디지털 지갑도 유용한 툴?!··· 고효율 원격근무 보안 도구·정책 11선

기업 보안에 사람이 가장 큰 취약점인 현실이다. 복잡한 비밀번호를 제대로 관리하지 않거나, 잘못된 소셜 미디어 습관을 가지고 있거나, 심지어 이메일 링크, 온라인 쇼핑 또는 앱 및 소프트웨어 사용에 대한 인식 부족이 그 원인이 될 수 있다.

특히 코로나 이후 많은 사람들이 원격 근무를 하게 된 세상에서 기업이 겪는 가장 큰 문제는 보안 문제가 직원들의 개인 디바이스를 통해 매우 쉽게 확장되지만, 가시성과 통제력은 그렇지 않다는 사실이다. 최근 라스트패스(LastPass)의 데브옵스(DevOps) 엔지니어의 가정용 컴퓨터가 해킹을 당하면서 보안 유출 사고가 발생했던 선례가 잘 보여주는 현실이다. 

이를 방지하기 위해서는 직원들이 스스로를 보호할 수 있도록 지원하는 동시에 기업 리소스를 더 잘 보호하기 위한 방법을 찾는 것이 중요하다.

이를 위한 한 가지 방법은 직원들에게 아래 목록과 같은 개인 보안 도구를 사용하도록 장려하는 것이다. 기업에서 도구 사용을 위한 비용을 지불하거나 직원이 스스로 구매할 수 있도록 인센티브를 제공할 수도 있다.

원격 근무자를 위한 11가지 최고의 보안 도구

1.    사이버 보안 교육
2.    디지털 지갑
3.    신용/디지털 신원 모니터링
4.    비밀번호 관리자
5.    이중 인증 토큰
6.    안티 맬웨어 소프트웨어
7.    VPN 서비스
8.    백업 솔루션
9.    개인 정보 보호 화면
10.   컴퓨터 및 모바일 디바이스
11.   네트워킹 하드웨어
 

사이버 보안 교육
교육을 도구라고 부르는 것은 무리일 수 있지만, 목록에 넣은 이유가 있다. 많은 기업들이 이미 어떤 형태로든 사이버 보안 교육을 실시하고 있다. 그러나 자신의 사생활과 경제 활동이 보안 위험에 노출될 수 있다는 사실을 직원들에게 인식하도록 하는 것은 어려운 일이다. 직원들이 자신의 디지털 라이프를 보호하는 데 투자하면 기업의 이익도 보호할 수 있다는 중요한 부수적 이점을 얻을 수 있다.

일부 벤더는 다양한 가격대와 다양한 중점 영역에서 사이버 보안 교육을 제공한다. 교육 도구가 주로 중점을 두는 영역은 올바른 디지털 습관의 가치를 심어주고 직원들이 온라인에서 자신을 보호하는 데 투자하도록 하는 것이다.

개인 보안 태세에 대한 직원의 인식을 높이는 것은 시행할 수 있는 모든 도구나 서비스의 기초이며, 정기적인 교육은 기업의 이익을 보호하는 데 매우 중요하다.

디지털 지갑
기존에는 디지털 지갑이 보안 도구로 취급되지 않았다. 하지만 디지털 지갑은 이제 보안 관점에서 몇 가지 이유로 유용할 수 있다. 첫째, 실제 지갑을 사용하지 않을수록 카드나 신분증(운전면허증이나 법인 신분증)의 분실 및 유출 가능성이 줄어들어 신원 도용의 위험이 낮아진다. 둘째, 디지털 지갑은 신용카드 대신 온라인에서 사용할 수 있으며 계정을 만들지 않고 프로필을 설정하는 방법으로 사용할 수 있다. 일부는 실제 신용카드와 관련 번호 정보를 안전하게 보호하기 위해 웹 사이트에서 사용할 수 있는 가상 카드 번호 생성을 지원하기도 한다. 

이렇게 하면 개인의 디지털 발자국을 최소화하고 해당 발자국을 높은 수준의 보안을 유지하는 서비스로 제한할 수 있다. 대부분의 경우 직원들은 이미 스마트폰 운영 체제의 일부로 사용할 수 있는 디지털 지갑(애플페이 또는 구글 월렛)을 가지고 있다. 직원들은 디지털 지갑의 가치와 설정하는 방법에 대한 교육을 받기만 하면 된다.

신용/디지털 신원 모니터링
대부분의 사람들은 신설 신용카드나 대출 등의 신용 기록을 추적하는 신용 모니터링에 대해 잘 알고 있다. 신용 모니터링은 신용 도용에 대한 조기 경고 시스템을 제공하며, 이는 개인 및 기업 보안에 잠재적으로 매우 중요하다. 신원이 유출되면 공격자가 직원에 대한 정보를 충분히 확보하여 사용자의 이메일 계정이나 휴대폰을 추가로 해킹한 다음 이를 활용할 수 있다.

디지털 신원 모니터링은 이와 유사하지만 특정 유형의 정보 그리고 주민등록번호, 은행 계좌 및 라우팅 번호 또는 신용카드 번호와 같은 기밀 정보와 이메일 주소, 전화번호와 같은 약간 더 공개적인 정보에 중점을 둔다. 모니터링 서비스는 해커 포럼과 다크 웹 사이트를 추적하여 데이터 유출을 식별하고 이러한 민감한 데이터가 악의적으로 사용되는 것을 방지하기 위한 예방 조치를 취한다.

디지털 신원 모니터링의 목표는 계정 정보(금융 세부 정보 또는 사용자 이름과 비밀번호)가 온라인으로 유출되는 경우 사용자에게 알림을 보내 비밀번호를 변경하거나 신용카드 재발급 등의 조치를 취할 수 있도록 한다.

비밀번호 관리자
비밀번호는 오랫동안 기업 보안의 토대였다. 기업들은 비밀번호 기반 인증과 관련된 위험을 제거하기 위한 조치를 취하고 있지만, 비밀번호를 완전히 없애기엔 아직 갈 길이 멀다. 소비자 측면에서는 상황이 훨씬 더 심각하다. 비밀번호 없는 인증 옵션을 제공하는 소비자 서비스는 거의 없으며, 일반적으로 이러한 서비스는 마이크로소프트나 구글과 같은 대기업이 제공하는 서비스에 국한되어 있다.

차선책은 각 온라인 서비스마다 고유하고 복잡한 비밀번호(특수 문자뿐만 아니라 충분한 조건을 달성할 수 있는 길이)를 사용하는 등 적절한 비밀번호 관리를 장려하는 것이다. 직원들이 스스로 적절한 비밀번호 관리를 하도록 기대하는 것은 무리이며, 비밀번호 관리 시스템이 필요하다.

좋은 비밀번호 관리 시스템은 올바른 비밀번호 습관을 장려하고, 여러 계정에서 동일한 비밀번호가 사용될 때 직원에게 경고하고, 임의의 문자로 생성된 강력한 비밀번호를 지원한다. 또한, 비밀번호 관리자 서비스는 디지털 신원을 모니터링하여 다크 웹에서 계정 인증 정보가 유출되는 것을 감시하거나, 사용하는 서비스가 침해되었을 때 경고(비밀번호 변경 촉구)를 보내는 등 디지털 신원 관리에도 도움이 되는 경우가 많다.

이중 인증 토큰
모든 사람이 모든 중요한 워크로드에 이중 인증(2FA, two-factor authentication)을 사용하는 것이 이상적이다. 그러나 직원들은 (그 자체로 사실상의 인증 요소인) 이메일 및 금융 계좌와 같은 항목에만 추가 인증 요소를 사용하곤 한다. 

스마트폰만으로 간단히 사용할 수 있는 시간 기반 일회용 비밀번호(TOTP)와 같은 2FA 시스템도 있지만, 다양한 애플리케이션 및 서비스(웹 기반 및 로컬 모두)에서 작동하는 유비코 유비키(Yubico Yubikey)와 같은 하드웨어 토큰에도 가치가 있다. 

다양한 공격 범주에 대한 다양한 2FA 챌린지 유형의 성공 여부를 비교한 구글 연구에 따르면 하드웨어 토큰은 앱 기반 인증자보다 표적 공격에 대해 더 강력한 보호 기능을 제공하는 것으로 밝혀졌다.

2FA는 직원들에게 충분한 교육이 이루어져야 하는 또 다른 영역이다. SMS와 이메일을 두 번째 요소로 사용하는 것은 피하고 TOTP나 하드웨어 토큰과 같은 더 강력한 방법을 사용해야 한다. SMS와 이메일은 최신 해킹 방법에 너무 쉽게 노출되므로 인증 요소로 신뢰할 만하지 않다.

안티맬웨어 소프트웨어
또 다른 항목인 안티맬웨어 소프트웨어는 시그니처 매칭에서 AI 기반 탐지에 이르는 다양한 기술을 사용하여 대부분의 맬웨어 범주 및 변종으로부터 직원 디바이스를 보호하는 데 도움이 된다. 

지난 수십 년 동안 안티맬웨어가 디바이스 보안에 대한 만능 해결책은 아니지만, 핵심적인 요소라는 것은 분명해졌다. 디바이스 기반 공격은 디바이스 유형이나 운영 체제에 관계없이 개인 정보나 기타 민감한 사용자 데이터를 훔치는 데 여전히 널리 사용되는 방법이다. 안티맬웨어의 좋은 점은 디바이스 기반 공격의 특성 상 위험 방지를 위해 디바이스에 반드시 설치되어 있어야 한다고 사용자에게 설득하기 쉽다는 것이다.

VPN 서비스
VPN은 비교적 구현하기 쉽고, 신뢰할 수 없는 네트워크에서 개인 정보 보호 조치를 제공하며, 사용자가 마치 회사 사무실에 있는 것처럼 기업 리소스에 액세스할 수 있도록 해준다. 오늘날 기업 네트워크에서 상당히 보편화된 배경이다.

많은 기업들이 직원 개인 소유 디바이스와 기업 네트워크의 연결을 허용하는 것에 대해 우려하고 있지만, 적어도 직원들이 공용 무선랜 네트워크를 사용할 때 VPN을 활용하여 개인 인터넷 연결을 제공하는 것만으로도 나름의 이점이 있다. 기업 VPN 연결 사용이 스니프 테스트를 통과하지 못하는 경우 신뢰할 수 있는 여러 소비자 중심 VPN 서비스가 지원, 하드웨어 또는 대역폭 측면에서 기업 리소스를 사용하지 않고도 직원에게 유사한 개인 정보 보호 혜택을 제공한다.

백업 솔루션
랜섬웨어의 위협이 커짐에 따라 중요 데이터의 복원 가능성이 중요해졌다. 직원이 개인 디바이스에서 비즈니스 업무를 하는 경우 개인 디바이스용 백업 솔루션을 제공하는 것은 분명히 효과가 있다. 회사 정책에 따라 직원이 개인 디바이스를 업무용으로 사용하는 것이 금지되어 있더라도 직원의 업무 외 개인적인 생활의 안정성과 중요한 데이터의 손실이 직원의 가족에게 미칠 수 있는 영향을 고려해야 하는 경우도 있다.

랜섬웨어 공격을 감지하고 파일이 암호화되지 않도록 보호할 수 있는 크립토락커 방지 기능을 갖춘 클라우드 스토리지 솔루션이 예산상의 대안이 될 수 있다. 특정 파일이나 폴더를 일정에 따라 자동으로 백업하는 기능, 전체 백업 솔루션에서 제공되는 모니터링 또는 보고 도구 등의 기능도 고려할 만하다.

개인정보 보호화면
모든 문제에 첨단 기술 솔루션이 필요한 것은 아니다. 원격 근무로 인해 더 많은 사람들이 공공 장소에서 기기(특히 웹캠)을 사용하게 되었다. 노트북용 개인정보 보호화면이나 웹 카메라를 가릴 수 있는 커버 같은 간단한 해결책만으로도 직원의 프라이버시와 기업 리소스를 모두 보호할 수 있다. 이러한 물리적 개인정보 보호는 가격대도 매우 저렴하기 때문에 직원들에게도 부담 없이 도입할 수 있다.

컴퓨터 및 모바일 디바이스
선제적 보안 투자와 침해로 인한 비용을 감수하는 것 사이에서 균형을 잡아야 한다. 소규모 기업일지라도 관리되지 않고 모니터링되지 않는 사용자와 관련된 위험이 경영진과 같은 제한된 사용자 집합에 대해 추가 지출을 감당할 만한 가치가 있는지 평가해야 한다.

이와 관련해 직원이 집에서 사용하는 디바이스나 네트워크 하드웨어를 구입하면 기업 IT 관리의 영향력(및 제어력)을 확대하여 잠재적인 위협을 감시하고 적시에 대처할 수 있다.

이러한 디바이스를 기업의 일부로 관리하지 않더라도 최소한 직원들이 TPM 2.0(신뢰할 수 있는 플랫폼 모듈 2.0), 생체 인증, 전체 디스크 암호화와 같은 최신 보안 조치를 지원하는 업데이트된 소프트웨어와 하드웨어를 사용하고 있는지 확인할 수 있다.

또는 기업에서 기술 지원금을 지급하여 직원들이 주기적으로 모바일 디바이스와 개인용 컴퓨터의 기술 업데이트를 수행하도록 장려할 수도 있다. 관리되지 않는 디바이스 문제가 해결되지는 않지만, 안전하지 않은 운영 체제를 사용하는 레거시 디바이스를 주기적으로 교체하는 데 도움이 될 수 있다.

네트워킹 하드웨어
노트북과 모바일 기기는 직원들이 가정에서 사용하는 일반적인 투자 대상이지만, 네트워크 하드웨어(공유기, 액세스 포인트, 기타 네트워크 보안 디바이스)가 점점 더 공격 표적이 되고 있다. 손상될 경우 네트워크의 모든 디바이스를 위험에 빠뜨리기 때문에 고려해야 할 또 다른 영역이다.

또한 네트워크 하드웨어는 모바일 애플리케이션과 클라우드 관리를 통해 점점 더 사용자 친화적으로 변하고 있어 보안 도구로 활용하기가 훨씬 더 쉬워지고 있다. 일부 공급업체의 경우 스파이웨어 또는 안티바이러스 보호의 형태를 취하고 있으며, 일부 공급업체는 네트워크의 디바이스가 악성 URL에 액세스하려고 시도하거나 의심스러운 활동을 보일 때 경고를 보낼 수도 있다. ciokr@idg.co.kr