비즈니스 내부에서 사이버 보안 위협 차단하기

작년에 발생한 미국 역대 최대 규모의 해킹 스캔들인 Equifax 데이터 침해 내막을 전 세계가 지켜봤습니다. 최근 들어 Equifax의 전 CEO인 Richard Smith는 스캔들의 전말은 Apache Struts 시스템의 취약성을 제거하도록 설계된 패치를 설치하도록 Equifax 직원에게 알리지 않은 IT 기술자 단 한 사람 때문이라고 밝혔습니다.

잘못이 누구에게 있든, 이 상황은 IT 보안이 얼마나 미약할 수 있는지 그리고 조직의 모든 사람이 IT 위험 관리 프로그램에 적극적으로 참여하는 일이 얼마나 중요한지를 보여줍니다. 어쨌든 사이버 보안 위협은 곧 사라지지는 않을 것이며 2021년 무렵에는 이로 인해 기업이 부담할 연간 비용이 6천조 원에 달할 것으로 예상하며 크게 보면 “역사상 가장 큰 부의 이동이 될 것”입니다.

사이버 보안의 작은 부주의에서 나오는 손실 중 대다수는 물론 대규모 엔터프라이즈 조직에서 발생합니다. 하지만 중소기업이 비즈니스를 보호하기 위해 할 수 있는 모든 조치를 취하지 않아도 된다는 의미는 아닙니다. 직원 및 고객과 상당히 개인적인 수준에서 일하고 있으므로 생계, 개인적인 관계, 평판 등 잃을 것이 누구보다 더 많을 수도 있습니다. 다행히 모든 규모의 기업이 모든 수준에서 보안을 향상하여 이러한 위협에 정면으로 대처하기 위해 취할 수 있는 조치가 몇 가지 있습니다.

• 직원 교육: 간단한 일이지만 Equifax 침해 건에서도 잘 알 수 있듯이, 회사 전체적으로 온라인 보안 교육을 하고 모범 사례를 시행하면 디지털 재해를 완화하는 데 많은 도움이 될 수 있습니다. 스푸핑 전자 메일 인식 및 처리, 보안 시스템 최신으로 유지, 안전한 온라인 활동과 같은 주제를 다루는 온라인 또는 오프라인 수업을 찾아 팀의 모든 구성원을 교육하세요.
• 올바른 전자 메일 클라이언트 선택: 장소와 관계없이 거의 모든 장치에서 전자 메일에 액세스하는 것은 매우 중요하지만, 보안을 위해 편의를 희생하는 것은 절대 선택 가능한 상황이 아닙니다. 스팸과 피싱 그리고 합법적인 메시지를 구분하여 적절하게 필터링하는 능력을 갖춘 전자 메일 서비스를 찾아보세요. 하이퍼링크를 사용 안 함으로 설정할 수 있도록 허용하고 팀이 유해 메시지에 회신할 수 없도록 만드는 전자 메일 필터라면 훨씬 더 좋습니다. 가능하다면 개인 수준이나 그룹 수준에서 설정할 수 있는 전자 메일 필터가 있는 프로그램을 찾아보세요. 이런 선택 기준으로 회사에 가장 좋은 프로그램을 결정할 수 있습니다.
• 장치 정책을 최신으로 유지: 장치 안전을 유지하기 위한 모범 사례를 규정하는 회사 정책을 수립하여 물리적 보안을 우선 순위로 만드세요. 장치를 분실하는 경우 따라야 할 프로토콜을 수립하고, 팀에게 연락처를 알리며, 기술적 관점에서 어떻게 대처해야 하는지를 명확히 하세요. 보호를 한층 더 강화하는 차원에서 모든 직원에게 사용 중인 장치에서 2단계 인증을 설정하도록 요구하세요. 그러면 장치를 도난당한 경우에도 절도범이 로그인 화면 뒤에 있는 내용에 액세스하려면 연락 수단을 입력해야 합니다.
• 소프트웨어 업데이트: Equifax 침해의 선례에서 우리는 직위와 관계없이 모든 직원이 자신이 사용하는 소프트웨어를 최신으로 유지하는 것이 매우 중요하다는 점을 배울 수 있습니다. 클라우드 기반 소프트웨어를 사용하는 경우 IT 보안 업데이트는 대체로 자동으로 이루어집니다. 그러나 클라우드 기반 소프트웨어를 사용하도록 전환하지 않은 회사를 소유 또는 관리하는 경우에도 업데이트를 자동화하여 직원에게 푸시할 수 있습니다. 이런 방법이 불가능하거나 사용하지 않으려는 경우에는 팀의 각 구성원이 자신의 컴퓨터에 업데이트를 설치하는 책임을 맡도록 할 수 있습니다. 업데이트가 사용 가능할 때 사용자에게 업데이트를 설치하라는 메시지가 표시되도록 소프트웨어를 설정하기만 하면 됩니다.

팀을 교육하는 부분에 대해서는 이미 다루었지만 아무리 강조해도 지나치지 않습니다. 마련해 둔 세이프가드가 아무리 많더라도, 세이프가드를 제대로 사용하도록 팀을 교육하고 이러한 예방 조치를 따라야 하는 중요성에 대해 상기시키는 재교육 자료를 정기적으로 직원에게 보내야 합니다. 이런 방법을 통해 직원에게 사이버 보안 위협을 인지하는 방법을 배우도록 할 뿐 아니라 불필요한 위험을 피하는 데 필요한 정보를 제공할 수도 있습니다.