[개인 시선] 일상적인 보안 활동_업무중

<개인 생각_일상적인 보안 활동_업무중>

약 10년이라는 기간 동안 보안업무를 하면서 느낀 점을 적어볼까 합니다.

지금은 인식이 조금씩 바뀌고 있지만, 보안에서 가장 필요하지만 가장 인정하지 않는 보안 관제부터 보안 SI, 그리고 한 기업의 보안 담당자가 되기까지 짧다면 짧고 길다면 긴 시간 동안 보안 업무를 하고 있습니다.

저는 누구나 가길 원하는 대기업의 담당자가 된 적은 없습니다. 대기업이라고는 첫 번째 보안 관제를 하면서 대기업 임직원들이 일하는 모습을 본것 이외에는...

 

보안 SI를 하면서 금융, 일반 제조, 공기업 등을 다니면서 해당 기업의 담당자들과 또 일반 임직원들과 업무 수행하면서 느낀 점은 이 사람들도 나와 크게 다르지 않다는 것, 담당 업무의 내용도 크게 다르지 않다는 것을 알게 되었습니다.

즉 기업의 크기가 다를 뿐 진행하는 업무의 강도 및 정책, 내용은 비슷했습니다.

오히려 그분들보단 제가 더 담당하는 게 많습니다. 아무래도 중소기업이다 보니 정책 설정부터 운영 구축, 물리적 보안까지 진행하지 않는 부분이 없기 때문입니다.

사설이 길었는데 본론으로 들어가서 일상적인 업무 중에 진행하는 보안 활동에 대해서 일반 임직원들이 지켜야 하지만 무심코 지나가는 내용에 대해서 몇 가지 적을까 합니다.

1. 문서 보안

- 직원들은 문서를 출력하고 해당 문서의 중요도에 따라 분리가 되지만 그것을 가끔 간과하고 있습니다. 출력물을 복합기 위에 놓고 가져가지 않거나 기업에 제출한 제안서를 책상 위에 그냥 놓고 다니거나, 영업 문서를 파쇄하지 않고 쓰레기통에 그대로 버리거나 이런 행동 하나하나가 회사에 득이 되는 것은 아무것도 없습니다.

특히 개인정보를 취급하는 부서라면 좀 더 주의를 기울여야 합니다. 인사 담당자라면 이력서 등을 출력 후 목적이 다했다면 바로 파쇄를 해야 하고, CS 담당자라면 문서를 별도 보관해야 하고 등 관련된 정책이 내부에 꼭 있을 테니 꼭 확인하여 해당 정책에 지키셔야 합니다.

 

아래 기사는 법원에서 일어난 사건으로 법과 정책을 기본으로 지켜야 하는 법원에서도 간단한 문서보안을 지키지 않아서 발생한 사건입니다.

관련 기사 :  [단독]'화장실에 내 개인정보가?'…민원인 서류 휴지통 깔개로 쓴 법원

2. 출입문 보안

 - 요즘은 스피드 게이트, 자동문 등으로 출입 보안이 잘되어 있지만 모든 것이 완벽한 것은 아니다 보니 지키지 않는 사람들이 나오게 되어 있습니다. 제가 본 사례는 출입문의 취약점(?) 중 강제로 양쪽으로 출입문을 강한 힘으로 밀게 되면 문이 열리는 사건도 있었으며, 해당문으로 위로 들어 올렸다 내리면 자동문이 열리는 일, 스피드 게이트 통과 시 두 사람이 같이 지나가는 일 등 많은 사건이 있었습니다. 그것을 진행하는 사람들의 공통점은 그냥 해보니까 돼서 했다고 했습니다.

자신들이 한 행동에 대한 결과가 다른 임직원들에게 어떤 영향이 있을지 모르고요, 결국에 자동문에 대해서는 업체를 불러서 해당 취약점을 고치고, 스피드 게이트는 전사공지 및 관련 부서장에게 알리는 등 많은 처리가 있었습니다. 그런 행동을 하시는 분들도 자신의 행동이 잘못되었다는 것을 대화를 해보면 알고 있습니다. 하지만 결국은 다른 임직원들이 더 불편해지는 상황을 겪어야 하는데 말이죠.

3. 내부 자료 

- 보안 교육 시 직원들에게 설명해주는 것 중에 하나가 회사에서 지급해주는 자산으로 작업을 할 경우에는 그것은 회사를 위해서 진행하는 것이고 그것으로 인해 발생하는 모든 산출물과 저장된 내용은 회사의 자산이라고 알려 줍니다.

하지만 간혹 내가 만든 자료이니 가지고 나가겠다고 우기는 분들도 있었습니다. 자신이 만들 제안서, 영업자료 등등 입사 초기에 다들 보안 서약서에 사인을 했을 텐데 이런 말씀을 하시는 분들은 해당 서약서를 읽지 않았다는 것이겠죠.

자신들이 진행하는 업무임에도 관심이 없었던 것입니다. 회사에서 업무를 위해서 지급해주는 노트북 또는 데스크톱에서 발생한 자료는 자신의 것이 아닌 회사 것임을 아셔야 합니다.

4. 자산 반출

- 간혹 외근이나 출장이 있으면 내부의 자산을 가지고 나가는 경우가 있습니다. 대부분이 노트북을 가지고 나가는데 요즘은 클라우드로 업무를 많이 보기도 하지만 클라우드를 사용하지 않는 기업의 경우 내부 VPN을 사용해야 하는 경우가 있습니다. 그렇기 때문에 회사 내부에서 외부로 나갈 때의 자산 반출에 대한 기본 정책이 어떻게 되는지 알아야 합니다. 그렇지 않을 경우 애써 나간 외근과 출장에서 자료를 보지 못하는 불상사가 발생할 수 있기 때문입니다.

5. 방문객 보안

- 외부에서 손님이 오셔서 내부로 출입을 해야 할 경우 요즘은 대부분은 개인정보에 대한 동의를 받습니다. CCTV 때문에도 그렇고 출입한 방문객의 이력을 남기기 위해서도 그렇습니다. 제가 근무한 곳에서는 아주 잠깐 사용자 지문을 등록한 기간도 있었습니다. 그리고 내부로 출입하는 경우 일부 회사에서는 봉인라벨이나 반입증을 작성하기도 합니다. 일부 방문객에게는 회사 보안이 철저하다는 인상을 주기도 하지만 일부에게는 과잉이 아닌지 반응을 하는 경우도 있습니다. 그러니 방문객이 출입해야 할 경우 이런 부분에 대해서 사전에 알려주는 것이 좋습니다.

6. 개발 보안

- 개발이 진행될 경우 요즘에는 기본적으로 개발 진행 시 보안 코딩이 하는 것이 일반화되어 있습니다. 하지만 관련된 가이드에 대해서 개발 부서에서 알아서 하는 경우는 거의 보지 못했습니다. 그러니 보안 담당자가 미리 관련된 가이드 및 자료를 개발부서에 전달하고 필요할 경우 간단한 교육도 필요합니다. 또한 회사 내부에서 국제 인증이나 국내 인증을 진행하게 된다면 이 부분은 더욱 중요합니다. 만일 개발 시 보안에 대한 부분이 반영되지 못하고 진행이 된다면 잘못하면 처음부터 프로젝트가 진행되는 불상사가 발생할 수도 있습니다.

7. PC 보안

- 국내 기업에서는 보통 윈도우를 많이 사용하는 편입니다. 그래서 사용자들에게 미리 계정 및 패스워드를 발급하고 관련된 보안 정책을 전달합니다. 패스워드 생성 정책은 대소문자+특수문자+숫자 등을 합쳐서 8자 또는 10자 이상으로 만들라고 가이드를 하고, 자리를 떠나거나 장시간 자리를 비울 경우 로그 오프 또는 컴퓨터를 끄고 가라고 가이드를 합니다. 만일 그렇지 않을 경우 자칫 보안 사고로 이어질 수 있기 때문입니다. 프로그램 설치 또한 관리자 계정으로 정상적인 프로그램인 경우 자유롭게 설치하게 하는 경우도 있지만, 관리자 계정을 주지 않고 User 권한만으로 업무를 진행하게 하는 경우도 있습니다. 그렇다면 개발자들 경우 많은 불편을 겪기도 합니다. 그것은 관리자 또한 많이 불편한 정책이기도 합니다.

8. 이메일 보안

- 요즘에는 랜섬웨어 감염을 시키기 위해서 스팸들이 많이 유입되고 있습니다. 스팸은 언제나 문제가 되었지만, 임직원에 대한 스팸 인식 수준은 언제나 비슷한 것 같습니다. 그래서 필요한 것이 정기적으로 메일과 관련된 모의 훈련 및 관련된 보안 사고에 대한 내용을 주기적으로 안내하는 게 좋습니다. 그렇다면 그래서 의심되는 메일이 수신되면 바로 열어보는 게 아닌 보안부서에 관련 메일을 문의 후 확인하기 때문입니다.