Offcanvas

CSO / How To / 보안 / 애플리케이션 / 운영체제 / 클라우드

중소기업이 CSO 없이 보안 취약점을 줄이려면?··· MS, ‘오피스 365’ 보안 방법 소개

2019.12.16 김달훈  |  CIO KR
2020년 1월 14일이 되면 윈도우 7에 대한 마이크로소프트의 모든 지원이 중단된다. 보안업데이트가 더는 제공되지 않기 때문에, 다양한 사이버 공격에 취약해진다. 아직 윈도우 7을 사용하고 있다면, 남은 기간 내에 윈도우 10으로 업그레이드 해야 한다. 하지만 윈도우 10으로 업그레이드 했다고 해서, 수많은 보안 위협으로부터 안전해지는 것은 아니다. 그것은 안전한 시스템 환경을 위한 최소한의 조건일 뿐이다. 

특히 보안 문제에 대해 위기의식이 낮고 대비할 여력이 없는 중소기업은, 취약한 보안 상태가 여전히 현재진행형이다. 브래드 앤더슨(Brad Anderson) ‘마이크로소프트 365(Microsoft 365)’ 담당 부사장이, 중소기업이 보안성을 향상할 수 있는 생각과 조언을 공식 블로그를 통해 밝혔다. 

핵심은 세 가지다. 윈도우 10으로 업그레이드 하지 않았다면 빨리 업그레이드하고, 마이크로소프트 365 비즈니스를 사용하고, 그럴 수 없다면 ‘오피스 365’에서 7가지 수칙을 지키라는 것이다.


CSO가 없는 중소기업이 기업용 클라우드 서비스인 ‘마이크로소프트 365’를 활용해, 기업의 보안성을 어떻게 향상할 수 있는지를 소개하는 ‘YourNewCSO’ 사이트. 사이버 공격 방어와 데이터 보호, 성공사례, 마이크로소프트 365 비즈니스 소개 등으로 구성되어 있다.(화면 : YourNewCSO)

"300명 이하의 직원으로 구성된 중소기업(SMB)은 전 세계에 약 7,900만 개가 있으며, 이는 지구상에 존재하는 전체 기업의 95%에 해당한다. 중소기업에서 종사하는 노동인구는 전 세계 인구의 66%를 차지한다. 이러한 중소기업의 55%가 지난해 사이버 공격을 받았고, 이 중에 52%는 사람의 실수에 의한 것이었다. 랜섬웨어의 공격을 받은 중소기업은 1/3만 계속해서 수익을 낼 수 있었다. 그리고 중소기업의 90%는 데이터를 보호하는 조치를 하지 않기 때문에, 올해는 피해가 더욱 증가할 것이다.” 

브래드 앤더슨 부사장은 중소기업이 처한 ‘보안 위협’의 현실을 언급하며 글머리를 시작했다. 그리고 그런 기업들을 위해 마이크로소프트가 운영하는 ‘유어뉴CSO(Your New CSO)’라는 사이트를 소개했다. 중소기업은 대기업처럼 보안 정책을 수립하고 집행하는 전문가인, CSO(Chief Security Officer)를 고용할 여력이 없다. 유어뉴CSO는 바로 그런 중소기업에 꼭 필요한 보안 수칙과 점검 사항 등을 안내하고, 마이크로소프트의 기업용 클라우드 서비스 사용을 권하는 마이크로사이트다.

사이트는 기업 환경에서 보안을 강화하고 데이터를 안전하게 지키는 방법을, 문자와 비디오를 통해 안내하고 있다. 사무 환경에 익숙한 수첩, 메모장, 녹음기, 태블릿 등이 올려진 책상처럼 디자인한 사이트는, 복잡한 메뉴 사이를 뒤지고 다닐 필요 없이 간단하게 접근할 수 있도록 디자인했다. 대부분의 안내와 정보가 마이크로소프트의 기업용 클라우드 서비스인 ‘마이크로소프트 365’에 대한 내용이다. 

‘마이크로소프트 365(Microsoft 365)’는 대기업을 위한 엔터프라이즈(Microsoft 365 Enterprise)와 중소기업용 제품인 비즈니스(Microsoft 365 Business) 두 가지로 구분된다. 마이크로소프트 365 비즈니스는 ►오피스 365 ►향상된 보안과 관리 ►1-300명 규모의 기업에 맞는 요금체계로 구성된다. '마이크로소프트 365’에서 제공하는 '오피스 365’ 버전은 '오피스 365 비즈니스 프리미엄’이 제공된다.

'오피스 365 비즈니스'는 제공되는 서비스에 따라 비즈니스 에센셜(Business Essentials), 비즈니스(Business), 비즈니스 프리미엄(Business Premium) 세 가지로 나눌 수 있다. 각각의 서비스는 사용 가능한 앱, 기능, 도구, 서비스 내용에 차이가 있고 사용 요금이 달라진다. 이러한 클라우드 기반 오피스 제품인 ‘오피스 385 비즈니'에 '보안 및 관리 기능'을 추가해서, 생산성을 높이면서 보안성을 강화한 중소기업을 위한 제품이 ‘마이크로소프트 365 비즈니스’인 것이다. 

부가가치세가 포함되지 않은 월 구독 가격은 '오피스 365 비즈니스 에센셜'이 5,600원, '오피스 365 비즈니스가 9,100원', '오피스 365 비즈니스 프리미엄'이 1만 4,100원이다. ‘마이크로소프트 365 비즈니스’의 가격은 한 달에 2만 2,500원으로, '오피스 365 비즈니스 프리미엄’에 '고급 보안 및 디바이스 관리 기능'이 포함된다. 따라서 CSO가 없는 중소기업의 데이터 보안을 고려한다면, ‘마이크로소프트 365 비즈니스’가 최적의 대안이라는 것이 그의 설명이다.

그렇지만 추가 비용을 내야 하는 부담 때문에 이러한 방법을 선택할 수 없는 중소기업들도 적지 않다. 브래드 앤더슨 부사장은 '오피스 365’ 제품군을 사용하고 있는 중소기업이라면, 다음과 같은 7가지를 지키는 것만으로 보안성을 향상할 수 있다고 밝혔다. 참고로 '오피스 365'와 '마이크로소프트 365'의 보안성을 높이는 좀 더 자세한 방법은 ‘10단계 보안 가이드’를 참고하면 된다.

첫째는 마이크로소프트 보안 점수 확인을 통해, 현재의 보안 상태를 점검하는 것이다. 보안 점수 확인은 보안 점검 사이트(aka.ms/secure)에 마이크로소프트 계정으로 로그인하면 확인할 수 있다. 둘째는 다단계 인증(MFA;Multi-Factor Authentication) 기능을 활용하는 것이다. 그는 MFA를 설정하는 것만으로 사용자 계정을 통한 사이버 공격의 99%를 예방할 수 있다고 전했다.

셋째는 오피스 365에서 기본으로 제공하는 모바일 응용 프로그램 관리 도구를 사용하는 것이다. 넷째는 관리 작업을 수행할 계정을 별도로 만들고 설정해서 사용하는 것이다. 일반 업무용과 관리용 계정을 서로 분리해서 사용하라는 의미다. 다섯째는 안티바이러스와 같은 보안 솔루션을 사용하는 것이다. 윈도 10에서 제공하는 마이크로소프트 디펜더를 사용하는 것도 방법이 될 수 있다. 

여섯째는 중요한 파일은 반드시 원드라이브(OneDrive)에 저장하는 것이다. 비즈니스용 원드라이브에 파일을 저장하면 자동으로 백업되기 때문에, 혹시라도 해킹으로 손상되더라도 이전 버전으로 복원할 수 있다는 점을 그는 장점으로 지적했다. 마지막으로 일곱째는 이메일 자동 전달을 중지하는 것이다. 익스체인지 관리 센터에서 이메일을 외부 도메인으로 자동 전달하지 못하도록 설정하면, 해커로부터 메일과 데이터가 유출되는 것을 방지할 수 있다.

브래드 앤더슨 부사장은 “수 백 개의 중소기업과 대화해 보면, ‘보안 문화’를 만드는 것이 무엇보다 중요하다는 것을 알 수 있다. '메일에 포함된 의심스러운 링크를 클릭하지 말 것'과 같은 보안 위협 식별 방법을 직원들에게 알려주고 교육해야 한다. 또한 오피스 365를 사용하고 있다면 피싱이나 랜섬웨어 같은 사이버 위협으로부터 보호할 수 있는, ‘마이크로소프트 365 비즈니스’로 전환하기를 바란다’고 밝혔다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.