로컬저장금지 정책 및 애플리케이션 카테고리 소개
로컬저장금지 정책 및 애플리케이션 카테고리 소개
DiskLock에서는 사용자 PC에서 윈도우 탐색기 드라이브 형태로 제공되는 각종 디스크를 보안상 아래의 표와
같이 안전구역과 비안전구역으로 구분하고, 각 디스크에서의 파일 입출력 작업
권한(목록보기, 읽기, 쓰기, 삭제)을 애플리케이션의 종류에 따라 차별적으로 허용/차단함으로써 로컬저장금지 정책을 구현합니다. 이때 정책 설정의 편의상 애플리케이션 카테고리를 정의하여 애플리케이션을 구분합니다.
구분 | 통제 대상 디스크 |
안전구역 | 문서중앙화 디스크, 보안디스크 (온라인, 오프라인, 반출) |
비안전구역 | 고정디스크, CD-ROM, 네트워크 디스크, 이동식 디스크 |
애플리케이션 카테고리 구성
애플리케이션 카테고리는 다음 예와 같이 계층적으로 구성되며, 애플리케이션의 작업 권한은 트리의
모든 레벨에서 설정 가능합니다. 트리의 최상위 레벨은 대표적으로 아래 표의 4가지 카테고리로 구성됩니다.
카테고리 이름 | 구 버전 카테고리 | 설명 |
Business Applications (업무용 애플리케이션) | Read Only | 업무 시 산출물을 생성하는 애플리케이션으로, 산출물을 안전구역에만 저장하도록 안전구역에서는 모든 권한(목록보기, 읽기, 쓰기, 삭제)이 허용되나, 비안전구역에는 저장(쓰기)이 금지됨 예) MS Office, 한컴 오피스, AutoCAD 등 |
Export Applications (반출용 애플리케이션) | Application Export | 문서의 첨부와 외부 전송이 가능한 애플리케이션으로, 별도 프로세스에 따라 반출이 허용된 문서를 제외한 전체 디스크의 문서 첨부(읽기)가 금지되고, 다운로드(쓰기)는 안전구역에만 허용됨 예) Outlook, Chrome, 카카오톡, Telegram, FTP 등 |
FullAccess Applications (전체 접근 애플리케이션) | Allow Write | 시스템의 정상적인 동작을 위하여 전체 디스크(안전구역, 비안전구역)에 대한 모든 권한, 또는 위의 카테고리에 포함되지 않는 특별한 유형의 권한이 필요한 애플리케이션 예) 윈도우 탐색기, 개발툴, 압축툴 등 |
미분류 | 미분류 | 상기 카테고리에 등록할 대상이 아닌 애플리케이션으로, 비안전구역에서는 모든 권한이 허용되나 보안을 강화하는 경우에는 안전구역에서의 모든 권한이 금지되기도 함 |
이전 버전의 문서중앙화 시스템 설치 시 기본적으로 다음의 5가지 애플리케이션 카테고리가 생성됩니다.
- Allow Write: 신 버전의 FullAccess Applications에 해당합니다.
- Application Export: 신 버전의 Export Applications에 해당합니다.
- Read Only: 신 버전의 Business Applications에 해당합니다.
- Reject All: 악성 코드나 랜섬웨어와 같은 애플리케이션으로, 전체 디스크에 대한 모든 권한이 금지됩니다. 신 버전에서는 더 이상 사용되지 않습니다.
- 미분류: 신 버전과 동일합니다.
업무용 카테고리로 분류되는 애플리케이션은 오피스 프로그램이나 문서 편집기, CAD 프로그램, 디자인
툴 등 업무에 핵심적으로 이용되는 애플리케이션으로, 대표적인 예는 다음과 같습니다.
프로그램 이름 | 카테고리 경로 |
MS Word(winword.exe) | Business Applications > Productivity >
Word Processing > MS Word |
MS Excel(excel.exe) | Business Applications > Productivity > Spreadsheets
> MS Excel |
MS Powerpoint (powerpnt.exe) | Business Applications > Productivity >
Presentation > MS Powerpoint |
메모장(notepad.exe) | Business Applications > Productivity >
Word Processing > Other Editors |
AutoCAD(acad.exe) | Business Applications > Productivity > Graphics > AutoCAD > AutoCAD버전 |
Adobe Photoshop(photoshop.exe) | Business Applications > Productivity > Graphics > Adobe > PhotoShop |
Export Applications
반출용 카테고리로 분류되는 애플리케이션은 웹 브라우저, 이메일, 메신저, FTP 등 문서의 외부 반출이 가능한 애플리케이션으로, 대표적인
예는 다음과 같습니다.
| 프로그램 이름 | 카테고리 경로 |
| Google Chrome (chrome.exe) | Export Applications > Web Browsers > Chrome |
| MS Edge (msedge.exe) | Export Applications > Web Browsers > MSEdge |
| Filezilla (filezilla.exe) | Export Applications > FTP > Filezilla |
| 카카오톡 (KakaoTalk.exe) | Export Applications > Instant Messaging > KakaoTalk |
| MS Outlook (OUTLOOK.EXE) | Export Applications > Email > MS Outlook |
FullAccess Applications
윈도우 탐색기와 같이
전체 접근 권한이 필요한 애플리케이션 외에도 Business또는
Export 카테고리의 애플리케이션과 달리 프로그램 각각의 특성에 맞게 개별적인 권한 설정이 필요한 경우 FullAccess(전체 접근) 카테고리로 분류합니다. FullAccess Applications의 경우 최상위 카테고리 그룹에 대한 정책 설정 없이, 하위 카테고리에 대해서만 정책을 설정합니다. 다음은 FullAccess 카테고리에 속하는 대표적인 애플리케이션과 권한 설정에 대한 예시입니다.
프로그램 종류 | 카테고리 경로 | 설정 권한 |
윈도우 탐색기 (explorer.exe) | FullAccess
Applications > System > Operating Systems >Windows Explorer | 전체 디스크에
대해 모든 권한 허용 |
개발툴 (Visual Studio Builder, Android Builder 등) | FullAccess
Applications > Productivity > Software Development > {프로그램 이름} | 프로그램
성격에 따라 개별적으로 디스크별 권한 설정 |
압축툴 (WinZip, 알집 등) | FullAccess
Applications > System > Miscellaneous Utilities > Compress >{프로그램 이름} | 중앙문서함과
로컬디스크 구분없이 외부 압축툴 사용이 요구되는 경우, 전체 디스크에 대해 모든 권한 허용 |
외부 압축툴에 대한 전체 접근 권한 허용은 반드시 요구되는 경우에만 사용해야 하며 보안상 권장하지
않습니다. 안전구역 문서의 압축 시에는 솔루션의 압축 기능 사용을 권장합니다.
윈도우 탐색기에 전체 접근 권한을 부여함으로써 발생할 수 있는 정보 유출 가능성을 제한하기 위하여 윈도우 탐색기에 대해서는 서로 다른 유형의 디스크(예: 문서중앙화 디스크, 고정디스크, 이동식 디스크 등) 간 이동과 복사를 통제하는 별도 보안 정책이 추가됩니다. 자세한 사항은 탐색기 복사/이동 정책 소개를 참고하세요.로컬저장금지 정책의 종류
로컬저장금지는 기본적으로
다음과 같은 두 가지 수준의 정책으로 구현할 수 있습니다.
- 중앙 저장 유도 정책 (Central Storage Induction Policy) : Business Applications의 경우 안전구역에만 저장이 가능하도록 하여 문서중앙화를 유도하는 정책으로, Business와 Export카테고리로 분류되지 않은 애플리케이션에 대해서는 별도의 제한 없이 모든 권한을 허용하게 되므로 내부 사용자에 의한 정보 유출 가능성을 배제할 수 없음
- 중앙 접근 통제 정책 (Central Access Control Policy) : Business Applications에 대해 안전구역에만 저장이 가능하도록 하여 문서중앙화를 유도할 뿐 아니라, 업무에 필요한 프로그램(Business Applications 및 FullAccess Applications) 외에는 안전구역에 접근할 수 없도록 함으로써 내부 사용자에 의한 정보 유출 가능성을 차단하는 정책
각 정책에서의 애플리케이션
카테고리별 디스크 접근 권한은 다음과 같습니다.
카테고리 | 중앙 저장 유도 정책 | 중앙 접근 통제 정책 |
Business Applications | 비안전구역에 쓰기 금지 안전구역에 대한 모든 권한 허용 | |
Export Applications | DOC_EXPORT 폴더를 제외한 전체 디스크의 문서 첨부(읽기) 금지 비안전구역에 다운로드(쓰기) 금지 | |
FullAccess Applications | 전체 디스크에
대한 모든 권한 허용 | 윈도우
탐색기의 경우 전체 디스크에 대한 모든 권한 허용 특별한 권한이 필요한 애플리케이션에 대해 개별적인 권한 설정 |
미분류 | 전체 디스크에 대한 모든 권한 허용 | 안전구역에서의 읽기/쓰기/삭제 금지 |
Export Applications의 경우, 사내
주요 문서가 로컬디스크(비안전구역)에 남아있을 수 있으므로
안전구역 뿐 아니라 비안전구역의 문서까지도 첨부(읽기)를
금지합니다. 단, 반출이 승인된 문서가 저장되는 DOC_EXPORT 폴더(문서중앙화 디스크 내)에
대해서는 모든 권한을 허용하여, 이 카테고리의 애플리케이션을 이용해 반출 문서를 첨부하고 외부로 전송할
수 있도록 합니다.
로컬저장금지 정책은 아래
그림과 같이 한 개 이상의 정책 아이템의 계층 구조로 이루어집니다. 각각의 정책 아이템은 특정 애플리케이션
카테고리에 대해 허용(또는 차단)할 디스크 접근 권한을 정의한
것으로 주요 설정 항목은 다음과 같습니다.
- 애플리케이션 카테고리: 권한이 적용될 애플리케이션 카테고리 경로
- 통제 권한: 목록보기, 읽기, 쓰기, 삭제 중 허용(또는 차단)할 권한 선택
- 대상 파일: 권한이 적용될 대상 디스크 종류를 선택하고 필요 시 파일 경로, 파일 종류 등 설정
최하단의
기본 정책 아이템을 기초로, 하위 정책 아이템에 대한 예외 규정이 되는 정책 아이템이 상단에 순차적으로
덧붙여지는 방식으로 정책이 구성되며, 정책 아이템이 상단에 위치할수록 우선 순위를 가집니다.
예시 ) Export Applications 카테고리의 애플리케이션에게 문서중앙화 디스크 내
<EXPORT_FOLDER> (예: DOC_EXPORT 폴더 등)에 위치한 파일에 대한 목록보기, 읽기, 쓰기, 삭제 권한를 허용하는 정책 아이템
이러한 방식으로 다음과
같이 정책 아이템을 구성하여 로컬저장금지 기본 정책들을 구현할 수 있습니다.
중앙 저장 유도 정책
① 모든 Applications에 대해 전체 접근 허용
모든 애플리케이션에 대해
전체 디스크에 접근하는 모든 권한을 허용하는 정책 아이템으로, 상위 정책 아이템에서 별도로 권한이 설정되지
않는 애플리케이션에 대해 전체 접근 권한이 허용되도록 반드시 포함되어야 하는 기본 아이템입니다. 중앙
저장 유도 정책에서의 경우, Business와 Export 카테고리에
속하지 않는 모든 애플리케이션은 본 정책 아이템에 따라 비안전구역과 안전구역의 전 영역에서 읽고 쓸 수 있습니다.
② Business Applications의 비안전구역 쓰기 금지
Business
Applications카테고리의 경우 안전구역에만 저장(쓰기)이 가능하도록, 비안전구역 디스크를 대상으로 한 쓰기 권한을 차단합니다.
③ Export Applications의 전체 디스크 첨부/다운로드 금지
④ Export Applications의 안전구역 다운로드 허용
⑤ Export Applications의 DOC_EXPORT 폴더 첨부 허용
③ ~ ⑤의 정책 아이템을 순차적으로 적용하면, Export Applications 카테고리의 경우 DOC_EXPORT 폴더를 제외한 전체 디스크에 대한 읽기(첨부) 권한이 차단되고, 쓰기(다운로드) 권한은 안전구역에 대해서만 허용됩니다.
⑥ 고정디스크 접근이 제한된 애플리케이션 구동을 위한 예외 정책 아이템들
대부분의 애플리케이션은
고정디스크의 특정 영역에 대해 파일 입출력이 가능해야 프로그램이 구동될 수 있으나, 위의 하위 정책
아이템들에 의해 고정디스크 전 영역에 대해서 Business Applications의 쓰기가 금지되고(②번 아이템), Export Applications의 읽기, 쓰기가 금지됩니다(③번 아이템).
따라서, Business와 Export 카테고리 애플리케이션의 경우, 고정디스크의 특정 영역(일부 폴더 또는 파일 그룹)에 대해 읽기, 쓰기가 가능하도록 예외 규정을 정의하는 정책 아이템들이
필요합니다. 본 영역에는 이러한 예외 정책 아이템들이 위치합니다.
다음은 MS Excel 애플리케이션에 대해 고정디스크 특정 파일 경로의 *.dat 파일에
대한 모든 입출력 권한을 허용하는 정책 아이템의 예시입니다.
중앙 접근 통제 정책
위의 ①~②, ⑥~⑨ 아이템은 중앙 저장 유도 정책에서와 동일하며, ③~⑤ 아이템이 추가 삽입되어 업무에 필요한 애플리케이션
외 모든 애플리케이션의 안전구역 접근을 차단합니다.
③ 모든 Applications의 안전구역 읽기, 쓰기 금지
모든 애플리케이션에 대해
안전구역에서의 읽기, 쓰기 권한을 차단하는 정책 아이템으로, 상위
정책 아이템에서 별도로 권한이 허용되지 않는 애플리케이션에 대해 안전구역에서의 읽기, 쓰기가 거부되도록
반드시 포함되어야 합니다.
④ Business Applications의
안전구역 읽기, 쓰기 허용
위 정책 아이템에 예외적으로 Business Applications 카테고리에 대해서는 안전구역에서의 모든 권한을 허용합니다.
⑤ 윈도우 탐색기의 안전구역 읽기, 쓰기 허용
안전구역에서 윈도우 탐색기가 정상적으로 동작하도록 ③번 아이템에 예외적으로
윈도우탐색기에 대해 안전구역에서의 모든 권한을 허용합니다.
중앙 접근 통제 정책에서는 미분류 애플리케이션의 안전구역 접근이 차단되므로, 별도로 권한이 설정되는 FullAccesss Applications외에
안전구역에 입출력이 필요한 업무용 애플리케이션인 경우 반드시 Business Applications 카테고리에
등록해야 합니다.
Related Articles
화면 캡처 금지 정책 관리하기
화면 캡처 금지 정책 관리하기 관리자는 화면 캡처 금지 정책을 설정하여 화면 캡처를 금지할 애플리케이션(예: MS Word)을 등록할 수 있습니다. 캡처 금지된 애플리케이션이 활성화된 상태에서 화면 캡처를 시도할 경우, 해당 애플리케이션 영역이 캡처 화면에서 제외되어 화면 유출을 막을 수 있습니다. 화면 캡처 금지 정책 생성하기 1. 윈도우 보안 모듈 관리 -DiskLock Plus -화면 캡처 금지 -정책 관리를 클릭합니다. 2. 정책목록에서 ...DiskLock 콘솔 - 로컬저장금지 정책 관리하기
DiskLock 콘솔 - 로컬저장금지 정책 관리하기 DiskLock 콘솔에서 로컬저장금지 정책 생성 및 편집하기 DiskLock 콘솔의 로컬저장금지 정책 관리 화면 살펴보기 DiskLock 콘솔 화면의 메뉴에서 로컬저장금지 정책 – 정책 관리 메뉴를 선택하면 다음과 같이 로컬저장금지 정책을 설정하는 화면이 표시됩니다. 설정 화면에서 정책을 관리할 때 사용되는 부분은 정책 목록과 왼쪽 상단에 있는 도구모음입니다. 로컬저장금지 정책 목록 현재 ...DiskLock 기능 소개
DiskLock 기능 소개DiskLock은 로컬디스크 내 문서 저장을 금지하고, 문서 첨부 및 전송에 따른 외부로의 문서 유출을 차단하는 문서중앙화의 핵심 기능입니다. 기업 정보의 외부 유출 가능성을 차단하고 모니터하되 업무 환경과 성능에는 제약이 없도록, 로컬디스크로의 파일 복사/이동 및 저장 금지, 파일 첨부 금지, 파일수집 기능 외에 문서 반출 프로세스 및 보안디스크 기능 등을 제공합니다. 이때 사용자 PC에서 윈도우 탐색기 드라이브 ...애플리케이션 카테고리 자동등록 설정하기
애플리케이션 카테고리 자동등록 설정하기 애플리케이션 등록 시 조건에 따라 특정 카테고리로 자동 분류되도록 설정할 수 있습니다. 윈도우 보안 모듈 관리 - DiskLock - 로컬저장금지 - 애플리케이션 카테고리 자동등록 메뉴에서 자동분류 설정을 추가, 조회, 변경, 삭제하고, 설정 내용을 즉시 실행할 수 있습니다. 자동분류 추가하기 새로운 자동분류 설정을 등록하는 방법은 다음과 같습니다. 1. 애플리케이션 카테고리 자동등록 페이지 우측의 추가 ...로컬저장금지 및 탐색기 복사/이동 정책 수정 이력 보기
로컬저장금지 및 탐색기 복사/이동 정책 수정 이력 보기 로컬저장금지 정책, 정책 아이템과 탐색기 복사/이동 정책의 생성, 변경, 삭제, 이름 변경 등의 작업 이력을 기간, 항목, 작업 종류, 정책 이름, 관리자 ID별로 검색하여 확인할 수 있습니다. 1. PC 보안 모듈 관리 - DiskLock - 로컬저장금지 - 정책 수정 이력을 클릭합니다. 2. 조회를 원하는 수정 기간, 수정 항목, 작업 종류를 선택합니다. 수정 항목 - 정책: ...