글로벌 트렌드 / 보안

재택근무에 대한 IT 지원, 다중 인증이 최우선이다

Christopher Burgess | CSO 2021.12.30
필자는 ‘CISO가 출장 보안 프로그램에서 검토해야 할 내용’이라는 기사를 쓴 적이 있다. 지난 2년여 동안 이어진 코로나19 팬데믹으로 인해 별다른 관심을 얻지 못했다. 2020년 초부터 대부분 기업은 직원의 근무지를 사무실이 아닌 인터넷 접속이 가능한 임의의 장소로 바꾸었고, IT팀은 이런 변화를 수용하느라 분주했다. CISO 역시 공식적인 재택근무(Work From Home, WFH) 정책과 구현 절차를 마련해야 했다.
 
ⓒ Getty Images Bank

변화는 빠르고 다양했다. 사내 네트워크에 접속할 때 외부 인터넷 연결을 허용하는 것 외에는 아무런 조치를 취하지 않은 기업도 있고, 보다 체계적인 접근 방법을 택한 기업도 있다. 후자의 방법을 선택한 대표적인 곳이 자이프로(XYPRO)라는 보안 업체다. 자이프로 CISO이자 최고 제품 책임자인 스티브 처치안은 “재택근무 절차와 관리 방안을 신속하게 조정해서 사내 보안 인프라의 보호 없이 모든 직원이 동시에 재택근무를 해야 하는 상황에 대처해야 했다”라고 말했다.


다중 인증이 우선이고, 기술적 관리는 그 이후다

자이프로에는 재택근무 경험이 전혀 없어 기기를 제대로 갖추지 못한 직원도 있었으며, 집에서 업무용으로 사용하는 컴퓨터를 자녀의 학업에 사용하는 사례도 많았다. 따라서 자이프로는 다중 인증(Multi-factor Authentication, MFA)을 구현해 모든 서비스를 자격증명 공격에서 보호하는 데 우선순위를 뒀다. 

다중 인증 구현은 정보보안 측면에서 힘든 작업이었다. 처치안은 사무실의 보안 울타리 내에서 작업하는 직원 못지않게 원격 인력을 보호하기 위해 재택근무 시 지켜야 할 사항을 목록으로 만들었다.
 
  • 모든 서비스에서 MFA 의무화
  • BYOD 기기를 특정 OS/패치 수준으로 유지
  • 안티바이러스 툴을 설치하고 정의를 최신 상태로 유지
  • 적절한 와이파이 보호
  • BYOD 기기에서 회사 데이터 사용 금지
  • 컴퓨터 공유 금지
  • 자녀의 학업에도 컴퓨터가 필요한 경우 회사 컴퓨터 또는 클라우드 작업 공간 제공

기술적 관리 방안을 마련한 것은 이 다음이었다. 처치안은 직원의 기기에 저장된 업무와 무관한 개인 데이터를 원격으로 삭제할 수 있는 기능과 모바일 기기 관리 프로그램을 도입했다. 자이프로 직원들은 모두 회사 BYOD 프로그램에 자발적으로 참여했다.

원격근무가 절정기에 이르면서 자격증명 재사용 공격도 덩달아 늘고 있다. 보안 업체 에셋(ESET)의 조사에 따르면, 2020년 원격근무자를 대상으로 한 RDP(Remote Desktop Protocol) 공격이 768% 증가했다. 인증 솔루션 업체 하이퍼(HYPR) CEO 보잔 시믹은 “VPN 사용자 수도 2020년 54% 이상 증가했지만, 이에 비해 MFA 도입은 제자리걸음”이라고 지적했다.

카세야(Kaseya) 최고 전략 책임자 마이크 푸글리아 역시 MFA와 조건부 액세스 정책을 의무화해야 한다고 강조했다. 푸글리아는 “집 또는 멀리 떨어진 해변 방갈로에서 업무를 수행하는 직원은 클라우드 앱을 폭넓게 활용한다. 물리적 위치나 기기에 근거한 방식은 더 이상 통하지 않는다”라고 말했다. 

재택근무 전환으로 인한 영향이 상대적으로 적은 기업도 있었다. 애초부터 원격근무 중심으로 운영한 보안 업체 앱노멀 시큐리티(Abnormal Security)가 대표적이다. 앱노멀 시큐리티 CISO 마이크 브리튼은 “모든 직원이 재택근무를 하기 때문에 회사 정책과 업무 절차도 이를 염두에 두고 설계했다. 보안은 회사 운영의 핵심적인 측면이므로 집이나 카페, 사무실 등 어디에서 일하든 좋은 보안 습관과 요구사항을 똑같이 적용한다”라고 설명했다.


재택근무를 위한 직원 교육

브리튼에 따르면, 앱노멀 시큐리티는 직원의 재택근무 절차를 명확하게 정의한 자동화 프로세스를 보유하고 있다. 기업의 보안 기준에 따라 구성하고 중앙에서 관리하는 업무용 노트북을 모든 직원에게 지급하는 것으로 시작한다.   

앱노멀 시큐리티는 업무용 노트북에 회사 리소스 접근 시 다중 인증을 요구하는 기업 SSO(Single Sign-On) 솔루션을 활용한다. 모든 기기의 엔드포인트 수준에 EDR(Endpoint Detection and Response) 소프트웨어와 웹 필터링 프로그램을 설치해 악성 웹사이트 접속을 차단하며, 서드파티 솔루션으로 기기의 규정 준수를 모니터링하고 직원이 임의로 변경하는 것을 방지한다.

해리스 폴(Harris Poll)이 미국 직장인을 대상으로 진행한 설문조사에 따르면, 업무 흐름을 끊거나 번거로운 절차를 요구하는 회사 보안 규약을 피한다고 답한 응답자가 71%에 달했다. 기업용 소프트웨어 솔루션 업체 벤(Venn) CEO 데이비드 마탈론은 “최첨단 DLP(Data Loss Prevention) 플랫폼을 사용하면 모든 업무 관련 데이터를 보호하고 무제한적인 접근을 차단한다. 직원이 사용 기기와 장소에 구애받지 않는 ‘타협 없는 자유’를 누릴 수 있는 셈이다”라고 설명했다.


BYOD 정책의 필요성

벤도 예외 없이 BYOD를 채택했고, 관리자가 필요한 경우 업무 관련 데이터를 회수하거나 삭제할 수 있는 솔루션도 마련했다. 벤의 로컬존(LocalZone) 솔루션은 전통적인 원격 관리 모니터링의 보호 수준을 동일하게 유지하면서 직원의 개인정보를 되도록 보호하는 데 초점을 뒀다. 마탈론은 “데이터 삭제가 필요한 경우 직원의 사생활 데이터는 그대로 두고 업무 관련 데이터만 모두 삭제할 수 있다”라고 설명했다.

종합적인 BYOD 전략을 보유한 기업은 드물다. 푸글리아는 “기업의 BYOD 전략은 직원이 주 업무용 기기를 사용할 수 없을 때 편의를 위해 스마트폰에서 이메일을 주고받고 몇 가지 앱을 사용하는 것을 허용하는 정도다. 기업은 위치와 기기에 관계없이 기업 네트워크에 안전하게 접속하도록 BYOD 전략을 다시 마련해야 한다”라고 지적했다. 

물리적인 사무실의 경계는 이제 무의미하다. 그동안 시행하던 모든 정책과 절차를 근무 위치에 상관없이 모든 직원과 기기에 확대 적용해야 한다. 자이프로가 재택근무를 전사적으로 도입할 때 가장 먼저 MFA를 의무화한 것도 이런 이유에서다.

재택근무 도입은 종합적인 설계 계획과 의사결정이 필요한 과정이다. 기업의 보안을 강화할 수 있지만 CISO의 운영 비용이 늘어나는 경우도 있다. 앞서 언급한 업계의 사례는 재택근무라는 과제에 대처하는 다양한 방법을 보여준다. BYOD를 채택하든 회사 장비를 지급하든, 안전한 원격근무를 구현하기 위한 프로세스와 절차는 반드시 필요하다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.