기업 정보보호 노하우 5가지 - 정보보안 이렇게 시작하세요!
기업 정보보호 노하우 5가지 - 정보보안 이렇게 시작하세요!
네트워크 컴퓨팅, 클라우드, 빅데이터, 인공지능(AI) 등 다양한 IT기술들이 생산성 향상 및 근무환경 개선을 위해 기업에 도입되고 있습니다. 특히, 변화에 민첩하게 대응하는 스타트업과 중소기업들은 더욱 빠르게 이런 변화를 받아들이고 있죠. 이런 기업의 디지털화 추세에 따라 빠르게 증가하는 위협이 있습니다. 바로 보안사고입니다.
최근 사이버 공격 및 정보유출 시도가 빠르게 확산되고 있지만 아직까지도 IT예산에서 정보보안의 비중은 1% 미만에서 1~5% 미만인 곳이 대부분입니다. 결국 정보보호에 투자는 적지만 사이버 공격 및 내부정보유출은 발생하지 않기를 기원하고 있는 상황입니다.
기업 정보보호 조직의 한계
많은 기업들이 정보보안의 중요성은 공감합니다. 이에 따라, 보안에 대한 담당자 또는 조직을 작게나마 보유하고 있는 곳이 많죠. 하지만 그 한계가 명확합니다. 많은 경우, 기업 내 정보보호 조직은 총무팀이나 경영지원팀에서 하위 업무로 병행하거나 정보보안에 대한 실무경험이 없는 인원이 담당하는 등 조직 내 중요도를 낮게 평가하기 때문입니다. 따라서, 보안업무가 정상적으로 이뤄지기 어렵고 이뤄진다고 해도 각팀에 보안 취약점 개선을 요청하여도 서비스 가용성 및 업무 진행의 원활함에 밀려서 반영되지 않는 경우가 대부분입니다.
사실 기업의 정보보호에 대한 미온적인 태도는 어제 오늘일이 아닙니다.
기본적으로 이윤추구를 목적으로 하는 기업에서 매출증대에 중대한 영향을 준다고 판단되지 않는 영역에 미온적일 수밖에 없을 수 있습니다. 따라서 이런 정보보호의 풀리지 않는 실타래를 해결하기 위해서는 기업의 위기감 인식과 적극적인 태도 중요하지만 적은 리소스로도 효율적으로 기업 내 정보를 보호할 수 있는 방법을 찾아내는 것이 중요합니다.
기업 정보보호 실패, 왜 발생할까?
많은 정보보안 사고(해킹 내부정보유출 등)는 대부분 기본적이고 상식적인 보안규칙을 지키지 않아서 발생합니다. 대표적인 정보보안 사고의 예시를 확인해보겠습니다.
1. 악성코드 감염방지 대책 미비
2. 내부 정보유출방지 대책 미비
3. 중요정보 보관관리 대책 미비
4. 개인 이메일, 메신저를 업무에 사용
5. 허가받지 않은 저장매체(USB, 외장하드 등)를 업무에 이용
일반적으로 정보보호을 단어를 들으면 떠올리는 안티바이러스 기능도 개인용 S/W나 윈도우에 기본으로 있는 윈도우 디펜더에 의존하는 기업이 많을 정도로 정보보호 의식 및 대비가 부족하기 때문에 국내에서 사이버 범죄가 성행하고 있습니다.
어느 기업이나 쉽게 정보보호를 시작할 수 있는 노하우 5가지
첫번째, 내외부 모든 보안 위협에 대응할 수 있는 보안 대책 필요
정보유출은 외부에서도 내부에서도 모두 발생이 가능합니다. 외부의 해킹 공격 및 악성코드 감염부터 내부의 임직원의 정보 무단복제 및 유출 등을 모두 대응할 수 있는 입체적인 보안 대책이 필요합니다.
두 번째, 보안업무 및 정보보호 정책의 업무 적용 시의 리소스 고려
대기업을 제외하면 순수하게 보안업무만을 담당하는 부서가 충분한 리소스를 가지고 운영되는 경우가 적기 때문에 보안 담당자가 적은 리소스로도 효율적으로 사내 정보보호 정책을 변경할 수 있는지, 정보보호 정책이 사내에 도입되었을 때 실무자의 업무환경은 어떻게 변화하는지, 고려해봐야 합니다.
세번째, 계정 및 접속 권한 관리와 접속 기록 모니터링
직무로 구분되는 것이 아닌 실질적인 필요에 따라 각 임직원별로 구분하여 계정 및 데이터 접속 권한을 부여해야 합니다.
접근 권한 선별 부여
- 각 실무자별 업무에 따라 실질 필요성이 있는 실무자에게 권한부여
- 각 실무자의 관리자는 실질 필요성이 있는지, 언제까지 필요한지 구분
차등 사용 권한 부여 및 사용 기록관리
- 데이터를 사용 목적에 따라 열람, 편집, 전송 등 차등된 권한으로 구분하여 부여
- 데이터 접근에 대한 로그정보를 기록하여 모니터링 및 차후 점검용으로 사용
제3자(아웃소싱) 관리
- 조직이 소유하고 있는 정보에 대한 외부 또는 제3자에게 제한된 액세스 권한 부여
네 번째, 기업용 정보보호 기술 도입 및 활용
기업 내부 보안 수준을 높이기 위해서 목적에 맞는 정보보호 기술 도입이 필요합니다.
기업에서 주로 이용되는 정보보호 기술은 다음과 같습니다.
1. 기업용 안티 바이러스
가정에서 사용하는 개인용 바이러스 백신과 다르게 중앙관리 시스템이 포함되어 있는 기업용 바이러스 백신이 있습니다. 기업용 바이러스 백신은 중앙에서 관리하기 때문에 관리자가 사내 전체 안티 바이러스 관련 보안정책을 세울 수 도 있고 임직원이 임의로 종료 및 삭제가 불가합니다.
2. DLP (Data Loss Prevention)
데이터 유출 예방이라고 불리는 DLP보안 기능은 메일, 메신저 같은 S/W와 USB, 외장하드, 핸드폰 같은 이동식 저장매체를 통해서 내부의 정보가 외부로 유출되지 않도록 막아주는 보안 기능입니다. 자료 반출 차단, 반출 시 승인절차 추가, 반출 로그기록 등 필요에 따라 유동적인 설정이 가능합니다.
3. DRM (Digital Right Management)
디지털 저작권 관리라고 불리는 DRM 보안 기능은 특정 사용자만 허가해서 콘텐츠 또는 문서, 파일 등에 접근할 수 있도록 합니다. 파일 암호화를 통해서 불법 복제를 사전에 차단해서 문서와 저작권을 보호합니다.
4. NAC (Network Access Control)
네트워크 접근제어라고 불리는 NAC보안 기능은 특정 보안 정책에 부합하는 단말기(PC, 모바일, 태블릿 등)만 네트워크에 접속할 수 있게 해서 비인가된 단말기 및 유저가 내부 네트워크에 침입할 수 없도록 차단하는 기능입니다.
다섯 번째, 정보보안 인증을 통해서 자사의 정보보호 수준을 객관적으로 진단
우리 회사가 정보보호 수준이 높은지 의문이 들 때가 있습니다. 사실 자사를 대상으로 사이버 공격 및 내부정보유출 시도가 발생하기 전까지는 우리가 정말 정보보호 수준이 높은지 가시적으로 확인하기 어렵습니다. 이때 보안인증을 취득하는 것이 우리 회사의 보안 수준을 채점하기 위한 좋은 지표가 될 수 있습니다. 보안인증을 취득했다고 100% 안전한 것은 아니지만 그 인증을 취득하고 유지하기 위한 과정에서 정보보호 수준을 높일 수 있기 때문입니다.
국내 보안인증 종류
ISMS (정보보호 관리체계)
정보통신망법에 근거로 정보보호 시스템을 적절하게 갖추고 있는지 검증하는 대표적 보안인증, 기업이 보안점검을 위해 자발적으로 취득할 수 도 있지만 특정 산업 및 규모 이상의 기업은 법률에 따라 의무 대상자로 지정되기 때문에 반드시 ISMS를 취득해야 합니다.
ISMS-P (정보보호 및 개인정보 보호관리체계)
위의 ISMS에 의거한 정보보호 시스템을 갖추고 추가로 자사 비즈니스가 대량의 개인정보를 보유하거나 활용하는 경우 ISMS 인증 심사에 추가로 개인정보 흐름 관리 및 개인정보보호 영역을 추가로 인증하여 취득할 수 있습니다.
국외 보안인증 종류
ISO 27001 (정보보호 관리체계)
ISMS와 동일하게 회사의 정보보호 시스템을 적절하게 갖추고 있는지 검증하는 대표적인 글로벌 보안인증으로 전 세계에서 통용되기 때문에 단 하나의 보안인증으로 여러 국가에서 자사의 보안 수준을 어필할 수 있다는 장점이 있습니다.
정보보호는 '달성'이 아닌 '유지'입니다. 위의 5가지 보안 노하우로 사내에 탄탄한 보안 시스템을 구축하여도 새로운 임직원의 유입, 새로운 협업 툴 도입, 새로운 파트너사와 협업 등 다양한 이유로 인해 새롭게 보안 현황을 개선해서 시스템을 강화해야 합니다.
저희 엑소스피어는 여러분의 안전한 성장을 기원하겠습니다.
최근 사이버 공격 및 정보유출 시도가 빠르게 확산되고 있지만 아직까지도 IT예산에서 정보보안의 비중은 1% 미만에서 1~5% 미만인 곳이 대부분입니다. 결국 정보보호에 투자는 적지만 사이버 공격 및 내부정보유출은 발생하지 않기를 기원하고 있는 상황입니다.
2. 내부 정보유출방지 대책 미비
3. 중요정보 보관관리 대책 미비
4. 개인 이메일, 메신저를 업무에 사용
5. 허가받지 않은 저장매체(USB, 외장하드 등)를 업무에 이용
접근 권한 선별 부여
- 각 실무자별 업무에 따라 실질 필요성이 있는 실무자에게 권한부여
- 각 실무자의 관리자는 실질 필요성이 있는지, 언제까지 필요한지 구분
차등 사용 권한 부여 및 사용 기록관리
- 데이터를 사용 목적에 따라 열람, 편집, 전송 등 차등된 권한으로 구분하여 부여
- 데이터 접근에 대한 로그정보를 기록하여 모니터링 및 차후 점검용으로 사용
제3자(아웃소싱) 관리
- 조직이 소유하고 있는 정보에 대한 외부 또는 제3자에게 제한된 액세스 권한 부여
기업에서 주로 이용되는 정보보호 기술은 다음과 같습니다.
가정에서 사용하는 개인용 바이러스 백신과 다르게 중앙관리 시스템이 포함되어 있는 기업용 바이러스 백신이 있습니다. 기업용 바이러스 백신은 중앙에서 관리하기 때문에 관리자가 사내 전체 안티 바이러스 관련 보안정책을 세울 수 도 있고 임직원이 임의로 종료 및 삭제가 불가합니다.
2. DLP (Data Loss Prevention)
데이터 유출 예방이라고 불리는 DLP보안 기능은 메일, 메신저 같은 S/W와 USB, 외장하드, 핸드폰 같은 이동식 저장매체를 통해서 내부의 정보가 외부로 유출되지 않도록 막아주는 보안 기능입니다. 자료 반출 차단, 반출 시 승인절차 추가, 반출 로그기록 등 필요에 따라 유동적인 설정이 가능합니다.
3. DRM (Digital Right Management)
디지털 저작권 관리라고 불리는 DRM 보안 기능은 특정 사용자만 허가해서 콘텐츠 또는 문서, 파일 등에 접근할 수 있도록 합니다. 파일 암호화를 통해서 불법 복제를 사전에 차단해서 문서와 저작권을 보호합니다.
4. NAC (Network Access Control)
네트워크 접근제어라고 불리는 NAC보안 기능은 특정 보안 정책에 부합하는 단말기(PC, 모바일, 태블릿 등)만 네트워크에 접속할 수 있게 해서 비인가된 단말기 및 유저가 내부 네트워크에 침입할 수 없도록 차단하는 기능입니다.
ISMS (정보보호 관리체계)
정보통신망법에 근거로 정보보호 시스템을 적절하게 갖추고 있는지 검증하는 대표적 보안인증, 기업이 보안점검을 위해 자발적으로 취득할 수 도 있지만 특정 산업 및 규모 이상의 기업은 법률에 따라 의무 대상자로 지정되기 때문에 반드시 ISMS를 취득해야 합니다.
ISMS-P (정보보호 및 개인정보 보호관리체계)
위의 ISMS에 의거한 정보보호 시스템을 갖추고 추가로 자사 비즈니스가 대량의 개인정보를 보유하거나 활용하는 경우 ISMS 인증 심사에 추가로 개인정보 흐름 관리 및 개인정보보호 영역을 추가로 인증하여 취득할 수 있습니다.
국외 보안인증 종류
ISO 27001 (정보보호 관리체계)
ISMS와 동일하게 회사의 정보보호 시스템을 적절하게 갖추고 있는지 검증하는 대표적인 글로벌 보안인증으로 전 세계에서 통용되기 때문에 단 하나의 보안인증으로 여러 국가에서 자사의 보안 수준을 어필할 수 있다는 장점이 있습니다.
정보보호는 '달성'이 아닌 '유지'입니다. 위의 5가지 보안 노하우로 사내에 탄탄한 보안 시스템을 구축하여도 새로운 임직원의 유입, 새로운 협업 툴 도입, 새로운 파트너사와 협업 등 다양한 이유로 인해 새롭게 보안 현황을 개선해서 시스템을 강화해야 합니다.
저희 엑소스피어는 여러분의 안전한 성장을 기원하겠습니다.