CWN(CHANGE WITH NEWS) - 언택트 시대 기업의 스마트워크...정보 보안 위협과 그 대응 방안은?

많은 기업이 사이버 공격과 정보 인프라 파괴와 같은 위협에 직면했다. 특히 코로나바이러스감염증-19의 발생은 스마트 작업 수요 증가로 이어졌으며, 이에 따라 정보 유출 등의 위험이 커졌다.

「언택트(Untact)시대에서 기업의 정보보안 위협에 관한 연구 : 스마트워크(Smartwork)를 중심으로 (2020)」라는 제목으로 게재된 논문은 스마트워크에 따른 기업의 정보보안 위협과 더불어 이에 대한 대응방안을 논의하였다. 특히 시스템 관리자와 근무자에 대한 대응방안을 제시함으로써 스마트 작업환경을 강화하고 스마트 작업의 잠재력을 최대한 활용하고자 하였다.

스마트워크란 사무실이라는 특정 공간 및 일정한 시간의 제약 없이 개인의 생활 패턴에 맞게 근무 가능한 방식으로서 재택근무, 모바일오피스, 스마트오피스, 유연근무제 등의 근무 유형을 포함한다(강민정·박선미. 2020. 2). 스마트워크는 코로나19 발생 상황에서의 대처 방식일 뿐만 아니라 바이러스가 종식된 이후의 상황에서도 일상적 근무 형태로서 자리 잡을 것으로 예측된다.

그러나 향후 더욱 가속화될 전망에 놓여있는 비대면 업무 환경에는 물리적 위협, 인적 위협, 기술적 위협과 같은 다양한 보안 위협이 있다.

스마트워크에서의 기업의 정보보안 주요 위협 요인들
첫 번째 주요 위협 요인으로서 ‘PC와 기록 매체의 분실 및 도난 피해’를 들 수 있다. 카페나 출장지 호텔 등의 장소에서 스마트워크를 실시하기 위해서는 업무용 PC나 USB 메모리 등의 기기·기록 매체를 외부로 반출하는 것이 필요한데, 이 과정에서 분실 또는 도난에 따른 물리적 피해로 인해 정보 유출이 발생할 수 있다는 것이다(최웅철, 2011: 91-104).

두 번째는 ‘가정 내 네트워크 이용에 따른 정보 유출’이다. 특히 외부와의 접촉을 최소화하기 위한 재택근무 시 가정환경을 이용해 인터넷에 연결하거나 홈 네트워크를 통해 회사 네트워크에 연결해야 할 수도 있다. 이때, 홈 네트워크를 통해서 회사 네트워크에 악성 코드가 확산될 수 있으며, 이에 따라 회사의 중요 정보가 유출되거나 변조될 수 있다는 것이다. 또한, 개인 소유 PC에 설치된 개인 용도의 클라우드 서비스 혹은 소프트웨어를 잘못 사용할 시 인터넷에 의도치 않게 사내 기밀 정보를 공유해버리는 상황이 발생할 수도 있다(Norton, 2020년 4월 15일 자료).

세 번째는 ‘개인 디바이스 이용의 증가’이다. 충분한 보안 대책을 갖추지 않은 개인 디바이스를 스마트워크에서 사용할 시 보안 위험이 더욱 커지며, 개인 단말이 악성 코드에 이미 감염되어 있는 경우도 빈번했다(이형찬 외, 2011: 13-14).

네 번째는 ‘공공 와이파이(Wi-Fi) 이용에 따른 정보 유출’이다. 카페나 호텔에서 스마트워크를 실시할 시 공공 Wi-Fi를 이용하는 경우가 많은데, 이에 따라 타인에게 통신 내용에 도청되어 정보 유출이 발생할 수 있다는 것이다(임형진·김동진, 2016: 74-78; 한국네트워크산업협회, 2014: 19-29).

다섯 번째는 ‘악성 코드로 인한 감염 위험’이다. 악성 코드 감염은 업무와 무관한 웹사이트 열람이나 불필요한 소프트웨어의 설치를 통해 발생할 수 있으며, 이에 따라 업무가 정지되거나 정보가 유출될 수 있다(금융보안원, 2017: 1-4). 개인 소유 PC를 이용하는 데 있어 그 대책이 충분치 않으면 바이러스 혹은 트로이 목마와 같은 악성 코드에 감염될 수 있는데, 비교적 안전한 방법은 보안 패치가 적용되고 백신 프로그램 설치가 완료된 기업의 PC를 지급받거나 대여받아 사용하는 것이다.

여섯 번째는 ‘내부 비리’이며, 마지막 일곱 번째는 ‘취약성이 내재된 응용 프로그램 이용’이다. 내부 비리의 경우 주위에 감시하는 사람이 존재하지 않는 스마트워크의 특성상 부정의 위험성이 있으며, ZOOM과 같은 회의 시스템은 정보 연계를 위한 필수적인 응용 프로그램이지만 보안 측면에서는 그 취약점을 지닌다.

기업의 정보보안 위협, 그 대응 방안은?
본 논문에서는 기업의 정보보안 위협에 대한 대응 방안을 시스템 관리자 측면과 근무자 측면으로 구분하여 제시하였다. 우선 시스템 관리자는 스마트워크를 실시하는 근무자에 대한 정보보안 교육을 강화하고, 기업에서 지급·대여하는 디바이스의 소재나 이용자 등을 관리함으로써 분실이나 도난에 대한 대책을 강화해야 한다고 보았다.

또한 악성코드 방지 대책을 마련해야 한다고 보았는데, 지급·대여되는 스마트워크 장치의 소프트웨어 버전 등을 최신 상태로 항상 유지되도록 하고 불필요한 소프트웨어의 사용을 방지하는 등의 보안장치 마련해야 한다고 말했다. 부정한 액세스를 차단하기 위한 대책 마련의 필요성도 제기했는데, 원격 환경에 있어 정보 액세스 제한 설정이 필요하고 사내 시스템과 인터넷 경계에 보안 장비 설치가 필요하다고 보았다.

이어서 스마트워크를 작업하는 근무자는 스스로 자신의 정보를 관리하고, 정보 보안 정책이 정하는 대책 기준에 따라서 업무를 수행해야 한다. 시스템 관리자와 마찬가지로 악성코드 방지를 위해 스마트워크 장치의 소프트웨어 및 OS의 버전은 항상 최신의 상태로 유지하여야 하며, 의심이 가는 메일에 첨부된 링크를 함부로 열지 않아야 한다.

이어서 근무자는 사내 시스템 접근 시 액세스 방법을 시스템 관리자가 지정한 것으로 사용하는 등 부정한 시스템 접근에 대한 대응이 필요하며, 외부 서비스를 이용할 시 화상 회의의 초대장 혹은 URL을 공개하지 않도록 한다. 또한 중요한 정보의 도난을 방지하기 위하여 데이터 교환 시 암호화하는 절차를 거치고, 사무실 외의 공간에서 작업하는 경우에는 가상 전용 회선(VPN)을 이용하여 접근 불가능한 사내 자료 등에 접근 가능한 환경을 조성할 수 있다. 가상 전용 회선은 가상으로 전용 회선을 만들고 암호화되어 있어 공공 Wi-Fi 이용에 따른 정보 유출을 방지할 수 있다.

<출처>

1. 박준영(Jun Yeoung Park), 주성빈(Joo seong bhin). "언택트(Untact)시대에서 기업의 정보보안 위협에 관한 연구 : 스마트워크(Smartwork)를 중심으로." 한국민간경비학회보 19.5 (2021): 57-78.

[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]