“보안은 아무리 과해도 모자라지 않는다” or

“하지만 모든지 지나치면 화를 부를 수 있다”

[시큐리티월드 주소형] 기업들이 ‘BYOD 관리 수위’를 두고 선택의 기로에 섰다. BYOD의 경우 이미 업무와 일상의 한 부분으로 익숙해져가고 있기 때문에 아예 차단할 수는 없다. 지금 기업들의 고민거리는 어떻게 현명하게 BYOD를 통제하느냐는 것이다.

※ BYOD란, Bring Your Own Device의 약자로 개인이 보유한 스마트기기를 회사 업무에 활용하는 것.

미국 IT 리서칭 업체인 가트너(Gartner)에 따르면 기업의 38%가 오는 2016년에는 직원들에게 제공하는 전자기기 배급을 중단할 것이고, 2017년경에는 절반 이상의 기업에서 직원들에게 개인기기 활용을 권장하는 상황에 이를 것이다. 그만큼 BYOD의 실효성이 대단하고 기업들은 이를 절대 포기할 수 없을 것이라는 것. 특히 요즘같이 속도가 하나의 능력으로 평가되는 흐름을 보면 BYOD는 필수적인 요소로 자리 잡힐 것이다.

문제는 전자상거래 및 모바일로 인해 발생하는 범죄가 갈수록 늘어나고 있다는 점이다. 지난 2013년의 경우 이로 인한 미주지역의 피해액이 71억 달러에 달했다고 한다. 전 세계적으로 온라인 범죄가 늘어나는 추세임은 자명하다.

이에 따라 BYOD 관리 수위에 대해 고민에 빠진 기업들을 위해 BYOD 관리를 위한 기본적인 방향성 5가지를 준비했다. 이메일, 인터넷, 스마트기기 등 각각에 대한 정책을 분명하게 수립하는 것이 골자다.

1. 새로운 기기 접근에 대한 철저한 감시 및 관리

IT 부서는 새로운 기기의 접근을 정확히 감시 및 관리해야 한다. 확률적으로 내부 직원에 의한 유출 사고가 가장 많고, 소셜 엔지니어링이 그 뒤를 잇고 있다. 소셜 엔지니어링은 통신망 보안 정보에 접근 권한이 있는 담당자와 신뢰를 쌓고 전화나 이메일 등을 통해 그들의 약점 등을 역이용하는 것인데 이를 IT 요원이 초반부터 엄격하게 관리해야 한다.

2. 직원들의 철저한 백그라운드 파악

기술개발부서는 특히 부서 내 직원들의 백그라운드를 파악하고 있어야한다. 대부분의 유출 사고가 직원 한 명에 대한 부주의로 비롯된 것이었기 때문이고, 기술개발부서에서 이런 일이 발생했을 때 가장 치명적일 수 있기 때문이다. 직원이 이직을 하거나 일을 그만두면서 기업정보를 빼가는 행위를 미리 방지하는 것도 염두에 두어야 한다.

3. 보안의식 습관화를 위한 방화벽 설치의 의무화

모든 스마트기기들에 방화벽을 설치해야 한다. 각종 멀웨어가 점점 늘어나고 있는 상황에서 직원 개개인의 보안 의식이 매우 중요하기 때문이다. 여기서 방화벽 설치는 직원들에게 보안의식을 심어주는 밑거름이 될 것이다.

4. 최신 버전 소프트웨어 업데이트 및 비밀번호 정책 실시

모든 기기들의 소프트웨어를 최신 버전으로 항시 업데이트 해줘야 한다. 최신 버전 소프트웨어가 가장 안전하기 때문이다. 또한 비밀번호 조합 설정에 의무 조항을 달아야 한다. 최소 8글자 이상으로 해야 된다거나 특수문자나 대소문자 조합 등과 같은 조항 말이다. 너무 간단한 비밀번호 역시 유출 경로가 될 수 있기 때문이다. 물론 주기적으로 비밀번호를 바꿔야 한다는 정책도 필요하다.

5. 기술개발부서의 보안 관리 강화

기술개발부서는 특별 보안 관리 대상이다. 유출 위험이 상대적으로 높은 부서이기 때문이다. 해당 부서 직원들은 보안에 대해 권장이 아닌 의무로 관련 사항들을 따라야 한다.

@DARKReading

[국제부 주소형 기자(sochu@boannews.com)]