2011.03.15

사무실 밖에서 정보를 보호하는 아홉 가지 방법

Dr. Hugh Thompson | CIO

새롭게 급부상한 전문직 종사자들의 특징은 언제나 커뮤니케이션이 가능하다는 것과, 사무실이 점차 스타벅스나 공항, 혹은 자택 등으로 옮겨가고 있다는 것이다. 하지만 이러한 편리함에는 보안 문제가 따른다. 안티바이러스와 같은 기본적 보안도 중요하긴 하지만, 갈수록 영리해져 가는 해커들의 공격을 다 막아내기에는 부족한 것이 사실이다.

 

그렇다면 사무실 밖에서도 정보를 보호할 수 있는 방법은 없을까? 사무실 이외의 공간에서도 직원들(그리고 회사 정보)을 안전하게 보호할 수 있는 아홉 가지 방법을 소개한다.

 

1. 노트북 디스크 암호화를 사용하라

정보 보호의 제 1원칙은 노트북의 하드 드라이브에 저장 돼 있는 정보를 보호해 직원이 한눈 판 사이 정보를 빼내어 가려는 해커들을 막아내는 것이다. 점점 더 많은 노트북이 업무에 사용되면서, 디스크 암호화의 중요성도 커져가고 있다. 제대로 암호화 하지 않은 컴퓨터에서 비밀번호란 해커들에게 문을 열기 전에 노크하는 정도의 수고밖에는 끼칠 수 없다.

 

2. 노트북의 경우, 바이오스에 부팅 순서와 비밀번호를 설정하자

대부분 윈도우 계정은 신경 써서 잠가놓지만, 바이오스는 어떤가? 숙련된 해커들은 가장 먼저 하드디스크 이외의 것들(USB나 CD등)을 부팅하려고 여기저기 쑤셔보고 다닌다. 하지만 이 작업을 호락호락하지 않게 만들어 줄 방법은 있다. 하나는 하드디스크를 바이오스의 부팅 리스트에 1순위로 올려놓은 다음 비밀번호를 걸어 그 순서를 못 바꾸게 하는 것이다. 만약 노트북 자체가 도난 당했다면, 하드 디스크를 빼내는 등 좀 더 무식한 방법을 사용할 수도 있다(하지만 1번의 충고를 따라 하드디스크가 암호화 돼 있다면 걱정을 덜 수 있다). 부팅 순서를 변경하는 것은 해커의 목표 달성을 한층 더 힘들게 만들 것이다.

 

3. 비밀번호 재설정 시 필요한 것이 무엇인지 알아보고, 직원들을 교육시켜라

비밀번호 재설정 시 개인 정보를 사용하는 것은 위험한 생각이다. 직원들의 이름은 해커가 가장 많이 노리는 항목이고, 할아버지 직업이나 어머니의 처녀적 성도 더 이상 알기 힘든 정보가 아니다. 해커는 소셜 네트워킹 사이트들이나 온라인에 올라와 있는 공공 기록 등을 통해 개인 정보를 캐낼 수 있다. 따라서 직원들이 회사나 개인 계정의 비밀번호 재설정을 통해 얼마나 쉽게 위험에 노출돼 있는지를 알게 하는 것은 매우 중요하다. 만약 직원들이 이메일, 노트북 등등의 비밀번호를 전부 잊어버렸다면, 어떻게 재설정을 할 것인가? 본인 확인 질문을 통해서? 누군가는 온라인을 통해 그 질문들에 대한 대답을 찾아 낼 수도 있지 않을까? 그렇다면, 이제는 그 질문이나 대답들을 바꿀 때가 됐다. 만약 그 계정에서 단순히 이메일을 보내 비밀번호 변경을 요청한다면, ‘이메일 비밀번호 재설정을 하려면 어떻게 해야 합니까?’라고 물어보길 바란다.

 

4. 직원들에게 공공 장소의 와이파이 사용이 위험하다는 것을 가르쳐라

공공장소의 와이파이를 사용할 때는 언제나 조심해야 한다. 민감한 내용(이메일이나 검색 등)을 주고받을 때 직원들은 언제나 신중에 신중을 기울여야 한다. 사무실 밖에서 일하는 직원들의 경우 반드시 암호화 된 경로(VPN, SSL이 걸린 웹메일 등)를 통해 이메일을 주고 받아야만 한다. 회사 이메일의 경우에는 암호화가 되지 않은 경로로는 아예 메시지를 주고받지 말아야 한다. 하지만 현실은 그렇지 못하다. 생산성을 핑계로 회사 정책을 굽히는 일이 잦다. 일례로 확인하기도 쉽고 사무실 밖에서도 작업하기 편리하다는 이유로 회사 문서를 개인의 이메일 계정으로 보내는 경우를 들 수 있다. VPN을 통하지 않거나 기업에서 제한한 기기로 업무가 행해질 것임을 안다면, 직원들에게 그 위험성에 대해 알리고 대안을 교육해야 한다.

 

AP0BE3.JPG5. 자동 패치 장치를 활용하자

윈도우와 오피스의 자동 업데이트는 실행시켰다 쳐도, 다른 소프트웨어들은 어쩔 셈인가? 해커들의 공격 방법은 날이 갈수록 다양해지고 있기 때문에 모든 소프트웨어의 패치를 업데이트 해 두는 것이 좋다. 과거에는 불량 패치를 자동 실행하는 것의 위험 때문에 패치가 안전한 것으로 확인 될 때까지는 시스템이 위험에 노출돼 있어도 그걸 감수했었다. 하지만 밖에서 일하는 경우가 많은 사람이라면, 그런 위험을 감수해서는 안 된다.

 

6. 다른 사람들의 눈을 조심하라

어찌됐든 중요한 정보가 노트북 화면에 뜨게 될 텐데, 정작 일하는 사람은 그 정보를 보호하기 위해 어떤 노력을 기울이고 있을까? 스마트 폰 카메라의 기능이 나날이 향상되고 있기 때문에 꽤 떨어진 곳에서 화면에 뜬 정보의 사진을 찍어 정보를 훔치는 경우도 발생하고 있다. 따라서 보이는 정보를 보호하는 것도 매우 중요하다. 다른 사람들이 잘 안 보이게끔 노트북 화면을 기울인다던가 사생활 보호용 가리개가 어느 정도는 도움이 될 것이다. 하지만 가장 중요한 것은 언제나 정보를 탐내고 있을 지도 모르는 주변의 사람들을 주의하면서 작업하라는 것이다. 특히 컨퍼런스나 세미나 같이 비슷한 산업 분야에 종사하는 사람들이 한 자리에 모이게 되는 경우에는 더더욱 그러하다.

 

7. 소셜 네트워킹 사이트의 정보 유출을 경계하라

이동 중에는 필요 이상의 정보를 노출하게 되기 쉽다. 직원들이 가장 많이 저지르는 실수도 바로 위치 정보를 알리는 것이다. 미팅 때문에 아칸소 주의 벤턴빌(Bentonville)에 와 있다는 말은 그다지 안 중요해 보일 수도 있지만, 경쟁자의 눈에는 당신의 회사가 월 마트와 협력 관계에 있다는 힌트를 주게 될 것이다. 벤턴빌에 본부를 두고 있는 회사는 별로 없기 때문이다. 이런 종류의 정보는 페이스 북이나 트위터에 업데이트 함으로써 직접적으로 공개 될 수도 있고, 페이스 북이나 트위터를 업데이트 하며 사용한 기기 때문에 간접적으로 노출 될 수도 있다.

 

위치 정보 이외에도, 링크드인과 같은 곳에 올라오는 사업 상의 관계 변화들이 매우 흥미롭고(그리고 아주 중요한) 정보가 될 수도 있음을 명심해야 한다. 만약 기업 인수 합병 부서에서 일하는 사람이 링크드인을 통해 규모가 작은 회사로부터 다섯 명의 사람을 새로 추가했다면, 누가 봐도 둘 사이에 무슨 관계가 있을 것이라 짐작할 것이다.

 

마지막으로, 정보가 인터넷에 공개될 경우 이메일 피싱을 그럴듯하게 보이게 만들려는 목적으로 누군가 그 정보를 이용할 수도 있음을 기억해야 한다. 이메일을 통한 공격이 너무 잦아진 까닭에 이제는 진짜 이메일과 공격성 이메일을 구분하기조차 힘들어졌다. 직원들은 그 위험성에 대해 잘 알고 회사 외부에서 중요 정보를 요구하는 이메일이 올 경우 매우 조심해야 한다.

 

8. 모바일 기기에는 원격 삭제 장치를 설치해두라

만약 작업 하던 모바일 기기를 잃어버린다면 어떻게 될까? 대부분의 경우, 그 기기 자체보다는 그 안에 담긴 정보가 훨씬 더 중요하고 값질 것이다. 회사에 관한 정보라면 특히 그럴 것이다. 대부분의 스마트폰은 원격 삭제 기능을 제공한다. 회사에서 제공하는 모바일 기기(그리고, 만일 가능하다면 회사 이메일을 확인할 수 있도록 돼 있는 사원들의 전자 기기)에도 이 기능을 적용 함으로써 기기 분실이나 도난에 대비해 보험을 들어두는 효과가 있다. 하지만 만약 해커가 그 기기에 아무런 규제도 받지 않고 접근할 수 있다면, 데이터를 우선 다운받은 후 원격 지움 장치를 해제해 버릴 수도 있다. 이 부분은 아홉 번째 팁과 관련이 있다.

 

9. 휴대 기기를 잠가 두자

편리함과 보안성 사이에서, 사람들은 보통 편리함을 찾게 된다. 만약 직원들이 모바일 기기를 통해 회사 정보에 접근하는 경우 모바일 기기를 잠가 둬야 함을 교육시켜야 한다. 이 경우 기기가 도난 당하거나 분실됐을 때에도 얼마 정도 시간을 벌 수 있다. 그렇게 번 시간으로 원격 지움 장치를 통해 정보를 지울 수도 있고 GPS를 통해 기기 자체를 찾아 낼 수도 있다. 또 몇 번의 로그인 실패 후에 저절로 정보를 삭제하는 기능을 가진 기기들도 많다. 설령 원격 지움 장치가 있다고 해도, 기기를 잠그지 않고 둘 경우 공격자들은 당신이 지움 명령을 내리기도 전에 지움 장치를 무력화 시켜 버리는 수도 있다.

 

결국, 기업과 개인 정보를 지키는 것은 끊임없는 주의를 요하는 일이다. 위의 팁들을 활용한다면 가장 위험한 공격들은 피할 수 있을 것이다.

 

Dr. Herbert Hugh Thompson은 피플 시큐리티(People Security)의 최고 보안 전략가이자 3M 프라이버시 필터 (3M Privacy Filters)의 자문 위원이다. 그는 또한 콜럼비아 대학에서 부교수직을 역임하고 있다. editor@idg.co.kr



2011.03.15

사무실 밖에서 정보를 보호하는 아홉 가지 방법

Dr. Hugh Thompson | CIO

새롭게 급부상한 전문직 종사자들의 특징은 언제나 커뮤니케이션이 가능하다는 것과, 사무실이 점차 스타벅스나 공항, 혹은 자택 등으로 옮겨가고 있다는 것이다. 하지만 이러한 편리함에는 보안 문제가 따른다. 안티바이러스와 같은 기본적 보안도 중요하긴 하지만, 갈수록 영리해져 가는 해커들의 공격을 다 막아내기에는 부족한 것이 사실이다.

 

그렇다면 사무실 밖에서도 정보를 보호할 수 있는 방법은 없을까? 사무실 이외의 공간에서도 직원들(그리고 회사 정보)을 안전하게 보호할 수 있는 아홉 가지 방법을 소개한다.

 

1. 노트북 디스크 암호화를 사용하라

정보 보호의 제 1원칙은 노트북의 하드 드라이브에 저장 돼 있는 정보를 보호해 직원이 한눈 판 사이 정보를 빼내어 가려는 해커들을 막아내는 것이다. 점점 더 많은 노트북이 업무에 사용되면서, 디스크 암호화의 중요성도 커져가고 있다. 제대로 암호화 하지 않은 컴퓨터에서 비밀번호란 해커들에게 문을 열기 전에 노크하는 정도의 수고밖에는 끼칠 수 없다.

 

2. 노트북의 경우, 바이오스에 부팅 순서와 비밀번호를 설정하자

대부분 윈도우 계정은 신경 써서 잠가놓지만, 바이오스는 어떤가? 숙련된 해커들은 가장 먼저 하드디스크 이외의 것들(USB나 CD등)을 부팅하려고 여기저기 쑤셔보고 다닌다. 하지만 이 작업을 호락호락하지 않게 만들어 줄 방법은 있다. 하나는 하드디스크를 바이오스의 부팅 리스트에 1순위로 올려놓은 다음 비밀번호를 걸어 그 순서를 못 바꾸게 하는 것이다. 만약 노트북 자체가 도난 당했다면, 하드 디스크를 빼내는 등 좀 더 무식한 방법을 사용할 수도 있다(하지만 1번의 충고를 따라 하드디스크가 암호화 돼 있다면 걱정을 덜 수 있다). 부팅 순서를 변경하는 것은 해커의 목표 달성을 한층 더 힘들게 만들 것이다.

 

3. 비밀번호 재설정 시 필요한 것이 무엇인지 알아보고, 직원들을 교육시켜라

비밀번호 재설정 시 개인 정보를 사용하는 것은 위험한 생각이다. 직원들의 이름은 해커가 가장 많이 노리는 항목이고, 할아버지 직업이나 어머니의 처녀적 성도 더 이상 알기 힘든 정보가 아니다. 해커는 소셜 네트워킹 사이트들이나 온라인에 올라와 있는 공공 기록 등을 통해 개인 정보를 캐낼 수 있다. 따라서 직원들이 회사나 개인 계정의 비밀번호 재설정을 통해 얼마나 쉽게 위험에 노출돼 있는지를 알게 하는 것은 매우 중요하다. 만약 직원들이 이메일, 노트북 등등의 비밀번호를 전부 잊어버렸다면, 어떻게 재설정을 할 것인가? 본인 확인 질문을 통해서? 누군가는 온라인을 통해 그 질문들에 대한 대답을 찾아 낼 수도 있지 않을까? 그렇다면, 이제는 그 질문이나 대답들을 바꿀 때가 됐다. 만약 그 계정에서 단순히 이메일을 보내 비밀번호 변경을 요청한다면, ‘이메일 비밀번호 재설정을 하려면 어떻게 해야 합니까?’라고 물어보길 바란다.

 

4. 직원들에게 공공 장소의 와이파이 사용이 위험하다는 것을 가르쳐라

공공장소의 와이파이를 사용할 때는 언제나 조심해야 한다. 민감한 내용(이메일이나 검색 등)을 주고받을 때 직원들은 언제나 신중에 신중을 기울여야 한다. 사무실 밖에서 일하는 직원들의 경우 반드시 암호화 된 경로(VPN, SSL이 걸린 웹메일 등)를 통해 이메일을 주고 받아야만 한다. 회사 이메일의 경우에는 암호화가 되지 않은 경로로는 아예 메시지를 주고받지 말아야 한다. 하지만 현실은 그렇지 못하다. 생산성을 핑계로 회사 정책을 굽히는 일이 잦다. 일례로 확인하기도 쉽고 사무실 밖에서도 작업하기 편리하다는 이유로 회사 문서를 개인의 이메일 계정으로 보내는 경우를 들 수 있다. VPN을 통하지 않거나 기업에서 제한한 기기로 업무가 행해질 것임을 안다면, 직원들에게 그 위험성에 대해 알리고 대안을 교육해야 한다.

 

AP0BE3.JPG5. 자동 패치 장치를 활용하자

윈도우와 오피스의 자동 업데이트는 실행시켰다 쳐도, 다른 소프트웨어들은 어쩔 셈인가? 해커들의 공격 방법은 날이 갈수록 다양해지고 있기 때문에 모든 소프트웨어의 패치를 업데이트 해 두는 것이 좋다. 과거에는 불량 패치를 자동 실행하는 것의 위험 때문에 패치가 안전한 것으로 확인 될 때까지는 시스템이 위험에 노출돼 있어도 그걸 감수했었다. 하지만 밖에서 일하는 경우가 많은 사람이라면, 그런 위험을 감수해서는 안 된다.

 

6. 다른 사람들의 눈을 조심하라

어찌됐든 중요한 정보가 노트북 화면에 뜨게 될 텐데, 정작 일하는 사람은 그 정보를 보호하기 위해 어떤 노력을 기울이고 있을까? 스마트 폰 카메라의 기능이 나날이 향상되고 있기 때문에 꽤 떨어진 곳에서 화면에 뜬 정보의 사진을 찍어 정보를 훔치는 경우도 발생하고 있다. 따라서 보이는 정보를 보호하는 것도 매우 중요하다. 다른 사람들이 잘 안 보이게끔 노트북 화면을 기울인다던가 사생활 보호용 가리개가 어느 정도는 도움이 될 것이다. 하지만 가장 중요한 것은 언제나 정보를 탐내고 있을 지도 모르는 주변의 사람들을 주의하면서 작업하라는 것이다. 특히 컨퍼런스나 세미나 같이 비슷한 산업 분야에 종사하는 사람들이 한 자리에 모이게 되는 경우에는 더더욱 그러하다.

 

7. 소셜 네트워킹 사이트의 정보 유출을 경계하라

이동 중에는 필요 이상의 정보를 노출하게 되기 쉽다. 직원들이 가장 많이 저지르는 실수도 바로 위치 정보를 알리는 것이다. 미팅 때문에 아칸소 주의 벤턴빌(Bentonville)에 와 있다는 말은 그다지 안 중요해 보일 수도 있지만, 경쟁자의 눈에는 당신의 회사가 월 마트와 협력 관계에 있다는 힌트를 주게 될 것이다. 벤턴빌에 본부를 두고 있는 회사는 별로 없기 때문이다. 이런 종류의 정보는 페이스 북이나 트위터에 업데이트 함으로써 직접적으로 공개 될 수도 있고, 페이스 북이나 트위터를 업데이트 하며 사용한 기기 때문에 간접적으로 노출 될 수도 있다.

 

위치 정보 이외에도, 링크드인과 같은 곳에 올라오는 사업 상의 관계 변화들이 매우 흥미롭고(그리고 아주 중요한) 정보가 될 수도 있음을 명심해야 한다. 만약 기업 인수 합병 부서에서 일하는 사람이 링크드인을 통해 규모가 작은 회사로부터 다섯 명의 사람을 새로 추가했다면, 누가 봐도 둘 사이에 무슨 관계가 있을 것이라 짐작할 것이다.

 

마지막으로, 정보가 인터넷에 공개될 경우 이메일 피싱을 그럴듯하게 보이게 만들려는 목적으로 누군가 그 정보를 이용할 수도 있음을 기억해야 한다. 이메일을 통한 공격이 너무 잦아진 까닭에 이제는 진짜 이메일과 공격성 이메일을 구분하기조차 힘들어졌다. 직원들은 그 위험성에 대해 잘 알고 회사 외부에서 중요 정보를 요구하는 이메일이 올 경우 매우 조심해야 한다.

 

8. 모바일 기기에는 원격 삭제 장치를 설치해두라

만약 작업 하던 모바일 기기를 잃어버린다면 어떻게 될까? 대부분의 경우, 그 기기 자체보다는 그 안에 담긴 정보가 훨씬 더 중요하고 값질 것이다. 회사에 관한 정보라면 특히 그럴 것이다. 대부분의 스마트폰은 원격 삭제 기능을 제공한다. 회사에서 제공하는 모바일 기기(그리고, 만일 가능하다면 회사 이메일을 확인할 수 있도록 돼 있는 사원들의 전자 기기)에도 이 기능을 적용 함으로써 기기 분실이나 도난에 대비해 보험을 들어두는 효과가 있다. 하지만 만약 해커가 그 기기에 아무런 규제도 받지 않고 접근할 수 있다면, 데이터를 우선 다운받은 후 원격 지움 장치를 해제해 버릴 수도 있다. 이 부분은 아홉 번째 팁과 관련이 있다.

 

9. 휴대 기기를 잠가 두자

편리함과 보안성 사이에서, 사람들은 보통 편리함을 찾게 된다. 만약 직원들이 모바일 기기를 통해 회사 정보에 접근하는 경우 모바일 기기를 잠가 둬야 함을 교육시켜야 한다. 이 경우 기기가 도난 당하거나 분실됐을 때에도 얼마 정도 시간을 벌 수 있다. 그렇게 번 시간으로 원격 지움 장치를 통해 정보를 지울 수도 있고 GPS를 통해 기기 자체를 찾아 낼 수도 있다. 또 몇 번의 로그인 실패 후에 저절로 정보를 삭제하는 기능을 가진 기기들도 많다. 설령 원격 지움 장치가 있다고 해도, 기기를 잠그지 않고 둘 경우 공격자들은 당신이 지움 명령을 내리기도 전에 지움 장치를 무력화 시켜 버리는 수도 있다.

 

결국, 기업과 개인 정보를 지키는 것은 끊임없는 주의를 요하는 일이다. 위의 팁들을 활용한다면 가장 위험한 공격들은 피할 수 있을 것이다.

 

Dr. Herbert Hugh Thompson은 피플 시큐리티(People Security)의 최고 보안 전략가이자 3M 프라이버시 필터 (3M Privacy Filters)의 자문 위원이다. 그는 또한 콜럼비아 대학에서 부교수직을 역임하고 있다. editor@idg.co.kr



X