마이크로소프트 원드라이브 동기화 업데이트: 편리함 뒤에 숨겨진 보안 리스크 경고

마이크로소프트가 최근 발표한 원드라이브 동기화 기능 업데이트가 기업 환경에 미칠 영향에 대한 우려가 커지고 있습니다. 이 업데이트는 업무용 기기에서 개인 및 기업 원드라이브 계정을 동시에 사용하는 편의성을 제공하지만, 데이터 유출 및 규정 준수 위반 가능성을 높여 사이버 보안 담당자들에게는 달갑지 않은 소식입니다. 과연 이 업데이트는 사용자 편의를 위한 혁신일까요, 아니면 보안 악몽의 시작일까요?

업데이트 내용 및 핵심 기능

이번 업데이트의 핵심은 윈도우의 원드라이브 동기화 클라이언트가 업무용 기기에 연결된 개인 마이크로소프트 계정을 감지하고, 사용자에게 개인 원드라이브 파일을 동기화할지 묻는 메시지를 표시한다는 점입니다. 사용자가 동의하면 개인 파일이 업무 파일과 함께 동기화되기 시작하며, 별도의 설정 없이 기본적으로 활성화되어 있습니다. 이는 직장 내 개인 활동 지원을 통해 직원들의 일과 삶의 균형을 개선하려는 마이크로소프트의 의도가 반영된 것으로 보입니다.

데이터 유출 위험 증가

하지만 보안 전문가들은 이러한 기능이 데이터 유출 위험을 증가시킬 수 있다고 경고합니다. 개인 및 기업 데이터 세트가 동기화되면 실수로 민감한 기업 파일이 개인 원드라이브에 저장될 가능성이 있으며, 이 파일이 다시 개인 컴퓨터에 저장될 수도 있습니다. IDC 연구 디렉터 제니퍼 글렌은 "동기화만으로 기업 정보가 개인 계정에 저장된다면 내부자 위험 문제나 우려가 악화된다"라고 지적했습니다.

규정 준수 문제 발생 가능성

데이터 유출 외에도 규정 준수 문제 발생 가능성도 간과할 수 없습니다. 개인 데이터와 기업 데이터의 경계가 모호해지면서 기업이 시행하는 데이터 손실 방지(DLP) 정책과 액세스 제어가 무력화될 수 있습니다. 이지 오딧 CEO 크리스티앙 쿠리는 "새로운 설정은 규정 준수 면에서 악몽이 될 가능성이 높다"라고 경고하며, 특히 자원 부족에 시달리는 소규모 기업의 경우 데이터 관리 및 규정 준수에 어려움을 겪을 수 있다고 지적했습니다.

기능 비활성화 방법 및 주의사항

마이크로소프트는 관리자가 "DisableNewAccountDetection" 또는 "DisablePersonalSync" 정책을 사용하여 이 기능을 억제하거나 비활성화할 수 있도록 했습니다. 하지만 기본적으로 활성화되어 있기 때문에 보안팀은 피해가 발생하기 전에 기능을 발견하고 차단해야 하는 부담을 안게 됩니다. 또한, 원드라이브를 특정 폴더만 동기화하도록 구성하더라도 클라이언트는 동기화하지 않는 개체의 전체 이름을 열거하기 때문에 기업 기기에 개인 원드라이브의 모든 내용이 포함될 수 있다는 점에 유의해야 합니다.

직원들의 인식 부족 문제

머큐리 리스크의 CISO 매튜 로젠퀴스트는 많은 직원이 개인 데이터를 고용주의 환경으로 가져올 때 자신이 감수하는 위험을 인식하지 못한다고 지적했습니다. 직원들이 무심코 윈도우 메시지를 클릭하여 동기화를 허용할 수 있으며, 이 경우 개인 정보가 유출될 위험에 노출될 수 있습니다. 따라서 기업은 직원들에게 데이터 보안 및 개인 정보 보호에 대한 교육을 강화하고, 업무용 기기 사용 시 주의해야 할 사항을 명확히 전달해야 합니다.

결론

마이크로소프트의 원드라이브 동기화 업데이트는 사용자 편의성을 높이는 측면이 있지만, 데이터 유출 및 규정 준수 위반 가능성을 높여 기업 보안에 새로운 과제를 안겨주고 있습니다. 기업은 이번 업데이트의 위험성을 인지하고, 관련 정책 및 설정을 점검하여 잠재적인 위협에 대비해야 합니다. 보안 전문가들은 새로운 기능을 주시하되 우선 비활성화하는 것을 권장하며, 직원 교육을 통해 데이터 보안 의식을 강화하는 것이 중요합니다. 궁극적으로 기업은 사용자 편의와 보안 사이에서 균형을 맞추는 전략을 수립해야 할 것입니다.