보안

CISO가 출장 보안 프로그램에서 검토해야 할 내용

Christopher Burgess | CSO 2021.12.24
지난 2년 동안, CISO는 직원이 출장 모드에 대한 기업 데이터 보안 업무에서 잠시 벗어날 수 있었다. 출장을 떠나 신선한 공기를 마시는 대신, 팬데믹으로부터 서로를 보호하기 위해 떨어져야 하는 현실에 직면하게 됐다. 이제 코로나 검사와 백신 접종이 흔히 시행되면서 출장도 조금씩 증가하고 있으며, 여행 업계는 2022년 중반 내지 하반기에 팬데믹 이전 수준으로 복구될 것으로 전망했다.
 
ⓒ Getty Images Bank

따라서 모든 CISO는 자신이 속한 기업이 이런 상황에 준비되어 있는지 점검해볼 필요가 있다. 출장이 늘면 그만큼 위험성도 높아지기 때문이다. CISO는 출장 프로그램에 포함되어야 할 내용을 경영진과 담당 팀에 물어봐야 한다.

스티브 트체르치안은 직원들이 정기적으로 여러 국가로 출장을 가는 XYPRO에서 CISO를 맡고 있다. 트체르치안의 회사에는 장치에 대한 인식과 절차가 있으며, 데이터를 가지고 국경을 넘나드는 출장 방식이 지역별로 위험을 구분하고 있다고 지적한다. 또한, 직원이 출장을 갈 때마다 출장용 장치를 따로 준비하지는 않는다고 덧붙였다.

앱노멀 시큐리티(Abnormal Security) CISO 마이크 브리튼은 직원이 고위험 국가로 출장 갈 때, 대여 노트북을 가지고 가는 것이 일반적인 관행이라고 말했다. 브리튼은 “예를 들어, 직원이 미국이나 유럽, 중국 등 평소 근무지를 벗어나 멀리 출장 가는 경우, 직원의 안전과 회사 자산 및 정보를 적절히 보호하기 위해 모든 위험과 제한 사항을 검토한다”라고 설명했다.

그렇다면 한 국가가 다른 국가보다 위험성이 높다는 것은 어떻게 판단할까? 가장 참고하기 좋은 것은 미 국무부의 여행 경보 프로그램이다. 캐나다와 호주, 영국에도 일반인이 쉽게 이용할 수 있는 여행 경보 프로그램이 있다. 외교안보국이 주관하는 국무부의 ‘해외 안전 자문 위원회(OSAC)’에 가입하는 것이 필수적이다. OSAC 애널리스트는 조사 내용을 수집해서 핵심을 뽑아낸 후, 국제 행사에서 참석자가 쉽게 이해할 수 있도록 발표한다. 이런 정보를 흡수하는 데 필요한 시간 외에 아무 비용이 들지 않는다는 점을 감안하면 진정한 가치가 있다. 참고로 필자는 OSAC에 가입한 멤버다.

모든 직원이 출장용 장치의 필요성에 동의하는 것은 아니다. 벤(Venn) CEO 데이빗 마탈론은 출장용 장치가 필수라는 주장에 반발하며, 각 팀은 자사의 SaaS 기술을 통해 모든 네트워크에 있는 모든 장치로 업무 앱과 데이터에 접근할 수 있다고 말했다. 마탈론은 자신의 솔루션이 완벽한 앱 호환성을 제공한다며, “모든 운영체제에서 작용하는 이 솔루션의 제로 트러스트 모델은 장치가 항상 규정을 준수하도록 계속 감시한다”라고 밝혔다. 마탈론은 벤에서는 해외 출장 직원을 대상으로 여행 관련 지시 사항을 전달하지 않는다고 강조했다.
 

출장 프로그램이 있는지 모르는 경우

다음 질문은 필자의 저서인 ‘도난당한 비밀, 잃어버린 재산 : 21세기의 지적 재산권 도용 및 산업 스파이 예방’에서 가져왔다. 2008년에 출판됐지만, 2021년인 현재에도 의미가 있는 책이다.

출장 보안 프로그램에 해외에서 출장 또는 근무 중인 임직원을 대상으로 고위험 국가로 분류되는 국가 목록이 포함되어 있는가?
 
  • 출장 보안 프로그램에 이런 위험 국가를 출장 담당자와 임원에게 반드시 알려야 한다는 내용이 고지되어 있는가?
  • 출장 보안 프로그램은 고위험 국가에서 근무하는 주재원을 파악하고 있는가?
  • 고위험 국가에 출장 가기 전, 출장자를 대상으로 한 지시사항 전달 프로그램이 의무화되어 있는가?
  • 소속 직원은 출장을 다니면서 장치와 기밀 자료를 항상 소지하고 다녀야 한다는 것을 숙지하고 있는가?
  • 출장 프로그램은 고위험 지역으로 출장을 떠난 직원을 감시하고 보고를 받는가?
  • 기업의 보안 인식 및 교육 프로그램에 출장 관련 내용이 포함되어 있는가?
  • 출장 프로그램은 소셜 네트워크의 데이터 수집 능력을 자세히 설명하는가? 여행 일정표를 공유하는 행위는 다른 사용자에게 여행 계획을 문서화, 수집, 분석할 권한을 주는 것과 다름없다는 점도 자세히 설명하고 있는가?
  • 출장 프로그램이 고위험 지역을 대상으로 일회용 장치 프로그램을 구현하는가?
  • 일회용 장치는 출장자가 돌아오는 즉시 침해 여부를 점검 받는가?
  • 모든 출장자는 일회용 장치에 대해 개인정보 보호용 노트북 가리개와 케이블 자물쇠를 지급받는가?
  • 고위 경영진이 출장 중일 경우, CEO 및 CFO 업무 이메일 해킹을 대비해 해당 경영진이 승인한 경비가 맞는지 다시 한번 확인하는 장치가 마련되어 있는가?
  • 프로그램에 출장자가 출장 일정표를 제출하고 여권 정보 페이지를 공유하며, 출장 중에 회사에 ‘이상 없음’을 통보하는 것이 의무화되어 있는가?
  •  

출장 프로그램이 없는 경우

기업은 기본적인 출장 프로그램이라도 마련할 필요가 있다. 고위험 여부와 관계없이 모든 지역의 출장자에게 필자가 계속 권고하는 사항은 다음과 같다.
 
  • 회사 이메일 시스템이 해킹되지 않도록 원격 사용을 검토하고 관련 교육을 실시한다. 예를 들면, 가상 사설망(VPN)과 가상 데스크톱 인프라(VDI)를 사용하도록 하거나, 보안 이메일만 쓰도록 권고한다.
  • 회사에 운영 센터가 있다면, 출장 간 직원의 이상 여부를 매일 전화로 확인하는 방법을 고려해볼 수 있다. 운영 센터가 없는 경우에는 출장자의 상사에게 전화로 확인하는 방법으로 대신해야 한다.
  • 사용 중인 신용카드나 직불카드의 발급기관에 연락해 사기 대응 부서에 특정 지역으로 출장을 간다는 사실과 함께, 날짜, 구체적인 장소를 알려준다. 그러면 해당 부서가 미심쩍은, 혹은 출장 날짜나 장소를 벗어난 활동 여부를 모니터링한다.
  • 출장 서류와 신용카드를 모두 복사해 신뢰할 수 있는 직원에게 맡긴다. 출장 서류나 신용카드의 일부 또는 전부를 교체해야 할 경우, 사본이 큰 도움이 된다.
  • 재무 부서 직원과 함께 재무 담당 직원과 함께 송금 등이 발생할 수 있는 구체적인 상황을 검토한다. 스푸핑(Spoofing)을 방지하기 위해 어떤 인증 절차가 마련되어 있는지도 확인한다.
  • 소셜 네트워크와 관련된 지나치게 많은 정보는 사용자가 통제할 수 있는 ‘심각한 문제’다. 어떤 장소를 방문할 때마다 게시물을 올리면 자신이 없는 곳도 함께 알리는 셈이다.
  • 출신 국가의 공식 출장 프로그램에 등록한다. 미국 시민권자의 경우, 미 국무부의 스마트 여행자 등록 프로그램(STEP)에 등록하면 된다.
  • 숙소에서는 개인정보 보호 보장이 전혀 안 된다고 가정해야 한다.

모든 기업은 출장 보안 프로그램을 갖춰야 한다. 연례 보안 인식 프로그램 기간 동안 이 출장 프로그램의 사회화가 이뤄져야 한다. editor@itworld.co.kr
 Tags CISO 보안

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.