전 세계에서 많은 기업과 정부가 임직원과 시민의 건강을 보호하기 위해 책임 있는 조치를 신속히 취하고 있다. 이 중에는 원격 근무 조치도 포함된다. 미국 노동 통계국 (US Bureau of Labor Statistics)과 보스턴 컨설팅 그룹 (Boston Consulting Group)의 추정에 따르면, 미국에서는 3,000만 명이 넘는 직장인이, 전 세계적으로는 3억명이 넘는 사람들이 집에서 일할 것으로 예상된다. 회계 사무원, 조달 담당자, 인사 담당자, 최고위 임원, 그리고 그 외의 근로자들도 회사 사이트에 로그인하고 온라인 회의에 참석하며 인터넷을 통해 중요한 회사 데이터에 액세스할 것이다. 대부분의 경우 이는 가정용 컴퓨터와 개인 스마트폰을 통해 이루어질 것이다.
디지털 툴은 원격 근무자에게 탁월한 지원을 제공한다. 하지만 현재와 같은 큰 규모의 작업 패턴 변화는 IT 및 사이버 보안에 예상치 못한 영향을 미칠 수 있다. 당신의 회사는 사이버 보안 위험의 변화에 적절히 대비하고 있는가?
직원이 코로나19(COVID-19)를 완치시킬 수 있다는 경이로운 약물에 대한 광고를 클릭하거나, 팬데믹 상황에 대한 업데이트를 제공하는 정부 의료 기관에서 보낸 것으로 보이는 이메일 첨부 파일을 열어 보안이 손상되는 상황을 고려해보라. 혹은, 사회 공학 기술로 임직원을 혼란스럽게 만들어 마치 회사의 헬프데스크에서 온 지시인 것처럼 속이는 사이버 범죄자의 접근에 당한다면 어떻게 해야 할까? 당신의 회사는 지불 시스템, 직원 기록, 개인 고객 데이터, 지식 재산권 등 중요한 자산에 대한 액세스를 제공하는 암호를 수집하는 데 사용될 수 있는 멀웨어가 임직원의 기기에 다운로드되지 않도록 적절한 규정을 갖추고 있는가?
전 인류적 위기 상황에서 사이버 보안에 대해 더 많이 이야기해야 하는 것은 불행한 현실이다. 그러나 몇 가지 경고 신호가 관찰됐다. 1월 초, COVID-19 브랜드 웹사이트 도메인 이름의 획득이 시작됐다. 사이버 범죄자는 이러한 도메인 이름을 사용해 합법적 COVID-19 정보 사이트로 가장한다. 이들은 또한, 미국 질병 통제 예방 센터나 세계보건기구(WHO)와 같은 공식 조직에서 온 것처럼 보이지만 실제로는 악성 링크, 악성 첨부 파일이 포함된 피싱 이메일을 보내고 있다.
한 사례에서는, 수신자에게 COVID-19의 최신 정보가 있어 인기를 끈 대학교의 대시보드 링크가 포함된 이메일이 발송됐다. 이 경우, 대시보드를 보는 데 필요한 소프트웨어를 설치하면 멀웨어가 백그라운드에서 작동해 컴퓨터를 손상시키고 개인과 기업 사용자의 ID와 패스워드를 수집해 사이버 범죄자에게 전송했다. 또 다른 사례에서는, 주요 배송 공급 업체의 COVID-19 업데이트로 전자 메일 링크를 클릭한 사용자는 매우 진짜처럼 보이는 마이크로소프트 아웃룩(Microsoft Outlook) 로그인 페이지로 리디렉션됐다. 사용자가 계정과 비밀번호 등을 입력하면 사이버 범죄자가 이를 받아가 기업 계정에 접속할 수 있게 했다.
여러 가지 실질적인 교육, 프로세스 및 기술 조치를 구현한다면, 현재의 COVID-19 위기에 사이버 위기를 추가하지 않을 수 있다. 기업 자산을 보호하기 위해서는 다음 7가지 단계를 수행해야 한다. (표 참조)
1. 원격 작업을 위한 핵심 IT 인프라를 평가하라
사무실 환경에서 많은 인력은 이더넷 케이블이나 건물의 물리적 보안에 의존하는 기업용 와이파이(WiFi) 네트워크를 통해 회사 서버에 연결된 데스크톱 컴퓨터를 사용해 데이터를 안전하게 보호한다. 원격으로 근무하려면 직원들은 회사에서 지급한 랩톱이나 인터넷을 통해 회사 서버에 연결되는 개인 장치를 사용할 가능성이 높다. 내부 전화 시스템을 통해 IT 사이버 보안 헬프데스크와 이야기하는 대신 직원은 개인 휴대전화나 유선 전화를 사용할 것이다.
기업은 다음과 같은 세 가지 인프라 범주를 평가해야 한다. 엔드 포인트, 연결성, 엔터프라이즈 아키텍처와 인프라 :
- 엔드 포인트. 여기에는 승인된 응용 프로그램 및 사이버 보안 도구가 포함돼야 한다. 인증된 장치를 인증된 사용자와 연관시키기 위해 장치 이더넷 MAC 주소에 특별한 주의를 기울이면서 회사 시스템에 연결하도록 승인된 장치의 전체 인벤토리를 수집하라.
- 연결성. 엔드 포인트와 회사 서버 간에 전송되는 데이터가 감시되지 않도록 이중 인증을 통해 회사 네트워크에 대한 연결이 VPN(가상사설망)을 통해 이루어지도록 해야 한다. VPN 및 토큰 소프트웨어는 원격으로 다운로드할 수 있지만, 추가 라이센스를 취득해야 할 수도 있다.
- 엔터프라이즈 아키텍처 및 인프라. 인터넷을 통한 원격 연결을 허용하도록 방화벽, 네트워크, 협업 도구 및 서버를 구성하라. 많은 기업에서는 원격 연결 용량이 직원 수천 명의 접속으로 인해 증가한 부하를 수용하기에 충분하지 않을 수 있다. 따라서 온-프레미스 시스템을 위한 추가 하드웨어를 구매하거나 클라우드 서비스 제공 업체로 빠르게 이동해야 할 수도 있다.
원격 작업으로의 급격한 변화가 더욱 빨라짐에 따라, 기업의 인프라와 시스템이 높은 부하를 수용할 수 있도록 이러한 기술 역시 대규모로 테스트해야 한다. 수요가 급격히 증가함에 따라 많은 회사가 상당한 용량 한계에 직면하고 있는 것으로 나타났다.
2. 원격 근무자용 보안 응용 프로그램과 기기를 확보하라
IT 인프라만으로는 회사의 시스템, 소프트웨어 및 보안이 올바르게 구성되고 제대로 작동하도록 할 수 없다. 원격 근무에 필요한 기술을 인프라에 통합할 때, 다음과 같은 조치를 취해 사이버 보안 운영을 확보하라.
- 모든 장치에 방화벽을 설치하고 암호화하라. 모든 사용자에게 예외 없이 즉시 보안 패치를 설치하고 모든 엔드 포인트에서 엔드 포인트 보호 및 보안 (EPS) 소프트웨어를 업데이트하도록 요청하라. EPS는 개인 방화벽, 응용 프로그램 제어, 스파이웨어 방지 및 바이러스 백신 보호 기능을 제공하고 컴퓨터가 감염되는 것을 방지한다. 이를 통해 해커가 ID와 패스워드에 접근해 컴퓨터를 회사의 서버 및 시스템에 대한 진입점으로 사용하지 못하도록 한다. 작업자 엔드 포인트를 도난이나 원치 않는 물리적 액세스로부터 보호하기 위해 모든 컴퓨터 하드 드라이브, 외장 하드 드라이브, USB 드라이브를 암호화하고 회사에서 관리해야 한다. 회사에서 관리하지 않는 USB 드라이브 사용을 방지하기 위한 지침을 마련하라. 모든 엔드 포인트에는 데이터 유출을 방지하기 위해 DLP (데이터 손실 방지) 소프트웨어뿐만 아니라, 원격 삭제 기능도 있어야 한다. 그래야만 분실 또는 도난당한 장치에서 데이터를 지울 수 있다. (DLP는 사무실보다 원격으로 작업할 때 데이터 유출에 대한 주의를 덜 기울이는, 권한이 부여된 작업자의 부주의도 보호할 수 있다.) 마지막으로 직원에게 모든 랩탑의 데이터를 회사 서버에 정기적으로 백업하도록 지시한다. 사고로부터 빠른 복구를 보장하고 중요한 비즈니스 프로세스를 보호할 수 있다.
- 회사 시스템에 안전하게 액세스하라. 회사의 보안 운영 센터는 모든 VPN 및 원격 액세스로그에서 비정상적인 동작을 모니터링해야 한다. 조직이 전 세계적으로 운영되지 않는 경우, 인터넷에 대한 노출을 줄여서 위험을 완화할 수 있다. 원치 않는 동작을 조기에 탐지하기 위해 특정 네트워크 혹은 위치에 대한 시스템 액세스를 제한하는 것도 좋다.
- 사이버 사고 대응 프로세스가 강력한지 확인하라. 보안 운영 및 IT 팀은 모든 프로세스와 절차를 업데이트하고 테스트해 사이버 사고 대응 및 에스컬레이션 체인이 원격 인력, 그리고 백업 담당자와 원활하게 작동하는지 확인해야 한다. 기업은 또한 위기 상황에서 의존할 수 있는 백업 복원을 테스트해야 한다.
- 원격 협업 보호 장치를 설치하라. 원격 근무자가 테스트를 거친, 라이선스를 획득한 안전한 엔터프라이즈급 원격회의 및 협업 도구를 사용하는지 확인하라. 이러한 도구는 생산성을 확보하고 직원이 사용해서는 안 되는 일반 소비자 수준의 도구의 혼란스러운 확산을 막을 수 있다. 단 한 명 직원의 엔드포인트가 보안을 위반하면 회사 전체에 침해가 발생할 수 있다.
3. 사이버보안을 비즈니스 지속 계획에 포함하라
원격 근무가 운영되는 동안 직원 위치의 보안을 포함해, 잠재적으로는, 새로운 작업 방식도 고려해야 한다. 비즈니스 지속 계획에는 여러 차원의 사이버 보안 규정이 포함돼야 한다.
- 비상 보안 액세스를 보장하라. 보안 운영 및 사고 대응팀이 사고 중에 시스템에 물리적으로 액세스 할 수 없거나 동료와 가까이있을 수 없는 경우 도구에 액세스하고 원격으로 협업할 수 있는지 확인하라.
- 백업팀을 훈련하고 원격 지원을 활성화하라. 최소한 일부 사이버 보안 직원이 COVID-19에 걸려 원격으로도 일할 수 없을 가능성을 고려해야 한다. 또한, 기업은 몇 주 동안 현실적인 수준에서 유지 관리할 수 있는 원격 사이버 보안 및 IT 제공 업체와 서비스 레벨 계약을 체결해야 하며 해당 제공 업체가 필요한 규모로 원격 운영을 지원할 수 있는지 확인해야 한다.
- 명확한 의사소통 계획을 확립하라. 비상시 원격 사이버 보안 직원이나 기타 주요 직원에게 안전하게 연락할 수 있도록 다이렉트 혹은 백업 통신을 확보하라. 손상될 수 있는 이메일과 같은 단일 통신 방법에 의존하지 마라.
- 계획을 조정하라. COVID-19 위기는 빠르게 진화하고 있다. 이 새로운 환경에서 불가피한 잘못은 발생할 수밖에 없다. 이럴 경우 교훈을 얻고 기록해 이를 신속히 통합하는 것이 중요하다.
4. 신규 원격 근무 인원에게 추가된 보안 위협에 대해 경고하라
기술적 고려 사항 외에도 사이버 보안 교육과 인식 구축 작업은 리스크를 줄이는 데 중요하다. 반드시 수행해야 할 몇 가지 단계는 다음과 같다.
- 직원에게 새로운 도구와 기능을 안전하게 사용하도록 교육한다. 직원이 원격 협업 지원 도구와 기술 사용법과 피싱 및 사기성 이메일, 전화 – 기술 지원 제공, 자선 단체의 요청과 같은 형태로 위장한 – 와 같은 COVID-19 사이버 위협을 인식하고 예방하는 방법을 알고 있는지 확인하라. 재택근무 중 직원은 다른 가족이 개인 장치에서 사용하는 것과는 별도로 업무용 컴퓨터를 전용 네트워크를 만들도록 라우터를 구성해야 한다. 이 기능은 거의 모든 가정용 라우터에 포함돼 있다. 이는 국가 기관 요원이나 범죄자들이 실제로 기업 최고위 임원 가족의 컴퓨터를 노리고 있기 때문에 꼭 필요한 조치다.
- 원격 근무자가 상호 인증하기 위한 프로토콜을 설정하라. 원격 근무자에게 안전한 방법만 사용해 헬프데스크나 동료를 인증하도록 교육하라. 엄격한 프로토콜을 유지하면 직원이 실수로 정보를 유출하는 것을 방지할 수 있다.
- 안내 라이브러리를 준비하라. 직원이 보안 위협을 인식하고 안전하게 원격으로 작업하기 위한 모범 사례를 다루는 셀프 서비스 안내서, 비디오, 그리고 자주 묻는 질문(FAQ) 목록과 같은 자료를 배포하라.
5. 안전한 원격 근무를 위한 행동 규정을 확립하라
원격 근무로의 급격한 전환 속도와 규모는 조직에 수많은 보안 위험을 야기한다. 헬프데스크는 최전방 방어선이다. 변화를 대비하고 위험을 완화하는 방법은 다음과 같다.
- 헬프데스크 향상. 추가 보안 기술 지원으로 급증하는 원격 근무자를 지원하라. 음성이나 채팅 서비스를 통해 지원 센터를 추가로 만들거나 확장해 늘어난 문의 사항을 처리하라. 헬프 데스크가 다단계 인증 방법을 사용해 원격 근무자를 올바르게 인증하는지 확인하라. 이는 직원의 회사에서 지급했거나, 회사에 등록된 개인 휴대전화에 코드를 문자로 보내는 것만큼 간단하다. 직원들과 정기적으로 연락해 진척 상황을 논의하고 안전한 작업 방법을 개선하기 위한 아이디어를 구하라. 직원들은 도움이 필요하며, 무엇이 잘 작동되는지 알고 있다.
- 원격 근무 지침을 명시적으로 정의하라. 조직에 명확한 지침을 제공해, 원격 작업을 처리하기 위한 안전한 절차를 명시적으로 정의하라. 내부 네트워크에 연결하기 위한 적절한 방법을 지정하는 원격 작업 정책을 배포하라. 사이버 보안팀이 비정상적인 활동을 감지하는 데 도움이 되도록 ‘정상적인’ 근무 시간에 맞춰 데이터 액세스가 필요한 사람들에게만 데이터 액세스를 제공하는 식으로 접근을 최소화하라. 물리적 오피스에서 퇴근하는 것처럼 업무 마감, 자정 등으로 중요한 데이터에 더 이상 액세스 할 수 없는 시간을 정의하라.
- 원격 회의, 디지털 협업, 파일 공유를 제공하고 발표하고 문서화하라. Webex, Zoom, Skype와 같은 잘 알려진 플랫폼은 확실히 안전한 회의를 가능케 한다. 하지만 사용자는 사전에 교육을 받고 정보를 얻어야 한다. 회의 주최자는 참석하는 모든 참가자가 자신을 소개하도록 해 잠재적인 침입자에 대해 주의를 기울여야 한다. 비밀번호가 포함된 캘린더 초대를 보내면 보안을 강화할 수 있다. Slack, Trello, 비즈니스용 Skype와 같은 엔터프라이즈 수준의 협업 플랫폼은 조직에 안전한 채팅과 프로젝트 관리 기능을 제공한다. 반드시 업무용으로 승인된 협업 및 파일 공유 플랫폼만 허용하고, 데이터 보호 기능이 부족한 일반 플랫폼은 사용해서 안 된다. 조직은 이러한 기술의 보안 구성을 검토하고 승인되지 않은 방식으로 협업하도록 설정된 Shadow IT를 찾아내기 위한 평가를 수행해야 한다. 끝으로, 직원의 제안을 듣고, 공급자가 제안하는 최선의 지침에 따라 솔루션을 구현해 새롭고 안전한 작업 방법을 도입하는 데 망설임 없이 열린 태도를 가져야 한다.
6. 기업 위기 관리에 사이버 보안을 포함하라
위기관리 팀은 어려운 시기에 조직을 조타하는 데 핵심적인 역할을 한다. 다음 단계를 수행해, 안전한 원격 위기 관리 계획을 도입하는 것이 중요하다.
- COVID-19의 보안 영향을 해결하기 위해 사이버 위기 관리 계획을 업데이트하라. 위기 팀이 사용하는 커뮤니케이션 라인이 안전하고 승인된 것인지, 대안은 사용 가능한지 확인하라. 새로 고쳐진 사고 관리 계획을 검토해 기업이 운영되는 국가나 지역에서 사이버 보안과 개인 정보 보호 규정을 준수하는지 확인하라.
- 미션 크리티컬 기술과 인력은 항상 확보된 상태여야 한다. 리더십과 보안 담당자가 원격 혹은 격리된 상황에서 근무할 때 필요한 도구에 안전하게 액세스 할 수 있는지 확인하라. 보안 작업과 시스템 관리 등 역할별로 비상 에스컬레이션 절차를 알리고 백업 직원을 식별해 승계 계획을 정의해야 한다. 예를 들어, 위기관리 팀의 누군가가 COVID-19로 입원한 경우, 백업 담당자가 언제든지 호출될 수 있음을 이해하고 적절한 교육과 문서를 가졌는지 확인하라.
- 모든 직원의 성과, 위치, 건강 상태에 대해 파악하라. 위기 내내 모든 직원을 위한 커뮤니케이션 및 보고 메커니즘을 확립하라. 검역소나 병원에서 IT 사이버 보안 직원의 상태를 면밀히 모니터링하고, 백업 직원이 자신의 역할을 수행하는지 확인하라. SOS 응용 프로그램, 전화 핫라인, 이메일 받은 편지함과 같이 안전한 COVID-19 전용 통신 채널을 구현해 직원과 리더가 쉽게 통신할 수 있도록 하라.
- 조율된 사이버 보안 공지를 자주 제공하라. COVID-19와 관련해 진화하는 사이버 위협에 대해 직원들에게 업데이트하라. 모든 직원 메시지의 핵심 주제로 사이버 보안 상황의 중요성을 강조해 사람들이 이에 대해 이해하도록 하라.
7. 액세스와 보안 평가를 업데이트하라
민감한 데이터를 처리하는 경영진을 포함한 주요 직원은 매우 중요하지만, 기술이나 그 위험에 대해서는 잘 알고 있지 않다. 사이버 보안과 신원관리 팀은 그들의 액세스를 줄이고 업그레이드된 보안 조치를 제공해 침해 위험을 줄여야 한다. 다음은 조직이 주의 깊게 감시해야 하는 역할과 고려해야 할 보안 조치의 예이다
- 최고위 경영진은 가족이 사이버 공격 목표라는 사실을 알리고, 좋은 사이버 위생 상태를 실천하도록 가르쳐야 한다. 이를 통해 경영진이 집에서 일하고 가족 네트워크를 공유하고 있음을 알고 있는 사이버 범죄자의 공격을 막을 수 있다.
- 재무 담당자는 피싱, 전화, 비즈니스 이메일 사기 – 특히 보건기구나 자선 단체와 연관성을 주장하는 사기에 주의해야 한다. 이메일, 링크, 송금 요청과 같은 모든 금융 커뮤니케이션의 진위 여부를 확인하고, 모든 금융 이체에 대해 경영진의 구두 승인을 받아야 한다.
- 조달 담당자는 안전한 와이파이(WiFi), 엔터프라이즈 파일 공유 솔루션, 암호화된 기업 등록 USB 드라이브를 사용해 계약과 다른 기밀 데이터를 안전하게 공유해야 한다. 알 수 없는 공급 업체 또는 알려진 공급 업체인 척하는 다른 사람(특히 COVID-19와 관련이 있다고 주장하는 사람)의 구매 주문서와 송장과 같은 의심스러운 첨부 파일이 있는 이메일에 주의하라. 낯선 주소에서 온 이메일도 주의해서 처리해야 한다. 예를 들어 mail@example.com과 mail@exampIe.com과 같은 두 주소의 차이는 쉽게 알아볼 수 없다. 그러나 첫 번째 경우 “l”은 소문자 “L”이고 두 번째 경우 “l”은 대문자 “I”로 바꿔치기한 것이다.
- 임원 비서는 고위 임원의 모든 요청, 특히 알 수 없는 기관의 요청을 확인해야 한다. 사이버 범죄자는 종종 CEO의 자녀가 바이러스에 감염되었다는 내용과 같은 개인 맞춤형 COVID-19 공포 전술을 사용한다. 이러한 첨부 파일을 열거나, 발신자에게 정보를 제공해서는 안 된다. 신뢰할 수 있는 출처에 직접 전화해 내용을 확인하라.
COVID-19가 전 세계 의료 시스템의 취약점을 드러낸 것처럼, 원격 근무로의 대규모 이동으로 기존 인프라 및 보안 조치가 새롭고 극단적인 테스트에 노출되고 있다. 원격 근무는 증가하는 추세였으며, 대부분 기업의 IT 사이버 보안 전문가는 수년간 시스템을 보호하기 위해 부지런히 일해 왔다. 그러나 이렇게 급격히, 이렇게 대규모로 변화할 것이라는 예측은 누구도 하지 못했으며 수많은 기업이 이와 같은 수준을 지원할 인프라를 갖추지 못하고 있다.
사이버 보안 위협을 완화하는 데 필요한 기술, 디지털 도구, 절차는 현재 얻을 수 있는 것이며, 적은 노력과 비용으로 전체적이고 포괄적인 방식으로 구현할 수 있다. BCG 직원들은 수년 동안 원격 근무를 시행해 왔다. 따라서 디지털 커뮤니케이션과 디지털 협업을 고려한 신중한 계획을 통해 잠재적인 사이버 혼란을 피하고 비즈니스 운영을 계속할 수 있다는 점을 잘 파악하고 있다. 사이버 공격은 COVID-19 바이러스 자체와 유사하다. 시스템 패치는 손을 씻는 것과 같다. 피싱 이메일을 클릭하지 않는 것은 얼굴을 만지지 않는 것과 같다. 처음에는 어려워 보일지 모르지만, 이러한 조치는 현재 결정적으로 중요하며 원격 근무라는 미래의 삶의 지금 현실이 됨에 따라 앞으로도 계속 중요할 것이다.