디지털 전환의 흐름의 시대에 접어들면서 많은 기업들이 클라우드 서비스를 적극 도입하며 빠르게 변화의 흐름에 동참했습니다. 코로나 19 팬대믹으로 인해 그 속도는 더욱 가속화 되었고 그에 따른 보안의 위협도 함께 급속도로 증가했습니다. 비대면 업무 형태로 급격하게 변화하게 되면서 늘어난 원격회의와 업무로 인해 이메일을 통한 피싱 메시지의 침투가 늘었으며 BEC(비즈니스 이메일 손상), 랜섬웨어와 같은 사이버 위협이 날이 갈수록 증가하고 더욱더 교묘하게 변화하며 진화하고 있습니다.
한국인터넷진흥원(KISA) 자료에 따르면, 지난해 사이버 공격 피해의 92%가 중소기업에 집중되어 있는 것으로 나타났습니다. 디지털 전환 시대의 흐름에 동참했지만 정작 보안에 대한 준비는 하지못해 보안 위협에 그대로 노출되어 있는 중소기업들이 많음을 여실히 보여주고 있습니다. 이처럼 국내 수많은 중소기업이 보안의 중요성과 필요성을 충분히 인지하고 있음에도 불구하고 환경적인 문제와 한계로 인해 전사적인 보안 전문 서비스를 도입하거나 보안 시스템을 운영하고 관리할 보안 책임자를 채용할 여력이 없는 경우가 많습니다.
대기업에 비해 재정적·인적 자원이 적은 중소기업의 경우 보안에 대한 예산과 내부 보안 인력에 대한 리소스가 턱없이 부족하여 사이버 위협이나 침해로부터 타겟이 되기 쉽습니다. 규모가 작은 조직일수록 사내 전문 사이버 보안팀을 운영하고 있지 않을 가능성이 크기 때문에 사이버 위협이나 침해로부터 대응이 어려운것이 현실입니다.
이 때문인지 최근 많은 기업들이 사이버 리스크를 주요 비즈니스 위협 요인으로 여기기 시작하면서 대기업 뿐 아니라 보안에 비용을 덜 쓰던 중소기업 또한 보안에 대한 필요성을 느끼고 다방면으로 알아보는 기업들이 늘고 있습니다.
실제 고우아이티 기술지원팀으로도 보안 문의가 늘어나고 있어 저희도 보안의 중요성을 체감하고 있는데요.
저희 기술지원팀을 통해 중소기업 담당자 분들께서 가장 많이 문의주시고 실제 가장 크게 우려하고 있는 공통적인 보안 고민은 다음과 같습니다.
“직원 개개인의 계정은 잘 관리되고 있는지 궁금합니다.” –A사
“비즈니스의 주된 커뮤니케이션 수단인 이메일을 포함하여 외부에서 유입되는 위험으로부터 직원들이 잘 대응하고 있는지, 노트북과 기타 다양한 디바이스를 통한 보안 관리는 어떻게 이루어지고 있는지 모르겠어요..” – B사
“회사에서 관리되는 민감한 정보, 중요 문서들에 대한 보안 측면에서의 자산 보호는 어떻게 해야하는지 막막합니다.. “- C사
이처럼 조직내 내구성원들을 통한 보안이 잘 지켜지고 관리되고 있는지, 그렇다면 조직에 맞는 보안을 어디서부터 시작해야 하는지 막염함을 느껴 문의를 주시는 경우가 많았습니다.
중소기업에서 내/외부 위협으로부터 중요 자산을 보호하기 위해 기본적으로 고려해야 하는 기본 사항들에 대해 고우아이티는 다음 6가지의 프로세스를 설명합니다. 그리고 그 보안 프로세스를 실제 조직에 적용할 수 있도록 기업의 보안 상황을 면밀히 검토하여 Microsoft 365 를 활용한 보안 단계(총 5단계)를 통해 그에 맞는 보안 가이드를 제안해드리고 있습니다.
먼저 중소기업의 디지털 보안을 위해 고려해야 하는 기본 프로세스부터 살펴보겠습니다.
01. 보안 정책 수립
전사에 적용되는 보안 정책을 수립해야 합니다. 정책에는 디지털 자산 보호 방법, 외부 이메일 대응 방법, 패스워드 관리 등이 포함되며 보안 정책은 관리자뿐 아니라 전 직원이 따라야 보안 구멍을 최소로 좁힐 수 있습니다.
02. 디지털 보안을 수행할 솔루션 선택
우리 기업의 비즈니스에 최적화된 보안 솔루션을 선택해야 합니다. Microsoft 365는 악성 이메일을 차단하여 이메일과 파일을 보호하고 내부 문서 보안을 강화해주는 다양한 보안 도구들을 제공하고 있습니다. 보안 솔루션이 필요하거나 IT 인력이 부족한 중소기업에 큰 도움이 됩니다.
03. 수립된 보안 정책 테스트 및 검증
보안 정책이 잘 적용되고 있는지 테스트 그룹을 대상으로 확인하는 과정이 필요합니다. 테스트와 검증을 통해 설정한 정책이 회사 보안 정책에 부합하는지 그리고 정상적으로 작동하는지 검토해야 합니다.
04. 전사 확산을 위한 계획 수립
회사의 모든 부서에 보안 문화를 확산시키기 위한 계획을 세워야 합니다. 보안을 일부 직원만의 책임이 아니라 모든 직원이 함께 지키고 시행해야 하는 부분으로 부서마다 보안 담당자를 두거나 보안 관련 내용을 정기적으로 공유하는 방법이 있습니다.
05. 직원 대상 홍보 및 교육
모든 직원이 보안의 중요성을 인식하고 이를 업무에서 실천할 수 있도록 교육해야 합니다. 정기적인 보안 교육을 통해 권한에 따른 문서 보호, 피싱 이메일 구별 및 대처, 안전한 패스워드 생성 등에 대한 보안 교육을 통해 안내할 수 있습니다.
06. 유지 운영 방안 수립
모든 보안 조치를 지속해서 운영하고 개선하기 위한 방안을 마련해야 합니다. 보안은 한 번의 설정으로 완성되는 것이 아니라 지속해서 업데이트하고 관리해야 합니다. 최신 보안 위협에 대응하기 위해 주기적으로 업데이트 되는 보안 솔루션을 도입하고 직원들에게 새로운 보안 위협에 대해 알리는 것이 중요합니다.
위에서 안내드린 보안 프로세스는 고우아이티에서 제안하는 기본 보안 프로세스로, 중소기업이 디지털 보안을 강화하기 위해 가장 기본적으로 고려해야 항목이라고 보시면 됩니다. 사실 이러한 일련의 프로세스의 중요성은 이해하고 있지만 실제로 회사에 적용하기란 여간 어려운 일이 아닙니다.
보안의 중요성과 필요성에 대해 충분히 인지하고 계심에도 불구하고 내부 인적/물적 리소스의 한계로 시도도 못하고 계신 기업들도 많으리라 생각합니다.
앞서 말씀드린 것처럼 저희 고우아이티는 5단계의 Microsoft 365를 활용한 보안 가이드를 통해 단계별 보안을 제안드립니다.
고우아이티는 조직 구성원들의 계정 보호, 이메일 보안, 기업의 민감한 정보와 중요 문서를 보호하고 모니터링할 수 있는 Microsoft 365 서비스의 보안 기능을 기반으로 하여 각 보안 단계를 세분화하여 기업의 규모와 상황에 맞춰 적용할 수 있도록 세부 보안 가이드를 다음과 같이 5단계로 나누어 안내합니다.
[고우아이티가 제안하는 중소기업의 단계별 보안 단계]
1. 계정 보호 – 보안 기본 값 설정 / 조건부 액세스
2. 이메일 보호 – 이메일 보호 설정 / 메시지 암호화, 메시지 규칙
3. 자산 보호 – MDM / MAM
4. 문서 보호 – AIP / DLP
5. 모니터링 – 감사로그, e-Discovery, 콘텐츠 탐색/ 로그인 시도, 인시던트 경고
단계별 보안 수준에 따라 내부에 적용 가능한 수준의 보안 단계를 검토하고 적용하여 보안 정책을 생성하고 유지하기 위한 노력이 이루어진다면 언제 어디서 발생할지 모르는 보안 사고로부터 미리 대응할 수 있습니다.
자세한 단계별 보안 가이드에 대한 이야기는 다음 포스트에서 풀어보겠습니다. 많은 관심 부탁드립니다.^^
내부에 IT 전담 인력이 없어 보안 정책 설정에 도움이 필요하시다구요? 우리 기업에 적합한 보안 솔루션이 무엇인지 모르겠다면 주저하지 마시고 Microsoft 365 No.1CSP 파트너 고우아이티로 문의주세요.
‘보안’이라는 단어만으로도 어렵게 느껴지고 어디서부터 어떻게 시작해야 할지 막막하게 느껴지실 수 있겠지만 Microsoft 365에서 제공하는 다양한 보안 기능들을 가지고 클릭 한번으로 여러 보안 위협으로부터 여러분의 소중한 기업 자산을 안전하게 지킬 수 있습니다. 준비된 파트너 고우아이티와 함께 보안 여정을 시작해보시기 바랍니다. ♥
< 관련 콘텐츠 살펴보기 >
>> 데이터로 살펴보는 문서 관리 중요성 : 네이버 블로그 (naver.com)
>> 클라우드 업무 환경에서 기업이 중요 문서를 보.. : 네이버블로그 (naver.com)
>> Microsoft 365 기반 성공적인 디지털.. : 네이버블로그 (naver.com)
클라우드 전문기업 GowIT는
기업환경에 최적화된 클라우드 서비스와
GowIT고객사를 위한 차별화된 기술지원 서비스를 제공합니다.
상담 문의
Tel. 02-462-5365 / Mail. gocloud@gowit.co.kr
http://cloud.gowit.co.kr