초고속 인터넷 보급률이 높아지자 더 많은 일반인들이 보안 문제를 인식하기 시작했다. 보안 업계에 몸담고 있는 사람으로서, 사람들이 보안에 관심을 갖는 현상을 볼 때 복잡한 감정을 느끼는 것이 필자만은 아닐 것이다.
왜냐하면, 보안이 사람들의 관심을 얻게 된 과정이 긍정적이라고만 말할 수 없기 때문이다. 최근에 우리 나라에서는 컴퓨터 보안의 허점을 이용한 많은 사건 사고가 있었다. 피싱(Phishing)을 이용해 피해자의 인터넷 뱅킹 정보를 알아내 5,000만원의 거액을 가로챘다가 검거된 사건, 유명 온라인 게임의 계정 정보를 몰래 빼내서 상대방의 아이템을 가로채는 행위, 엄청난 양의 개인 정보 유출 사건 등이 하루도 빠짐 없이 뉴스에 등장한다.
원인이 어찌되었던 간에 위에서 언급한 많은 사건 사고 덕분에 많은 사람들은 보안의 중요성을 인식하게 되었고, 아직도 많이 부족한 상태이긴 하지만 필수적인 데스크톱 보안 솔루션을 설치하는 개인 사용자가 점점 늘어나도 있는 추세이다.
그러나, 많은 사람들이 집에서 사용하는 컴퓨터의 보안에는 신경을 쓰면서도, 자신이 근무하는 직장에 출근하면 의외로 보안 이슈에 무관심한 경향을 볼 수 있다. 집에서는 꼬박꼬박 보안 패치도 설치하고, 백신도 설치하는 사람들이 왜 직장에만 나가면 아무런 신경을 쓰지 않는 것일까? 답은 의외로 간단하다. 회사는 안전하다고 생각하는 것이다. 회사에는 회사의 보안을 담당하는 담당자가 있을 것이고, “우리 회사의 보안에 관련된 모든 이슈는 회사의 보안 담당자가 대처하고 해결해줄 거야”라고 생각하는 것이다.
과연 이 생각이 옳은 것인가? 당연히 그럴 리가 없다. 우리가 사무 공간에서 접하는 보안 위협은 집에서 겪는 보안 위협과는 그 양도 다르고, 위협으로 인한 금전적인 피해도 비교할 수 없을 만큼 크다. 이 글에서는 우리가 근무하는 직장에서 일반적으로 접할 수 있는 보안 위협을 알아보고, 그런 위협에 관리자들은 어떻게 대처해야 하는지, 그리고 일반 사원들은 어떻게 대처해야 하는지 알아보고자 한다.
보안 담당자에 대한 지나친 신뢰와 의존
위에서 많은 사람들이 회사의 보안 담당자가 회사의 보안 이슈를 모두 담당하고 있을 것이라고 믿기 때문에 아무런 보안 대책도 수립하지 않고 있다고 설명했다. 그러나 현실을 살펴보자. 과연 그런 보안 담당자가 있는가? 설사 있다 하더라도 그가 회사의 모든 보안 이슈를 해결할 수 있는가? 물론 그럴 수 있다. 한 명의 천재적인, 또는 열정적인 관리자가 종횡무진하며 모든 PC의 보안 상태를 확인하고, 적절한 보안 대책을 수립하여 적시에 전사에 적용하고, 정기적으로 상태를 확인하여 보안 정책에 위배되는 PC를 사내 네트워크에서 격리히는 등의 조치를 취할 수도 있다.
그러나, 이런 가정은 현실적이지 않다. 대부분은 회사는, 규모가 큰 기업이 아니면, 별도의 보안 담당자를 둘 만한 여력을 가지고 있지 않다. 그래서 한 사람한테 의존하다 보니, 시간이 지나면 점점 보안에 구멍이 뚫리게 된다. 또한 문제는, 이 사람이 보안 업무만을 수행할 수 있는 것이 아니라, 별도의 할당된 회사 업무도 수행해야 한다는 것이다. 보안 구성이 제대로 될 리가 없다. 정상적인 보안 수준을 유지하기 위해서는, 어느 정도의 비용을 감수하고라도 적절한 능력을 가진 보안 담당자를 유지할 필요가 있다.
내부 문서 보안
회사에는 많은 문서가 있다. 이 문서들 중 일부는 경영진만 볼 수 있어야 하고, 또 다른 일부는 회계 부서에서만 볼 수 있어야 한다. 또 어떤 문서는 대외적으로 공개할 수 없거나, 대외적으로 공개할 수 있다. 문서에는 이렇게 많은 등급이 있는데, 실제로 이런 문서의 등급을 준수하여 권한이 있는 사람만 문서를 열람할 수 있도록 하는 회사는 거의 없다.
회사에서 공유하는 파일 서버에 대충 폴더를 만들어서 문서를 넣어놓고, 아무나 계정만 알면 로그인하여 문서를 열람할 수 있게 되어 있을 것이다. 해당 문서의 분류 등급이 높으면 높을수록 문서의 노출로 인한 회사의 피해는 기하급수적으로 커진다. 특히, 문서가 회사의 회계나 영업비밀, 혹은 핵심 기술에 관한 문서라면, 회사의 생존 자체가 위협받을 수 있다.
그럼, 내부 문서의 보안을 유지하기 위하여 가장 필요한 것은 무엇일까? DRM(Digital Rights Management) 시스템을 도입하고, 사용자가 매번 문서를 열 때마다 인증을 받아야만 문서를 열람할 수 있도록 하는 것이 가장 이상적인 솔루션이다. DRM을 도입하면 모든 문서가 암호화되고, 적절한 인증 키를 가지고 있는 사용자만 문서를 열 수 있다. DRM 솔루션이 적용된 문서가 설령 외부에 누출되더라도 해당 문서는 열람할 수 없다. 또한 DRM은 문서의 인쇄, 복사 등의 동작에도 권한에 따른 제어를 적용할 수 있다.
하지만, DRM 솔루션의 도입에는 비용이 필요하다. 규모가 작은 기업에는 솔루션 도입의 비용이 부담이 될 수도 있다. DRM 솔루션을 도입할 만한 여건이 되지 않는 회사는 적어도 문서를 보관하고 있는 시스템의 접근 계정 관리를 철저하게 하고, 운영체제에서 제공하는 권한 관리를 적용하여 계정마다 접근 권한을 별도로 부여해야 한다. 관리자의 노력은 많이 들겠지만, 문서 보안이 제대로 이루어지지 않아서 발생하는 피해를 생각하면 노력을 아까워하지는 않아야 할 것이다.
퇴사자 계정 관리
의외로 많은 회사에서 퇴사(退社)자들의 계정을 관리하지 않는다. 반년이 지났는데도 퇴사자의 계정으로 회사 내부의 업무시스템이나 파일 서버에 접근할 수 있는 경우가 많다. 이런 쓰레기 계정이 제대로 삭제되지 않고 남아있으면 외부의 침입자에 의해 보안 허점으로 악용될 소지가 있다. 또한, 업무 시스템이 회사 밖에서도 접근할 수 있게 설정되어 있을 경우, 퇴사하여 더 이상 권한이 없는 사람이 회사 내부의 정보에 접근할 수 있는 문제가 있다.
이런 문제를 해결하기 위해서는 정기적으로 시스템을 점검하여 사용하지 않는 계정은 삭제하고, 퇴사자가 발생할 때 반드시 해당 사용자의 계정을 모든 업무 시스템에서 삭제할 경우에만 퇴사를 허용하도록 해야 한다. 하지만 이런 과정에서 실수가 발생할 경우, 모든 계정이 완벽하게 삭제되지 않을 수 있다. 어느 정도 규모가 있는 회사라면 각종 업무 시스템에 대한 Provisioning을 자동화하는 IAM(Identity and Access Management) 시스템 도입을 고려할 필요가 있다.
필수 보안 소프트웨어 설치
데스크톱 보안을 유지하는 데 필수적인 소프트웨어가 있다. 백신, 개인 방화벽, 안티스파이웨어 프로그램 등이 있다. 이런 소프트웨어들은 일반 사용자에게는 시스템의 속도를 느리게 하고 보고 싶지 않은 보안 경고 팝업 메시지를 띄우는 귀찮은 존재일 뿐이다. 하지만, 한 PC에 보안 취약점이 발생하면 사내 모든 PC가 보안에 취약하다고 보아야 한다. 그러므로, 필수 보안 소프트웨어는 반드시 설치해야 하며, 이는 회사의 정책으로 강제되어야 한다.
회사의 규모가 작을 경우 관리자가 개개인에게 직접 설치해주거나, 설치를 종용할 수 있겠지만, 회사의 규모가 크다면 보안 제품 설치를 해주는 중앙 관리 솔루션이 필요하다. 대부분의 보안 소프트웨어 개발 업체들은 클라이언트의 보안 소프트웨어를 관리할 수 있는 중앙 관리 제품을 판매하고 있다. 이런 제품을 도입하여 관리하는 것이 좀더 효과적일 수 있다.
네트워크 접근 통제
네트워크 접근 통제는 최근에 그 효용성이 주목받고 있는 보안 정책 적용 방법이다. 이 방법은 보안 취약점이 존재하는 PC는 네트워크 접근을 아예 허용하지 않는 것이다. 이런 네트워크 접근 통제 시스템을 NAC(Network Access Control)라고 한다. NAC에는 시스코 시스템즈 사가 주도적으로 표준을 만들고 있는 NAC와, MS가 윈도 비스타를 발표하면서 새롭게 제시한 플랫폼인 NAP(Network Access Protection)가 있다.
두 솔루션의 동작 방법에는 차이가 있지만, 궁극적인 목적은 동일하다. 보안 취약점이 존재하거나 데스크톱 보안 소프트웨어가 설치되어 있지 않은(회사의 보안 정책을 준수하지 않은) PC의 네트워크 접근을 아예 차단하는 것이다. 이런 기술은 위에서 제시한 몇몇 보안 위협과 그 대책에 대해 근본적인 방법을 제시하지는 않지만, 적어도 사용자들이 회사의 보안 정책을 준수할 수 있도록 강제할 수 있고, 관리자는 보안 정책만 관리하도록 관리 포인트를 줄일 수 있는 장점이 있다.
이제까지 사무 공간에서 발생할 수 있는 보안 위협과, 그 위협에 대한 몇 가지 대책을 알아보았다. 보안은 컴퓨터에 관련된 주제 중에서 가장 범위가 넓은 주제이다. 보안은 컴퓨터의 비트부터 인간 간의 관계까지를 아우르고 있고, 폭넓은 지식을 필요로 한다. 더구나, 네트워크가 엄청나게 발달한 요즈음은 금전적인 이득을 목표로 하는 보안 위협이 더더욱 기승을 부릴 것이고, 이에 대해서 내가 일하고 있는 회사의 자산을 보호하기 위해서는 각종 보안 위협에 대해 잘 파악하고 대처하는 것의 중요성은 설명할 필요조차 없을 것이다. 기업에서는 반드시 사내 보안의 중요성을 인식하고, 현재의 부족함을 점차 개선해나야 할 것이다.
사무 공간의 보안 위협과 대책: 중요 정보 든 사내 PC 지키기
왜냐하면, 보안이 사람들의 관심을 얻게 된 과정이 긍정적이라고만 말할 수 없기 때문이다. 최근에 우리 나라에서는 컴퓨터 보안의 허점을 이용한 많은 사건 사고가 있었다. 피싱(Phishing)을 이용해 피해자의 인터넷 뱅킹 정보를 알아내 5,000만원의 거액을 가로챘다가 검거된 사건, 유명 온라인 게임의 계정 정보를 몰래 빼내서 상대방의 아이템을 가로채는 행위, 엄청난 양의 개인 정보 유출 사건 등이 하루도 빠짐 없이 뉴스에 등장한다.
원인이 어찌되었던 간에 위에서 언급한 많은 사건 사고 덕분에 많은 사람들은 보안의 중요성을 인식하게 되었고, 아직도 많이 부족한 상태이긴 하지만 필수적인 데스크톱 보안 솔루션을 설치하는 개인 사용자가 점점 늘어나도 있는 추세이다.
그러나, 많은 사람들이 집에서 사용하는 컴퓨터의 보안에는 신경을 쓰면서도, 자신이 근무하는 직장에 출근하면 의외로 보안 이슈에 무관심한 경향을 볼 수 있다. 집에서는 꼬박꼬박 보안 패치도 설치하고, 백신도 설치하는 사람들이 왜 직장에만 나가면 아무런 신경을 쓰지 않는 것일까? 답은 의외로 간단하다. 회사는 안전하다고 생각하는 것이다. 회사에는 회사의 보안을 담당하는 담당자가 있을 것이고, “우리 회사의 보안에 관련된 모든 이슈는 회사의 보안 담당자가 대처하고 해결해줄 거야”라고 생각하는 것이다.
과연 이 생각이 옳은 것인가? 당연히 그럴 리가 없다. 우리가 사무 공간에서 접하는 보안 위협은 집에서 겪는 보안 위협과는 그 양도 다르고, 위협으로 인한 금전적인 피해도 비교할 수 없을 만큼 크다. 이 글에서는 우리가 근무하는 직장에서 일반적으로 접할 수 있는 보안 위협을 알아보고, 그런 위협에 관리자들은 어떻게 대처해야 하는지, 그리고 일반 사원들은 어떻게 대처해야 하는지 알아보고자 한다.
그러나, 이런 가정은 현실적이지 않다. 대부분은 회사는, 규모가 큰 기업이 아니면, 별도의 보안 담당자를 둘 만한 여력을 가지고 있지 않다. 그래서 한 사람한테 의존하다 보니, 시간이 지나면 점점 보안에 구멍이 뚫리게 된다. 또한 문제는, 이 사람이 보안 업무만을 수행할 수 있는 것이 아니라, 별도의 할당된 회사 업무도 수행해야 한다는 것이다. 보안 구성이 제대로 될 리가 없다. 정상적인 보안 수준을 유지하기 위해서는, 어느 정도의 비용을 감수하고라도 적절한 능력을 가진 보안 담당자를 유지할 필요가 있다.
회사에서 공유하는 파일 서버에 대충 폴더를 만들어서 문서를 넣어놓고, 아무나 계정만 알면 로그인하여 문서를 열람할 수 있게 되어 있을 것이다. 해당 문서의 분류 등급이 높으면 높을수록 문서의 노출로 인한 회사의 피해는 기하급수적으로 커진다. 특히, 문서가 회사의 회계나 영업비밀, 혹은 핵심 기술에 관한 문서라면, 회사의 생존 자체가 위협받을 수 있다.
그럼, 내부 문서의 보안을 유지하기 위하여 가장 필요한 것은 무엇일까? DRM(Digital Rights Management) 시스템을 도입하고, 사용자가 매번 문서를 열 때마다 인증을 받아야만 문서를 열람할 수 있도록 하는 것이 가장 이상적인 솔루션이다. DRM을 도입하면 모든 문서가 암호화되고, 적절한 인증 키를 가지고 있는 사용자만 문서를 열 수 있다. DRM 솔루션이 적용된 문서가 설령 외부에 누출되더라도 해당 문서는 열람할 수 없다. 또한 DRM은 문서의 인쇄, 복사 등의 동작에도 권한에 따른 제어를 적용할 수 있다.
하지만, DRM 솔루션의 도입에는 비용이 필요하다. 규모가 작은 기업에는 솔루션 도입의 비용이 부담이 될 수도 있다. DRM 솔루션을 도입할 만한 여건이 되지 않는 회사는 적어도 문서를 보관하고 있는 시스템의 접근 계정 관리를 철저하게 하고, 운영체제에서 제공하는 권한 관리를 적용하여 계정마다 접근 권한을 별도로 부여해야 한다. 관리자의 노력은 많이 들겠지만, 문서 보안이 제대로 이루어지지 않아서 발생하는 피해를 생각하면 노력을 아까워하지는 않아야 할 것이다.
이런 문제를 해결하기 위해서는 정기적으로 시스템을 점검하여 사용하지 않는 계정은 삭제하고, 퇴사자가 발생할 때 반드시 해당 사용자의 계정을 모든 업무 시스템에서 삭제할 경우에만 퇴사를 허용하도록 해야 한다. 하지만 이런 과정에서 실수가 발생할 경우, 모든 계정이 완벽하게 삭제되지 않을 수 있다. 어느 정도 규모가 있는 회사라면 각종 업무 시스템에 대한 Provisioning을 자동화하는 IAM(Identity and Access Management) 시스템 도입을 고려할 필요가 있다.
데스크톱 보안을 유지하는 데 필수적인 소프트웨어가 있다. 백신, 개인 방화벽, 안티스파이웨어 프로그램 등이 있다. 이런 소프트웨어들은 일반 사용자에게는 시스템의 속도를 느리게 하고 보고 싶지 않은 보안 경고 팝업 메시지를 띄우는 귀찮은 존재일 뿐이다. 하지만, 한 PC에 보안 취약점이 발생하면 사내 모든 PC가 보안에 취약하다고 보아야 한다. 그러므로, 필수 보안 소프트웨어는 반드시 설치해야 하며, 이는 회사의 정책으로 강제되어야 한다.
회사의 규모가 작을 경우 관리자가 개개인에게 직접 설치해주거나, 설치를 종용할 수 있겠지만, 회사의 규모가 크다면 보안 제품 설치를 해주는 중앙 관리 솔루션이 필요하다. 대부분의 보안 소프트웨어 개발 업체들은 클라이언트의 보안 소프트웨어를 관리할 수 있는 중앙 관리 제품을 판매하고 있다. 이런 제품을 도입하여 관리하는 것이 좀더 효과적일 수 있다.
두 솔루션의 동작 방법에는 차이가 있지만, 궁극적인 목적은 동일하다. 보안 취약점이 존재하거나 데스크톱 보안 소프트웨어가 설치되어 있지 않은(회사의 보안 정책을 준수하지 않은) PC의 네트워크 접근을 아예 차단하는 것이다. 이런 기술은 위에서 제시한 몇몇 보안 위협과 그 대책에 대해 근본적인 방법을 제시하지는 않지만, 적어도 사용자들이 회사의 보안 정책을 준수할 수 있도록 강제할 수 있고, 관리자는 보안 정책만 관리하도록 관리 포인트를 줄일 수 있는 장점이 있다.
이제까지 사무 공간에서 발생할 수 있는 보안 위협과, 그 위협에 대한 몇 가지 대책을 알아보았다. 보안은 컴퓨터에 관련된 주제 중에서 가장 범위가 넓은 주제이다. 보안은 컴퓨터의 비트부터 인간 간의 관계까지를 아우르고 있고, 폭넓은 지식을 필요로 한다. 더구나, 네트워크가 엄청나게 발달한 요즈음은 금전적인 이득을 목표로 하는 보안 위협이 더더욱 기승을 부릴 것이고, 이에 대해서 내가 일하고 있는 회사의 자산을 보호하기 위해서는 각종 보안 위협에 대해 잘 파악하고 대처하는 것의 중요성은 설명할 필요조차 없을 것이다. 기업에서는 반드시 사내 보안의 중요성을 인식하고, 현재의 부족함을 점차 개선해나야 할 것이다.