2009.02.19

회사에서 이용하는 SNS, 위험요소와 대책

David Kelleher | CIO

AP0BB3.JPG수백만의 사람들이 페이스북, 마이스페이스, 베보(Bebo)같은 소셜 네트워킹 사이트를 이용하고 있다. 그들은 친구들과 새로운 소식, 사진, 잡담 등을 공유하고, 그것들을 고치거나 새로운 친구를 추가하는데 시간을 쓰고 있다.

 

인터넷상의 소셜 네트워킹을 이토록 유명하게 만든 것은, 개개인이 같은 취미, 직업 또는 관심사를 공유하는 사람들이나 친구들, 가족을 얼마든지 만들고, 유지하고, 확장할 수 있게 했기 때문이다.

 

예를 들어 점점 대중화되어 가는 페이스북은 회사의 마케팅 팀이 자기 회사의 프로필을 가지고 있는 것만으로도 마케팅을 하는 가능성을 보여주면서 그들을 끌어들였다. 온라인 네트워크를 통한 판매나 마케팅을 이용해 기업의 메시지가 한 네트워크에서 다른 네트워크로 눈덩이처럼 불어나는 효과를 만들 수 있다. 이런 사이트들은 비슷한 관심사를 가진 사람들 그룹을 타깃할 수 있는 길을 제공해주며, 가장 중요한 것은 이런 것이 무료라는 점이다.

 

페이스북이나 다른 소셜 네트워킹 사이트들이 상업적으로 사용할 수 있다는 것은 의심의 여지가 없는 사실이지만, 그렇다고 해서 회사에서 무엇을 위해 업무 중에 소셜 네트워킹 사이트 이용을 허락해야 할까? 걱정해야 될 것은 무엇일까? 직원들이 페이스북, 링크드인(LinkedIn)과 같은 소셜 네트워킹 사이트에 일하는 도중에도 접속할 수 있도록 해야 할까?

 

걱정해야 할 것들

 

소셜 네트워킹 사이트는 아래 4가지 문제의 근원이다.

 

1. 생산력 손실 : 정보 보안 컨설팅 회사인 글로벌시큐어시스템즈(Global Secure Systems)와 인포시큐리티유럽(Infosecurity Europe)의 조사 결과에 따르면, 이런 사이트를 이용하는 것으로 인하여 영국 회사들은 매년 약 1,250만 달러의 손실을 입고 있다. 다른 연구결과에서는 직원들이 이런 사이트를 방문하는데 적어도 30분 이상 사용하며, 어떤 직원들은 근무 시간 중 3시간 이상을 자신의 온라인 프로필을 관리하는데 사용하고 있다는 것이 나타났다.

 

2. 대역폭과 같은 네트워크 리소스 소모 : 작은 기업들에게는 소셜 네트워킹 사이트에서의 불필요한 검색과 파일 업/다운로드가 대역폭을 차지하면서 네트워크 리소스에 영향을 끼칠 수 있다.

 

3. 사회공학적(Social engineering) 해킹과 피싱(phishing) : 이로 인해 데이터나 개인 정보 유출이 발생할 수 있다. 대부분의 사람들이 낯선 사람에게 어떤 자세한 내용도 말하기를 꺼려함에도 불구하고, 소셜 네트워킹 사이트에서 얻을 수 있는 정보들은 깜짝 놀랄만하다. 개인 이메일 주소부터 심지어 주민등록번호까지 있다.

 

4. 해커나 스팸 메일을 보내는 사람들에게 매력적인 사이트가 된다 : 소셜 네트워킹 사이트는 스파이웨어(spyware), 바이러스, 온라인 스캠(scam) 등 어떤 종류의 맬웨어(malware)를 가지고 있든지 해커들에게 참 매력적인 곳이다. 그런 사이트를 위해 수 백 개의 프로그램들이 개발되고 있으며 트로이목마와 같은 맬웨어의 무대로 사용되고 있다.

 

회사가 취할 수 있는 방안은?

 

세가지 선택 사항이 있다.

1. 소셜 네트워킹 사이트 접속을 막는다. (극단적인 경우로는 모든 인터넷 연결을 차단)

2. 직원들이 무제한으로 접속하는 것을 허용하며, 그들이 단지 점심 시간에만 그것을 이용하며 결코 파일들을 다운로드 하지 않을 것이라고 자신만만해 한다.

3. 일반적인 인터넷 서핑이나 다운로드를 포함해, 직원들이 이런 종류의 사이트에 접속하는 것을 감시하고 제한한다.

 

인터넷 접속을 완전히 차단하는 것은 분명 역효과를 가져올 것이며, 무분별한 웹 서핑을 허락하는 것은 집 열쇠를 자물쇠에 끼워두고 집을 떠나는 것과 같다,

 

그 사이에서 타협점을 찾자면, 회사에서 소셜 네트워킹 사이트에 누군가 접속했을 때 모든 웹 활동을 감시하고 개개인 별로 통제하는 방법이 적당하다. 관리자들은 웹 모니터링 소프트웨어를 이용하여 직원들의 점심시간을 제외한 대부분의 근무시간에는 접속을 못 하도록 차단할 수 있다. 같은 소프트웨어로 그들이 다운로드 하는 파일이나 온라인 접속 링크들을 실시간으로 검사하여, 이것이 바이러스나 맬웨어인지 확인할 수 있다.

 

만약 회사에서 소셜 네트워킹 프로필을 마케팅 목적으로 사용하고 싶다면, 접근 권한은 프로필을 업데이트할 사람에게만 부여되어야 하며, 모든 콘텐츠는 그것이 적절한지 점검을 거쳐야 한다. 추가적인 다른 프로그램을 사용하는 것은 추천하지 않는다.

 

교육이 매우 중요하다. 만약 회사에서 직원들이 그들의 소셜 네트워킹 프로필에 제한되게 접속하기를 바란다면, 직원들이 경각심을 가지고, 수상한 인터넷 링크의 클릭을 피하고, 감염되었을 가능성이 있는 파일이나 프로그램을 다운로드 하지 말아야 한다는 것을 숙지시켜야 하며, 그들의 프로필에 너무 자세한 사항을 추가하지 못 하도록 해야 한다. 상세 정보는 개인 정보를 도용하고 사기 행각을 벌이는데 사용될 수 있다.

 

해커들은 사기를 치거나 스팸을 보내거나 멜웨어 공격을 할 수 있는 가능성을 보기 때문에 소셜 네트워킹 사이트를 좋아한다. 반면에 회사들은 보안 위험성을 깨달을 필요가 있으며, 인터넷과 소셜 네트워킹이 제공할 수 있는 최대한을 이용하게 허락을 하면서도, 자신들의 시스템과 데이터를 지켜낼 준비를 갖춰야 한다. editor@idg.co.kr

 

데이비드 켈러헐은 GFI의 통신 및 연구 분석가이다.



2009.02.19

회사에서 이용하는 SNS, 위험요소와 대책

David Kelleher | CIO

AP0BB3.JPG수백만의 사람들이 페이스북, 마이스페이스, 베보(Bebo)같은 소셜 네트워킹 사이트를 이용하고 있다. 그들은 친구들과 새로운 소식, 사진, 잡담 등을 공유하고, 그것들을 고치거나 새로운 친구를 추가하는데 시간을 쓰고 있다.

 

인터넷상의 소셜 네트워킹을 이토록 유명하게 만든 것은, 개개인이 같은 취미, 직업 또는 관심사를 공유하는 사람들이나 친구들, 가족을 얼마든지 만들고, 유지하고, 확장할 수 있게 했기 때문이다.

 

예를 들어 점점 대중화되어 가는 페이스북은 회사의 마케팅 팀이 자기 회사의 프로필을 가지고 있는 것만으로도 마케팅을 하는 가능성을 보여주면서 그들을 끌어들였다. 온라인 네트워크를 통한 판매나 마케팅을 이용해 기업의 메시지가 한 네트워크에서 다른 네트워크로 눈덩이처럼 불어나는 효과를 만들 수 있다. 이런 사이트들은 비슷한 관심사를 가진 사람들 그룹을 타깃할 수 있는 길을 제공해주며, 가장 중요한 것은 이런 것이 무료라는 점이다.

 

페이스북이나 다른 소셜 네트워킹 사이트들이 상업적으로 사용할 수 있다는 것은 의심의 여지가 없는 사실이지만, 그렇다고 해서 회사에서 무엇을 위해 업무 중에 소셜 네트워킹 사이트 이용을 허락해야 할까? 걱정해야 될 것은 무엇일까? 직원들이 페이스북, 링크드인(LinkedIn)과 같은 소셜 네트워킹 사이트에 일하는 도중에도 접속할 수 있도록 해야 할까?

 

걱정해야 할 것들

 

소셜 네트워킹 사이트는 아래 4가지 문제의 근원이다.

 

1. 생산력 손실 : 정보 보안 컨설팅 회사인 글로벌시큐어시스템즈(Global Secure Systems)와 인포시큐리티유럽(Infosecurity Europe)의 조사 결과에 따르면, 이런 사이트를 이용하는 것으로 인하여 영국 회사들은 매년 약 1,250만 달러의 손실을 입고 있다. 다른 연구결과에서는 직원들이 이런 사이트를 방문하는데 적어도 30분 이상 사용하며, 어떤 직원들은 근무 시간 중 3시간 이상을 자신의 온라인 프로필을 관리하는데 사용하고 있다는 것이 나타났다.

 

2. 대역폭과 같은 네트워크 리소스 소모 : 작은 기업들에게는 소셜 네트워킹 사이트에서의 불필요한 검색과 파일 업/다운로드가 대역폭을 차지하면서 네트워크 리소스에 영향을 끼칠 수 있다.

 

3. 사회공학적(Social engineering) 해킹과 피싱(phishing) : 이로 인해 데이터나 개인 정보 유출이 발생할 수 있다. 대부분의 사람들이 낯선 사람에게 어떤 자세한 내용도 말하기를 꺼려함에도 불구하고, 소셜 네트워킹 사이트에서 얻을 수 있는 정보들은 깜짝 놀랄만하다. 개인 이메일 주소부터 심지어 주민등록번호까지 있다.

 

4. 해커나 스팸 메일을 보내는 사람들에게 매력적인 사이트가 된다 : 소셜 네트워킹 사이트는 스파이웨어(spyware), 바이러스, 온라인 스캠(scam) 등 어떤 종류의 맬웨어(malware)를 가지고 있든지 해커들에게 참 매력적인 곳이다. 그런 사이트를 위해 수 백 개의 프로그램들이 개발되고 있으며 트로이목마와 같은 맬웨어의 무대로 사용되고 있다.

 

회사가 취할 수 있는 방안은?

 

세가지 선택 사항이 있다.

1. 소셜 네트워킹 사이트 접속을 막는다. (극단적인 경우로는 모든 인터넷 연결을 차단)

2. 직원들이 무제한으로 접속하는 것을 허용하며, 그들이 단지 점심 시간에만 그것을 이용하며 결코 파일들을 다운로드 하지 않을 것이라고 자신만만해 한다.

3. 일반적인 인터넷 서핑이나 다운로드를 포함해, 직원들이 이런 종류의 사이트에 접속하는 것을 감시하고 제한한다.

 

인터넷 접속을 완전히 차단하는 것은 분명 역효과를 가져올 것이며, 무분별한 웹 서핑을 허락하는 것은 집 열쇠를 자물쇠에 끼워두고 집을 떠나는 것과 같다,

 

그 사이에서 타협점을 찾자면, 회사에서 소셜 네트워킹 사이트에 누군가 접속했을 때 모든 웹 활동을 감시하고 개개인 별로 통제하는 방법이 적당하다. 관리자들은 웹 모니터링 소프트웨어를 이용하여 직원들의 점심시간을 제외한 대부분의 근무시간에는 접속을 못 하도록 차단할 수 있다. 같은 소프트웨어로 그들이 다운로드 하는 파일이나 온라인 접속 링크들을 실시간으로 검사하여, 이것이 바이러스나 맬웨어인지 확인할 수 있다.

 

만약 회사에서 소셜 네트워킹 프로필을 마케팅 목적으로 사용하고 싶다면, 접근 권한은 프로필을 업데이트할 사람에게만 부여되어야 하며, 모든 콘텐츠는 그것이 적절한지 점검을 거쳐야 한다. 추가적인 다른 프로그램을 사용하는 것은 추천하지 않는다.

 

교육이 매우 중요하다. 만약 회사에서 직원들이 그들의 소셜 네트워킹 프로필에 제한되게 접속하기를 바란다면, 직원들이 경각심을 가지고, 수상한 인터넷 링크의 클릭을 피하고, 감염되었을 가능성이 있는 파일이나 프로그램을 다운로드 하지 말아야 한다는 것을 숙지시켜야 하며, 그들의 프로필에 너무 자세한 사항을 추가하지 못 하도록 해야 한다. 상세 정보는 개인 정보를 도용하고 사기 행각을 벌이는데 사용될 수 있다.

 

해커들은 사기를 치거나 스팸을 보내거나 멜웨어 공격을 할 수 있는 가능성을 보기 때문에 소셜 네트워킹 사이트를 좋아한다. 반면에 회사들은 보안 위험성을 깨달을 필요가 있으며, 인터넷과 소셜 네트워킹이 제공할 수 있는 최대한을 이용하게 허락을 하면서도, 자신들의 시스템과 데이터를 지켜낼 준비를 갖춰야 한다. editor@idg.co.kr

 

데이비드 켈러헐은 GFI의 통신 및 연구 분석가이다.



X