10규칙 만들기 — 시나리오별 접근규칙 만들기 — 시나리오별 접근

DLP 정책은 한 번에 완성되지 않고 관찰 → 분석 → 차단 으로 무르익습니다. 휴리스틱 규칙이 잡은 사건을 감사하다 보면 조직의 필요가 보이는데, 이때 Analytical Configuration 단계로 넘어가 더 많은 Data Type을 정책에 더하고, 규칙을 Ask User 로 바꿉니다 . Ask User로 두면 사용자가 무엇이 허용되고 무엇이 안 되는지 배우 면서 자가 처리 결정과 사유를 남기고, 관리자는 Logs & Events에서 그 결정과 설명을 검토해 정확도를 끌어올립니다. 충분히 이해가 쌓이면 핵심 규칙을 Prevent 로 옮겨 본격 차단에 들어갑니다. High·Critical 심각도 규칙부터 감사하고, 사용자가 기대치를 이해하면 가장 먼저 Detect에서 Ask로 올리는 것이 좋습니다.

DLP 규칙은 Firewall 규칙과 비슷해 보여도 결이 다릅니다. Firewall 규칙이 주로 밖에서 안으로 들어오는 트래픽을 보는 반면, DLP 규칙은 안에서 밖으로 나가는 데이터를 보 고, 프로토콜·사람보다 Data Type 이 규칙의 중심 입니다. 한 규칙은 보호할 Data Type, 전송 Source(기본 My Organization), Destination(기본 Outside My Org), Protocol(기본 Any), Exceptions, Action, Tracking, Severity, Install On, Time, Category, Comment 으로 이뤄집니다.

규칙은 SmartDashboard의 DLP 탭 > Policy 에서 New Rule 로 만듭니다. 흥미롭게도 DLP 규칙은 순서가 중요하지 않 습니다 — 각 게이트웨이가 설치된 모든 규칙을 검사하기 때문입니다. Data 열에서 매칭할 Data Type을 고르는데, 한 규칙에 여러 Data Type을 넣으면 OR로 묶 여 하나만 걸려도 규칙이 매칭됩니다. Source 는 기본 My Organization을 두거나 특정 사용자·이메일·네트워크를 고르고, Destination 은 조직 밖을 보는 Outside My Org 를 두거나 특정 대상을 고릅니다.

여기서 Outside Source 와 Outside My Org 의 차이 가 중요합니다. Source가 My Organization의 일부(예: Network_A)일 때 Outside Source 는 그 Source 바깥 전부 를 뜻해 부서 간 규칙 을 만들 수 있고, Outside My Org 는 조직 전체의 바깥만 봅니다. 단 Outside Source를 쓰려면 게이트웨이가 데이터 처리 서버보다 앞에서 검사 해야 합니다(예: SMTP라면 메일 서버보다 먼저). 예컨대 재무 부서가 급여 정보를 다른 부서로 흘리지 못하게 하는 규칙이 이렇게 만들어집니다.

Action 열에서는 소개에서 본 Detect·Inform User·Ask User·Prevent와 Watermark를 고릅니다(Watermark와 정밀 조정). Identity Awareness를 켜면 access role 객체를 Source/Destination에 쓰고, FTP·HTTP 위반에도 이메일 알림을 보내며, 미인증 사용자를 Captive Portal로 보낼 수 있습니다(Identity Awareness 가이드). 규칙 세부 옵션은 분량이 크니 원문을 함께 보세요.