Offcanvas

CIO / CSO / How To / 보안 / 통신|네트워크

재택근무 보안··· 직원이 '1분 만에' 할 수 있는 10가지

2021.02.25 Brian Nadel  |  CSO
사무실이 활기를 잃었다. 마치 유령 도시처럼 변했다. 직원들은 재택 근무를 하지 않을 수 없게 된 상황이다. IT 관리자나 보안 담당 임원의 관점에서 본다면 꽤 위험한 상황이 펼쳐졌다.

현대 기업이라면 자체 사업 및 기밀 보호를 위해 당연히 보안 기능을 제공할 것이다. 맬웨어를 저지하기 위해 컴퓨터마다 엔드포인트 탐지 및 대응(EDR) 소프트웨어를 설치할 것이며, 통신 내용을 보호하고 운영 체제 및 앱을 최신 보안 패치로 자동 업데이트할 수 있도록 VPN에 접속하게 해 두는 것이 보통이다.

그러나 재택근무 환경에서는 사무실 환경에서 당연시 되었던 방어 기능 중에서 몇몇을 포기해야 한다. 회사의 강력한 방화벽과 직접적인 기술 지원과 같은 것 등이다. 다행히 사무실의 보호권에서 벗어나 있다 하더라도 재택근무 직원이 손쉽게 본인(과 회사)의 보안을 강화할 수 있는 추가 방어 단계가 여럿 있다.

이러한 추가적인 재택근무 보안 요령은 모든 조직의 원격 근무자 대상 보안 인식 교육 내용에 포함되어야 한다. 대부분 1분 이내에 실행 가능하며 전문 지식도 필요 없다. 
 
Image Credit : Getty Images Bank

안전을 위해 암호화할 것
보안에 신경을 쓰는 회사라면 보유한 컴퓨터를 암호화할 가능성이 높다. 그래야 분실 또는 도난 시에도 데이터를 숨긴 채로 유지할 수 있기 때문이다. 단점은 드라이브 전체를 암호화할 경우 컴퓨터 속도가 크게 저하될 수 있다는 것이다. 

효과적인 절충안은 암호화 프로그램을 사용하여 필수 파일이나 기밀 파일을 암호화하는 것이다. 그러면 다른 사람 손에 들어가더라도 정확한 복호화 키 없이는 읽을 수 없다. 스마트폰과 태블릿에도 좋은 소식이 있다. 삼성의 최신 갤럭시 제품에는 삼성의 녹스(Knox) 기술로 파일을 암호화하는 보안 폴더 앱이 들어 있다. 암호화된 파일은 비밀번호나 지문 또는 안면 스캔으로 열 수 있다는 점이 특히 좋다.

플래시 드라이브를 차단할 것
재택근무 직원이 플래시 드라이브로 시스템에 데이터를 넣고 뺄 수 있다면 심각한 보안상 허점이 방치된 것이다. 해당 직원에게 이러한 위험성을 경고할 수 있으며, 윈도우 10 사용자는 컴퓨터에 데이터가 드나드는 방식을 제한할 수 있다. 

먼저 검색 상자에 “gpedit”를 입력하여 그룹 정책 편집기를 연다. 그 다음에는 [시스템] 폴더를 클릭하여 [관리 템플릿] 폴더로 간다. [이동식 저장장치] 폴더를 열면 CD와 DVD는 물론 구시대의 유물인 플로피 디스크의 사용을 차단할 수 있다. 방법은 2가지이다. ‘읽기 접근 거부’는 들어오는 맬웨어를 방지할 수 있고 ‘쓰기 접근 거부’는 시스템에서 회사 데이터가 유출되는 것을 막아 준다. 보안을 강화하기 위해 2가지 방법을 모두 사용하는 것이 좋다.

가정용 ISP의 보안 도구와 서비스를 사용할 것
맬웨어 발생을 막기 위해 회사의 EDR 소프트웨어가 사용자의 컴퓨터는 물론 많은 경우 스마트폰과 태블릿에도 설치될 것이다. EDR 소프트웨어는 공격이나 침입의 초기 징후를 식별하기 위해 시스템의 동작을 감시할 뿐만 아니라 공격이 발생하기 전의 상태로 설정을 안전하게 돌려 놓을 수 있다. 사용자가 공격 발생 사실을 알지도 못해도 가능하다. 

직원들의 ISP 역시 도움이 될 수 있다. ISP에서 제공하는 보안 도구와 서비스를 적극 활용하도록 권장해야 한다. 예를 들어, 한 인터넷 제공업체는 최근에 윈도우용 퀵타임(QuickTime)을 설치 해제할 것을 권장했다. 윈도우용 퀵타임은 이제 더 이상 지원되지 않아 해커의 진입점이 될 수 있기 때문이다. 여러 ISP 비즈니스 패키지에는 맬웨어 탐지, 사전 모니터링, 침입 시도에 대한 잦은 보고 등에 중점을 둔 관리 보안 기능이 포함되어 있다.

가정용 라우터의 방화벽을 켤 것
회사 운영의 근간에 있는 하드웨어 방화벽은 포트에서의 활동을 감시하여 예상치 못한 행동은 정지시킴으로써 회사 네트워크와 고객이 침입 당하지 않도록 보호한다. 물론 회사에서 지급한 노트북에는 외부인이 들어오지 못하게 소프트웨어 방화벽이 있지만 사용자 와이파이 라우터의 방화벽도 도움이 될 수 있다.

먼저 라우터의 관리자 이름과 암호 및 펌웨어를 업데이트한다. 일반적인 로그인 데이터나 구형 데이터를 사용하는 것은 마치 여기를 공격하라고 크게 광고하는 것이나 마찬가지다. 라우터마다 방화벽 활성화 방법은 다르지만 그 과정은 비슷하다. 

링크시스(Linksys) WRT32X 라우터에서는 메뉴의 ‘고급 설정’ 부분에서 ‘로컬 네트워크 설정’을 클릭했다. ‘추가 설정’ 부분을 연 후에 방화벽 소프트웨어 ‘켬/끔’ 스위치를 ‘켬’으로 설정했다. 이제 시스템에는 해커의 공격을 막을 수 있는 방어 단계가 추가된다.

회사에서 승인한 화상 플랫폼만 사용할 것
직장인 대부분이 재택 근무를 하는 상황에서 화상으로 동료와 거래업체, 공급업체와 직접 대화를 하는 것이 유일한 수단이 되었는데 플랫폼마다 보안 정도가 다르다. 예를 들면, 회사에서는 팀즈(Teams)를 사용하는데 거래업체는 앞으로 있을 프로젝트에 대한 이야기를 줌(Zoom)이나 왓츠앱(Whatsapp)으로 하고 싶어 하는 경우에 직원은 이를 거절해야 하고 회사에서 승인한 플랫폼 사용을 권장해야 한다. 그렇지 않으면 잘못될 수 있는 일이 너무 많기 때문이다. 예를 들어, 파일 공유는 취약하고 줌 회의에 무단 침입자가 들어와 회의 내용을 엿듣기도 한다.

웹캠 커버를 사용할 것
웹 카메라는 사용하지 않을 때는 가려놓아야 한다. 열어 둔다면 직원들의 작업 내용을 혹시 누군가 훔쳐 보거나 아니면 더한 짓을 하고 있을 지도 모른다. 일부 노트북(예: HP 엘리트북 드래곤플라이)에는 웹캠 커버가 물리적으로 달려 있어서 카메라를 통해 누가 훔쳐보지 못하도록 막아준다. 다른 시스템의 경우에는 저렴한 슬라이드 커버 액세서리나 포스트잇 메모지 한 장을 카메라 렌즈 위에 붙여두는 것으로도 같은 효과를 낼 수 있다. 

공공 와이파이로는 절대로 연결하지 말 것
대부분의 회사에는 이러한 지침이 있지만 다시 한번 강조할 필요가 있다. 직원들은 회사 서버에 연결할 때 항상 보안 연결을 사용해야 한다. 그래야 누군가 데이터 흐름을 엿듣고 있을 가능성이 낮아진다. 공항, 커피숍, 호텔에 있는 공용 와이파이는 피해야 한다. 직원의 가정용 고속 데이터 통신망으로 부족할 경우에는 회사에서 지급한 스마트폰이나 태블릿의 핫스팟 기능을 사용해 볼 수 있다. 모바일 데이터를 쓸 수 있는 아이폰과 아이패드의 경우에는 먼저 장치의 ‘설정’ 페이지에서 ‘개인용 핫스팟’을 누른 다음 ‘다른 사람의 연결 허용’을 설정하면 네트워크의 암호와 연결 방법이 표시된다. 

데이터를 제자리에 둘 것
모든 회사는 데이터의 안전한 보관 방식에 대한 저마다의 규칙과 정책이 있으며 재택근무에도 똑같이 적용된다. 회사 정책에 따라 로컬로는 거의 아무것도 저장해서는 안되거나 온라인 데이터 저장 시스템을 사용해야 하는 경우에는 하던 대로 하면 된다. 집이라고 데이터 습관을 바꿔서 작업 파일을 컴퓨터에 저장하거나 개인 온라인 저장 계정으로 보낸다면 화를 자초하는 셈이다.

다중 인증을 사용할 것
재택근무 보안을 강화하는 한 가지 확실한 방법은 다중 인증(MFA)을 추가하는 것이다. 그러면 회사에서 설정해 준 아이폰, 아이패드나 맥 애플 ID를 해킹 당하지 않도록 보호할 수 있다. 맥에 이중 인증을 추가하는 방법은 기본 메뉴의 ‘시스템 환경설정’ 부분으로 가서 ‘애플 ID’를 연 후에 ‘암호 및 보안’으로 가서 ‘이중 인증’을 연다. 이중 인증을 실행하면 신뢰할 수 있는 장치나 스마트폰에 텍스트 메시지 또는 자동 통화를 통해 6자리 코드가 전송된다. 이 코드가 있어야 애플 ID 계정을 열 수 있다. 

웹 안전에 관한 가정 내 지침을 수립할 것
마지막으로, 재택근무 직원에게 전 가족과 공유할 수 있는 효과적인 디지털 위생 지침을 주는 것이 좋다. 재택근무 직원은 암호를 탈취하거나 시스템에 악성 소프트웨어를 주입하려는 사기 공격의 표적이 된다. 전달해야 할 조언의 몇 가지 예는 다음과 같다.
 
  • 음란물 사이트나 무료 영화 또는 파일 공유 사이트같은 위험한 온라인 장소는 피한다. 의심스러운 사이트를 브라우저로 차단할 수 있다면 차단한다.
  • 본인의 개인정보나 암호를 아무에게도 온라인으로 알려줘서는 절대 안 된다. 상대방이 실제로 누구인지 정보가 어디로 가게 될지 알 수 없기 때문이다.
  • 입력한 URL이 정확한지 확인해야 한다. 잘못 입력하기 쉬운 이름으로 교묘하게 만든 악성 웹페이지로 연결될 수 있기 때문이다.
  • 무엇보다도 온라인에 게시된 내용을 읽을 때는 무조건 의심을 해봐야 한다. 함정일 수도 있기 때문이다.
  • 마찬가지로 이메일도 조심해야 한다. 언뜻 보기에는 정상인 것처럼 보여도 클릭하면 정교한 ID 탈취 사기 수법이나 랜섬웨어로 연결되는 링크가 포함되었을 수 있다. 발신자의 주소가 이상하거나 문법 또는 철자법에 맞지 않거나 회사 로고가 없거나 회사 식별 세부정보가 없다면 열지 말아야 한다. 수상한 이메일을 열지 않는 것이 하루 종일 한 일 중에서 가장 똑똑한 일일 수도 있다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.