SHIELD Gate 활용 시나리오
다양한 업무 환경에서 SHIELD Gate를 어떻게 활용할 수 있는지 소개합니다.
1. VPN 대체
상황
대규모 조직의 원격 접속 환경
많은 조직이 직면한 문제:
- 모든 직원 PC에 VPN 클라이언트 설치 및 관리 부담
- 버전 업데이트, 인증서 갱신 등 지속적인 관리 필요
- VPN 연결 후 내부망 전체 접근 가능 (보안 위험)
- 동시 접속자 수 제한으로 피크 타임 접속 지연
- 암호화 오버헤드로 인한 느린 속도
SHIELD Gate 활용
구성 방안
1. 내부 업무 시스템 등록
- ERP, 그룹웨어, 인사 시스템 등
- 각 시스템별 접속 URL 등록
2. 조건부 정책 설정
- 사내 IP: 전체 기능 허용
- 재택 IP: 제한 기능 + OTP
- 해외 IP: 차단 또는 승인 필요
3. 인증 연동
- Active Directory SSO
- Microsoft 365 계정 연동
- Google Workspace 연동
4. 단계적 전환
- 1단계: VPN과 병행 운영
- 2단계: 일부 부서 SHIELD Gate 전환
- 3단계: 전사 확대
기대 효과
- 관리 간소화: 클라이언트 설치·관리 불필요
- 보안 강화: 네트워크가 아닌 앱 단위 접근 제어
- 성능 개선: VPN 대비 빠른 접속 속도
- 확장성: 무제한 동시 접속 지원
- 비용 절감: VPN 장비 및 라이선스 비용 절감
2. 협력업체 접속 관리
상황
다수의 외부 협력업체와 협업
협력업체 관리의 어려움:
- 협력업체마다 별도 계정 발급 및 관리
- 프로젝트 종료 후 계정 회수 누락
- 비관리 PC에서 접속 (악성코드 감염 위험)
- 작업 내용 추적 어려움
- 과도한 권한 부여로 정보 유출 위험
SHIELD Gate 활용
구성 방안
1. 프로젝트별 접근 권한
프로젝트 A 멤버 → 프로젝트 A 폴더만 접근
프로젝트 B 멤버 → 프로젝트 B 폴더만 접근
2. 완전 격리 모드 적용
- 모든 접속을 격리 브라우저로
- 다운로드 완전 차단
- 복사·붙여넣기 차단
- 스크린샷 차단
3. 작업 이력 추적
- 접속 시간 이력
- 파일 조회·편집 이력
4. 자동 권한 관리
- 프로젝트 시작일 → 자동 권한 부여
- 프로젝트 종료일 → 자동 권한 회수
3. SaaS 보안 강화
상황
Microsoft 365, Google Workspace 등 클라우드 SaaS 활용
SaaS 사용의 보안 과제:
- 개인 계정과 회사 계정 구분 어려움
- 파일 다운로드 후 개인 이메일로 전송
- 외부 공유 링크 무분별 생성
- 개인 OneDrive에 회사 파일 저장
SHIELD Gate 활용
구성 방안
1. URL 단위 세밀한 정책
company.sharepoint.com
→ 회사 SharePoint: 모든 기능 허용
personal-account.onedrive.com
→ 개인 OneDrive: 접속 차단
web.whatsapp.com
→ WhatsApp Web: 업로드 차단
2. 테넌트 제어
- 회사 테넌트(@company.com)만 접속 허용
- 다른 테넌트 접속 시 차단
3. 파일 다운로드 제어
- SharePoint 파일 다운로드 → CDR 적용
- Teams 첨부 파일 → 자동 무해화
- 외부 공유 링크 생성 → 차단
4. 생성형 AI 안전 사용
상황
ChatGPT, Copilot 등 AI 도구 활용 필요
생성형 AI 사용의 딜레마:
- 업무 효율을 위해 AI 도구 필요
- 민감정보 입력 우려 (소스코드, 고객 데이터 등)
- 무조건 차단은 직원 불만 및 생산성 저하
- 개인 계정으로 우회 사용
SHIELD Gate 활용
구성 방안
1. AI 서비스 접속 허용 + 격리
chatgpt.com → 격리 브라우저로 열기
copilot.microsoft.com → 격리 모드
2. 키보드 입력 패턴 검사
- 주민번호 패턴 입력 시 → 차단
- 계좌번호 패턴 입력 시 → 차단
- IP 주소 패턴 → 차단
3. 복사·붙여넣기 제어
- 내부 → AI: 차단
- AI → 내부: 허용
(코드 복사는 가능하되, 소스 업로드는 차단)
5. 원격근무 환경
상황
전사 원격근무 또는 하이브리드 근무
원격근무의 보안 과제:
- 직원 자택 PC 보안 상태 불확실 (백신 미설치, 패치 미적용)
- 카페, 공공장소에서 공용 WiFi 사용
SHIELD Gate 활용
구성 방안
1. 모든 접속 격리
- 어떤 기기에서든 격리 브라우저로 접속
- 악성코드 감염 기기도 안전
2. 화면 워터마크
- 사용자 이름, ID 표시
- 접속 시간 표시
- 화면 촬영 시 추적 가능
3. 네트워크별 정책
- 외부 ip 접속 시
→ 추가 OTP 인증
→ 다운로드 차단
4. 저장 위치 제어
- 로컬 다운로드 차단
- SHIELD Drive에만 저장 허용
- 파일 암호화 저장
6. 개인 데스크톱 원격 접속
상황
고사양 PC가 필요한 업무 (디자인, 개발, 영상편집)
고사양 PC 활용의 어려움:
- 재택근무 시 고사양 작업 불가
- VDI 구축 비용 부담 (서버, 라이선스)
- 외부 작업자(프리랜서)의 사무실 PC 접근 필요
SHIELD Gate 활용
구성 방안
1. 개인 PC 등록
- 사무실 데스크톱 SHIELD Gate에 등록
- 접근 권한 설정 (본인만 또는 팀원)
2. Wake on LAN
- 퇴근 시 PC 종료해도 됨
- 원격에서 전원 켜기
3. 조건부 접속 제어
- 평일 근무시간: 자유 접속
- 야간/주말: 접속 불가
- 해외 출장: 접속 불가
4. 세션 모니터링
- 접속 이력 로깅
- 작업 완료 후 자동 로그아웃
7. 서버 관리 콘솔
상황
다수의 리눅스/유닉스 서버 운영
서버 관리의 보안 과제:
- SSH 직접 접속으로 보안 위험
- 관리자 작업 이력 추적 어려움
SHIELD Gate 활용
구성 방안
1. 웹 기반 SSH 터미널
- 브라우저에서 직접 SSH 접속
- 별도 터미널 프로그램 불필요
2. 작업 이력 기록
- 누가, 언제, 어디서, 어떤 서버에
8. 피싱 공격 대응
상황
이메일 피싱 공격 증가
피싱 공격의 현실:
- 이메일 링크 클릭으로 악성 사이트 접속
- 보안 교육만으로는 한계 (사람은 실수함)
- 정교한 피싱 사이트는 구분 어려움
- 한 명만 클릭해도 전사 감염 위험
SHIELD Gate 활용
구성 방안
1. 모든 외부 링크 격리
- 이메일의 모든 링크 → 격리 브라우저
- 메신저 링크 → 격리 브라우저
- 문서 내 링크 → 격리 브라우저
2. 미분류 사이트 자동 격리
- 카테고리 DB에 없는 사이트 → 완전 격리
- 신규 사이트 → 키보드 입력 차단
- 의심 도메인 → 다운로드 차단
3. 입력 제어
- 피싱 의심 사이트 → 키보드 입력 차단
- 로그인 폼 발견 → 경고 팝업
- 개인정보 요구 → 차단
4. 파일 다운로드 무해화
- 모든 첨부파일 → CDR 자동 적용
- 실행 파일 → 차단
- 압축 파일 → 내부 재검사
9. 컴플라이언스 대응
상황
법규 준수 필요 (개인정보보호법, 의료법, 금융법 등)
컴플라이언스 요구사항:
- 개인정보 접근 이력 기록 의무
- 접근 권한 최소화 원칙
- 민감정보 유출 방지
- 감사 증적 제출
- 내부자 위협 관리
SHIELD Gate 활용
구성 방안
1. 완벽한 접근 이력 기록
누가: 사용자 ID, 이름
언제: 접속 시작/종료 시각
어디서: IP 주소, 위치
무엇을: 접근한 시스템, 파일
어떻게: 조회, 편집, 다운로드
2. 민감정보 접근 제어
- 환자 정보 접근 시 → 워터마크 자동 표시
- 고객 데이터 다운로드 → 사유 입력 필수
- 기밀 문서 인쇄 → 관리자 승인 필요
3. 최소 권한 원칙
- 업무상 필요한 정보만 접근
- 직급, 부서에 따라 차등 권한
- 기간 만료 시 자동 권한 회수
4. 로그 무결성 보장
- 로그 위·변조 방지 기술
- 블록체인 기반 해시 검증
- 외부 저장소 자동 백업