새로운 Exchange의 현재 위치 eDiscovery 및 원본 위치 유지 기능 - I부
최초 문서 게시일: 2012년 9월 27일 목요일
eDiscovery 요청을 받는 경우 조직에서는 전자 메일 레코드를 유지하고 관련 레코드를 검색하며 이러한 레코드를 검토하도록 제공할 수 있어야 합니다.
Exchange Server 2010과 Office 365에서는 소송 보존을 사용하여 사서함 항목을 유지할 수 있습니다. 사용자 또는 프로세스가 항목을 영구적으로 삭제하려고 하면 해당 항목이 사서함의 액세스할 수 없는 위치로 이동하고 사용자에게 표시되지 않습니다. 또한 사용자 또는 프로세스가 항목을 수정하면 COW(기록 중 복사)가 수행되어 변경된 버전이 커밋되기 직전에 원래 항목의 복사본이 저장됩니다. COW 프로세스는 변경이 이루어질 때마다 반복되므로 모든 후속 버전의 복사본이 유지됩니다.
Exchange 2010에서 새롭게 도입된 여러 사서함 검색을 사용하여 법률, 인사 또는 IT 담당자(검색 관리 권한이 할당되어야 하므로 검색 관리자라고 함)가 전체 Exchange 2010 조직의 사서함 콘텐츠를 검색할 수 있도록 위임되었습니다. 검색에서 반환된 메시지는 검색 사서함으로 복사할 수 있습니다. 검색 사서함은 사서함 할당량이 더욱 높고 메시지를 보내거나 받는 기능이 없는 특별한 유형의 사서함입니다.
Exchange 2013에 도입된 현재 위치 eDiscovery 및 원본 위치 유지 기능의 새로운 점
Exchange 2010과 Office 365 릴리스 이후로 보관, eDiscovery, 유지를 비롯한 메시징 정책과 준수 기능에 대해 모든 규모의 조직에서 수많은 피드백을 받았으며, 준수 기능의 향상을 계획하면서 이러한 고객의 피드백을 가장 중요하게 고려했습니다. Exchange 2013에서 변경된 사항을 살펴보겠습니다.
새로운 이름새로운 Exchange에서는 여러 사서함 검색을 현재 위치 eDiscovery라고 합니다.
새로운 검색 엔진현재 위치 eDiscovery는 Exchange Search에서 생성되는 검색 인덱스를 여전히 사용하지만 Exchange Search가 Microsoft Search Foundation을 사용하도록 재설계되었습니다. 이전에는 콘텐츠 인덱싱 기능이 Windows Search에서 수행되었습니다. Microsoft Search Foundation은 대폭 개선된 인덱싱 및 쿼리 성능과 더불어 향상된 검색 기능을 갖춘 고급 검색 플랫폼입니다.
새로운 유지 방식새로운 Exchange에서는 원본 위치 유지를 사용하여 검색된 콘텐츠를 유지할 수 있습니다. 원본 위치 유지는 현재 위치 eDiscovery와 통합되어 있어 동일한 간편한 인터페이스를 사용하여 콘텐츠를 검색하는 동시에 유지할 수 있습니다. eDiscovery와 유지 기능의 통합으로, 유지할 항목을 쿼리를 사용하여 매우 구체적으로 지정할 수 있습니다. 이를 통해 유지하는 데이터 양이 감소하여 나중에 데이터를 검토하는 비용이 절감됩니다.
새로운 UI 새로운 Exchange는 웹 기반의 새로운 통합 관리 도구인 EAC(Exchange 관리 센터)를 갖추었습니다. 검색 관리자는 새로운 현재 위치 eDiscovery 및 원본 위치 유지 마법사를 사용하여 eDiscovery 검색을 수행하게 됩니다.
키워드 통계현재 위치 eDiscovery 검색을 만든 후에는 각 키워드와 일치하는 항목 수를 보여 주는 상세한 키워드 통계를 얻을 수 있습니다. 이 정보를 사용하여 쿼리를 통해 예상한 개수의 메시지가 반환되었는지를 확인할 수 있습니다. 쿼리 범위가 너무 넓거나 좁은 경우 검색 결과로 너무 많거나 적은 메시지가 반환될 수 있는데, 이 정보를 활용하여 쿼리를 미세 조정할 수 있습니다.
eDiscovery 검색 미리 보기eDiscovery 검색을 만든 후에는 검색 결과를 간략히 미리 볼 수 있습니다. 각 원본 사서함에서 반환된 메시지가 검색 미리 보기에 표시됩니다. 메시지를 간략히 미리 보는 기능을 통해, 쿼리가 검색하려는 콘텐츠를 반환하는지 확인하고 쿼리를 더욱 미세 조정할 수 있습니다.
새로운 SharePoint와의 통합 Exchange는 새로운 SharePoint와 통합된 eDiscovery 및 유지 환경을 제공합니다. eDiscovery 센터를 사용하면 SharePoint 웹 사이트, 문서, SharePoint에서 인덱싱된 파일 공유, Exchange의 사서함 콘텐츠, 보관된 Lync 콘텐츠를 비롯하여 특정 사례와 관련된 모든 콘텐츠를 한 곳에서 검색하고 원본 위치 유지로 설정할 수 있습니다. 또한 파일, 목록, 웹 페이지, Exchange 사서함 콘텐츠를 포함한 사례와 관련된 콘텐츠를 내보낼 수 있습니다. 사서함 콘텐츠는 .PST 파일로 내보내집니다. EDRM(Electronic Discovery Reference Model) 사양을 준수하는 XML 매니페스트는 내보낸 정보에 대한 개요를 제공합니다.
SharePoint는 Exchange의 통합 검색 API를 사용하여 Exchange 콘텐츠를 검색합니다. Exchange 콘텐츠를 검색하는 데 EAC를 사용하든지, SharePoint를 사용하든지 관계없이 동일한 검색 결과가 반환됩니다. 새로운 SharePoint와 Exchange는 모두 Microsoft Search Foundation이라는 동일한 기반 인덱싱 및 쿼리 엔진을 사용하므로 동일한 검색 쿼리를 SharePoint와 Exchange 콘텐츠에 모두 사용할 수 있습니다.
현재 위치 eDiscovery 검색 수행
한 검색 관리자가 현재 위치 eDiscovery 검색을 수행하는 방식을 살펴보겠습니다.
Robin은 마케팅 회사인 Contoso의 법률 팀에서 일합니다. Contoso는 Tailspin Toys라는 회사에서 이들이 생산하는 새로운 장난감에 대한 마케팅 캠페인을 지원해 달라는 요청을 받습니다. Contoso는 장난감 업계의 일을 많이 하는 만큼 장난감 마케팅 캠페인을 잘 하기로 유명합니다. 이 마케팅 캠페인은 비즈니스에 큰 이익이 되지만 Contoso가 함께 일하는 대다수 장난감 회사가 서로 경쟁사이므로 신중하게 업무를 처리해야 합니다. Contoso는 얼마 전 Wingtip Toys라는 다른 장난감 회사를 도와 매우 성공적인 마케팅 캠페인을 완료했기 때문에 Robin은 Contoso 팀을 통해 실수로 한 고객의 기밀 정보가 다른 고객에게 넘어가는 일이 없도록 보장하길 원합니다. Robin은 이러한 잠재적인 문제가 발생하지 않도록 법률 팀과 협력하여 Contoso의 전자 메일과 문서를 검색하려고 합니다.
현재 위치 eDiscovery를 사용하려면 사용자가 검색 관리 역할 그룹에 위임되어야 합니다. 권한이 부여된 법률, 준수 관리 또는 인사 담당자에게 이 역할을 위임할 수 있습니다. Robin은 이러한 법률 팀의 일원입니다. 새로운 Exchange 2013에 도입된 이러한 특정 범위의 역할을 사용하면 IT 담당자가 전체 Exchange 서버 기능에 대한 모든 권한을 부여하지 않으면서 준수 책임을 Robin과 같은 담당자에게 위임할 수 있습니다.
Robin은 먼저 Exchange 관리 센터로 이동합니다. EAC의 준수 관리(Compliance Management) 탭에서 새로운 Exchange의 준수 기능을 관리할 수 있습니다. Robin에게는 다른 Exchange 관리자 역할이 부여되지 않았기 때문에 검색 관리 역할 그룹과 관련된 인터페이스만 표시됩니다. 즉, 준수 관리(Compliance Management) 탭에 현재 위치 eDiscovery 및 원본 위치 유지(In-Place eDiscovery & Hold)만 나타납니다.
그림 1: 위임된 검색 관리 권한을 갖는 사용자가 액세스할 수 있는 현재 위치 eDiscovery 및 원본 위치 유지(In-Place eDiscovery and Hold) 탭
Robin은 추가(Add) 단추를 클릭하여 새 현재 위치 eDiscovery 및 원본 위치 유지(New In-Place eDiscovery & Hold) 마법사를 시작하고 검색을 위한 이름과 선택적인 설명을 입력합니다.
그림 2: EAC에서 새 현재 위치 eDiscovery 및 원본 위치 유지(New In-Place eDiscovery & Hold) 마법사를 사용하여 현재 위치 eDiscovery 검색 만들기
Robin은 Exchange 조직의 모든 사서함을 검색하거나, 검색할 사서함을 선택할 수 있습니다.
그림 3: 검색할 사서함 지정 또는 모든 편지함 검색
검색 쿼리(Search query) 페이지에서 Robin은 모든 사서함 콘텐츠를 반환하거나 특정 콘텐츠만 반환하는 옵션을 선택할 수 있습니다. Robin은 Contoso 팀원과 WingTip Toys 간에 수행된 업무와 관련된 특정 콘텐츠를 찾으려고 합니다. 몇 개의 키워드만 입력하여 단순 검색을 수행할 수도 있고, AND, OR, 괄호 등의 부울 연산자를 사용하여 보다 복잡한 검색을 수행함으로써 검색 항목을 고도로 구체화할 수도 있습니다. 수기가바이트에 달하는 사서함이 매우 흔하기 때문에 이렇게 검색을 구체화하면 시간과 비용을 크게 절감할 수 있습니다. 또한 검색으로 반환되는 콘텐츠를 줄여 검토할 양을 최소화함으로써 정확히 원하는 콘텐츠를 찾을 수 있습니다.
그림 4: 키워드, 시작 및 종료 날짜, 보낸 사람과 받는 사람을 포함하여 검색 쿼리 지정
Robin은 부울 논리뿐만 아니라 상호 밀접한 단어를 찾는 근접 연산자인 NEAR를 사용하고 있습니다. 또한 와일드카드 문자를 사용하는 것을 볼 수 있습니다. 이 경우 toy, toys, toymaker 세 단어 또는 이와 비슷한 단어 내에서 wingtip이라는 단어를 찾고 있습니다.
이 예에서 Robin은 이러한 키워드를 특정 전자 메일에서 찾으려 하지만, 검색을 보다 구체화하기 위해 예를 들어 메시지 제목에서만 특정 구문을 검색하려 할 경우 Subject:를 입력하고 바로 뒤에 원하는 구문을 입력할 수 있습니다. 원하는 구체화 수준에 따라 복잡한 쿼리를 작성할 수 있으며, 하나의 쿼리에 수백 개의 키워드를 사용할 수 있습니다.
또한 Robin은 특정 메시지 유형을 선택할 수 있습니다. Exchange 사서함에는 전자 메일은 물론 일정 항목, 작업, 메모 및 기타 개인 정보 관리와 관련된 항목이 들어 있습니다. 새로운 Exchange에서는 이러한 모든 항목을 검색하거나 특정 항목 유형으로 쿼리 범위를 좁힐 수 있습니다. Robin은 전자 메일과 함께 모임을 선택합니다. 이를 통해 Wingtip 담당자와 만난 Contoso 직원을 추적하고 모임 초대를 읽어 논의된 내용을 확인할 수 있습니다.
그림 5: 모든 메시지 유형을 선택하거나 검색할 메시지 유형 지정
Robin은 쿼리를 작성하여 자신에게 중요한 콘텐츠를 정의한 후에 검색 결과에 대해 무엇을 할지를 선택할 수 있습니다. 검색된 콘텐츠를 보호하는 것이 중요하다고 생각하는 경우 해당 콘텐츠를 원본 위치 유지로 설정할 수 있습니다. 콘텐츠를 원본 위치 유지로 설정하면 Exchange에서 해당 항목을 편집하거나 삭제하려는 모든 시도가 자동으로 캡처되거나, 데이터가 삭제되고 해당 항목이 사서함의 숨은 폴더에 저장됩니다. 이러한 프로세스는 최종 사용자가 전혀 알지 못하게 이루어지므로 최종 사용자의 일상적인 워크플로를 방해하지 않으면서 중요한 데이터를 나중에 복구 가능하도록 유지할 수 있습니다.
그림 6: 검색 결과를 원본 위치 유지로 설정
원본 위치 유지에 대해서는 이 게시물의 II부에서 자세히 이야기하겠습니다.
Robin이 마침(Finish)을 클릭하자 Exchange 2013 사서함에 대해 검색이 실행되고 검색된 항목이 원본 위치 유지로 설정됩니다.
검색이 완료되었을 때 Robin은 전체 크기와 항목 수를 검토하여 처리할 수 있는 적정 규모인지 확인합니다. 수백만 개의 항목이 있는 경우 쿼리 범위가 너무 넓은 것이고 항목이 없는 경우 쿼리 범위가 너무 좁은 것입니다. 자세한 내역을 살펴보려는 경우 검색 통계를 통해 각 키워드가 전체 결과 집합에 정확히 어떻게 반영되었는지를 확인할 수 있습니다. 이렇게 함으로써 쿼리를 원하는 대로 미세 조정하여 적정 규모의 결과 집합을 신속하게 얻을 수 있습니다.
그림 7: 검색 결과 예상과 키워드 통계를 사용하여 검색 쿼리 미세 조정
쿼리를 미세 조정한 후에 Robin은 검색을 중지하고 쿼리가 정확한지에 대해 법률 팀이나 변호사와 논의할 수 있으며, 추가 eDiscovery 검색을 만들고 다른 쿼리 매개 변수를 사용할 수 있습니다.
또한 검색에서 반환되는 메시지를 미리 볼 수 있습니다.
그림 8: eDiscovery 검색 미리 보기를 사용하여 메시지를 미리 보고 쿼리 효과 확인
eDiscovery 검색 미리 보기(eDiscovery Search Preview)에는 검색되는 각 사서함의 메시지 수와 전체 크기가 표시됩니다. 미리 보기 기능은 Outlook Web App에 기본 제공되어 메시지가 변경 없이 기본 형식으로 표시됩니다.
그림 9: eDiscovery 검색 미리 보기에서 메시지를 검색 사서함으로 복사하지 않고 실시간으로 메시지 미리 보기를 표시함
Robin은 모든 결과를 신속히 스크롤하며 검색 결과로 반환된 추가 항목을 볼 수 있습니다. 전체 기능의 Outlook Web App 미리 보기를 사용하기 때문에 첨부 파일도 볼 수 있습니다.
Robin은 검색 결과를 미리 보고 결과에 만족하는 경우 나중에 검토하도록 복사본을 만들거나 외부 변호사에게 이관하도록 내보낼 수 있습니다. 이를 위해 검색 결과 복사(Copy search results) 링크를 클릭하면 됩니다.
그림 10: 검색에서 반환된 메시지를 검색 사서함으로 복사
메시지를 검색 사서함으로 복사할 때 Robin은 다음과 같은 옵션을 사용할 수 있습니다.
- 검색할 수 없는 항목 포함(Include unsearchable items)손상된 항목, 암호로 보호되는 압축된 첨부 파일, 정보 권한 관리 이외의 도구를 사용하여 암호화된 항목을 비롯하여 인덱싱 시스템에서 처리되지 않는 "검색할 수 없는" 항목을 포함할지 여부를 선택할 수 있습니다. Robin은 놓치는 것 없이 주의 의무를 이행하기 위해 이러한 항목을 수동으로 검토하려는 경우 이 확인란을 선택하여 이러한 항목을 검색에 포함할 수 있습니다.
- 중복 제거 사용(Enable de-duplication)또한 Robin은 중복 제거를 사용하도록 설정할 수 있습니다. 아시다시피 전자 메일을 한 번에 여러 사람에게 보내는 경우가 매우 흔합니다. 중복 제거를 사용하면 여러 사람에게 발송된 전자 메일이 하나만 검색되어 검토할 메시지 수가 줄어듭니다.
- 전체 로깅 사용(Enable full logging)또한 검색된 모든 항목의 전체 목록을 포함하여 원하는 검색 결과의 전체 로그를 유지할 수 있습니다. 이 옵션은 중복 제거를 사용하여 여러 사람에게 있는 메시지를 하나만 유지하는 경우 특히 유용합니다. 나중에 Robin은 특정 사람이 중요한 메일로 플래그를 지정하여 사서함에 유지하는 메시지를 다른 사람은 지운 편지함 폴더로 이동하고 전혀 읽지 않았는지 등을 확인해야 할 수 있습니다. 이러한 모든 정보가 로그에 들어 있습니다.
- 전자 메일 알림(Email notification) 또한 Robin은 복사 프로세스가 완료될 때 전자 메일을 받도록 선택할 수 있습니다. 검색 결과 20GB~30GB의 데이터가 반환될 경우 검색 사서함으로 복사하는 데 시간이 오래 걸릴 수 있습니다.
마지막으로 Robin은 검색 결과를 저장할 검색 사서함을 선택해야 합니다.
복사가 완료된 후에 Robin은 복사 작업이 완료된 것을 확인하고 결과가 저장된 사서함에 대한 링크를 사용할 수 있습니다. 이제 검색 결과 복사본으로 이동하여 검색 결과를 볼 수 있습니다. 여기서 항목을 검토하고 항목을 중요한 것으로 태그 지정하거나, 중요하지 않다고 판단하는 경우 지운 편지함 폴더로 이동하여 더 이상 표시하지 않을 수 있습니다.
완료 후에 Robin은 통합된 결과를 외부 변호사와 공유해야 할 경우 Outlook 클라이언트를 사용하여 통합된 결과를 PST 파일로 내보낼 수 있습니다.
이것으로 새로운 Exchange의 현재 위치 eDiscovery 및 원본 위치 유지 기능을 간략하게 소개해 드렸습니다. 곧 게시할 예정인 이 게시물의 II부에서는 원본 위치 유지에 대해 자세히 소개하려고 합니다.
Bharat Suneja와 Julian Zbogar-Smith
이 문서는 번역된 블로그 게시물입니다. 원본 문서는 In-Place eDiscovery and In-Place Hold in the New Exchange - Part I을 참조하십시오.