중소기업용 보안 가이드라인(Five eyes)

By CarlsenColumn

중소기업은 보안에 상대적으로 적은 자원을 투입할 수밖에 없지만, 보안 위협은 기업의 규모를 가리지 않습니다. 이에 파이브아이즈(Five Eyes) 연합이 중소기업을 위해 최적화된 보안 가이드라인을 발표했는데요. 이 가이드라인은 기술적 접근뿐만 아니라 조직적이고 전사적인 보안 문화 정착에 중점을 두고 있습니다. 가이드에서 제시하고 있는 7개의 항목을 여러분께 공유 해드리려고 합니다.

Tip : Five eyes는 상호 첩보 동맹을 맺고 있는 영국, 미국, 캐나다, 오스트레일리아, 뉴질랜드 5개국 입니다.

1. 보안에 대한 전사적 이해

“보안은 IT 부서만의 일이 아니다.”
보안을 단순히 기술적인 문제로만 보면 실패하기 쉽습니다. 경영진부터 직원까지 모두가 보안을 이해하고 참여해야 합니다. 건강한 보안 문화가 조직의 지속가능성을 결정한다는 사실을 잊어서는 안됩니다.

  • 실무 Tip
    • 보안 책임자 지정: 보안 업무를 총괄할 수 있는 관리자를 지정하세요. CEO나 경영진의 적극적인 지원이 필수입니다. CEO에게 직접 보고할 수 있는 의사소통 프로세스를 수립하고, 보안 책임자의 권한을 확대하는 것 또한 매우 중요합니다.
    • 보안 교육: 주기적으로 보안 인식 교육을 실시해 직원들이 피싱 이메일이나 사회공학 공격에 대비할 수 있게 하세요. 보안 인식 교육은 교육 대상, 목적, 방법, 내용, 일시 등을 계획하여 수행하고, 효과에 대한 검증을 통해 역량 증진이 실제로 이루어졌는지 매번 확인하는 것으로 마무리합니다.
    • 보안 문화 확립: 전사적 회의나 메일을 통해 보안 이슈를 공유하고 이를 조직 문화로 정착시키세요. 조직에서 건강한 보안 문화의 확립은 비용적으로, 장기적으로 매우 강력한 솔루션이 될 수 있습니다.

사례: 실제로 피싱 메일 한 통이 대기업과의 계약이 무산된 중소기업이 있었어요. 전사적인 보안 인식만 있었더라면 예방 가능했겠죠.

2. 자원 식별 및 발생 가능한 위험 도출

중소기업은 보유 자산과 위협을 체계적으로 파악하지 않는 경우가 많습니다. 우리 조직 내에서 가치 있는 것을 사전 식별하고, 그 중 “무엇이 위험에 처할 수 있는지” 먼저 이해하는 것이 중요합니다.

  • 실무 Tip
    • 자산 식별: 모든 디지털 자산(서버, 네트워크 장비, 클라우드 계정)과 물리적 자산을 리스트화하세요. 관리 대장을 개발하고, 지속 관리하며 모든 자산에 라벨링과 담당자 지정을 수행해야 합니다. 라벨링 되지 않은 자산은 유출되어도 즉시 식별할 수 없다는 사실을 유의해야 합니다.
    • 리스크 매핑: 식별된 자산에 어떤 위협이 존재하는지 나열하고 우선순위를 정하세요. 컴플라이언스 측면과 경제적 측면, 대외적 측면, 운영적 측면 등 다양한 관점에서 위험을 가시화하고 우선 처리해야 하는 위험을 식별해야 합니다.
    • 기본 보안 설정 점검: 방화벽, 백업 시스템, 패치 상태를 점검하세요. 초기 보안 설정과 같은 취약한 설정을 변경하는 것으로 대다수의 보안 사고를 예방할 수 있습니다.

사례: 최근 한 스타트업은 클라우드에 올린 데이터베이스 설정 오류로 인해 고객 정보가 유출된 사례가 있었습니다. 기본 설정 점검만 제대로 했다면 막을 수 있었죠.

3. 자산의 보호

가장 중요한 자산은 철저히 보호되어야 합니다. 예산이 부족한 중소기업도 꼭 챙겨야 할 기본 보안 조치들이 있습니다. 내/외부자에 의한 위협 외에 재해/재난으로 인한 위협까지 고려하여 기업의 비즈니스 연속성을 위한 보완 조치를 수행해야 합니다.

  • 실무 Tip
    • 데이터 백업: 중요 데이터는 정기적으로 백업하고 오프라인 저장소에 보관하세요. 굳이 실시간 백업과 미러링을 사용할 필요는 없습니다. 테이프 백업, 별도 외장하드 백업으로도 기업의 데이터 자산을 보호하는데 유용합니다. 데이터의 우선 순위를 설정하고 이에 따른 적절한 백업 솔루션을 사용해보세요.
    • 암호화: 데이터를 암호화해 불법 접근을 방지하세요. 암호키를 조직 내부의 암호키 보관 정책에 따라 체계적으로 관리하고, 민감한 데이터의 암호화 저장과 전송을 Default로하여 관리하는 것이 좋습니다. 만약 별도 암호키 관리가 복잡하게 느껴진다면, VLAN을 통해 구간을 분리하거나, VPN 통신을 사용하는 것도 방법이겠죠.
      Tip : 암호키 관리 정책은 KISA에서 제공하는 ‘암호 키 관리 안내서’를 참고하면 좋아요.
    • 최소 권한 원칙 적용: 불필요한 사용자 계정이나 접근 권한은 철저히 제한하세요. 권한은 차등으로 주고, 절대 상호 이익이 상충되는 권한은 부여하지 말아야 합니다.

실무 사례: 한 중소 제조업체는 랜섬웨어 공격을 받아 모든 데이터를 암호화 당했지만, 백업 시스템 덕분에 큰 피해 없이 복구할 수 있었습니다.

4. 서드파티 보안

공급망 공격이 점점 늘어나면서 협력업체를 통한 보안 위협이 증가하고 있습니다. 서드파티 보안도 이제 필수입니다.

  • 실무 Tip
    • 협력사 보안 평가: 협력사와 계약할 때 보안 인증이나 정책을 확인하세요. 협력사가 보안에 사용하는 리소스와 활동 등을 전체적으로 파악하고, 보안 역량 수준을 식별하는 것이 중요합니다.
    • 서드파티 접근 통제: 협력업체가 접근할 수 있는 시스템과 데이터를 최소화하세요. 만약 민감한 데이터에 접근하는 것이 필요하다면, 임시 권한을 부여하고, 데이터 처리에 대한 과정을 모니터링하여 용도 외 사용이 발생하지 않는 지 등을 확인해야 합니다.
    • 보안 조항 포함: 계약서에 보안 관련 항목을 포함해 책임을 명확히 하세요. SLA 내부에 보안을 위한 활동과 감사 시 협조해야 한다는 조항을 추가하고, 위반 시 계약이 귀책사유에 의해 해지 될 수 있음을 명시하는 것이 필요합니다.

사례: 한 유통업체는 협력사의 계정 탈취로 내부 시스템이 해킹당한 사례가 있습니다. 서드파티 접근 통제만 철저했다면 막을 수 있었을 겁니다. 최근에는 공격자들이 취약한 유통업체를 공략하여 APT를 전개하는 방식이 기승을 부리고 있습니다.

5. 클라우드 보안

중소기업은 클라우드 서비스를 적극적으로 활용하지만, 클라우드 보안 관리에는 소홀한 경우가 많습니다. 클라우드 내 데이터 관리에 대한 궁극적인 책임은 소비자에게 있습니다. 데이터 주권 보장과 유출 방지를 위해 노력해야합니다.

  • 실무 Tip
    • 계정 관리: 클라우드 계정에 대한 다중 인증(MFA)을 반드시 적용하세요. 또한 공용 계정의 사용을 차단하고, IAM 등을 통해 계정을 체계적으로 관리하는 것이 중요합니다. 취약한 계정 관리는 계정 탈취로 이어지고, 내부 시스템에 대한 피해로 확산됩니다.
    • 모니터링: 클라우드 사용 로그를 주기적으로 모니터링해 이상 징후를 파악하세요. 멀티테넌시 환경에서 모든 로그를 전부 분석하기란 불가능에 가깝습니다. CASB, SIEM 등을 통해 이상 로그에 대한 탐지를 선별적으로 수행하는 것이 중요합니다.
    • 보안 설정 점검: 불필요한 퍼블릭 접근이 가능한지 확인하고 최소한의 권한만 허용하세요. 퍼블릭 클라우드 환경은 누구에게나 노출된 만큼 공격의 대상이 되기도 쉽습니다. 보안 경계(SASE) 등을 사용해서 단일 게이트웨이 환경을 구축하는 것도 중요하겠죠
    • 쉐도우 IT : 외부 클라우드 환경을 통한 정보의 유출을 차단하세요. 조직 내부에 사용허가정책(AUP)를 수립하고, 사용할 수 있는 서비스를 제한함으로써 유출의 사례를 줄이는데 도움을 줄 수 있습니다.
    • 데이터 중력 : 특정 CSP 사에 너무 의존하면 추후 CSP 변경 시 매우 많은 노력과 비용이 소모됩니다. 초기부터 멀티 클라우드 형태의 서비스를 고려하면 어떨까요?

사례 : 최근 외부 클라우드를 통한 내부 정보 유출이 매우 빈번합니다. 조직 내 쉐도우 IT를 줄이기 위해서는 전사적으로 협조하는 관리 체계가 반드시 필요합니다.

6. 각종 법률 준수

정보보안은 단순한 기술 이슈를 넘어 법적 책임과도 직결됩니다. 특히 개인정보 보호법이나 GDPR 준수는 더 이상 선택이 아니죠. ESG 경영의 도입 필요성이 심화됨에 따라 임직원과, 고객의 정보보호를 위한 기업의 책임이 더욱 강화되고 있는 추세입니다.

  • 실무 Tip
    • 법률 체크리스트 작성: 관련 법규를 리스트화하고 체크리스트를 통해 준수 여부를 점검하세요. 법은 지속적으로 개정되는 것으로 이를 항상 최신화하여 관리하고, 조직에 공유하는 것이 중요합니다.
    • 개인정보 보호 강화: 고객 데이터를 안전하게 관리하고 불필요한 정보는 폐기하세요. 꼭 수집되어야 하는 개인정보를 선별적으로 수집하고, 익명으로 처리가 가능한 경우 익명 처리 원칙을 준수해야 합니다. 안전성 조치 기준에 의거한 내부관리계획을 수립하고 운영한다면 더욱 좋겠죠.

사례 : 최근 과징금으로 약 16억 제재를 받은 기업이 있죠. 과징금과 과태료의 차이 알고 계신가요? 과징금은 행정법상의 의무를 위반하여 부당한 이익을 챙겼거나 챙기려 한 경우에 부과되는 금전적 제재입니다. 부당한 이익을 환수하고 다시 같은 일이 발생하지 않도록 하기 위해 징수하며, 주로 각 행정청이나 개별법에 따라 징수 되는 것이 특징입니다.

7. 인적 보안과 대비

기술적 보안이 아무리 잘 되어 있어도 사람이 뚫리면 끝입니다. 내부 직원의 보안 인식을 강화하고 준비된 상태를 유지하세요. 특히 조직 내에서 높은 권한을 소유한 자 공격의 대상이 되기 쉬우니, 이에 대비하는 자세가 필요하겠죠.

  • 실무 Tip
    • 모의 훈련: 피싱 이메일 모의 훈련을 통해 직원들의 대응력을 높이세요. 대상별 맞춤 훈련 컨텐츠를 활용하고, 모의 훈련에 참가한 직원들과 훈련 내용을 기록하여 추후 성과에 반영한다면, 참여율을 보장하는데 유리합니다.
    • 보안 정책 준수: USB 사용 금지, 비밀번호 관리 규칙 등을 명확히 공지하고 이행 여부를 확인하세요. 조직의 보안 정책을 수립하고 관계자들에게 공유하는 것으로 억제 효과 및 책임 추적성을 보장하는데 매우 중요하게 작용합니다.
    • 퇴사자 관리: 퇴사자의 계정과 접근 권한을 즉시 철회하세요. 퇴사 절차를 밟으며 계정에 대한 말소를 진행하고, 이를 확인하는 서명이 추가되는 것이 좋습니다. 비밀유지서약서(NDA) 등을 마련해서 추후 발생할 수 있는 영업 비밀 누설과 같은 것도 예방하는 것이 좋겠죠.

사례 : 한국산업안전공단에서 산업스파이에 대한 내용으로 컨텐츠를 제작한 적이 있었는데, 내부자에 의한 정보 유출 사례가 매우 빈번하다는 것을 알게 되었죠. 악의적 내부자는 뛰어난 외부 공격자 만큼이나 위험하다는 사실을 인지해야 합니다.

보안은 중소기업 생존의 핵심입니다

파이브아이즈의 가이드라인은 중소기업이 한정된 예산과 인력으로도 효과적으로 보안 태세를 강화할 수 있는 방법을 제시하고 있습니다. 보안에 대한 전사적 이해부터 기술적·법적 대응까지 단계적으로 실행한다면 보안 사고를 미리 예방하고 기업의 신뢰도와 지속 가능성을 높일 수 있습니다.

기술을 기획하고, 창업하여 아이템으로 구체화 시키고, 직원들과 함께 아이템을 사업화하기까지 얼마나 많은 시간과, 노력들이 필요했었는지 생각해보세요. 우리 모두 힘들게 얻은 것이, 지키는 것 또한 쉽지 않다는 사실을 알아야 합니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다