'재택근무 3년차 시대' 아직도 저지르는 보안 실수 4가지

팬데믹 이전까지 기업 비즈니스 세상은 절대 다수의 지식 노동자는 대부분의 근무 시간을 회사 건물의 사무실에서 보낸다는 것을 정석으로 당연하게 받아들였다. 팬데믹 이후의 세상에서는 그러나 많은 직원이 원하는 곳에서 원하는 시간에 인터넷에 연결되는 모든 기기로 일하게 되었다. 

코로나19로 인한 강제 재택근무는 2020년 초반 전 세계적으로 도입됐고 기업들은 서둘러 온라인 협업 도구를 구입하기 시작했다. 음성이나 음성회의로 문서 작성하기부터 프로젝트 추적까지 온라인 협업 도구의 많은 기능으로 어느 장소에서 일하든 상관없이 부서 내 소통과 협업, 여러 프로젝트와 이니셔티브의 업데이트 공유가 매우 손쉬워졌다. 

현재 많은 직원에게 사무실 출퇴근 근무로 복귀하라고 요구하거나 장려하는 기업도 있지만, 협업 도구는 여전히 기업 운영에 매우 중요하다. 기술 연구 자문 업체 ISG의 사이버 보안 담당 이사 더그 글레어는 협업도구를 가리켜 회사 내·외부 고객, 공급업체, 기타 서드파티 등 여러 위치의 작업자와 사업을 수행할 때 필수 요소라고 말했다. 또한 협업 도구가 기업에 중요한 가치를 지니게 된 만큼, 탄력적이고 사용하기 쉬운지, 안전한지를 확인해야 한다고 조언했다. 
 

그러나 많은 전문가가 기업이 여러 해 동안 협업 도구를 사용해 왔음에도 여전히 팬데믹 초기 같은 보안 실수를 저지르고 있다고 지적했다. 

사이버 보안 평가 업체 쉘먼(Shellman) CEO 아바니 드사이는 협업 도구가 회사 전체가 아니라 사업 운영 부문에서 주로 쓰이기 때문이라고 말했다. 드사이는 "아사나(Asana)를 쓰고 싶은 사람, 쉐어포인트(SharePoint)를 사용하고 싶은 사람, 지라(Jira)를 사용하고 싶은 사람, 다른 도구를 사용하고 싶은 사람이 각각 다르다. 이런 경우에는 전사적 차원에서 사용자 액세스 권한을 통일해 부여할 수 없다"라고 말했다. 

가트너 애널리스트 패트릭 헤베시도 드사이에 동의했다. 헤베시는 “회사 표준이 마이크로소프트 365나 G 스위트인데 슬랙을 사용하고 싶어할 수가 있다. 직원들이 IT 보안 부서 권한 없이 더 많은 협업 도구를 추가한다”라고 지적했다. 

마이크로소프트 팀즈, 슬랙, 박스, 드롭박스, 깃허브, 지라, 아사나 같은 협업 플랫폼을 도입하는 기업은 생산성 향상에 집중하는 경우가 많다. 관리 서비스 업체인 그린페이지 테크놀로지 솔루션의 보안 책임자 제이 마틴은 플랫폼과 커뮤니케이션 등 공유하는 데이터의 보안은 뒤늦게 고려되는 경우가 많다고 말했다. 

마틴은 “독점 정보, 금융 데이터, 지적 자산 진입지점을 찾는 위협 행위자에게서 기업을 보호하려면 보안 강화가 필수”라고 강조했다. 

IT 업계 애널리스트, IT 서비스 제공업체, 보안 컨설턴트에게 여전히 기업이 저지르는 협업 관련 보안 실수와 대책을 물어 보았다. 이들의 조언을 들어 보자. 
 

협업 도구 보안 실수 #1 중앙 거버넌스가 없다 

보안 컨설팅 업체 NCC 그룹의 위험 관리 및 거버넌스 기술 이사 수리아 비스와즈는 기업에서 검증된 협업 도구 액세스를 제공하지 않으면 직원이 직접 안전하지 않은 솔루션을 찾아 사용할 가능성이 높다고 지적했다. 비스와즈는 “기업이 디지털 협업을 도입하는 것도 중요하나, 동시에 제한된 로컬 관리자 액세스, 관리되는 브라우저 솔루션 같은 메커니즘을 통해 비승인 도구의 설치와 사용을 예방해야 한다”라고 말했다. 

기술 제품과 서비스 리셀러인 SHI 인터내셔널의 최종 사용자 솔루션 수석 이사 마이클 맥크래켄은 심사를 거쳐 협업 도구를 승인한 후에도 기업이 각 직원이 액세스할 수 있는 다양한 협업 플랫폼을 인지하고, 민감한 데이터 유출 방지, 악의적 공격자에게 새로운 공격 경로 제공하지 않음 등에 노력해야 한다고 말했다. 

독립 회계 및 비즈니스 컨설팅 업체 아르마니노(Armanino)의 위험 보증 자문 파트너인 아즈 얀은 “해고된 직원이 오프보딩 담당자가 디지털 협업 도구의 액세스 권한을 삭제할 수 있는지, 전 직원이 계속 민감한 기업 데이터에 액세스할 수 있는지 파악할 수 있는지를 물었다. 
 

협업 도구 보안 실수 #2 안전하지 않은 파일 공유  

쉘먼의 드사이에 따르면 파일을 공유할 떄 안전하지 않은 방법을 쓰는 기업이 많다. 암호화되지 않은 이메일 첨부파일, 암호화가 내장되지 않은 협업 도구의 공개 파일 공유가 그 두 가지 예다. 

드사이는 “안전하지 않은 파일 공유 방법을 쓰면 데이터 유출로 이어지므로 보안 문제가 발생한다”라며 암호화 기능이 있는 안전한 파일 공유 플랫폼만 사용하라고 조언했다. 

또한 기업은 안전한 파일 전송 프로토콜을 구현해야 한다. 드사이는 “이메일에는 전송 내 암호화 같은 TLS를 지원해야 한다”라고 맘ㄹ했다. 
 

협업 도구 보안 실수 #3 컨설턴트와 서비스 제공업체에 대한 실사 없음 

잘 알려진 주요 협업 도구 업체는 강력한 보안을 제공하지만, 소프트웨어를 보안에 맞게 구성하는 것은 소프트웨어 배포 및 관리자의 몫인 경우가 많다. 특히 소규모 기업의 경우 소프트웨어 구성을 IT 컨설턴트나 서비스 제공업체에 의뢰하는 경우가 많다. IT 서비스와 컨설팅 업체인 테크 마힌드라(Tech Mahindra)의 CDO 쿠날 푸로히트는 기업 보안에 대한 인식이 제고되고 있지만, 그럼에도 이런 업체들이 여전히 고객 데이터를 위험하게 만드는 실수를 저지른다고 경고했다. 

푸로히트는 비밀번호 공유 허용이나 과도한 권한 부여 등 부적절한 액세스 제어, 2단계 인증 같은 강력한 인증 조치에 소홀한 것, 소프트웨어와 시스템을 정기적으로 업데이트하지 않아 취약점을 노출하는 것 등이 데이터 위험 노출의 예시라고 설명했다. 컨설턴트와 서비스 제공업체는 전송 또는 저장 중 민감한 정보를 암호화하지 않는 실수를 저지를 수도 있다. 푸로히트는 “정기적 보안 감사와 평가를 수행하지 않으면 조직이 위험에 노출되기 쉽다”라고 지적했다. 

따라서 기업은 컨설턴트나 서비스 제공업체와 계약을 맺기 전에 철저한 실사를 수행해야 한다. 강력한 보안 조치를 구현한 입증 이력을 확인하는 것도 도움이 된다.  

푸로히트는 “기업은 보안 요구 사항과 기대치를 명확하게 정의하고 컨설턴트나 서비스 제공업체와의 계약에 이력 검증을 포함해야 한다”라고 말했다. 또한 “기업은 정기적 보안 감사와 평가를 실시해 취약점이나 규정 미준수를 식별해야 한다”라고 조언했다. 

푸로히트는 기업이 엄격한 액세스 제어를 시행해 특정 요구사항에 따라 컨설턴트와 서비스 제공업체의 권한을 제한해야 한다고 말했다. 무엇보다도 보안 사고나 위반을 즉시 보고할 수 있는 명확한 커뮤니케이션 채널을 구축해야 한다. 
 

협업 도구 보안 실수 #4 직원의 안전한 인터넷 연결을 확인하지 않음 

NCC 그룹의 비스와즈는 인터넷이 연결된 모든 장소에서 협업이 가능해지면서 직원이 카페, 공항 등 안전하지 않은 공공장소의 무선 액세스 포인트에 연결할 경우 연결된 모든 데이터가 손상될 가능성이 높다고 지적했다. 또한, 가상 사설망, 보안 액세스 서비스 엣지, 제로 트러스트 네트워크 액세스 도구로 위험을 해결할 수 있다고 말했다. 

아이스너앰퍼(EisnerAmper)의 아웃소싱 IT 서비스 팀 파트너 라훌 마나도 동의했다. 마나는 “모든 사람들이 다시 여행을 할 수 있게 되었으므로 호텔 객실, 컨퍼런스 센터에서 제공하는 무료 와이파이로 협업 도구에 다시 연결한다. 하지만 무료 와이파이에는 보안 문제가 있다. 항상 가장 안전한 연결 방법은 스마트폰의 테더링이다. 통신사 보안이 무료 와이파이 보안보다 훨씬 우수하다”라고 강조했다. 
 

낭비할 시간이 없다 

IT 인프라 서비스 제공업체인 킨드릴(Kyndryl)의 글로벌 프랙티스와 보안, 탄력성 담당자 크리스 러브조이는 협업이 현재 일터를 움직이는 강력한 동인이라고 말했다. 팬데믹은 기업의 업무 방식에 전면적 변화를 가져왔고 디지털화가 급격히 늘어나면서 전 세계의 전자상거래가 발전하고 있다. 그러나 사이버공격이 진행될 공격 표면도 함께 확장된 것이 문제다. 

러브조이는 “오늘날 보안 위험은 가정의 범위를 넘어 반드시 언제든 일어난다고 생각해야 한다. 보안 관점에서 협업 도구는 위협 지형을 넓힌다. 이러한 과제는 기업에 위협에 대한 새로운 사고 방식을 받아들이는 기회로 작용한다.  따라서 사이버 회복탄력성을 갖춘 미래로의 재편이 중요하다”라고 강조했다.
editor@itworld.co.kr