본문 바로가기
AhnLab 보안in

<안철수연구소> 기업 안전 정보보안수칙 15계명

by 보안세상 2020. 4. 9.

2010.03.23

 

직장인 대다수는 기업보안수칙을 들어보았을 것이다. 하지만 이러한 수칙들은 너무 광범위 하고 모든사항을 지켜야 할지 회사입장에서는 어떤 기준으로 구축해야 할지 난감할 경우가 많다. 보안이 필요한 이유와 보호 해야 할 범위를 이해하고 차근차근 구축 해나간다면 자신의 회사에 맞는 보안수칙을 만들어 갈 수 있을 것이라 생각한다.

 

<안철수연구소가 권하는 기업 보안 15계명>

 

1. 중요 서버의 데이터에 대해 정기적인 백업 시스템을 갖춘다.

 

- 항상 ‘중요한 데이터는 회사에 불이 나도 보존 되어야 한다.’는 최악의 상황을 가정해야 한다. 집에 불이나면 무엇을 챙겨야 할지 생각해본 적이 있을 것이다. 마찬가지로 회사건물에 불이나면 무엇부터 챙겨야 할지, 상상하고 싶지 않은 최악의 상황에서 무엇이 필요할지 생각해 보도록 하자. 또한 지금 작업중인 문서나 데이터가 지워진 경우, 1년전 회계자료를 찾아야 할 경우 찾을곳이 있는지도 대비하도록 하자. 백업은 사용자의 개입이 필요 없어야 한다. 중요한 보고서를 쓰던 중 PC의 전원이 꺼졌다. 원상복구는 안되더라도 처음부터 다시 하는 것 보다는 자동 백업된 부분을 이용하여 다시 작업해야 할 양을 줄일 방법을 마련하는 것이 좋다.

 

- 1대밖에 없는 중요한 시스템이 파손되었을때 복구 될때까지 아무일도 못하고 몇일을 기다려야 하는가? 평상시에는 쓰지 않더라도 대체시스템을 두어서 몇시간만 피해보는 것이 금전적으로 이득일 수 있다.

 

2. 모든 클라이언트 시스템에 백신 및 PC보안 제품을 설치한다.

 

- 모든 직원이 보안전문가가 될 필요는 없다. 업무도 많은데 보안패치, 최신 악성코드 정보를 확인하며 PC까지 관리하는 것은 스트레스다. 보안 프로그램에게 맡기는 것이 났다.

 

3. 정기적으로 보안관련 사이트를 방문하여 최근 보안 정보를 확인한다.

 

- 보안관리자는 최신 보안 정보를 알고 있어야 사내에서 발생하는 이상 증상에 대한 직원 응대가 가능하다. 뉴스를 통해서 전달되는 정보에 의존할 경우 ‘소 잃고 외양간 고친다’는 상황에 봉착 할 수 있다. 또한 대표적인 보안사고도 중요하지만 사고의 상당수는 특정 회사에 특화된 경우가 많다. 이러한 정보를 통하여 보안관리자는 수동적 방어보다는 적극적 방어가 가능해야 한다. 정보보안 사고의 특성상 매우 빠른 시간 내에 피해가 확산되므로 다른 사람에게 물어볼 시간적 여유가 없다는 것을 명심해야 한다.
*주요 보안사이트
www.ahnlab.com
http://www.boho.or.kr
www.certcc.or.kr

 

4. 보안 취약점 발표시 패치 적용에 대한 공지를 그날 안에 클라이언트에 전달하고, 클라이언트의 패치 적용 여부가 관리자에게 전달되도록 시스템을 구축한다.

 

- 보안관리자가 모든 장비에 보안패치를 적용하러 돌아다니는 것은 시간이 많이 걸리고 직원의 업무를 방해하게 되는 경우도 있다. 그렇다고 직원 모두가 각자 사용장비에 일련의 작업을 수행하도록 하고 결과를 보고하도록 하면 업무 부하 및 추가 교육, 잘못된 결과 취합으로 적용 누락된 장비가 발생할 가능성이 높아진다. 이러한 장비는 보안의 홀이 된다. 패치적용과 적용여부를 자동으로 해주는 시스템은 각자의 업무부하를 줄이고 적용이 누락되지 않는 시스템을 방지할 수 있다.

 

5. 설치된 보안 솔루션을 모두 최소 1주일에 한 번 이상 정기적으로 엔진 업데이트한다.

 

-  1년 전에 구입한 주식정보 잡지로 금일의 주식시황을 예측할 수 없다. 보안 솔루션의 동작의 코어는 엔진이다. 엔진이 동작하기 위해서는 새로운 정보가 필요하다. 최소한 1주일에 한 번 이상 정기적으로 엔진 업데이트를 해야 한다. 보안 솔루션도 소프트웨어다. OS도 업데이트가 있듯 제품도 업데이트 되야 정상적인 동작을 할 수 있다.

 

-  보안 솔루션의 관리상 편의를 위하여 수동업데이트로 설정하여 사용하는 경우가 많다. 그러나 각 솔루션의 업데이트는 창궐하는 이슈에 적극 대응할 수 있도록 업데이트 주기가 맞추어져 있으므로 가능하면 자동업데이트를 사용하는 게 좋다.

 

6. 파일서버, 메일서버, 그룹웨어 서버에도 모두 보안 솔루션을 설치하여 관리한다.

 

- 너무 많은 것을 알면 유혹에 빠지기 쉽다. 지금 탐색기를 띄워 ‘네트워크’도를 눌러보자. 인사팀의 폴더가 보이면 옆사람의 연봉이 궁금해질수 있다. 돈이 필요한데 마침 원천기술 자료 폴더에있는 기술 자료의 소스복사가 가능하다. 차라리 보이지 않았다면 갈등할 필요도 없었을 것이다.

 

-한가지 보안솔루션으로 모든 경로를 막을수 없다. 벽돌을 쌓듯 계속 추가해 나가야 한다.

 

7. 방화벽 설정을 통해 불필요한 포트는 모두 막는다.

 

- 프로그램이 사용하는 포트는 매우 많다. 업무를 편하게 만드는 시스템이 발달할수록 그에 따른 보안사고의 유입경로도 늘어나게 된다. 하나씩 막는 것 보다는 다 차단하고 필요에 따라 하나씩 풀어주는게 관리가 편하다.

 

8. 사내 악성 프로그램 유입 및 전파 시 신속한 감염 시스템 파악을 위해 시스템에 고정 IP를 부여하여 관리한다.

 

- 악성 프로그램이 급속하게 사내에 전파 및 피해를 입히고 있다. 집이라면 한두대만 확인하면 되지만 회사에는 많은 시스템들이 있어 다 확인하려면 시간이 많이 걸린다. 감염된 PC를 사용하는 직원에게 전화 할수 있다면 좋지 않을까? 고정IP와 직원정보를 매치하여 관리하면 가능하다.

 

9. 외부에서 반입되는 시스템에도 사내 보안 지침을 적용한다.

 

- 회사마다 보안지침의 강약은 다르다. 따라서 동일한 잣대를 대고 관리하지 않으면 외부 반입시스템은 안전하고 견고한 성에 들어온 전염병 환자처럼 피해를 입힐수 있다.

 

10. 연휴 기간 중 사용하지 않는 시스템은 모두 전원을 끈다.

 

- 사람이 없는 빈집은 도둑이 들기 쉽다. 회사 내 장비도 사용자가 있다면 이상여부를 감지할 수 있다. 장기간 감시자가 없다면 침입자에게 다양한 시도와 많은 데이터에 접근할 수 있는 연구시설을 마련해 주는 것과 같다. 퇴근 후에도 켜져 있어야 하는 장비도 별도로 목록화 된다면 보안관리자가 대신 감지해 줄 수 있다.

 

11. 사내 보안 지침 문서를 구비한다.

 

- 보안사고의 방지는 보안관리자 혼자서는 할 수 없다. 개개인의 업무 분야와 패턴이 다르고 사용하는 프로그램과 메일 등 유입경로가 다양하기 때문이다. ‘백지장도 맞들면 낫다’ 모든 직원들이 쉽게 따라 할 수 있는 체크리스트와 지침이 어떠한 보안솔루션 보다 더 안전하다.

 

12. 사내 보안 지침을 위반하여 회사에 피해를 입혔을 경우에 대한 인사 조치 사항 등을 사내 보안 지침 문서에 명기한다.  

 

- ‘나 하나쯤이야’ 하는 생각으로 비인가된 메신저를 사용하고, ‘설마 이 스팸메일이 문제를 일으키겠어? 사고가 나도 회사 내에 대비책이 있으니 괜찮겠지’ 하는 생각을 가진 직원은 더 큰 사고를 일으키게 된다. 회사내 사규와 같은 수준으로 보안 지침이 관리되어야 질서는 유지될 수 있다.

 

13. 전 직원을 대상으로 정기적인 보안 교육을 실시한다.  

 

- 자발적 참여를 위해서는 ‘왜?’에 대한 답을 주는 것이다. 보안사고는 새로운 솔루션의 등장과 함께 발전해 나간다. 새로운 정보를 알려줘야 한다. 보안솔루션도 하나의 프로그램이다. 전직원에 대한 사용자 수준의 사용방법교육이 있어야 동참이 가능하다.

 

14. 정기적으로 사내보안 감사를 실시한다. 

 

- 자발적인 직원들의 보안 지침 준수를 기대하기 어려운 경우가 많다. 또한 업무스케쥴로 인하여 수행이 지연될 수도 있다. 보안사고의 특성상 한곳에라도 취약함이 있다면 조그마한 구멍에 둑이 터지듯 피해가 확산되므로 사내 전체 시스템의 보안 상태를 일정주기로 맞춰줄 필요가 있다.
 
15. 새로운 보안문제 발생시 직원들이 적절히 대응할 수 있도록 대응 지침이 신속하게 전달되는 체계를 갖춘다.  

 

- 보안 관리자가 모든 장비들의 암호 및 용도, 강제 종료 가능 여부를 알 수는 없다. 작업중인 시스템의 경우 해당 장비의 사용자만이 판단할 수 있다. 보안사고의 특성상 단시간 내에 피해가 확산되므로 직원 모두가 화재경보가 울리면 일사불란하게 대피하듯 각자가 대응지침을 수행할 수 있다면 예방이 가능하며 피해 규모도 줄일 수 있다.

 

마지막으로 보안수칙에는 나와있지 않은 보안에티켓이 한가지 있다.
직장동료나 거래처 직원이 계정정보를 입력해야 할 때는 얼굴을 잠시 다른 곳으로 돌려주는 것이다. 서로의 보안정보 프라이버시를 지켜주는 것이 정보보호의 기본 뼈대인 ‘신뢰’인 것 이다.@