전 세계 기업과 정부는 직원과 국민의 건강을 보호하기 위해 신속하게 원격근무를 포함한 책임감 있는 조치들을 취하고 있다. 미 노동통계국과 보스턴컨설팅그룹 추정치에 따르면, 미국에서는 3천만 명이 넘는 사무직 직원들과 세계적으로는 최대 3억 명이 재택근무를 하고 있을 것으로 예상된다. 회계 담당 직원, 조달 담당 직원, 인사부 직원, 최고위 경영진, 기타 직원들은 회사 웹사이트에 로그인하여 온라인 회의에 참석하고 인터넷을 통해 민감한 회사 데이터에 접근할 것이며, 이는 많은 경우 가정의 컴퓨터와 개인 휴대폰을 통해서 이루어질 것이다.
디지털 도구가 원격 근무자에게 양질의 지원을 제공하기는 하나 이처럼 대규모의 업무패턴 변화는 IT 및 사이버 보안에 있어 예상치 못한 심각한 영향을 미칠 수 있다. 기업은 사이버보안 리스크의 변화에 적절히 대비가 되어 있는가?
직원이 그럴 듯 하게 보이는 코로나 19 치료제 광고를 클릭하거나 공신력 있는 보건 당국의 팬데믹 업데이트처럼 보이는 이메일 첨부파일을 열었더니 보안을 뚫도록 설계된 소프트웨어가 내장되어 있는 경우의 영향을 생각해보자. 또는, 직원이 소셜 엔지니어링 기법에 속아 회사 헬프데스크 직원이라고 하면서 접근하는 사이버 범죄자의 지시에 따른다면 어떻게 될까? 기업은 직원이 결제 시스템, 개인 고객 데이터, 지적재산권, 기타 주요 자산에 대한 접근성을 제공하는 비밀번호 수집에 악용될 수 있는 악성소프트웨어를 다운로드하는 것을 방지하는 적절한 대응책이 있는가?
인류가 처해 있는 위기의 와중에도 사이버보안에 대한 논의를 확대해야 하는 것은 불행한 현실이다. 우리는 몇 가지의 경고성 징후들을 관찰했다. 1월부터 코로나 19로 명명된 웹사이트 도메인 네임들이 인수되기 시작했다. 사이버 범죄자들은 이러한 도메인 네임을 이용하여 합법적인 코로나 19 정보 사이트인 것처럼 가장한다. 또한, 이들은 미국질병관리본부나 세계보건기구 등의 공신력 있는 기관에서 보낸 것처럼 보이지만 실제로는 악성 링크나 첨부파일이 들어있는 피싱 이메일을 전송하고 있다.
어떤 경우에는 메일 수신인들이 인기 있는 코로나 19 관련 최신 정보 소스인 대학 게시판 링크를 받았다. 그러나, 게시판을 보기 위해 필요한 소프트웨어를 설치하자 백그라운드에서 악성소프트웨어가 작동하여 컴퓨터에 침입한 뒤 개인 및 기업의 이용자 ID 및 비밀번호를 수집, 이를 사이버 범죄자들에게 전송했다. 또한, 이용자가 주요 운송업체의 코로나 19 업데이트처럼 보이는 이메일을 클릭하자 진짜처럼 보이는 마이크로소프트 아웃룩 로그인 페이지로 이동되었고 이용자 정보를 입력하도록 유도되어 사이버 범죄자들에게 회사 이메일 계정 접근성이 제공된 사례도 있었다.
수많은 실질적인 교육, 프로세스, 기술적 조치를 실행함으로써 기업은 코로나 19와 관련된 도전과제 외에 사이버 위기에까지 처하는 것을 방지할 수 있다. 우리는 기업이 다음의 일곱 가지 단계를 적용하여 기업 자산을 보호할 것을 권고한다.(보기 참조)
1. 원격 근무를 위한 핵심 IT 인프라 평가
사무실 환경에서는 인력의 대다수가 이더넷 케이블이나 기업의 와이파이 네트워크를 통해 기업 서버에 연결된 데스크탑 컴퓨터를 이용하며, 이는 데이터 보안 유지를 위해 건물의 물리적인 보안에 의존한다. 원격 근무를 위해 사람들은 회사가 제공하는 노트북 컴퓨터나 인터넷으로 회사 서버에 연결되는 개인 기기를 이용하게 될 가능성이 가장 높다. 직원들은 회사 내부 전화 시스템을 통해 IT 및 사이버보안 헬프데스크와 소통하는 것 대신 개인 휴대폰이나 유선전화를 쓸 것이다.
기업은 엔드포인트, 연결성, 엔터프라이즈 아키텍쳐 및 인프라의 세가지 인프라 카테고리를 평가할 필요가 있다.
- 엔드포인트. 여기에는 승인된 애플리케이션과 사이버보안 도구가 포함되도록 해야 한다. 기업 시스템에 대한 접속 승인이 되어 있는 전체 기기 재고를 확보하고 승인 기기와 승인 이용자의 상호관련성 확인을 위해 기기의 이더넷 MAC 주소에 특히 주의를 기울인다.
- 연결성. 기업 네트워크 접속은 VPN을 통해 인력의 엔드포인트와 기업 서버 간에 전송되는 데이터에 대한 스파잉 방지를 위해 이중 인증을 거쳐 이루어지도록 해야 한다. VPN과 토큰 소프트웨어는 원격으로 다운로드할 수 있으나 추가 라이선스는 취득해야 할 수도 있다.
- 엔터프라이즈 아키텍쳐 및 인프라. 방화벽, 네트워크, 협업 도구, 서버가 인터넷 상에서 원격 연결을 수용하도록 구성한다. 많은 기업의 원격 접속 능력은 수천 명의 직원들이 접속함에 따른 부하 증가를 수용하기에 충분치 않을 수 있다. 따라서, 온프레미스(on-premise) 시스템을 위한 추가 하드웨어를 구매하거나 신속하게 클라우드 서비스 제공업체로 전환하는 것이 필요할 수도 있다.
원격 근무로의 급격한 전환이 가속화됨에 따라, 이러한 기술들을 대규모로 테스트하여 기업의 인프라와 시스템이 부하 증가를 감당할 수 있도록 해야 할 것이다. 우리는 수요 급증으로 인해 심각한 처리능력 한계에 부딪힌 많은 기업들을 관찰하고 있다.
2. 원격근무 인력을 위한 애플리케이션 및 기기 확보
IT 인프라만으로는 기업의 시스템, 소프트웨어, 보안이 제대로 구성되고 원활하게 운영되지 않을 것이다. 원격근무에 필요한 기술을 인프라에 반영할 때는 다음의 조치를 취하여 운영의 사이버보안을 보장해야 한다:
- 모든 기기에 방화벽을 암호화해 설치한다. 이용자들에게 예외 없이 즉각 모든 엔드포인트에 보안 패치를 설치하고 엔드포인트 보호 및 보안(EPS) 소프트웨어를 업데이트할 것을 의무화한다. EPS는 개인 방화벽, 애플리케이션 컨트롤, 안티스파이웨어, 안티바이러스 보호를 제공하고, 컴퓨터의 감염을 지속적으로 예방함으로써 해커가 ID 및 비밀번호에 접근하여 컴퓨터를 기업의 서버 및 시스템 진입지점으로 이용하는 것을 방지한다. 모든 컴퓨터 하드드라이브, USB 드라이브를 암호화하고 회사가 제공하도록 함으로써 직원의 엔드포인트를 도난이나 원치 않는 물리적 접근으로부터 보호한다. 모든 엔드포인트는 원격 삭제 기능을 갖추어 기기가 분실 또는 도난된 경우에도 데이터를 삭제할 수 있게 해야 할 뿐만 아니라 데이터 유출 방지(data loss prevention, DLP) 소프트웨어를 이용해 데이터 유출을 방지해야 한다. (DLP는 승인된 직원이 데이터 유출이 더 쉽게 감지될 수 있는 사무실에서보다 원격 근무를 할 때 유출 방지에 주의를 덜 기울일 경우 승인 직원에 대해서도 보호기능을 작동한다.) 마지막으로, 직원들에게 모든 노트북 컴퓨터의 데이터를 회사 서버에 정기적으로 백업하도록 지시하여 사고 발생시 신속한 복원과 핵심 비즈니스 프로세스 보호가 이루어지도록 한다.
- 기업 시스템에 대한 접근성을 확보한다. 기업의 보안 운영 센터는 모든 VPN 및 원격 접속 로그를 모니터링하여 비정상적인 행동을 감지해야 한다. 조직이 글로벌 운영을 하지 않을 경우에는 인터넷 노출 감소, 리스크 완화, 원치 않는 행동의 조기 감지 보장을 위해 시스템 접근을 특정 네트워크나 로케이션으로 국한시키는 것을 고려한다.
- 사이버 사고 대응 프로세스가 탄탄하게 운영되도록 한다. 보안 운영 및 IT 팀은 모든 프로세스 및 절차를 업데이트하고 테스트하여 사이버 사고 대응과 단계적 확대처리 체계가 원격 인력 및 백업 인력과 원활하게 실행되도록 한다. 또한, 기업은 백업 복원을 테스트하여 위기시에 활용할 수 있도록 해야 한다.
- 원격협업 보호장치를 설치한다. 원격근무 인력은 라이선스가 있고 테스트를 거친 안전한 기업용 텔레컨퍼런스 및 협업 도구를 이용해야 한다. 그러한 도구들은 안전한 생산성을 가능케 하며 직원들이 금지되어야 하는 소비재 품질의 도구를 혼란스럽게 확대 이용하는 것을 방지한다. 단지 하나의 직원 엔드포인트만 손상되어도 회사 전체에 균열이 생길 수도 있다.
3. 기업연속성계획에 사이버보안을 반영
인력이 원격으로 운영되고 있는 동안, 직원이 있는 위치의 보안과 새로운 업무 방식을 고려하는 것이 중요하다. 기업연속성계획에는 여러 측면의 사이버보안 관련 조항이 포함되어야 한다:
- 긴급 보안 접근성을 보장한다. 보안 운영 및 사고 대응 팀이 물리적으로 시스템에 접근할 수 없거나 사고시 동료 근처에 있을 수 없을 경우 도구 접근 및 협업을 원격으로 할 수 있게 해야 한다.
- 백업 팀을 교육하고 원격 지원을 제공한다. 기업연속성계획은 적어도 일부의 사이버보안 직원들이 코로나 19에 감염되어 원격으로도 일을 할 수 없는 가능성을 고려해야 한다. 기업은 현실적으로 수주 동안 유지될 수 있는 원격 사이버보안 및 IT 제공업체와 서비스수준계약을 체결해야 하며 이러한 제공업체들이 필요 규모로 원격 운영을 지원할 수 있는지 검증해야 한다.
- 명확한 소통 계획을 마련한다. 직접적인 백업 소통 채널을 확보하여 원격 사이버보안 직원과 기타 핵심 직원들이 긴급상황에서 안전하게 연락될 수 있도록 한다. 손상 가능성이 있는 이메일 등의 단일 소통 방식에 의존해서는 안 된다.
- 계획을 적응시킨다. 코로나 19 위기가 급박하게 전개됨에 따라, 이러한 새로운 환경에서는 불가피하게 잘못되는 일들이 발생하기 때문에 학습된 교훈을 신속하게 추적하고 반영하는 것이 중요하다.
4. 신규 원격근무 인력에게 추가된 보안 리스크에 대해 알림
기술적인 고려 외에 사이버보안 교육 및 인식제고 이니셔티브는 리스크 감소에 결정적인 역할을 한다. 다음은 기업이 취해야 하는 조치들 중 일부이다:
- 직원들에게 새로운 도구 및 기능의 안전한 이용에 대해 교육한다. 기술 지원이나 자선 단체 기부요청으로 위장한 피싱, 사기성 이메일, 전화 등 코로나 19 관련 위협요소를 인지하고 방지하는 법뿐만 아니라 원격 협업을 지원하는 도구 및 기술 사용법을 직원들에게 알린다. 재택근무 중에 직원은 나머지 가족구성원들의 개인 기기용 네트워크와는 별도의 업무 컴퓨터용 네트워크를 생성하도록 라우터 구성을 설정해야 하며, 거의 대부문의 가정용 라우터에는 이러한 기능이 있다. 국가 특수정보요원 및 범죄자들이 최고위경영진의 가족 컴퓨터를 타겟으로 삼고 있기 때문에 이는 필요한 조치이다.
- 상호 신원확인을 위해 원격 근무자용 프로토콜을 수립한다. 원격 근무자들이 안전한 방법만을 사용하여 헬프데스크 및 동료의 신원확인을 하도록 교육한다. 엄격한 프로토콜 유지를 통해 직원이 뜻하지 않게 정보를 공개하는 것이 방지될 수 있다.
- 지침사항 라이브러리를 만든다. 셀프서비스 가이드, 영상, 자주하는 질문 리스트 등 직원들의 보안 위협요소에 대한 인식을 높이고 안전한 방식의 원격 근무 모범사례를 알리는 자료를 배포한다.
5. 안전한 원격근무 준비를 위한 프로토콜 및 행동 확립
원격근무로의 전환 속도와 규모로 인해 조직에 수많은 보안 리스크가 발생되며 기업의 헬프데스크는 방어의 최일선에 있게 될 것이다. 다음은 변화에 대비하고 리스크를 완화하는 방법들이다:
- 헬프데스크를 개선한다. 추가적인 안전한 기술 지원으로 급증하는 원격 근무자들을 지원한다. 음성 및 채팅 서비스로 지원 센터(또는 센터들)를 만들거나 확대하여 늘어난 질문들을 처리한다. 헬프데스크가 다중 인증 방식을 통해 철저히 원격 근무자의 신원을 확인하도록 한다. 이는 승인된 근무자의 확인된 휴대폰 또는 회사가 제공한 휴대폰으로 코드 문자를 보내는 등의 방법으로 간단히 확인할 수 있다. 직원과 정기적으로 연락하는 것을 규칙화하여 진척사항에 대해 논의하고 안전한 업무 방식 개선 아이디어를 구한다. 직원들은 도움이 되기를 원하며 어떤 것이 효과가 있는지 알고 있다.
- 원격근무 방식을 명시적으로 정의한다. 조직에 명확한 가이드라인을 제공하고 원격 근무 관련 안전한 절차를 명시적으로 정의한다. 내부 네트워크에 접속하는 허용 가능한 방법을 구체적으로 명시하는 원격근무 정책을 배포한다. 데이터 접근은 데이터를 필요로 하는 인원으로 최소화할 것을 고려하며 “정상적인” 근무 시간에 맞춤으로써 사이버보안 팀의 비정상 활동 감지 능력이 원활하게 실행되도록 한다. 마치 직원들이 퇴근해서 집에 가는 것처럼 영업 마감 시간, 업무 종료 시간, 기타 시간들을 정의하여 그 시간 이후에는 민감한 데이터에 접근할 수 없도록 한다.
- 원격 회의, 디지털 협업, 파일 공유를 문서화, 발표, 제공한다. 웹엑스, 줌, 스카이프 등 잘 알려진 플랫폼들을 통해 신뢰할 수 있는 수준에서 안전한 회의가 가능할 것이나 이용자들은 반드시 이에 대한 교육 및 정보를 받아야 한다. 회의 주최자는 출석을 확인하고 모든 참석자들이 자신의 출석을 발표하는 것을 의무화함으로써 잠재적 침입자에 대해 강력히 경계해야 한다. 비밀번호가 보호되는 캘린더 초대장 전송을 이용하면 보안이 한층 강화될 것이다. 슬랙, 트렐로, 스카이프 포 비즈니스 등의 기업용 협업 플랫폼은 조직에 안전한 채팅 및 프로젝트 관리 역량을 제공한다. 그러나, 비즈니스 용으로 승인된 협업 및 파일공유 플랫폼만을 허용해야 한다. 보호 기능이 없을 수 있는 상업용 플랫폼은 피한다. 조직은 이러한 기술의 보안 구성을 검토해야 하며, 비승인 방식으로 설치될 가능성이 있는 섀도우 IT(Shadow IT)를 감지하기 위한 평가를 실시해야 한다. 마지막으로, 직원의 제안사항을 경청하고 제공업체의 최상의 지침에 따른 솔루션을 실행함으로써 새로운 안전한 업무방식에 대해 개방적인 태도를 가져야 한다.
6. 기업위기관리에 사이버보안 반영
위기관리 팀은 조직이 어려운 시기를 극복하는 데 있어 핵심적인 역할을 한다. 다음과 같은 조치를 취함으로써 안전한 원격 위기 관리를 위해 계획을 조정하는 것은 매우 중요하다:
- 코로나 19의 보안 영향을 다루도록 사이버 위기 관리 계획을 업데이트한다. 위기관리 팀이 이용하는 소통 라인이 안전하고 승인되도록 하며 대안도 마련한다. 업데이트된 사고 관리 계획을 검토하여 계획이 기업이 운영되고 있는 국가 또는 주의 사이버보안 및 개인정보 규정에 부합하도록 한다.
- 핵심 기술 및 인원을 상시 이용가능하도록 한다. 리더십 및 보안 인원이 원격 근무나 자가 격리시에 필요한 도구에 대해 안전한 접근성을 유지할 수 있도록 확인한다. 긴급상황의 단계적 확대처리 절차에 대해 알리고, 백업 인원을 파악하며, 보안 운영 및 시스템 운영 등 역할별로 승계 계획을 정의한다. 예를 들면, 위기관리 팀의 누군가가 코로나 19로 입원할 경우 백업 인원은 언제든지 호출될 수 있다는 점을 확실히 이해시키고 이들이 적절한 교육 및 문서를 보유하고 있도록 확인한다.
- 전 직원의 성과, 위치, 건강 상태에 대한 인지를 유지한다. 전체 위기기간에 대한 전직원 대상의 소통 및 보고 메커니즘을 수립한다. 자가격리 또는 입원 중인 IT 및 사이버보안 직원의 상태를 밀접하게 모니터링하며, 백업 인원이 역할을 충실히 수행하도록 한다. SOS 애플리케이션, 전화 핫라인, 이메일 받은 편지함 등 코로나 19 전용의 안전한 소통 채널을 실행하여 직원과 리더십이 원활하게 소통할 수 있도록 한다.
- 사이버보안 관련 업데이트 공지를 조율하여 자주 공지한다. 직원들에게 코로나 19와 관련된 사이버 위협의 변화에 대한 업데이트를 제공한다. 사이버보안 상황의 중대성을 모든 직원대상 메시지의 핵심 주제로 삼아 이에 대해 직원들에게 이해시킨다.
7. 접근성 및 보안 조치 업데이트
임원들과 민감한 데이터를 다루는 기타 핵심 직원들이 특히 중요하나, 많은 경우 이들은 기술과 기술 관련 리스크에 대해서 비교적 익숙하지 않다. 사이버보안 및 신원 관리 팀은 이들의 접근성을 제한하고 업그레이드된 보안 조치를 제공하여 손상 리스크를 감소시켜야 한다. 다음은 조직이 반드시 신중하게 감독해야 하는 역할과 고려해야 할 보안 조치의 몇 가지 사례들이다:
- 최고위 경영진은 가족 구성원들에게 사이버 타겟이 될 수 있다는 사실에 대해 주의를 주고 제대로 된 사이버 위생(cyber hygiene)을 실천하도록 교육해야 한다. 이는 경영진이 재택근무를 하고 있으며 가족과 네트워크를 공유할 가능성이 있다는 것을 아는 사이버 범죄자들의 공격을 방지하는 데 도움이 될 것이다.
- 재무 담당 직원은 특히 보건 당국이나 자선단체와 관계가 있다고 하며 접근하는 피싱, 전화, 비즈니스 이메일 사기에 대해 항상 경계 태세에 있어야 한다. 이들은 이메일, 링크, 송금 요구 등 모든 재무 관련 메시지의 진위 여부를 검증해야 하며 모든 송금 건에 대해 임원의 구두 승인을 의무화해야 한다.
- 조달 담당 직원은 계약 및 기타 기밀 데이터가 안전한 와이파이, 전사적 파일공유 솔루션, 암호화된 회사 제공 USB를 통해 안전하게 공유되도록 해야 한다. 특히 코로나 19와 관련이 있다고 주장하는 모르는 벤더 또는 아는 벤더인 척 하는 사람이 발신한 구매 주문 및 인보이스 등 의심스러운 첨부파일이 있는 이메일을 경계해야 한다. 진짜처럼 보이는 낯선 주소의 이메일도 주의해서 다루어야 한다. 예를 들면, mail@example.com과 mail@exampIe.com 두 주소간의 차이점을 찾아내는 것은 불가능하다. 그러나, 첫 번째 주소에서 “l”은 소문자인 반면, 두 번째 주소에서 “I”는 대문자 “I”로 바뀐 것이다.
- 임원 비서들은 특히 모르는 대상으로부터의 고위급 임원에 대한 모든 요청을 확인해야 한다. 사이버 범죄자들은 CEO의 자녀가 코로나에 걸렸다는 등의 개인화된 코로나 19에 대한 공포 전술을 활용하는 경우가 많다. 그러한 첨부파일은 열어서는 안되며 전화 상대방에게 정보를 제공해서도 안 된다. 믿을만한 사람들에게 전화를 걸어 그러한 주장의 진위여부를 검증한다.
코로나 19의 확산으로 세계의 헬스케어 시스템의 취약성이 노출되고 있는 것처럼, 원격근무로의 대규모 전환으로 인해 기존 인프라와 보안 조치는 극단적인 새로운 시험대에 오르게 되었다. 원격 근무는 한동안 성장하는 트렌드였으며 대부분의 기업의 IT 및 사이버보안 전문가들은 지난 몇 년간 열심히 시스템 보호에 매진해왔다. 그러나, 지금과 같은 업무 환경 변화의 규모와 갑작스러움을 예상한 사람은 거의 없었으며 많은 기업들은 이러한 변화를 지원할 인프라 자체가 없는 실정이다.
사이버보안 위협의 완화를 위해 필요한 기술, 디지털 도구, 절차는 구할 수 있는 상황이며 다소의 노력과 비용을 들이면 전체적이고 포괄적인 방식으로 실행될 수 있다. BCG 직원들은 오랫동안 원격근무를 해왔으며 우리는 디지털 모드의 소통과 협업을 고려하는 신중한 계획수립을 통해 잠재적인 사이버 와해가 방지될 수 있을 뿐 아니라 기업도 성공적으로 운영을 계속할 수 있다는 것을 알고 있다. 사이버 공격은 코로나 19 바이러스와 비슷하다. 시스템에 패치를 추가하는 것은 손씻기와 같다. 피싱 이메일을 클릭하지 않는 것은 얼굴을 만지지 않는 것과 같다. 처음에는 만만치 않은 일처럼 보일지도 모르지만 현재 이러한 조치들은 필수적이며 미래에는 원격업무가 점점 더 현실화될 것이기 때문에 앞으로도 계속해서 중요할 것이다.