• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

기업에서 SNS 활용시 ‘보안’ 고려한 원칙 정하라 2017.05.05

SNS는 트래픽 관리나 파일 유출 문제 때문에 통제를 해야 하지만 현업에서는 효율적인 업무를 위해 요구하고 있습니다. 기업 망에서 SNS 사용을 차단하는 게 맞을까요, 아니면 허용하는 게 맞을까요? 보안을 유지하면서 효율적으로 SNS를 업무에 활용할 수 있는 방법이 있을까요?

[보안뉴스 원병철 기자] 망분리가 되어 중요 업무는 내부망에서만 이루어진다면 외부망(인터넷)에서만 SNS를 허용해 사용자 편의를 생각해 볼 수 있겠습니다. 하지만 망분리가 되어 있지 않고, 중요정보나 파일이 유출될 걸 염려한다면 당연히 SNS는 업무에 활용하지 않는 게 좋을 것 같습니다. 단, 모든 사용자에게 허용을 하지 않고 선별적으로 꼭 업무에 필요한 인원으로 한정해 관리해야 할 것 같습니다.
[여동균 이글루시큐리티 보안관제팀장(ydk0034@naver.com)]

ⓒ iclickart

 
기업 망에서 SNS의 허용은 직원들 간 협업을 유도해 생산성과 커뮤니케이션을 향상시키며, 대중적인 소셜 네트워킹 사이트는 기업의 경우 고객 유치, 인재 모집, 고객 서비스 개선, 브랜드 이미지 관리 등에 있어 도움이 된다는 장점이 있습니다. 그러나 본질적인 위험 특히 보안성에서 위험이 있는 것은 부인할 수 없는 사실입니다.

SNS가 멀웨어(Malware) 공격에 아주 취약하고 네트워크 침해, 지적 재산 도난, 기업 기밀 누출, 웹사이트 및 소셜 미디어 고객 계정 하이재킹(Hijacking) 등의 보안 위험이 있습니다. 이런 이유 때문에 SNS 사용 허용을 위해서는 SNS 사용에 대한 정책과 기업망 감시 그리고 보호 기술을 아우르는 보안 전략 수립이 필요하고, 안전한 SNS 사용방법을 꾸준히 교육할 필요가 있습니다.
[한국산업기술보호협회 중소기업기술지킴센터]
 
흔히 보안을 일컬어 ‘양날의 검’이라는 얘기를 많이 합니다. 사용자의 편의성을 최대한 보장하지만 안전한 환경에서 사용할 수 있도록 해야 한다는 것이죠. 문의하신 SNS 사용에 대한 부분이 보안 관리자에게 어려운 점이 되지 않을까 싶습니다. SNS 자체가 단순히 친구들과의 의사소통으로 끝나지 않고, 회사차원에서 마케팅 및 영업 용도로 많이 사용되고 있기 때문입니다.

이러한 이유로 SNS 사용을 완전히 통제하기 보다는 회사 네트워크 자원을 통해서 SNS를 사용할 때는 목적에 따라 제한을 두는 방법을 제안합니다. SNS 중에 보편적으로 사용되는 페이스북을 살펴보면, 기본적으로 글쓰기/포스팅/챗 기능을 제공합니다. 그리고 스트리밍/다운로드/공유/앱실행/오디오&비디오 챗 기능을 제공합니다. 이 모든 기능들은 SNS를 사용하는 사용자에게 편의를 제공하기 위해서 제공되는 기능들입니다. 하지만 이러한 편의 기능들이 악용될 경우 보안 위협이 될 수 있다는 것이 문제입니다.

문의 주신 내용에서 걱정하시는 부분을 정리해 보도록 하겠습니다. 첫째, 무분별한 SNS사용으로 인해 업무시간에 사내 네트워크 자원에 부족 현상을 발생 시킬 수 있습니다. 그리고 포스팅 기능을 통한 내부 정보 유출에 대한 부분, 다운로드 기능을 통한 악성코드 감염된 파일 유입 가능성 등 잠재적인 위험성을 가지고 있는 것이 현실입니다. 추가적으로 SNS의 URL 링크를 통해서 외부 악성코드를 다운로드(Drive-by-Downloads) 받을 수 있는 위험도 존재합니다.

그럼, 사용자의 편의를 최대한 존중하면서 발생할 수 있는 보안 위협들을 효과적으로 해결할 수 있는 방법을 살펴보도록 하겠습니다. SNS를 사용하는 사용자의 사용 목적에 따라 사용을 허가할 수 있는 SNS를 분류합니다. 그리고 SNS를 사용할 때 사용자ID/부서/그룹별 SNS에서 제공하는 기능들을 제한해 허용하는 방법을 적용할 수 있습니다.

예를 들면, 일반 사용자의 경우 읽기 기능만을 활성화하고 다른 기능에 대해서는 사용제한을 적용하고, 홍보를 주목적으로 하는 마케팅 또는 영업 부서에 대해서는 글쓰기/포스팅/공유 기능을 활성화해 사용하게 합니다. 그리고 업무시간을 제외한 지정된 시간에만 해당 SNS를 사용할 수 있도록 시간을 지정해 적용하는 방법도 좋은 해결 방안이 될 것입니다.

제한된 기능 및 시간을 적용하여 SNS를 사용하더라도 외부 악성사이트에 접속하여 악성코드에 감염될 수 있는 위험이 존재하기 때문에 URL 필터링(Filtering) 기능을 이용해 업무와 관계 업는 사이트들에 대해서 외부 접속을 제한하도록 해 사용자 편의성 및 내부 보안성을 높일 수 있습니다.
[김승준 한국IBM 차장]
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>