정책 만든 후 반복해서 교육 시키는 것이 중요

궁극적으로 쫓아야 할 목표는 모두가 참여하는 ‘보안문화’

[보안뉴스 문가용] 모바일 기술의 발전으로 기업들은 리스크 관리의 새로운 시대로 들어섰다. 그것도 아무런 준비 없는 상태에서. 물론 대기업이야 자금도 빵빵하니 뒤늦게 대처하는 데에 아무런 문제도 없었지만 중소기업은 이야기가 다르다. 가뜩이나 해킹이니 개인정보 유출이니 해서 시끄러운 때 중소기업들에게 휴대기기의 발전은 참으로 무심하기도 하다.

그래서 휴대기기 보안 때문에 골치 아픈 중소기업들을 위해 세 가지 방안을 정리해보았다.

1. 정책을 세우라

개인정보와 기업정보를 한 기기 안에서도 명확히 구분해주는 보안정책을 준비하라. 그러면 직원들이 자신들의 손에 들린 기기로 할 수 있는 일과 할 수 없는 일을 명확하게 인지할 수 있게 된다. 그리고 이런 정책에 대한 설명을 할 때 직원들이 잘 알아들을 수 있게 쉬운 단어를 써야 한다. 아무리 정책이 공의로워도 그걸 실천해야 할 사람들이 이해하지 못한다면 아무런 효력이 없는 것이나 마찬가지다. 또한 개인 기기를 통해 회사 네트워크에 접속할 수 있는 권한을 줄 때 서명을 받도록 한다.

2. 교육, 관리, 감사의 삼위일체

사용자의 교육이 중요하다는 건 새삼 강조할 필요가 없다. 그렇다면 뭘 교육해야 할까? 회사의 입장에서 모바일 기기가 어떤 위험을 가지고 있는지를 알려줘야 한다. 또한 그런 위험에 대비해 직원으로써 어떻게 행동해야 하는지를 명확하게 해야 한다. 강하고 확실한 문구로 만들어진 회사정책을 직원들에게 자주 노출시키는 것도 중요하다. 직원이 어떤 정보에 접속할 때에도 내규 문구가 먼저 나오게 하고, 주기적인 정보접속 현황 감사보고서에도 기재를 하는 등의 방법을 쓰면 자연스럽다. 교육의 최고봉은 반복학습이므로 이 원리를 잘 활용하도록 하자. 또한 이런 반복적인 강조와 교육이 있으면 문화 형성까지 이어질 수 있다.

또한 기기를 분실하거나 도난당했을 때 해야 할 일과 분실과 도난을 방지하는 방법에 대해서도 교육해야 한다. 예를 들면 다음 사항이 있을 수 있다.

가) 잠금 화면의 암호를 어렵게 만든다. 적어도 8글자에서 10글자가 넘게 설정하도록 권장한다.

나) 안티바이러스 및 안티멀웨어 애플리케이션을 깔도록 한다.

다) 데이터 암호화를 적극 사용한다.

라) 데이터 백업을 주기적으로 하고 안전하게 보관한다.

마) 기기의 위치를 알려주거나 원격으로 데이터 제거를 할 수 있는 앱을 설치한다.

바) OS와 앱은 항상 최신화시킨다.

3. 감시 감시 또 감시

사실 끊임없는 감시만큼 효과적인 방어책은 없다. 그런데 이게 말처럼 쉽지 않다. 남다른 집중력과 훈련, 리더십과 보안에 대한 문화가 필요하다. 다음과 같은 요소들이 꼭 있어야 한다.

가) 사람 : 충분한 훈련과 교육을 받아 정보처리에 능해야 한다.

나) 문화 : 데이터 보안에 대해 민감하게 반응하는 문화가 형성되어야 한다.

다) 리더십 : 큰 그림 안에서 정보의 우선 순위와 민감도를 판단할 수 있어야 한다.

라) 기술 : 신기술이 제대로 도입되었는가? 그 신기술이 어떻게 사용되고 있는지 잘 감시하고 있는가? 회사와 잘 어울리는가?

위협에 대한 감시를 잘 하려면 네트워크에 접속이 가능한 모든 기기를 먼저 파악하고 있어야 한다. 그 기기들과 관련된 직원들의 활동사항 역시 실시간으로 파악해야 한다. 또한 공격이 감지되었을 때 어떻게 알릴 것인지, 어떤 행동을 어떤 순서로 취할 것인지에 대한 규칙도 수립되어야 한다.

결국 회사 크기가 작든 크든 궁극적으로 이루어야 할 목표는 ‘보안문화’를 형성하는 것이다. 그런 문화 속에서 직원들이 기기 사용을 자연스럽게 체득하는 것처럼 확실한 교육방법이 없기 때문이다. 그렇다는 건, 모바일과 보안문제가 회사의 우두머리들 몇몇만이 머리를 맞대고 해결할 성질의 것이 아니라는 의미가 된다. 이건 회사 내 모든 사람의 문제다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>