합니다.
Ask User사건은 Self Incident-Handling Portal 에서 사용자가 직접 처리합니다. Data Owner에게 알릴지는 규칙의 심각도와 개별 Data Owner의 선호에 달려 있습니다.
Prevent전송을 즉시 차단할 만큼 심각한 규칙 이라면, 대개 Data Owner에게 알릴 만큼 중요한 사안입니다.

사용자와 연결하기

사용자가 게이트웨이로 시행되는 조직 가이드라인을 익히는 동안 , 자가 학습(self-education) 도구를 적극 활용하세요. 데이터 유출의 대다수는 의도하지 않은 것 이므로, 규칙을 어겼을 때 자동 설명·알림 만으로도 비교적 짧은 기간에 유출이 크게 줄어듭니다.

정책을 설치한 뒤에는 각 규칙의 일부로 사용자에게 가는 자동 알림 을 설정할 수 있습니다. 이는 회사 가이드라인을 강화하고, 해당 데이터와 관련해 무슨 일이 왜 일어나는지 를 사용자에게 설명해 줍니다.

사용자의 행위가 규칙에 일치하면 DLP는 연결을 자동으로 처리하고 로그를 남깁니다. 사용자에게 가는 DLP 위반 알림은 이메일이나 트레이 클라이언트(UserCheck Client)의 팝업 이며, 허용되지 않은 행위를 설명하고 회사 가이드라인과 Self Incident-Handling Portal로 가는 링크를 담을 수 있습니다. 그 밖의 동작은 일치한 규칙의 심각도와 동작에 따라 달라집니다.

규칙 동작별 사용자 커뮤니케이션 권장

규칙 동작권장 커뮤니케이션
Detect일반적으로 Detect 규칙은 사용자에게 알리지 않는 것 이 좋습니다.
Inform User전송은 그대로 통과 되지만, 이 단계의 알림은 나중에 적용될 더 엄격한 규칙에 대비 하도록 사용자를 준비시킵니다.
Ask User커뮤니케이션이 필수 인 유형입니다. 사용자가 전송을 어떻게 처리할지 결정해야 하므로, 알림에는 Portal 링크 를 넣어 적절한 처리 옵션을 수행하게 해야 합니다. 회사 가이드라인 링크 도 함께 넣어야 합니다.
Prevent이 유형의 이메일은 처리 옵션을 제공하지는 않지만 필요한 정보 는 줍니다. 사용자는 전송이 "실패"했음을 알아야 하고, 나아가 그 사건으로부터 배워 행동을 바꾸도록 해야 합니다.

Data Owner에게 알리기

DLP는 Data Owner가 책임지는 Data Type과 관련된 사건 이 일어나면 그 Data Owner에게 자동 메시지를 보낼 수 있습니다.

Data Owner 알림을 구성하려면:

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭을 보여 줍니다.
  2. 해당 Data Type의 특정 Data Owner를 다음과 같이 구성합니다.
    • a. 탐색 트리에서 Policy 를 클릭합니다.
    • b. 규칙의 Track 열을 우클릭하고 Email 을 선택합니다. Email Notification 창이 열립니다.
    • c. When data is matched, send an email to the following recipients 를 클릭합니다. Data Owners 옵션이 기본으로 선택 되어 있습니다.
    • d. 수신자를 더 넣으려면 Add 를 클릭하고 사용자를 선택합니다.
    • e. 보낼 이메일 문구를 다음 중 하나로 설정합니다.
     • 기본 문구 사용 — "The Check Point Data Loss Prevention
       system has found traffic which matches a rule".
     • Customize — 이메일 문구를 직접 입력
     
  • f. OK 를 클릭합니다.
  • Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  • SmartConsole에서 정책을 설치합니다.

사용자에게 알리기

사용자가 DLP 게이트웨이로 시행되는 조직 가이드라인을 배우는 동안, 자가 학습 도구를 활용하세요.

사용자 알림을 구성하려면:

  1. SmartConsole로 Management Server에 연결합니다.
  2. 왼쪽 탐색 패널에서 Manage & Settings 를 클릭합니다.
  3. 왼쪽 트리에서 Blades 를 클릭합니다.
  4. Data Loss Prevention 섹션에서 Configure in SmartDashboard 를 클릭합니다.
  5. Policy 를 클릭합니다.
  6. 바꿀 규칙의 Action 열을 우클릭하고 Inform User 또는 Ask User 를 선택합니다.

알림 맞춤하기

사용자에게 가는 알림은 조직 문화와 필요에 맞게 맞춤 할 수 있습니다. 이때 비인격적(impersonal)이고 비난조가 아닌(nonjudgmental) 형식을 유지하는 것이 중요합니다. 사건을 다룰 때는 다음을 지키세요.

  • 문제 자체에 집중 합니다.
  • 사용자가 앞으로의 행동을 바꾸도록 돕는 데 집중합니다.

사용자 알림에는 다음이 담깁니다.

  • (이메일인 경우) 데이터 자체를 첨부 합니다.
  • 이 사건을 빨리 처리해야 함을 알리는 제목/표제 를 답니다.
  • 데이터가 zip 파일이었다면, 이메일이 압축된 파일 목록을 나열 하고 왜 전송하면 안 되는지 설명합니다.
  • 무엇이 진행되고 있는지에 대한 설명. 예:
  The message is being held until further action.
  
  • 위반 전송을 계속(continue)·폐기(discard)·검토(review) 하도록 Self Incident-Handling Gaia Portal 로 가는 링크.
  • 회사 정보 보안 가이드라인 으로 가는 링크.
  • 규칙을 설명하는 이메일 본문 . 예:
  The attached message, sent by you, is addressed to an external
  email address. Our Data Loss Prevention system determined that
  it may contain confidential information.
  

더 많은 정보를 넣으려면 다음 필드를 추가 할 수 있습니다.

필드설명
Part name위반 데이터의 위치 — 이메일 본문(Body)이나 첨부 파일 이름
Rule name전송에 일치한 규칙의 이름
Data objects전송 중 일치한 데이터를 나타내는 Data Type의 이름

다음 필드는 Unintentional Recipient(의도하지 않은 수신자) 또는 External BCC 규칙에 일치하는 이메일에 적용됩니다.

필드설명
Internal Recipients NumberMy Organization 내부의 의도된 목적지 수
External Recipient목적지에 포함된 외부 주소(user@domain.com) 목록

Data Owner 알림 문구 맞춤하기

Data Owner에게 가는 알림 문구를 바꾸려면:

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭을 보여 줍니다.
  2. 탐색 트리에서 Policy 를 클릭합니다.
  3. 규칙의 Track 열을 우클릭하고 Email 을 선택합니다. Email 창이 열립니다.
  4. Customize 를 클릭하고 이메일 메시지 문구를 입력합니다.
  5. OK 를 클릭합니다.
  6. Save 를 클릭한 뒤 SmartDashboard를 닫습니다.
  7. SmartConsole에서 정책을 설치합니다.

자가 처리(Self-Handling) 알림 문구 맞춤하기

사용자가 사건을 처리하도록 보내는 알림 문구를 바꾸려면:

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭을 보여 줍니다.
  2. 탐색 트리에서 Policy 를 클릭합니다.
  3. 규칙의 Action 열을 우클릭하고 Edit Rule Notification 을 선택합니다.

사용자에게 알리고 데이터를 통과시키려면 동작을 Inform User 로 바꿉니다. 4. 열린 창에서 규칙에 맞게 자신의 메시지로 문구를 바꿉니다. 텍스트 또는 변수를 쓸 수 있습니다. 5. OK 를 클릭합니다. 6. Save 를 클릭한 뒤 SmartDashboard를 닫습니다. 7. SmartConsole에서 정책을 설치합니다.

Ask User 규칙 설정·관리하기

Ask User 규칙 설정하기

  1. SmartConsole에서 Security Policies > Shared Policies > DLP 를 선택하고 Open DLP Policy in SmartDashboard 를 클릭합니다. SmartDashboard가 열리며 DLP 탭을 보여 줍니다.
  2. 탐색 트리에서 Policy 를 클릭합니다.
  3. 규칙의 Action 열을 우클릭하고 Ask User 를 선택합니다.

Ask User 규칙은 사용자가 알림을 받고 메시지를 보낼지(Send) 버릴지(Discard) 선택할 수 있는 것 에 달려 있습니다. 새 Ask User 규칙이 든 정책을 설치하기 전에, DLP 게이트웨이가 Ask User 옵션을 위해 준비 되었는지 확인하세요. 4. Save 를 클릭한 뒤 SmartDashboard를 닫습니다. 5. SmartConsole에서 Install Policy 를 클릭합니다.

Ask User 규칙을 위해 Security Gateway를 준비하려면:

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블클릭합니다. Security Gateway Properties 창이 열리며 General Properties 페이지를 보여 줍니다.
  2. 탐색 트리에서 Data Loss Prevention 을 클릭합니다.
  3. DLP Portal 영역에서 Activate DLP Portal for Self Incident Handling 을 선택합니다.
  4. 탐색 트리에서 Data Loss Prevention > Mail Server 를 클릭합니다.
  5. DLP 게이트웨이가 알림 이메일을 보낼 때 사용할 메일 서버를 선택 합니다.
  6. OK 를 클릭합니다.
  7. 정책을 설치합니다.

Ask User 규칙 관리하기

사용자가 포털에서 내린 사건과 결정 을 감사(audit)할 수 있습니다. 이 정보를 보면 어떤 규칙을 더 구체적으로 만들어야 하는지, 어디에 예외가 필요한지, 규칙을 Prevent로 바꿔야 하는지 를 빠르게 파악할 수 있습니다. 포털을 쓰는 것만으로 사용자가 곧 정보 보안 전문가 가 되는 셈입니다.

이 행위를 검토하려면:

  1. SmartConsole에서 SmartConsole > SmartView Tracker 를 선택합니다.
  2. Network & Endpoint 탭에서 Predefined > Data Loss Prevention Software Blade 를 선택합니다.
  3. All 쿼리를 클릭합니다.
  4. 로그 레코드의 Action 열이 Ask User 인 항목을 클릭합니다.
  5. User Response 필드에서 사용자가 내린 결정을 봅니다.

DLP Self Incident-Handling Portal

Check Point DLP의 초점은 사용자가 직접 사건을 처리하는 것 입니다. 사용자가 외부로 내보내면 안 되는 데이터를 보내려 하면 사용자에게 알림이 가고, 이 이메일·경고에는 Self Incident-Handling Portal 로 가는 링크가 들어 있습니다. 여기서 사용자는 왜 그 이메일을 보내야 하는지 설명 하거나, 보내면 안 된다는 점을 깨닫고 폐기를 선택 할 수 있습니다.

이런 독특한 자가 학습 방식은 규칙을 의도치 않게 위반하는 데서 오는 흔한 유출 을 줄입니다. 또한 소유 비용(cost of ownership)도 낮춥니다 — 시간과 자원을 훨씬 많이 잡아먹는 외부 전문가 호출 대신, 사용자와 그 사용 패턴 분석 이 DLP 구성을 이끄는 전문가가 됩니다.

DLP Portal은 DLP Security Gateway에서 호스팅되는 웹 포털 입니다. SmartConsole 관리자가 Data Loss Prevention Wizard 에서 포털 URL을 구성하며, 기본 URL은 다음과 같습니다.

https://<IP Address of Security Gateway>/dlp

관리자는 DLP를 시행하는 Security Gateway의 Data Loss Prevention 페이지에서 이 URL을 바꿀 수 있습니다.

사용자가 보고 하는 것

데이터 전송이 알림이 딸린 규칙에 일치 하면 사용자는 Self Incident-Handling Portal 링크가 든 이메일을 받습니다. Captive Portal은 결정이 로그로 남는다 는 점을 설명합니다.

  • 사용자가 전송 계속(continue) 을 선택하면, 동작이 완료되기 전에 왜 보내야 하는지 설명 할 기회를 얻습니다.
  • 사용자가 전송 폐기(discard) 를 선택하면, DLP가 즉시 전송을 삭제합니다.
  • 사용자가 검토 후 결정 하고 싶으면, 왜 캡처되었는지 이유가 표시되고 다시 보내기·폐기 링크가 나타납니다.
  • 사용자는 포털에 로그인해 아직 처리되지 않은 모든 UserCheck 이메일 을 볼 수 있습니다. 전체를 보려면 포털의 로그인 링크를 클릭하고 인증합니다.

사용자가 Self Incident-Handling Portal에 로그인하는 방법:

  • DLP 알림 이메일의 링크를 클릭 합니다.
  • DLP Portal URL로 직접 접속 합니다. 기본 URL:
  https://<IP Address of Security Gateway>/dlp
  
  • 작업 표시줄 알림 영역의 UserCheck 에이전트 아이콘을 우클릭 하고 Review DLP notifications 를 선택합니다.

처리되지 않은 UserCheck 사건

Ask User 규칙으로 데이터가 캡처되면, 그 데이터 자체는 DLP 게이트웨이의 안전한 영역에 저장 됩니다. 사용자가 보내기·폐기를 결정할 때까지 거기 머뭅니다.

사용자가 주어진 기간 안에 결정하지 않으면 사건이 만료 되고 데이터는 자동으로 폐기됩니다. 기본 처리 시간은 7일 입니다. 사용자가 부재중이거나 다른 이유로 처리할 수 없으면 관리자가 대신 처리할 수 있습니다. 이때 관리자는 full permissions 또는 View/Release/Discard DLP messages 권한 이 있어야 합니다. 그러면 Logs & Events > Logs 보기에서 사건을 보내거나 폐기할 수 있고, 사용자에게 알림 이 갑니다.

처리되지 않은 사건이 만료되기 3일 전 에 새 알림 이메일이 사용자에게 발송됩니다. 그 뒤로는 사용자/관리자가 처리할 때까지 하루 간격으로 이메일이 갑니다.

만료된 사건은 Logs & Events > Logs 보기에 로그로 남습니다. DLP Blade > Blocked 에서 동작(Action)이 Quarantine Expired 인 항목으로 확인합니다.

이메일 회신으로 사건 처리하기

사용자가 포털에 들어가지 않고도 알림 이메일에 회신하는 것만으로 사건을 처리하게 할 수 있습니다. 이 옵션은 기본적으로 허용되지 않 습니다.

사용자가 알림 이메일에 회신하여 사건을 관리하도록 허용하려면:

  1. SmartConsole에서 Gateways & Servers 를 클릭하고 Security Gateway를 더블클릭합니다. Security Gateway Properties 창이 열리며 General Properties 페이지를 보여 줍니다.
  2. 탐색 트리에서 Data Loss Prevention 을 클릭합니다.
  3. Reply by Email 섹션에서 Allow users to manage their incidents by replying to the notification emails 를 클릭합니다.
  4. OK 를 클릭합니다.
  5. SmartConsole에서 정책을 설치합니다.

UserCheck 팝업 알림

사용자 PC에 UserCheck Client 를 구성·설치하면, 알림 영역에 팝업 알림 이 뜹니다. 이 팝업은 이메일 알림과 같은 정보 를 보여 줍니다.

사건이 Ask User 모드라면, 팝업에는 Send·Discard·Cancel 링크 가 들어 있습니다. 사용자는 DLP Portal로 가지 않고도 UserCheck에서 곧장 사건을 처리 할 수 있습니다.

사용자가 Cancel 을 클릭하면, 나중에 이메일이나 Self Incident-Handling Portal에서 사건을 처리할 수 있습니다.