Offcanvas

CSO / 랜섬웨어 / 보안 / 악성코드 / 애플리케이션

기업을 위험에 빠뜨리는 ‘SNS 사용’, 잘 관리하려면?

2022.12.22 Susan Bradley  |  CSO
소셜 미디어로 인해 기업 및 직원 데이터가 노출될 수 있으며, 아울러 이를 잘못 사용하면 기업 평판이 훼손될 수도 있다. 이러한 위험을 줄일 방법을 살펴본다.  

그야말로 소셜 미디어의 세상이지만 기업도 그래야 할까? 대답은 ‘아니오’다. 겉보기에 무해해 보이는 이러한 플랫폼의 숨겨진 위험 때문에 특정 상황에서 일부 소셜 미디어 액세스를 제한하는 법률과 규정이 최근 제정됐다. 예를 들면 美 연방정부와 몇몇 주는 (국가 안보 우려를 이유로) 정부기관용 기기에서 [짧은 비디오를 만들고 공유할 수 있는] 중국의 소셜 미디어 ‘틱톡(TikTok)’ 사용을 금지했다.  

여기서 문제는 자국이 아닌 외국 소유의 애플리케이션에서 수집된 정보가 해당 정부 정보기관과 공유될 수 있다는 점이다. 이러한 정보에는 개인식별정보(PII), 키 입력 패턴, SIM 카드 또는 IP 주소 기반의 위치 정보, 앱 활동, 브라우저 및 검색 기록, 생체 인식 정보 등이 포함된다. 
 
ⓒGetty Images Bank

이런 맥락에서 직원들의 개인적인 소셜 미디어 사용은 기업 브랜드에 영향을 미칠 뿐만 아니라 회사나 직원 자신을 위험에 빠트릴 수 있다. 악의적 행위자는 소셜 미디어를 활용해 [직원들이] 근무하는 곳, 근무하는 부서, 물리적인 위치 등을 식별할 수 있다. 고위 경영진이나 금융 거래 권한이 있는 직원이라면 잠재적 피해가 더 크다. 

물론 직원들이 소셜 미디어를 사용하는 데는 이유가 있다. 소셜 미디어를 통해 마케팅 캠페인을 강화하고, 뉴스 또는 중요한 정보를 발표하며, 기업의 인지도를 높일 수 있어서다. 아울러 정부 또는 핵심 인프라에 관한 위험 및 위협을 모니터링할 수도 있다. 또 기업들은 소셜 미디어 채널에서 자사에 관한 최신 정보를 모니터링하길 원할 수 있다. 하지만 어쨌든 이를 활용하면 직원과 기업 모두에 원치 않는 노출이 발생할 수 있다는 점을 인식하는 게 중요하다. 

소셜 미디어에서의 직원 위험은 무엇인가?
다음은 소셜 미디어 플랫폼이 직원에게 미칠 수 있는 5가지 위험이다. 
 
프라이버시 우려(Privacy concerns): 틱톡은 위치 데이터, 기기 정보를 포함해 상당한 양의 사용자 정보를 수집한다는 점에서 데이터 수집 및 프라이버시 관행에 관한 비판에 직면했다. 

사이버 폭력 및 온라인 괴롭힘(Cyberbullying and online harassment): 소셜 미디어 플랫폼은 직원들이 업무상 이를 사용할 때도 사이버 폭력과 온라인 괴롭힘의 온상이 될 수 있다. 사용자는 외모, 인종, 성별, 성적 취향 또는 기타 개인적 특성에 따라 타깃이 될 수 있다.  

부적절한 콘텐츠(Inappropriate content): 소셜 미디어 사용자는 개인적 또는 업무적 이유로 이러한 플랫폼을 사용하는 동안 부적절하거나 불쾌한 콘텐츠를 접할 수 있다. 여기에는 노골적이거나 폭력적인 콘텐츠, 유해하거나 불법적인 활동을 조장하는 콘텐츠가 포함될 수 있다. 

중독(Addiction): 다른 소셜 미디어 플랫폼과 마찬가지로 소셜 미디어도 중독성이 있으며, 사용자는 소셜 미디어에 과도한 시간을 할애할 수 있다. 이로 인해 시간 관리에 문제가 생길 수 있으며, 잠재적으로 일상생활을 방해하고 생산성을 저해할 수 있다. 

사이버 공격에 따른 보안 위험(Security risks from cyberattacks): 인기 있는 소셜 미디어 플랫폼에서 수집되는 대량의 데이터 때문에 이러한 앱은 공격자에게 매력적인 타깃이다. 이를테면 2022년 11월 4억 8,700만 건의 왓츠앱(WhatsApp) 사용자 휴대전화 번호 데이터베이스가 한 해킹 커뮤니티(Breached.vc)에서 판매된 사실이 알려졌다.

소셜 미디어에서의 비즈니스 보안 위험은?
기업들이 소셜 미디어를 사용할 때 직면할 수 있는 위험은 아래와 같다. 
 
평판 훼손(Reputational damage): 소셜 미디어를 활용하면 누구나 기업에 관한 의견이나 리뷰를 게시할 수 있으며, 이는 긍정적일 수도 있고 부정적일 수도 있다. 부정적인 의견이나 리뷰는 기업 평판을 손상시킬 수 있으며, 기업이 적시에 대응하고 문제를 해결해야 할 수도 있다. 

직원 위법 행위(Employee misconduct): 기업을 대표해 소셜 미디어를 사용하는 직원이 실수로 또는 고의로 부적절하거나 공격적인 콘텐츠를 게시하여 기업 평판을 훼손할 수 있다. 

데이터 침해에 따른 노출(Exposure due to data breach): 소셜 미디어 플랫폼에서 데이터 유출이 발생하면 기업의 데이터가 위험에 처할 수 있다. 이를테면 단순한 링크드인 커리어 업데이트가 ‘신입사원 SMS’ 피싱 공격을 유발하거나, 인스타그램 또는 페이스북에 게시된 무고한 직장 셀카 배경 화면이 민감한 기업 데이터를 무심코 노출시킬 수 있다. 

법적 책임(Legal liability): 기업은 소셜 미디어에서 명예훼손, 저작권 침해, 소비자 보호법 위반 등의 법적 위험에 직면할 수 있다. 

소셜 미디어 위험을 완화하는 방법
(1) 보안 요건이 까다로운 기업이라면 회사용 기기에서의 소셜 미디어 애플리케이션 사용을 제한한다. 고위험군 기업에서는 업무용과 개인용 [기기] 구분이 명확하고 뚜렷해야 한다. 이렇게 되면 직원들은 2개의 기기를 휴대해야 하지만 해당 정책은 업무용과 개인용 기기 사이의 장벽을 목표로 한다. 아울러 이를 의무화하는 기업은 모바일 관리 도구를 등록해 기기 패치 상태 및 설치된 애플리케이션 유형 등을 모니터링해야 한다. 

(2) 기업과 직원의 기기 모두에서 쓸 수 있는 사용 정책을 만들어야 한다. 이러한 정책은 특히 직원들이 개인 기기에서 비즈니스 앱을 사용하는 경우 소셜 미디어 사용에 관한 기준선을 설정해야 한다. 

(3) 소셜 미디어 사용에 쓰이는 컴퓨터와 모바일 기기를 보호하고 잠재적으로 고위험군인 다른 시스템에서 격리한다. 고위험 조직은 소셜 미디어 전용 기기와 컴퓨터를 제공하거나 이러한 기능을 소셜 인게이지먼트 전문 기업에 아웃소싱할 수 있다.

(4) 소셜 미디어 포스팅 관리에 사용되는 다중 사용자 도구의 권한 수준이 적절하게 설정돼 있는지 확인한다. 아울러 소셜 미디어의 다중 사용자 활용 지침을 문서화하며, 이러한 도구 사용을 모니터링하고 검토해야 한다. 

(5) 기업의 공식 커뮤니케이션에 사용되는 모든 소셜 미디어 채널을 문서화하고 모니터링한다. 美 CISA(Cybersecurity and Infrastructure Security Agency)는 정기적으로 소셜 미디어 플랫폼에 보안 정보를 게시하고 신뢰할 수 있는 채널을 식별한다. 기업에서 어떤 소셜 미디어 채널을 활용하고 있는지 파악하고, 이를 모니터링할 인력을 할당해야 한다. 최근 몇몇 기업들은 트위터에서 스푸핑(spoofing)을 당했고, 이 사기성 트윗은 해당 기업들의 주가에 영향을 미쳤다. 

(6) 모든 소셜 미디어 계정에 다단계 인증(MFA)을 설정한다. 권한 없는 사람이 소셜 미디어 채널에 액세스해 기업 프로필을 손상시키는 발언과 댓글을 쏟아내는 사례가 많다. 

(7) 피싱 공격에 취약하지 않도록 소셜 미디어를 담당하는 직원의 이메일 보호를 강화한다. 

(8) 직원들에게 소셜 미디어 사용에서 자신을 보호하기 위한 지침을 제공한다. 이를테면 DM을 차단하고, 괴롭힘에 대응하는 방법 등이다. 또 자신이 공유하는 콘텐츠와 상호작용하는 사용자를 염두에 두도록 해야 하며, 아울러 다른 사람과 공유되는 정보를 제어할 수 있는 프라이버시 설정 옵션을 이해하고 있는지도 확인한다. 

더 자세한 방법을 알고 싶다면 지난 2021년 CISA가 발표한 소셜 미디어 채널 보호 방법을 참고하라. 소셜 미디어는 끊임없이 변화한다. 소통 및 보호 정책을 정기적으로 검토하고 필요에 따라 조정하는 것이 좋다. 

* Susan Bradley는 애스크우디닷컴(Askwoody.com), CSO온라인닷컴(CSOonline.com) 등에서 칼럼을 기고하는 전문 칼럼니스트다. ciokr@idg.co.kr
 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.