중소기업을 위한 비즈니스 보안 실천 방안

1995년에 영화 ”해커들”에서, 주인공은 민감한 정보를 플로피 디스크에 다운로드한다. 물론 오늘날 기술의 진전은 똑같이 보안 위협의 진전을 야기시켰다. 컴퓨터들이 봇넷에 의해 손상을 받은 작년의 뉴스보도를 생각해 보라. 기업은 일상적으로 이러한 사이버보안 위험에 노출되어 있고, 그러한 위험은 새 비즈니스 커뮤니케이션과 컴퓨팅 도구에 지나치게 의존함으로써 더욱 커지게 된다.

대부분의 비즈니스 운영자들은 이메일이 비즈니스 성공의 열쇠라고 이해하고 있지만, 그들 네트워크는 늘어나는 정교한 이메일 바이러스와 스팸의 확산에 어느 때보다도 취약해지고 있다. 가트너에 따르면, 전체 바이러스와 웜의 90%가 이메일을 거쳐 각 조직에 침투한다. 이러한 위협의 대부분은 외부 소스로부터 생겨나지만, IT 종사자들은 의도적이건 실수로 일어나건 내부인이 만들어내는 위협을 간과해서는 안된다.  

큰 기업은 사전에 위협을 진단하고 방지할 수 있는 자원을 가지고 있지만, 아주 많은 중소기업들은 그들의 정보자산을 보호하기가 점점 어려워지고 있다는 것을 깨닫고 있다. 불행히도 기존의 파이어월과 안티바이러스 솔루션은 모든 위협을 막아 내는 데에 더 이상 충분하지 않다. 효과적인 보안 솔루션은 지속적으로 통합적이고 고급 기술과 보안에 민감한 비즈니스 관행으로 진화해야만 한다. 그렇다면 비즈니스를 둘러싼 보안을 엄격히 하기 위해 무엇을 할 수 있을까? 좀 더 실천적인 방안을 살펴보자.

새로운 위협들

새로운 종류의 위협은 최근에 표면화되어 드러났고, 사이버 보안 공격의 수는 증가하고 있다. 위협은 매년 점점 교묘해지고 대항하기에 점점 어려워지고 있다. 소셜 미디어, 모바일 작업환경 그리고 웹 애플리케이션이 증가함에 따라, 회사들은 다양한 벡터들로부터 더욱 효과적이고 다양한 공격을 받고 있다.

결과적으로 패치 다운로드가 진화하는 사이버 범죄행위를 따라잡질 못하고 있으며, 가장 최근의 어떤 위협들은 첫 공격 이후 두 시간 이내에 아주 빨리 잘 방어되어있는 네트워크조차 침투하고 있다.

공격목표가 정해진 이메일 공격의 대부분은 종종 “Spear phishing”이라 불리는데, 일반 사용자가 통상적으로 사용하고 있는 프로그램의 취약성을 이용한다. 이는 인터넷 접속이 된 컴퓨터를 손상시키기 위해 사용되는 주요한 초기 감염 방식이다. 공격자들은 사용자들이 감염된 웹 사이트를 방문할 때 또한 이런 취약성을 악용한다.  

날로 증가하고 있는 또 다른 보안 위협은 다양한 웹 애플리케이션을 통한 공격인데, SANS 연구소에 따르면 2009년 기준으로 인터넷에서 발견된 총 공격 시도의 60% 이상이 그것이었다. 종종, 해커들은 신뢰성 있는 웹 사이트의 취약성을 악용하며, 그러한 웹 페이지를 악의적인 사이트로 이동시켜 신속하게 위협을 확산시킨다.

불행하게도, 많은 사이트 운영자들은 이러한 해킹 전략을 가능하게 해주는 통상적 결함을 효과적으로 스캔해내지 못 하고 있으며, 그 사이트가 안전하다고 여기며 방문하는 최종 사용자들에게 보안 책임을 떠넘기고 있다. 이러한 인터넷 기반의 위협은, 중소기업들이 회사의 서비스를 홍보하는 데 많이 사용하는 소셜 네트워크의 인기와 비례적으로 증가하고 있다.

중소기업들은 외부 위협의 영향을 경감시키는 대책을 수행하는 것이 중요하다는 것은 이해하지만, 보안은 양방향 문제인 것이다. 밖으로 나가는 데이터도 들어오는 데이터만큼 해로울 수 있다. 예를 들어, 규정 수준이 높은 기관들, 즉 금융기관과 병원들 혹은 그들과 계약관계의 사람들은, 직원들이 민감한 고객 혹은 환자 정보를 유출시킨다면 법적 책임에 직면하게 된다.

점점 정교화되고 있는 휴대용 저장장치 또한 또다른 우려를 만들어낸다. 이러한 장치들을 가지고, 직원들이 무의식적으로 정보자산, 바이러스, 봇넷, 악성 프로그램 등을 여러 대의 컴퓨터를 통해 사무실로 전송할 수 있는데, 이를 통해 기업은 더욱 보안위협에 노출되는 것이다.  

비즈니스를 지키기 위한 최선책들

다음에 살펴볼 방안들은 중소기업들로 하여금 진화하는 보안위협을 막을 수 있도록 도와줄 수 있다. 중소기업들이 대기업처럼 리소스가 충분하지 않다고 하더라도 다음 사항들을 실천함으로써 더 나은 보안을 확보할 수 있다.

- 어떤 것이 그들을 위해 효과가 있고 어떤 것이 효과가 없는 것인지를 결정하기 위해 다른 중소기업들과 같이 협조하라. 그리고 효과가 있는 것은 차용하고 잘못된 조치는 피하라.

- 신뢰할 수 있는 보안업체로부터 쉽게 제공받을 수 있는 사이버보안 위협 진단을 수행하라. 핵심 정보자산을 구별하고, 분류하고 특정 위치에 두고, 그 정보자산이 공격받을 때 필요한 사항에 대한 전략을 만들어라. 자사 네트워크에 있는 것이 무엇인지를 아는 것은 보호를 위해 매우 중요하다.

- 들어오고 나가는 콘텐츠성의 개별 첨부파일 차단기능을 제공하는 프로그램을 선택함으로써 이메일 콘텐츠의 필터링 범위를 늘려라.

- 최종 사용자에게 보안을 단순화시켜라. 보안과정에서의 복잡성을 줄이는 것은 최종 사용자가 프로토콜을 정확하게 꾸준히 따르도록 하는 성향을 키워준다.

- 시스템을 계속 업데이트/패치하라. 이는 애플리케이션뿐만 아니라 운영체제에도 해당된다.

- 회사 노트북이나 다른 장비 같은 비즈니스 자산들 비즈니스용으로만 사용하라. 내부 보안 정책과 시행의 효율성 외에도 내부 위험 수준도 줄어들 수 있다.

- 정기적으로 네트워크 감사를 실시해서 로그파일, 비정상적 트래픽 및 감염에 대한 징후에 대해 항상 꿰뚫고 있어야 한다.

- 어떤 정보가 얼마동안 사용자의 데스크톱과 노트북에 저장되어야 하는지에 대한 정책과 통제를 개발하고, 거기에 익숙해지고, 중요한 데이터를 통제하고 보호할 수 있는 저장장치에 저장하라.

- 네트워크 관리자들이 보안 정책들을 집행할 수 있도록 힘을 실어주되, 이를 위한 도구를 확실히 제공하라.

- 큰 그림의 가치를 간과하지 마라. 어떻게 위험과 위험제거 솔루션이 진화하는지의 흐름을 항상 꿰고 있어야 하고, 그 위험이 문제시되기 전에 쟁점을 확인하고, 보호받을 수 있도록 사전에 단계적 조치를 취하라.

- 네트워트 사용자들이 새로운 위협을 알 수 있도록 하기 위해 지속적인 인지 프로그램을 유지하라. 어떤 위협에 대한 가장 최고의 방어는 사용자의 이해와 안전한 사용습관이다.

오늘날의 기업을 괴롭히는 보안 위협 요소들은 절대 종식되지 않을 것이며, 각 요소마다의 적절한 대응은 고사하고, 많은 기관들이 최신 보안 취약점을 알고 대처해가야 하는 어려움 속에 있다. 제한된 자원 때문에 중소기업은 특히 스스로를 보호하는데 전력을 다해야 할 것이다.

앞서 살펴본 전술을 사용하는 것은 중소기업의 내외부적 데이터에 대한 위협을 감소시키는 데 도움을 줄 것이고, 기업의 데이터와 더 나아가 기업의 비즈니스 자체를 안전하게 지킬 수 있도록 도와 줄 것이다.

*Stan Oien은 CDW의 보안 솔루션 책임자이다.