IT 관리 / 보안

모든 원격 직원이 갖춰야 할 보안 도구 10가지

Tim Ferrill | CSO 2021.08.03
어떠한 기업 네트워크에도 사람이 가장 큰 취약점이라는 것은 공공연한 사실이다. 여러 시스템의 복잡한 비밀번호를 제대로 관리하지 못하고, SNS 사용 습관이 좋지 않으며, 심지어 이메일 링크같은 것이나 온라인 쇼핑 또는 앱과 소프트웨어 사용에 대한 인식이 부족하기도 하다.

특히 원격 근무자가 많아진 코로나 이후 시대를 맞이해 기업의 심각한 문제는 직원들이 당면한 이런 보안 과제가 직원의 개인 기기까지 매우 쉽게 확대되는 반면, 기업 IT 부서의 가시성과 통제권은 그렇지 않다는 것이다. 

물론 직원들 스스로의 보호를 지원하는 수단을 찾기만 하면 예산을 유지하고 개인정보 침해를 방지하면서 기업 자원 보호를 강화할 수도 있다. 한 가지 방법은 직원에게 이번 기사에서 소개된 개인 보안 도구의 사용을 권장하는 것이다. 기업에서 비용을 부담하거나 직원이 직접 구입하도록 인센티브를 제공할 수도 있다. 


원격 직원용 10대 보안 도구
  

  1. 사이버보안 훈련
  2. 디지털 지갑
  3. 신용/디지털 ID 모니터링
  4. 비밀번호 관리자
  5. 이중 토큰
  6. 악성코드 방지 소프트웨어
  7. VPN 서비스
  8. 백업 솔루션
  9. 개인정보보호용 화면 필터
  10. 노트북, 스마트폰, 네트워크 하드웨어

- 사이버보안 훈련
물론 훈련을 도구라고 하기에는 지나친 감이 있지만, 많은 회사가 이미 일정 형태의 사이버보안 훈련 체계를 갖추고 있어도 직원들이 본인의 개인 생활과 재무와 관련된 위험을 깨닫게 하는 것은 어려운 일이다. 사이버보안 훈련을 통해 직원이 본인의 디지털 생활 보호에 투자하는 결과를 가져온다면 기업 이익 보호라는 엄청난 부수적인 효과를 얻을 수 있다.

일부 보안 업체는 다양한 분야의 사이버보안 훈련을 폭넓은 가격대로 제공하고 있다. 훈련 도구에서 주안점을 두어야 할 부분은 직원에게 적절한 디지털 습관이 개인 웰빙에 주는 가치를 납득시켜 온라인 상에서 스스로의 보호에 투자하게 하는 일이다.

- 디지털 지갑
디지털 지갑은 비록 전통적인 보안 도구는 아니지만 보안 관점에서 유용한 이유가 몇 가지 있다. 첫째, 실물 지갑을 사용하는 빈도가 낮으면 낮을수록 카드를 쓴 후 그대로 놔두거나 다른 카드(예: 운전면허증이나 회사 ID)가 빠져나와 ID 침해에 악용될 기회도 줄어든다. 

둘째, 디지털 지갑은 온라인에서 신용카드 대신 사용되거나 계정을 생성하지 않고 프로필을 만드는 수단으로 사용될 수 있다. 그러면 개인의 디지털 발자국을 줄일 수 있고 최고의 보안 수준을 유지하는 서비스에만 한정시킨다. 많은 경우에 직원에게는 이미 본인 스마트폰 운영체제의 일부로 제공되는 디지털 지갑(애플 페이) 또는 구글 월렛이 있을 가능성이 높기 때문에 디지털 지갑의 가치와 설정 방법에 대한 교육만 실시하면 된다.

- 신용/디지털 IT 모니터링
대부분의 사람이 익숙한 신용 모니터링은 범죄자가 신청했을 가능성이 있는 신규 신용카드나 대출과 같은 것에 대한 신용 이력을 추적한다. 

신용 모니터링은 해킹된 ID에 대한 조기 경보 시스템을 제공한다. 이는 개인 보안과 기업 보안에 모두 잠재적으로 매우 중요하다. 해킹된 ID는 악성 사용자가 직원 정보를 충분히 확보해 추가로 사용자 이메일 계정이나 스마트폰을 해킹한 후에 이를 기업 계정과 같은 더욱 중요한 해킹에 활용하는 결과로 이어질 수 있기 때문이다.

디지털 ID 모니터링도 신용 모니터링과 비슷하지만 특정 종류의 정보, 즉 기밀 정보(주민등록번호, 은행계좌번호 및 고유송금번호)와 이보다는 약간 공개적인 이메일 주소와 전화번호 등에 집중하고 있다. 디지털 ID 모니터링은 계좌/계정 정보(금융정보 또는 사용자명 및 비밀번호)가 해킹되어 온라인 상에 누출된 경우 사용자에게 통보해 비밀번호 변경이나 신용카드 교체와 같은 조치를 취할 기회를 준다. 

- 비밀번호 관리자(Password managers)
비밀번호는 오랫동안 기업계의 열쇠 역할을 해 오고 있다. 기업은 비밀번호 기반 인증과 관련된 위험을 없애기 위한 조치를 취하고 있지만 비밀번호가 없어지려면 아직 멀었다. 일반 소비자 쪽은 상황이 더욱 심각하다. 소비자 서비스는 비밀번호 없는 인증 옵션을 갖춘 경우가 드물다. 비밀번호 없는 인증 옵션은 일반적으로 마이크로소프트와 구글 같은 대기업들이 제공하는 서비스에 한정되어 있다.

차선책은 각 온라인 서비스마다 비밀번호를 고유하고 복잡하게(단순히 특수 문자만이 아닌 쉽게 예측할 수 없을 정도의 충분한 길이로) 하는 적절한 비밀번호 관리를 권장하기 위해 할 수 있는 모든 것을 하는 것이다. 직원들이 이런 비밀번호 관리 작업을 스스로 할 수 있으리라는 기대는 애초에 가망이 없기 때문에 비밀번호 관리 시스템이 필요하다.

좋은 비밀번호 관리자는 좋은 비밀번호 습관을 권장한다. 또한, 여러 계정에 똑같은 비밀번호가 사용되면 직원에게 경고를 보내고 무작위 문자로 생성된 강력한 비밀번호를 지원하기까지 한다. 비밀번호 관리자 서비스는 다크 웹에 공개된 해킹된 계정 정보를 주시하거나 사용 서비스에 구멍이 뚫리면 경고해 주는 등(비밀번호를 바꿀 것을 종용함) 몇 번이고 사용자의 디지털 ID 모니터링도 도울 것이다.

- 이중 토큰
이상적인 것은 모든 사람이 중대한 작업 내용 전체에 이중 인증(two-Factor Authentication, 2FA)을 사용하는 것이지만 최소한 직원은 이메일(그 자체로 사실상 인증 요소)과 금융 계좌같은 것에는 추가 인증 요소를 사용하고 있어야 한다. 

직원이 간단히 스마트폰을 활용할 수 있는 시간 기반의 1회용 비밀번호(Time-based One-Time Passwords, TOTP)와 같은 2FA 시스템이 있지만 방대한 애플리케이션 및 서비스(웹 기반과 로컬 방식 둘 다 해당)와 작동하는 유비코 유비키(Yubico Yubikey)와 같은 하드웨어 토큰에 가치가 있다. 

다양한 공격 범주에 대한 다양한 2FA 유형의 성공 여부를 비교한 구글 연구에 따르면, 하드웨어 토큰은 표적 공격에 대해 심지어 앱 기반 인증 장치보다 더 강력히 보호해 주는 것으로도 나타났다.

- 악성코드 방지 소프트웨어
당연히 필수 보안 도구로 포함된 악성코드 방지 소프트웨어는 서명 매칭부터 AI 기반 탐지까지 다양한 기법을 사용해 대부분의 악성코드 범주 및 변종으로부터 직원 기기가 보호되도록 돕는다. 악성코드 방지 소프트웨어가 기기 보안에 궁극적인 솔루션은 아니라는 점은 지난 수십 년에 걸쳐 분명해졌지만 핵심 요소임은 틀림없다. 

기기 기반 공격은 기기의 종류나 운영체제와 관계 없이 인증 정보 등 민감한 사용자 데이터를 훔치기 위해 여전히 많이 사용되는 수단이다. 악성코드 방지 소프트웨어가 좋은 점은 기기 기반 공격의 긴 역사를 감안할 때 사용자 기기에 반드시 설치해야 하는 것이라고 설득하기가 쉽다는 점이다.

- VPN 서비스
VPN는 요즘 기업 네트워크에 없는 곳이 거의 없는 편인데 구현하기가 비교적 쉽다는 점, 신뢰할 수 없는 네트워크 상에서의 개인정보 보호 수단을 제공한다는 점, 사용자가 마치 기업 사무실에 앉아 있는 것처럼 기업 자원에 접근하도록 허용할 수 있다는 이유로 널리 사용된다. 

많은 기업이 직원이 소유한 기기를 기업 네트워크에 연결하도록 허용하는 것에 대해 우려를 표하는 것은 타당하다. 하지만 직원이 공용 와이파이 네트워크 사용 시 간단히 VPN을 활용해 기업 네트워크에 연결할 수 있다는 것에는 여전히 장점이 있다. 기업 VPN 연결 사용이 안심할 수준에 이르지 못하는 경우를 대비해, 많은 기업이 믿을 만한 여러 VPN 서비스를 지원해, 하드웨어 또는 대역폭에 있어 기업 자원을 전혀 차지하지 않고도 유사한 개인정보보호를 제공하고 있다.

- 백업 솔루션
랜섬웨어가 이제 위협으로 자리잡았기 때문에 매우 중요한 데이터를 복원할 수단을 갖추는 것은 필수적이다. 직원들에게 본인 개인 기기의 백업 솔루션을 제공하는 것은 해당 기기에서 업무 기능을 수행하는 경우 분명한 가치가 있다. 

설령 기업 정책 상 업무에 직원 개인 기기의 사용이 금지된 경우에도 직원 개인 생활의 안정성과 중대한 데이터의 손실이 직원 가족에게 미칠 영향을 감안하며 개인 기기의 백업 솔루션 제공을 지지하는 주장이 나올 수 있다.

저렴한 대안으로는 클라우드 스토리지 솔루션 중에서 크립토로커 방지 기능이 있는 것을 선택하는 것이다. 즉, 랜섬웨어 공격을 탐지해 직원 파일이 암호화되는 것을 막을 수 있다. 이를 검토 중이라면 잃게 되는 기능을 반드시 고려해야 한다. 예를 들어, 일정에 따라 특정 파일이나 폴더를 자동으로 백업하는 기능이라든지 풀백업 솔루션에서 이용 가능한 경우가 많은 모니터링 또는 보고 도구 등이다.

- 개인정보 보호용 화면 필터
모든 문제에 첨단기술 솔루션이 필요한 것은 아니다. 원격 근무로 인해 공공 장소에서 본인의 기기를 사용하거나 업무 회의에 개인 웹 카메라를 사용하는 직원이 많아졌다. 개인정보 보호용 노트북 화면 필터나 웹 카메라 덮개와 같은 간단한 물리적 솔루션을 제공하면 직원의 개인정보와 기업 자원을 둘 다 보호할 수 있다. 이와 같은 물리적 개인정보 보호 솔루션은 가격도 매우 저렴한 편이어서 직원이 구입하기도 쉽다.

- 노트북, 스마트폰, 네트워크 하드웨어
기업이 고려해야 할 사실은 기업 보안에는 보안에 대한 사전 투자 비용과 나중에 침해가 일어날 경우 부담해야 할 비용 사이의 적절한 균형이 늘 요구된다는 것이다. 

적절한 균형 잡기는 크고 작은 기업에 내재한 예산 현실과 더불어 인프라 투자를 우선시 하는 대기업에서 많이 드러난다. 중소 기업도 사용자 관리와 모니터링을 하지 않아 생기는 위험이 추가 비용 지출을 정당화하는지 여부를 평가해야 하며 이는 임원진과 같은 한정된 사용자를 대상으로도 해당된다.

직원이 집에 있는 동안 사용할 기기나 네트워크 하드웨어를 구입하면 기업 IT 관리의 범위(및 통제)가 확장되므로 보안이 증대되는 효과가 생긴다. 즉, 잠재적인 위협을 주시하고 있다가 싹부터 자를 수 있다.

노트북과 모바일 기기는 직원이 집에서 사용하도록 흔히 투자되는 품목이지만 네트워크 하드웨어(와이파이 액세스 포인트, 라우터/방화벽 또는 기타 네트워크 보안 장치) 분야 역시 고려해야 한다. 이들 기기는 악성 행위자들의 표적이 되는 경우가 늘고 있으며 해킹되면 네트워크 상의 모든 기기가 위험해지기 때문이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.