모든 전략 허용

마지막 업데이트: 2022년 7월 19일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

모든 전략 허용

14.1. 게임이론의 기본모형

◇ 게임이론의 의의

  • 게임이론(game theory)를 활용해 전략적 상황의 기업들의 행태를 분석하려는 시도가 많아지고 있음

게임이론의 기본골격

  • 게임(game) : 둘 이상의 경제주체가 상환연관관계를 통해 자신의 이익을 추구하고 있으나 어느 누구도 그 결과를 마음대로 좌우할 수는 없는 경쟁적 상황(ex. 화투, 포커)
  • 게임을 구성하는 요소 : 경기자, 전략, 게임의 보수, 정보
    • 경기자 : 어느 한 개인 혹은 조직으로서 게임의 기본적인 의사결정 단위를 구성하는 주체
    • 전략 : 한 경기자가 경기 도중에 취하게 되는 행동에 대한 계획
      • 대개의 경우 각 경기자가 취할 수 있는 전략의 수는 유한하다고 가정함
      • 일반적인 상황에서 모든 경기자는 게임의 구조에 대해 완전한 정보를 갖는다고 가정
      • 기업 A가 취할 수 있는 전략 a1 : 시장 경쟁에서 적은 금액의 광고비만을 쓰는 전략
      • 기업 A가 취할 수 있는 전략 a2 : 시장 경쟁에서 많은 금액의 광고비를 쓰는 전략
      • 기업 B가 취할 수 있는 전략도 마찬가지(b1, b2)
        • 두 기업 모두 적은 광고비만을 쓰는 전략(a1, b1)을 선택한다면 각 기업은 8억원씩의 이윤을 얻을 수 있음
        • 두 기업 모두 많은 광고비만을 쓰는 전략(a2, b2)을 쓰는 경우에는 각 기업의 이윤은 4억원씩 줄어듬
        • 한 기업이 적은 광고비를 쓰는데 다른 기업은 많은 광고비를 쓰는 경우 : 많은 광고비를 쓰는 쪽의 이윤은 10억원이 되지만 적은 광고비만을 쓰는 기업 이윤은 1억원
        • 협조게임 : 경기자들이 공동으로 추구할 전략과 관련하여 피차의 행동을 규제할 계약에 대해 협상하는 과정에서 벌어지는 게임
        • 비협조게임 : 상대방과 치열한 경쟁을 벌이고 있는 모든 전략 허용 현실 기업들(ex, 과점기업의 행위)

        게임의 균형

        • 시장에서 균형 : 공급자와 수요자가 모두 현재의 상태에 만족해 다른 교란요인이 발생하지 않는 한 현재 취하고 있는 행위를 변경할 유인이 없는 경우
        • 기업 A가 전략 a2를 선택할 경우 상대방이 어떤 전략을 쓰는지에 관계없이 a1을 선택했을 때보다 더 큰 보수를 얻음(표 14-1)
        • 상대방이 전략 b1을 선택했다면, a1 대신 a2를 선택함으로써 이윤을 8억원에서 10억원으로 늘릴 수 있음
        • 상대방이 전략 b2를 선택한 경우에도 a2를 채택함으로써 이윤을 1억원에서 4억원으로 모든 전략 허용 늘릴 수 있음
          • 기업 A입장에서 a2가 우월전략
          • 기업 B입장에서 b2가 우월전략
          • 우월전략균형은 각 경기자가 상대방에 의해 선택될 수 있는 '모든' 전략에 대해 최적인 전략을 갖고 있는 것을 요구하고 있음 → 그러나 현실 게임에서 강한 요구가 충족되기 어려움
          • 내쉬균형(Nash equilibrium) : '주어진' 상대방의 전략에 대해서만 최적인 전략을 가질 것을 요구하는 개념(상대방의 전략을 주어진 것으로 보고 자신에게 최적의 선택을 함)
            • 우월전략의 보다 요구되는 조건이 약함 → 그만큼 균형의 존재 가능성이 더 커짐
            • 기업 C가 전략 c1을 선택하면 이에 대한 기업 D의 최적전략은 d1(5억>3억)
            • 기업 D가 전략 d1을 선택하면 이에 대한 기업 C의 최적전략은 c1(10억>3억)
            • c1과 d1을 선택해 10억, 5억원의 이윤을 얻는 것이 이 게임의 내쉬균형
            • 내쉬균형은 복점에서의 꾸르노모형과 매우 밀접한 관련
              • 꾸르노모형하에서 각 기업은 상대방이 일단 어떤 산출량을 선택하면 이것을 주어진 것으로 보고 자신의 이윤을 극대화 하는 산출량을 선택
              • 내쉬균형은 꾸르노모형을 한층 더 일반화시킨 개념
              • 모든 경기자가 순수전략만을 사용하도록 되어 있는 경우에는 게임에 따라 모든 전략 허용 모든 전략 허용 내쉬균형이 존재하지 않을 수도 있음
              • 혼합전략을 허용하면 반드시 내쉬균형을 갖게 됨
              • 경우에 따라서는 순수전략보다 여러 행동을 적절하게 혼합해서 사용하는 전략이 더욱 유리한 결과를 가져올 수 있음
              • '동전 맞추기(matching pennies) 게임'
                • 두 경기자가 각각 동전을 선택하여 뒤집었을 때 둘의 선택이 일치하면 경기자1이 이겨 1원을 땀
                • 두 경기자가 각가 동전을 선택하여 뒤집었을 때, 둘의 선택이 일치하지 않으면 경기자2가 이겨 1원을 땀
                • 이런 상황에서는 무작위로 선택하는 것이 최상의 전략이 됨
                • 앞면과 뒷면을 적절한 확률로 섞어 선택하는 혼합전략이 각 경기자가 취할 수 있는 최선의 선택
                • 핵심이 되는 것은 혼합의 기초가 되는 확률을 결정하는 일
                • 한 경기자가 이 확률을 결정하는 요령은 상대방이 어떤 전략을 선택하든 똑 같은 기대보수를 얻을 수 밖에 없도록 만드는 것
                  • 동전 맞추기 게임에서 경기자 1이 각각 p와 (1-p)의 확률과 앞면과 뒷면을 선택
                    • 경기자 2가 앞면을 선택하면 경기자 2의 기대보수는 p × (-1) + (1-p) × 1
                    • 경기자 2가 뒷면을 선택하면 경기자 2의 기대보수는 p × (1) + (모든 전략 허용 1-p) × (-1)
                    • p × (-1) + (1-p) × 1 = p × (1) + (1-p) × (-1) 로 놓고 풀면 p = 1/2
                    • 경기자 1의 입장에서 보면 앞면과 뒷면을 각각 1/2씩의 확률로 섞는 것이 최선의 전략
                    • 순수전략만을 허용하면 내쉬균형이 존재하지 않더라도 혼합전략을 허용하면 내쉬균형이 존재하게 됨
                      • 경기자 1이 앞면을 선택하면 경기자 2는 뒷면을 선택하려 할 것임, 경기자 2가 막상 뒷면을 선택하면 경기자 1이 이번에는 뒷면을 선택하려 할 것임 → 이렇게 되다보면 계속 엇갈릴 것이기 때문에 내쉬균형이 되는 전략의 짝을 찾을 수 X

                      14.2. 최소극대화전략과 안장점

                      최소극대화전략

                      • 내쉬균형은 게임에 참여하고 있는 모든 경제주체들이 합리적임을 전제로 한 균형의 개념
                      • 만약 상대방의 합리성에 대해 의심을 갖고 있는 경기자라면 내쉬균형을 논의할 때 설명한 바 있는 선택의 기준에 따라 행동하지 않을지도 모름
                      • 전략 b2는 기업 B의 우월전략
                        • 이를 아는 기업 A는 상대방이 바로 이 전략을 선택하리라고 기대하고, a2를 선택함으로써 자신의 보수를 3억원으로 만들려고 할 것임
                        • 이처럼 두 기업이 각각 a2와 b2의 전략을 선택하는 것이 이 게임의 유일한 내쉬균형이 되는 것
                        • 그런데 기업 A는 상대방이 게임의 성격을 잘 이해하고 있으며 합리적으로 행동할 것이라고 믿는 한에서는 위에서와 같은 선택을 할 것임
                        • 상대방이 만에 하나라도 b1을 선택하는 잘못을 저지른다면 a2를 선택한 자신은 100억원이라는 큰 손실을 입게 됨
                        • 만약 기업 A가 매우 조심스러운 태도를 갖는 데다가 상대방의 상황파악 능력이나 합리성에 대해 의구심까지 갖고 있다면, 안전하게 전략 a1을 선택함으로써 100억원의 손실을 보는 결과만은 회피하려고 할 것임

                        정합게임과 안장점

                        • 정합게임(constant-sum game) : 경기자들이 얻는 보수의 합이 항상 정해진 숫자와 일치
                        • 특히 카드게임처럼 어떤 사람이 딴 금액과 다른 사람이 잃는 금액을 합치면 0이 되도록 만들어져 있는 특수한 경우를 영합게임(zero-sum game)이라고 부름
                        • 이와 같이 미리 정해진 보수 중에서 서로 큰 몫을 차지하려고 경합하는 경우, 한 사람의 이득은 다른 사람의 손해를 의미하므로 협조라는 것이 애당초 불가능해짐
                        • 정해진 크기의 시장을 두 기업이 나누어서 점유하게 되기 때문에 보수의 합이 100으로 고정
                        • 기업 C의 입장에서 볼 때 최소극대화전략이 되는 것은 전략 c2(최소한 40의 보수 획득)
                        • 기업 D의 최소극대화전략은 d2(최소한 60의 보수를 보장받을 수 있음)
                          • 이 두 전략의 짝은 각 기업에게 이와 같이 최소한으로 보장된 보수를 주게 되는데 이것을 안장점(saddle point)이라고 부름
                            • 기업 C의 전략이 c2로 주어졌다고 할 때, 기업 D가 선택할 수 있는 전략 중에서는 d2가 기업 C의 보수를 극소화하는 전략
                            • 기업 D의 전략이 d2로 주어졌다면 기업 C가 선택할 수 있는 전략 중에서는 c2가 기업 C의 보수를 극대화하는 전략
                            • 가 기업의 보수가 한쪽으로 극대화되면서 다른 쪽으로는 극소화되고 있는 성질이 마치 말 안장의 모양을 연상하게 한다는 이유에서 그와 같은 이름이 붙여짐
                            • 전략 c2와 d2의 짝은 안장점이자 동시에 내쉬균형의 성격도 겸비
                            • 과점시장에서의 경합상황이 정합게임의 성격을 보이고 있으면서 이와 같은 안장점을 갖고 있다면 게임의 결과가 여기에서 안정되는 경향이 나타남

                            14.3. 용의자의 딜레마와 카르텔

                            용의자의 딜레마

                            • 순순히 범행 자백 : 비교적 가벼운 형벌인 징역 3년
                            • 한 사람은 자백, 다른 사람이 부인 : 자백한 사람은 방면, 부인한 사람은 최고형 15년
                            • 둘 다 범행을 부인 : 과거 사소한 잘못을 문제 삼아 징역 6개월 구형
                            • 방면되는걸 가장 좋은 경우로 생각해 10, 징역 15년 구형을 제일 나쁜 경우로 생각해 1
                            • 둘 다 자백하는 것이 우월전략균형이 되는데 그들의 입장에서 볼 때, 이와 같은 결과는 결코 바람직하지 못함(실제로는 두 사람이 모두 범행을 자백하고 말 가능성이 큼)
                            • 용의자의 딜레마 문제에서 결론을 도출하는데 중요한 두 가지 사실
                              1. 두 용의자를 격리시켜 심문하기 때문에 상호 의사전달이 불가능(협조가 불가능함)
                              2. 모든 전략 허용
                              3. 이와 같은 게임이 단 한 번만 행해지는 것으로 상정
                            • 게임이 여러 번에 걸쳐 행해질 때는 '눈에는 눈, 이에는 이(tit-for-tat)'와 같은 방식의 전략이 활용될 여지가 생김

                            카르텔의 안정성

                            • 카르텔협정을 충실히 준수한다면 각 기업이 8억원씩의 이윤을 올릴 수 있음, 모두가 이를 위반하면 이윤은 4억원씩으로 줄어 듬(표 14-6 참조)
                            • 한 기업이 협정을 준수하는데 다른 기업은 위반한다면, 준수하는 기업의 이윤은 1억원으로 떨어지고 위반하는 기업의 이윤은 10억원으로 올라감
                            • 각 기업이 협정을 준수하지 않고 개별 행동을 취하는 것이 우월전략이 됨
                            • 각 기업이 서로 협조하는 태도를 보인다면 협정을 준수해 이 균형에서 얻을 수 있는 것보다 더 큰 이윤을 얻을 수도 있음
                              • but 협조관계가 이루어지기 힘들어 덜 바람직한 상황으로 귀결될 가능성이 매우 커짐 : 카르텔의 내재적 불안정성

                              반복게임

                              • 반복게임(repeated game)에서는 비협조적으로 나오는 상대방에서 보복을 가할 수 있는데 이것이 협조적인 전략을 채택하게 만드는 무언의 압력으로 작용하게 됨
                              • 반복게임이 유한하다면 → 협조적인 전략을 선택할 이유가 없음
                                • 마지막 n번째 게임에서 두 경기자는 모두 우월전략인 비협조전략을 선택할 것
                                • 그러면 n-1번째 게임에서는 역시 협조적인 전략을 선택할 이유가 없음
                                • 결국 첫 번째 게임에서도 두 경기자 모두 비협조전략을 선택할 것(역진귀납을 적용)

                                카르텔의 가맹기업들은 단 한 번만 게임을 하는 것이 아니라 무한히 계속되는 게임을 거듭하고 있는 상황에 처해있기 때문에 보복전략의 사용이 가능하고 이에 따라 협조적인 분위기가 조성될 수 있음

                                SCP 사용 전략

                                허용 목록 - 작업이 기본적으로 금지되며, 허용되는 서비스와 작업을 직접 지정합니다.

                                IAM에서 서비스가 마지막으로 액세스한 데이터를 사용하여 필요한 AWS 서비스로만 액세스를 제한할 수 있습니다. 자세한 내용은 IAM 사용 설명서의 Organizations에서 서비스가 마지막으로 액세스한 데이터 보기를 참조하세요.

                                SCP를 거부 목록으로 사용

                                AWS Organizations의 기본 구성은 SCP를 거부 목록으로 사용하는 것을 지원합니다. 거부 목록 전략을 사용하면 계정 관리자는 특정 서비스 또는 모든 전략 허용 작업 집합을 거부하는 SCP를 생성하여 연결할 때까지 모든 서비스와 작업을 위임할 수 있습니다. 거부 문을 사용하면 AWS에서 새로운 서비스가 추가될 때 문을 업데이트할 필요가 없으므로 유지 관리가 감소합니다. 일반적으로 거부 문은 공간을 덜 차지하므로 보다 손쉽게 SCP의 최대 크기 이내로 유지할 수 있습니다. Effect 요소의 값이 Deny 인 문에서는 특정 리소스에 대한 액세스를 제한하거나 SCP가 효력을 발휘하는 조건을 정의할 수도 있습니다.

                                이 정책을 사용하면 계정 관리자는 일부 액세스를 거부하는 SCP를 생성하여 연결할 때까지 모든 서비스 또는 작업에 대한 권한을 위임할 수 있습니다. 특정 계정의 사용자와 역할이 수행하지 못하도록 하려는 작업을 명시적으로 금지하는 SCP를 연결할 수 있습니다.

                                이러한 정책은 다음 예제와 비슷할 수 있습니다. 이 예제는 해당 계정의 사용자가 Amazon DynamoDB 서비스에 대한 작업을 수행할 수 없도록 합니다. 조직 관리자는 FullAWSAccess 정책을 분리하고 이 정책을 연결하면 됩니다. 이 SCP는 여전히 다른 모든 서비스와 작업을 허용합니다.

                                두 번째 문의 명시적 Deny 요소가 첫 번째 문의 명시적 Allow 를 무시하기 때문에 해당 계정의 사용자는 DynamoDB 작업을 수행할 수 없습니다. 또는 다음 예제와 같이 FullAWSAccess 정책을 그대로 두고 Deny 문만 있는 두 번째 정책을 연결하여 이 정책을 구성할 수도 있습니다.

                                FullAWSAccess 정책과, 루트 또는 OU에 적용된 앞의 DynamoDB 정책의 Deny 문을 결합하면 두 문을 모두 포함하는 단일 정책과 같은 효과를 발휘합니다. 지정된 수준에 적용되는 모든 정책이 결합됩니다. 각 문은 어떤 정책에서 발생했든 상관없이 앞에서 설명하는 규칙에 따라 평가됩니다(다시 말해, 명시적 Deny 는 명시적 Allow 를 재정의하며, 이 요소는 기본 모든 전략 허용 묵시적 Deny 를 재정의합니다).

                                SCP를 허용 목록으로 사용

                                SCP를 허용 목록으로 사용하려면 AWS 관리형 FullAWSAccess SCP를 허용하려는 해당 서비스와 작업만을 명시적으로 허용하는 SCP로 바꿔야 합니다. 기본 FullAWSAccess SCP를 제거하면 이제 모든 서비스의 모든 작업이 묵시적으로 거부됩니다. 그런 다음 모든 전략 허용 사용자 지정 SCP는 허용하려는 작업에 대해서만 묵시적 Deny 를 명시적 Allow 로 재정의합니다. 지정된 계정에 대해 한 권한을 활성화하려면, 루트에서 직접 경로의 각 OU를 통해 계정으로 연결되거나 계정 자체에 연결되는 모든 SCP가 해당 권한을 허용해야 합니다.

                                SCP의 Allow 문에서 Resource 요소에는 "*" 항목만 사용할 수 있습니다.

                                SCP의 Allow 문은 어떠한 Condition 요소도 가질 수 없습니다.

                                허용 목록 정책은 다음 예제와 비슷할 수 있습니다. 이 예제는 계정 사용자가 Amazon Elastic Compute Cloud(Amazon EC2) 및 Amazon CloudWatch에 대한 작업을 수행할 수 있지만 다른 서비스는 수행할 수 없도록 합니다. 상위 OU와 루트에 있는 모든 SCP도 이러한 권한을 명시적으로 허용해야 합니다.

                                앱 및 확장 프로그램 허용 또는 차단하기

                                Chrome Enterprise 관리자는 사용자가 관리 Chrome 브라우저 또는 Chrome OS 기기에 설치할 수 있는 앱 또는 확장 프로그램을 지정할 수 있습니다.

                                이 도움말에서는 모든 사용자에 대해 정책을 설정하거나 그룹별로 맞춤설정하는 방법에 관한 간략한 개요를 확인할 수 있습니다. 자세한 내용은 기업의 확장 프로그램 관리 가이드를 참고하세요.

                                시작하기 전에

                                • 특정 사용자 그룹 또는 등록된 Chrome 브라우저에 대해 설정하려면 사용자 계정 또는 브라우저를 조직 단위로 지정하세요.
                                • Windows, Mac, Linux 컴퓨터에서 Chrome 브라우저 사용자에게 설정을 적용하려면 사용자가 속한 조직 단위에 Chrome 브라우저 관리를 사용 설정하세요. Chrome 브라우저 관리 모든 전략 허용 사용 설정하기를 참고하세요.
                                • Chrome 웹 스토어 서비스가 사용 설정되어 있는지 확인합니다. 설정되어 있지 않으면 사용자가 Chrome 웹 스토어에 액세스하여 관리자가 허용한 항목을 비롯한 앱과 확장 프로그램을 탐색하거나 설치할 수 없습니다.
                                  기본적으로 일부 Education 도메인에서는 Chrome 웹 스토어 서비스가 사용 중지되어 있습니다. 사용자를 대상으로 Chrome 웹 스토어 서비스를 사용 설정하는 방법에 관한 자세한 내용은 추가 Google 서비스를 참고하세요.
                                  참고: Chrome 웹 스토어 서비스를 사용 중지해도 강제 설치된 앱 및 확장 프로그램은 계속 자동으로 설치되며 사용자가 계속 확장 프로그램을 사이드로드할 수 있습니다.

                                관리 콘솔에서 정책 설정하기

                                사용자가 Chrome 브라우저 또는 Chrome OS를 실행하는 기기에서 관리 Google 계정에 로그인할 때 적용됩니다.

                                이 단계에서는 관리자가 관리 콘솔에서 Chrome 설정을 관리하는 작업에 익숙한 것으로 가정합니다.

                                @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

                                • 관리자가 차단하지 않은 모든 앱 설치 허용: 사용자는 관리자가 차단한 앱 및 확장 프로그램을 제외한 모든 Google Play 스토어 앱 및 확장 프로그램을 설치할 수 있습니다.
                                • 관리자가 허용하지 않은 모든 앱 설치 차단: 사용자는 관리자가 허용한 Google Play 스토어의 앱 및 확장 프로그램만 설치할 수 있습니다.
                                • 관리자가 차단하지 않은 모든 앱 설치 허용: 사용자는 관리자가 차단한 앱 및 확장 프로그램을 제외한 모든 Chrome 웹 스토어 앱 및 확장 프로그램을 설치할 수 있습니다.
                                • 관리자가 허용하지 않은 모든 앱 설치 차단: 사용자는 관리자가 허용한 Chrome 웹 스토어의 앱 및 확장 프로그램만 설치할 수 있습니다.
                                • 관리자가 허용하지 않은 모든 앱 설치가 차단되지만 사용자는 확장 프로그램을 허용 목록에 추가하도록 요청할 수 있음: 사용자는 관리자가 허용한 Chrome 웹 스토어의 앱 및 확장 프로그램만 설치할 수 있으며 필요한 확장 프로그램이 있는 경우 요청할 수 있습니다. 관리자는 사용자가 요청하는 확장 프로그램을 허용 또는 차단하거나 자동으로 설치할 수 있습니다. 자세한 내용은 확장 프로그램 워크플로: 사용자가 확장 프로그램을 요청하도록 허용을 참고하세요.

                                이 단계에서는 관리자가 관리 콘솔에서 Chrome 설정을 관리하는 작업에 익숙한 것으로 가정합니다.

                                도움말: 등록된 브라우저의 확장 프로그램을 차단하거나 허용하려면 앱 및 확장 프로그램 사용 보고서를 사용하는 것이 모든 전략 허용 더 쉽습니다. 자세한 내용은 앱 및 확장 프로그램 사용 세부정보 보기를 참고하세요.

                                @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

                                이 단계에서는 관리자가 관리 콘솔에서 Chrome 설정을 관리하는 작업에 익숙한 것으로 가정합니다.

                                조직에서 허용하지 않는 특정 권한이 필요한 앱 또는 확장 프로그램을 사용자가 실행하지 못하도록 차단할 수 있습니다. 예를 들어 USB 기기에 연결하거나 쿠키에 액세스하는 확장 프로그램을 차단할 수 있습니다.

                                @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

                                앱 및 확장 프로그램의 보안 설정을 관리하는 방법

                                단계별 안내는 방법은 데모 동영상을 참고하세요.

                                관련 주제

                                Google 및 관련 마크와 로고는 Google LLC의 상표입니다. 기타 모든 회사명 및 제품명은 해당 업체의 상표입니다.

                                웹사이트 액세스 허용 또는 차단하기

                                Chrome Enterprise 관리자는 사용자가 특정 웹사이트만 방문하도록 URL을 차단하거나 허용할 수 있습니다. 사용자의 인터넷 액세스를 제한하면 생산성을 높이고 일부 웹사이트에서 발견되는 바이러스 및 악성 콘텐츠로부터 조직을 보호할 수 있습니다.

                                URL을 차단 및 허용해야 하는 경우

                                기본 URL 관리를 위해 차단 목록 및 허용 목록을 사용합니다. 강력한 필터링이 필요한 경우 콘텐츠 필터링, 웹 프록시 서버 또는 확장 프로그램을 사용하세요.

                                URL 차단 목록 및 허용 목록은 다음과 같은 방식으로 활용할 수 있습니다.

                                • 차단한 URL을 제외한 모든 URL에 대한 액세스 허용하기: 차단 목록을 사용하여 사용자가 특정 웹사이트를 방문하지 못하게 하고 나머지 웹사이트에는 액세스할 수 있게 합니다.
                                • 허용한 URL을 제외한 모든 URL에 대한 액세스 차단하기: 차단 목록을 사용하여 모든 URL에 액세스를 차단합니다. 그런 다음 허용 목록을 사용하여 제한된 URL 목록에 액세스할 수 있게 합니다.
                                • 매우 엄격한 차단 목록에 대한 예외 정의하기: 차단 목록을 사용하여 모든 URL에 대한 액세스를 차단합니다. 그런 다음 허용 목록을 사용하여 사용자가 특정 스킴, 다른 도메인의 하위 도메인, 포트 또는 특정 경로에 액세스할 수 있게 합니다.
                                • Chrome 브라우저에서 앱을 열도록 허용하기: 특정 모든 전략 허용 외부 프로토콜 핸들러를 허용하여 Chrome 브라우저에서 특정 앱을 자동으로 열 수 있도록 합니다.

                                차단 목록과 허용 목록이 제대로 작동하지 않을 때도 있습니다. 예를 들어 웹사이트 전체를 차단하고 해당 사이트의 특정 웹페이지 URL을 허용하면 사용자가 해당 웹사이트의 다른 콘텐츠에 액세스할 수도 있습니다.

                                URL 차단 예외 항목

                                다음과 같은 URL은 차단하지 않는 것이 좋습니다.

                                chrome://settingschrome://os-settings URL은 Chrome OS 운영체제 및 Chrome용 브라우저의 일부로 간주되며 차단되어서는 안 됩니다.

                                이러한 URL를 차단하더라도 사용자가 자바스크립트 명령어를 사용해 이 정책을 회피하고 차단된 페이지를 탐색할 수 있습니다. 예를 들어, Wi-Fi 하위 페이지 chrome://os-settings/networks?type=WiFi를 차단하더라도 사용자는 자바스크립트 콘솔의 설정에서 탐색 코드를 사용하여 Wi-Fi 하위 페이지로 이동할 수 있습니다.

                                Chrome OS 시스템 구성요소는 chrome-trusted://를 사용하여 사용자 또는 웹의 데이터를 처리하며 일부 시스템 구성요소가 손상될 수 있으므로 차단하지 않는 것이 좋습니다. Google에서는 이러한 특수 URL 스킴을 사용하여 Chrome OS에 포함되지 않은 모든 데이터가 Chrome 브라우저에서 제공하는 모든 보호 수단에 의해 안전하게 처리되는지 확인합니다. 또한 Chrome OS에 포함되지 않은 모든 데이터가 시스템 구성요소를 위해 예약된 기능에 액세스할 수 없도록 합니다. 시스템 구성요소가 사용자가 제공한 데이터 또는 웹 콘텐츠를 처리할 때마다 chrome-trusted:// URL이 사용됩니다.

                                chrome://settings, chrome://os-settings 또는 chrome-trusted://를 차단하려면 SystemFeaturesDisableList 정책을 사용하세요. 이렇게 하면 일부가 아닌 전체 설정이 차단됩니다. 차단하기 위해 URLallowList 또는 URLblockList 정책을 사용하면 안 됩니다. 자세한 내용은 사용 중지된 시스템 기능을 참고하세요.

                                특정 페이지를 차단하려는 경우 페이지에서 차단할 정확한 부분을 사용자와 분리해야 합니다. 그런 다음 Chrome 또는 Chrome OS 지원팀에 구현하려는 정책에 관해 알립니다. 그러면 개발자가 차단해야 하는 특정 기능에 관한 정책을 추가할 수 있습니다.

                                1단계: 정책 검토하기

                                사용자가 차단된 URL 목록에 액세스하지 못하도록 합니다. 차단한 URL을 제외한 모든 URL에 액세스할 수 있습니다.

                                설정되지 않은 경우: 사용자가 제한 없이 모든 웹사이트 URL에 액세스할 수 있습니다.

                                URLBlocklist와 함께 사용하여 사용자가 URL 차단 목록에 대한 예외로 특정 URL에 액세스할 수 있습니다. 허용 목록은 차단 목록보다 우선 적용됩니다. 이 정책이 작동하려면 차단 목록에 하나 이상의 항목이 있어야 합니다.

                                설정되지 않은 경우: URL 차단 목록에 예외가 없습니다.

                                2단계: Chrome 사용자가 방문할 수 있는 URL 지정하기

                                위 정책을 관리하려는 방법에 따른 단계를 보려면 아래를 클릭하세요.

                                사용자가 Chrome 브라우저 또는 Chrome OS를 실행하는 기기에서 관리 Google 계정에 로그인할 때 적용됩니다.

                                @gmail.com으로 끝나지 않는 관리자 계정으로 로그인하세요.

                                  차단된 URL: 사용자가 액세스하지 못하게 차단할 URL입니다.

                                최대 1,000개의 URL을 차단 및 허용할 수 있습니다.

                                • Android 시스템 WebView를 사용하는 앱은 차단된 URL을 인식할 수 없습니다. 이러한 앱에 차단 목록을 적용하려면 차단된 URL을 텍스트 파일로 정의하고 차단 목록을 Android 앱에 앱별로 적용합니다. Android 시스템 WebView를 사용하지 않는 앱의 경우, 앱 설명서를 참고하여 액세스를 제한하는 비슷한 방법을 알아보세요.
                                • 차단된 URL 예외 항목은 일반적으로 Android 시스템 WebView를 사용하는 Android 앱에 적용됩니다. 하지만 다른 앱에는 차단 목록이 적용되지 않을 수도 있습니다. Android 시스템 WebView를 사용하는 앱을 허용하고 그렇지 않은 앱을 생략할 수 있습니다. Android 앱 허용에 관한 자세한 정보는 승인된 앱의 설치 허용을 참고하세요.

                                Chrome 브라우저에서 관리 계정에 로그인하는 Windows 사용자에게 적용됩니다.

                                그룹 정책 사용하기

                                Microsoft Windows의 Group Policy Editor(그룹 정책 편집기, 컴퓨터 또는 사용자 구성 폴더)에서 다음 단계를 따르세요.

                                1. 'Policies'(정책) 'Administrative Templates'(관리 템플릿) 'Google' 'Google Chrome'으로 이동합니다.
                                2. Block access to a list of URLs(URL 목록에 대한 액세스 차단)를 사용 설정합니다.
                                  도움말: 이 정책이 표시되지 않으면 최신 정책 템플릿을 다운로드하세요.
                                3. 차단할 URL을 추가합니다.
                                  이 정책을 Not configured(구성되지 않음)로 두면 위에 설명된 설정되지 않은 경우의 동작이 적용됩니다.
                                4. URL 목록에 대한 액세스 허용을 사용 설정합니다.
                                5. 사용자가 액세스할 수 있는 URL을 추가합니다.
                                  이 정책을 'Not configured'(구성되지 않음)로 두면 위에 설명된 설정되지 않은 경우의 동작이 적용됩니다.
                                6. 사용자에게 업데이트를 배포합니다.

                                최대 1,000개의 URL을 차단하거나 허용할 수 있습니다. URL 구문은 웹사이트 허용 또는 차단하기—URL 필터 형식을 참고하세요.

                                Chrome 브라우저에서 관리 계정에 로그인한 Mac 사용자에게 적용됩니다.

                                Chrome 정책 구성 프로필(.plist 파일)에서 다음과 같이 합니다.

                                1. 다음 키를 추가하거나 업데이트합니다.
                                  • 차단할 URL을 URLBlocklist 키에 추가합니다.
                                  • 사용자가 액세스하도록 허용할 URL을 URLAllowlist 키에 추가합니다.
                                2. 사용자에게 변경사항을 배포합니다.

                                최대 1,000개의 URL을 차단 및 허용할 수 있습니다. URL 구문은 웹사이트 허용 또는 차단하기—URL 필터 형식을 참고하세요.

                                이 예는 mail.example.com, wikipedia.org, google.com을 제외한 모든 URL을 차단하는 방법을 보여줍니다.

                                Chrome 브라우저에서 관리 계정에 로그인한 Linux사용자에게 적용됩니다.

                                원하는 JSON 파일 에디터 사용하기

                                1. /etc/opt/chrome/policies/managed 폴더로 이동합니다.
                                2. JSON 파일을 생성 또는 업데이트하고 필요에 따라 다음과 같이 URL을 입력합니다.
                                  • URLBlocklist에 차단할 URL을 추가합니다.
                                  • URLAllowlist에 사용자가 액세스하도록 허용할 URL을 추가합니다.
                                3. 사용자에게 업데이트를 배포합니다.

                                최대 1,000개의 URL을 차단 및 허용할 수 있습니다. URL 구문은 웹사이트 허용 또는 차단하기—URL 필터 형식을 참고하세요.

                                이 예는 mail.example.com, wikipedia.org, google.com을 제외한 모든 URL을 차단하는 방법을 보여줍니다.

                                먼저 차단된 URL을 포함하는 파일을 만듭니다.

                                그런 다음 허용된 URL을 포함하는 파일을 만듭니다.

                                "URLAllowlist": ["mail.example.com", "wikipedia.org", "google.com"]
                                >

                                3단계: 정책이 적용되었는지 확인하기

                                Chrome 정책을 적용한 후에는 사용자가 Chrome 브라우저를 다시 시작해야 설정이 적용됩니다. 사용자의 기기를 확인하여 정책이 올바르게 적용되었는지 확인할 수 있습니다.

                                허용 목록이란?


                                애플리케이션 허용 목록, 즉 애플리케이션 제어는 신뢰할 수 있는 파일, 애플리케이션, 프로세스만 실행하도록 허용하여 유해한 보안 공격을 줄이는 보안 기능입니다.

                                허용 목록의 정의

                                기업은 잠재적으로 유해한 공격을 발생시킬 수 있는 승인되지 않은 활동을 차단하기 위해 애플리케이션 허용 목록, 즉 애플리케이션 제어를 사용하여 경계 보안을 강화하고 있습니다. 허용 목록은 알려진 파일, 애플리케이션 또는 프로세스를 식별하여 실행을 허용합니다. 반대로, 알 수 없는 활동을 차단하거나 제한하여 공격 모드에서 활동이 시스템 또는 환경 내에서 시작되어 확산되는 것을 방지합니다.

                                차단된 파일을 수동으로 검토하여 사용을 승인하거나 필요한 경우 문제를 해결하는 기업도 있습니다. 그러나 고급 엔드포인트 보안 솔루션은 기업 자산, 지적 재산, 규제 대상 데이터를 완전히 잠그고 보호하는 소프트웨어 제어 및 보호 정책을 통해 허용 목록 프로세스를 자동으로 실행할 수 있습니다. 이러한 솔루션은 신뢰할 수 있는 소프트웨어의 승인을 자동화하여 허용 목록을 관리할 필요가 없기 때문에 다운타임이 줄어듭니다.

                                관련 주제

                                허용 목록의 효과

                                허용 목록은 보안의 필수 요소로 알려져 있지만(아래 Industry Pulse 참조), 포괄적이고 완전한 엔드포인트 보안을 제공하는 여러 툴 중 하나에 불과합니다.

                                허용 목록을 동작 분석 및 머신 러닝과 같은 다른 고급 기술과 결합하면 악성 공격을 차단하고 방지하는 데 큰 도움이 됩니다.

                                한 예로, 사이버 보안 지침을 제공하는 독립 조직인 NSS Labs에서 고급 엔드포인트 보호(AEP) 제품을 테스트하여 그 효과를 확인했습니다. 테스트의 목적은 알려지거나 알려지지 않은 위협에 대한 사전 예방적 차단 및 적극적인 탐지 기능을 검증하는 것이었습니다.

                                NSS Labs의 2017년 고급 엔드포인트 보호의 보안 가치 맵에서 확인할 수 있듯이, 이 테스트를 통해 허용 목록 등의 툴과 기타 엔드포인트 보안 기능을 사용하여 공격을 100% 막을 수 있음이 입증되었습니다.

                                Industry Pulse: 핵심 보안 전략인 허용 목록

                                보안 전문가들은 랜섬웨어와 같은 악의적인 공격을 차단할 수 있는 필수적인 기본 보안 전략으로 허용 목록을 꼽았습니다.

                                실제로 CSO 관련 기사에 따르면 권장 사항, 평판 점수, 기타 데이터를 기반으로 하는 실시간 허용 목록은 이론적으로 "매우 낮은 관리 부담으로 거의 완벽한 엔드포인트 보안을 보장"할 수 있습니다.

                                최근 Help Net Security는 Gartner 선임 보안 및 개인정보 보호 애널리스트인 Neil MacDonald의 말을 빌어 허용 목록을 사용하여 악성 공격을 차단하는 방법에 대해 이와 유사한 관점을 소개했습니다. MacDonald는 "모든 유형의 취약점에 대한 향후 공격의 리스크를 줄이기 위해 서버에서 애플리케이션 제어 및 허용 목록을 사용할 것을 오랫동안 권장해 왔습니다. 물리적, 가상, 퍼블릭 클라우드, 컨테이너 기반 워크로드에 서버 워크로드 보호에 대한 기본적인 거부 방식을 아직 적용하지 않았다면, 지금이 적기입니다. 이는 2018년 모든 보안 및 리스크 관리 선두주자의 표준 관행이자 우선 과제가 되어야 합니다."라고 밝혔습니다.

                                보안 솔루션 기업인 Red Canary의 디지털 포렌식 및 인시던트 대응(DFIR) 전략가인 Phil Hagen도 이에 동의합니다. Hagen의 최근 블로그에 따르면, "파트너인 Carbon Black이 제공하는 이와 같은 애플리케이션 제어 솔루션은 조직이 취할 수 있는 가장 효과적이며 유일한 예방 조치입니다. 이러한 방법론을 통해 사내 시스템에서 승인된 바이너리 목록만이 실행되도록 할 수 있습니다. 피싱 페이로드가 흔한 종류의 랜섬웨어든, 특정 대상을 겨냥한 맞춤형 맬웨어든, 피해로 인해 발생하는 비용이 허용 목록 솔루션을 배포하고 유지하는 비용보다 훨씬 높습니다."

                                400,000대의 머신이 1주 만에 WannaCry 랜섬웨어에 감염되었습니다.

                                해결책: 실시간 동적 허용 목록

                                리스크가 높은 오늘날의 사이버 환경에서는 중요 데이터를 지속적으로 보호할 수 있도록 허용 목록을 지원하는 완전한 엔드포인트 보안 솔루션이 필요합니다. 허용 가능한 활동에 대한 엄격한 정책에 따라, 허용 목록 및 애플리케이션 제어를 통해 실시간으로 주요 시스템 잠금을 수행하여 모든 신뢰할 수 없는 파일, 애플리케이션, 프로세스가 실행되지 않도록 할 수 있습니다. 이러한 정교한 기능을 통해 기업은 다음을 수행할 수 있습니다.

                                공격 중지 - 승인된 소프트웨어만 실행하도록 허용
                                소프트웨어 자동화 - IT 및 클라우드 기반 정책을 통한 승인 및 업데이트
                                불필요한 변경 방지 - 커널 및 사용자 모드 수준에서 시스템 구성 변경 방지
                                전력 기기 제어 - 파일 무결성 모니터링 및 제어(FIM/FIC) 기능
                                IT 리스크 충족 - 주요 규제 요건에 대한 감사 제어


0 개 댓글

답장을 남겨주세요