오늘은 좀 딱딱한 보안 이야기를 해볼까 합니다.
대기업들은 보안에 대해서 오래전부터 고민을 하여 적용하였지만 중소기업들은
사내 보안을 적용하기가 쉽지 않은게 현실입니다.

고객데이터(주민번호 등이)가 유출되면서 빵~~~하고 터져야~~~
아~~~~~~~~~~~~~~~~~` 이래서 진작 보안을 할 걸 그랬나..하고 외치게 됩니다.

군대처럼 전화받으면서 항상 통신보안!!! 이라고 외칠수도 없고
서버실이나 문서보관하는 곳에 직원이 감시하게 하여
"화랑" ~~~"담배"~~~~ 와 같은 암호를 교환하기도 힘들고요..

더구나 스마트폰 전성시대가 되면서 모바일오피스를 구축하는 기업들도 많아지고 있는데
과연 사내 보안은 어떤 녀석이며 왜 필요한지 얘기를 해보겠습니다.




사내 보안은 왜 필요할까요?

보안이라는 말은 많이 들어왔는데, 의미도 피부에 와닿지도 않고,
당췌 도대체 무엇을 하겠다고 하는 건지.무엇인지 잘 모르겠고, 너무 어려울 것 같아.
회사에서 일하는 데 불편하지 않을까.

위와 같은 생각이 들기도 하고, 도대체 보안이 무엇인지 머리 속에 물음표만 가득 생겼다가 사라졌을 겁니다.

사내 보안이란 무엇일까요?
집안에 들어갈 때나 나갈 때 현관문 혹은 대문을 잠급니다.
 왜 문을 잠글까요? 도둑이 들어오거나 모르는 사람이 함부로 들어 오는 것을 막고 싶기 때문입니다.

그럼 왜 막고 싶을까요? 집안에 있는 보석, 시계, 통장 등 귀중품을 보호하고 싶기 때문입니다.
스위스 은행의 금고에 넣어놓고 싶겠지만 것 또한 쉽지 않고요...
집이 회사이고, 소스코드, 기획자료 등 중요 정보 및 자산이 집안의 귀중품이라고 생각한다면
사내 보안은 회사의 중요 정보 및 자산을 보호하기 위한 모든 활동이란 생각이 들 겁니다.

그럼 사내 보안을 하면 무엇이 좋아지나요?
집에 보안경비시스템과 금고를 설치하면 무엇이 좋아지나요?
첫 번째는 집주인의 허락 없이 집안으로 들어오는 것을 막을 수 있으며,
두 번째는 귀중품을 분실하거나 집안에 들어온 외부인으로부터 탈취당할 위험이 줄어 듭니다.

사내 보안을 하면 사내 중요 정보 및 자산을 지금보다는 조금 더 안전하게 보호할 수 있습니다.
70, 80년에는 귀중품을 천으로 겹겹이 싸매서 장롱 깊숙이 집어넣었다면 요즘은 서재나 혹은 집안에 잘 눈에 뛰지 않는 공간에 개인금고를 설치하여 그 안에 넣어서 보관합니다.

최근에는 보안경비서비스를 설치하여 도둑이나 외부의 잘 모르는 사람이 집안으로 들어오는 것을 탐지하거나, 막을 수 있습니다.

위와 같은 개념은 defense in depth(계층 방어 혹은 심층 방어)라고 합니다.
간단히 말하면 공격에 대한 방어를 몇 단계에 걸쳐 적용하여 피해를 최소화 하는 방법으로
보안에서는 가장 기본적으로 적용됩니다.
이전에는 귀중품을 자유롭게 가지고 나갈 수 있었다면, 보안 적용 후 귀중품을 발견하거나 가지고 나가기도 쉽지 않게 됩니다. 따라서, 사내 보안을 하게 되면 사내 중요 정보 및 자산을 조금 더 안전하게 보호할 수 있습니다.

회사의 정보보안의 원칙은 “사내의 중요 정보 및 자산을 보호한다”입니다. 이러한 원칙을 지키기 위해서는
다음과 같은 일(테스크)들이 필요합니다.

사내보안을 위한 4가지 체크포인트

1. 정보보호 현황조사 및 취약점 분석
사내의 중요 정보 및 자산의 임의적인 반출 경로 및 가능성을 분석하는 작업입니다.

아이가 감기에 걸리면 의사에게 보이고 처방을 받듯이 회사의 정보보호 취약점을 분석하여
관련 개선방안을 수립합니다.
사내의 보안 취약점을 제거하거나 발생 가능성을 낮추기 위하여 관련 개선방안은
정보보호 관리체계 수립, IT보안 인프라 개선 및 임직원 인식제고에 반영됩니다.

2. 정보보호 관리체계 수립
정보보호 관리체계는 “정보보호 정책서”와 “각 영역별 지침서”을 수립합니다.

1) 정보보호 관리지침서
정보보호 조직, 정보보호 정책/지침서들의 관리 등 전반적으로 회사에 필요한 보안활동 명시

2) 인사보안 지침서
내부 직원의 입사~퇴직, 외부 인력의 계약~철수까지 필요한 보안활동 명시

3) IT인프라 보안지침서
IT인프라(서버/네트워크/보안시스템)의 도입~폐기까지 보안활동(계정 관리, 보안 설정 적용, 전산실 출입통제 등) 명시

4) 서비스 운영 보안지침서
대외서비스, ERP 등 업무지원시스템들의 도입~폐기까지의 보안활동(계정관리 등) 

5) 개인정보보호 지침서
웹사이트의 개인정보(이름, 주민번호, (이동)전화번호 등) 취급 시, 필요한 보안활동(SSL인증서 적용, DB 암호화 적용, 관리자/사용자 계정관리 등) 명시

3. IT보안 인프라 개선
중앙에서 노트북/PC에 대한 백신 시스템에서부터 문서보안(DRM or DLP) 등 보안시스템 도입,
서버/네트워크/어플리케이션 구성 및 설정과 같은 보안 점검과 같은 기술 보안 부분입니다.

예를 들어서, 회사에서 사용하는 PC의 보안 패치 및 백신의 최신 엔진/정책의 업데이트를 수동으로 해왔다면
관련 보안시스템을 도입하여 관리자가 정책을 설정하여 중앙에서 자동으로 적용할 수 있습니다.
현재 구축할 보안시스템을 선정하지 않았으며, 보안 취약점 진단 결과를 토대로 시급하게 필요한 보안시스템을 선정하여 구축해야합니다.

4. 임직원 인식제고
사내 정보보호 지침서에서 직원들이 꼭 알아야 하는 보안활동(PC에서 이상징후 포착 시의 행동, 외부 인력 활용 시 보안서약서/철수 확인서 징구 등)을 정하여 별도의 임직원 생활보안 가이드를 배포하고 교육을 진행할 예정입니다.
정보보호 교육 종료 후, 교육의 효과성 인식 변화의 정도 측정을 위하여 사내 보안점검과 교육 의견에 대한 설문조사가 진행됩니다.
직원들의 의견을 수렴하여 웹 해킹, 개인정보보호, 내부정보유출 등 보안 이슈 중 관심 있는 주제를 선정하여 사내 혹은 외부 전문가를 활용하여 정보보호 세미나를 진행해야합니다.


사내 보안을 하면 불편해지지 않을까요?

보안경비시스템을 설치한 후 처음 얼마 동안은 창문 잠금 확인과 시스템 작동을 시켜야 하는 번거로움이 생깁니다. 그러나, 일정 시간이 소요되면 본인 스스로도 인식하지 못한 채 보안시스템을 작동시킬 수 있습니다.
사내 보안을 적용하면 집의 보안경비시스템 작동과 같이 기존에 해본 적이 없던 절차(행동)들이 생겨서
당분간은 불편할 수 있습니다.
그러나, 보안경비시스템을 사용하게 되면 익숙해져서 어느 순간부터는 불편함의 정도는 처음보다 줄어들 겁니다.
사내 보안을 적용 후 당분간은 불편할 수 있으나, 사내의 중요 정보 및 자산 보호를 위해서
보안활동(절차)들이 꼭 지켜져야 합니다.


아무리 보안을 잘 해놓아도 맘먹고 훔칠려고 한다면
무엇이든 못하겠냐 라고 말씀하시겠지만,
개개인의 보안인식이 바뀌는게 가장 좋은 방법이지 않을까 합니다.

이 모든 시스템을 이용하는 사람들은 바로 우리 자신이며
우리들이 회사의 자산을 지키는 것이니까요~~