‘해킹 공격을 당했다, 고객 개인정보가 유출됐다, 침입 정황이 발견됐다, 악성코드에 감염됐다…’ 하루 걸러 하루라고 봐도 무방할 만큼 자주 보이는 기사들의 제목입니다.

보안 전문 업체의 조사에 따르면 90%의 기업이 사이버 공격을 경험했으며, 각 공격에 대해 평균 40억 원(360만 달러)을 지출한 것으로 나타났습니다. 모든 사이버 사고를 막는 건 불가능하지만, 사이버 보안 문화를 조성하려는 기업이 참고할 수 있는 10가지를 알려드립니다.

01 모든 사람을 논의에 포함시켜라
고위급 경영진은 물론 법률, 지식 관리, 금융, 커뮤니케이션, 인사 부서까지 포함시켜야 합니다. 참여도가 떨어진다는 건 보안에 대한 투자나 협력이 떨어진다는 것과 같죠.

02 피해를 자초하지 마라
필요한 기술, 트레이닝, 비즈니스 절차 등에 투자하고, 만약 사고가 터졌다면 투명하게 공개하고 사법 당국에 보고하세요. 결과를 두려워해 아무런 행동도 하지 않으면 상황은 더 악화됩니다.

03 법만 잘 지키면 된다는 마인드를 버려라
컴플라이언스는 필수적이지만 충분한 것은 아닙니다. 사이버 보안에 있어서는 피해자를 만들지 않기 위한 것이지 기업 내부의 잘잘못을 따지려는 것은 아니니까요.

04 정보 거버넌스의 모범 경영(Best-Practice) 사례를 따라라
자사의 데이터, 데이터의 위치, 데이터의 가치, 접근권을 가진 사용자, 적용할 수 있는 법적인 의무에는 무엇이 있는지 반드시 확인해야 합니다. 정보 거버넌스는 끊임없이 성숙해가는 과정입니다.

05 정보 자원을 활용하라
정부 및 관련 기관에서 운영하는 정보 공유 프로그램에 참여할 수도 있고, 업계 모임에 참여하는 것도 좋은 방법이 될 수 있습니다.

06 내부자 위협에 대응하라
직원 교육만으로 보안을 유지하기에는 충분하지 않습니다. 교육의 현실적인 목표는 사이버 위험을 제거하는 것이 아니라 줄이는 것이 돼야 합니다.

07 제3자 위협을 관리하라
기업은 계약서를 쓸 때 민감한 정보를 주고받거나 보호하는 것과 관련된 모든 권리와 의무를 명시해야 합니다. 사이버 사고 시의 협력 부분도 포함해야겠죠.

08 엔드포인트를 제어하라
기업은 노트북, 태블릿 PC, 휴대전화, 사물인터넷 기기 등 네트워크에 연결된 기기와 민감한 데이터에 접근하는 기기를 모두 관리해야 합니다. 기기 안에 있는 앱, 데이터도 제어해야 하고요.

09 가장 최근에 나온 보안 모범 경영 사례를 적용하라
다중 인증, 암호화, 망 분리 등의 모범 경영 사례와 안티 바이러스, 안티 피싱, 데이터 손실 방지, 침입 탐지 및 차단 등의 툴을 적용하는 건 필수적입니다.

10 절대로 사이버 보안 사고가 끝났다고 추측하지 마라
복구 절차가 시작되자마자 사이버 사고가 격리됐다거나 ‘끝났다’고 추측하는 것은 위험합니다. 철저하고 객관적으로 조사하지 않는다면 다음 사건이 터졌을 때는 더 큰 피해를 입게 될 것입니다.
[유수현 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>