중소기업 정보보호 사례와 대응방안
· 작업전용 노트북 지키기
· 사칭메일 의심하기
· 인쇄한 종이서류 숨겨두기
· 공장-본사 업무망 분리하기
· 수집한 정보 암호화하기
대기업은 오래전부터 핵심기술을 보호하려고 정보보호 전담 조직을 구성했으며, 랜섬웨어로부터 공장을 보호하는 보안관리체계도 구축했습니다.
그러나 중소기업은 정보보호를 위한 체계적인 전담조직도, 정책도 없어 정보보호에 취약한 곳이 대다수죠.
제조 기반 기업은 정보보호 법률 적용대상에서 제외돼 필요성을 체감하기 어렵고, 정보보호에 민감해야 할 IT 스타트업은 ‘내부에서’ 어떻게 보호해야할지 모르는 경우가 많습니다.
중소기업에서 발생가능한 보안사고와 정보유출 사례와 사례별 대응방안을 살펴봅시다.
아래에 소개하는 사례는 실제 사례를 이해하기 쉽게 가공했습니다.
작업전용 노트북 지키기
(사례1) 부품제조업체에 다니는 김과장은 출근길에 USB를 하나 주웠다. 출근해서 USB를 업무용 PC에 연결해보니 특별히 저장된 파일도 없고, PC에도 별 이상이 없어 나중에 사용하려고 작업복에 넣어뒀다. 공장에서 회의요청이 와서 회의 후 관련 자료를 받아가려고 했다. 때마침 아침에 주운 USB가 생각나, 공장 내 PC에 연결하고 데이터를 저장 후 회수했다. 그로부터 며칠 뒤 공장 내 모든 PC가 악성코드에 감염돼 생산을 멈췄는데 그 원인을 찾을 수 없었다.
(사례2) 가전제품을 생산하는 A사에서 생산설비를 관리하는 부서에 근무하고 있는 이대리는 생산설비를 납품한 업체로부터 보안 이슈로 소프트웨어를 업데이트해야 한다는 메일을 받았다. 이에 이대리는 작업 계획을 수립했고, 해당 업체 유지보수 담당직원은 그 일정에 맞춰 방문했다. 거래처 직원은 관련 파일을 본인 노트북에 저장해 반입했고 그 파일로 업데이트를 완료했다. 이후 공장 내 설비에 악성코드가 감염돼 해당 공장동 생산 라인은 생산이 중단되는 사고가 발생했다.
외부에서 기업으로 반입하는 모든 이동저장매체, 노트북은 반입 전 악성코드 검사를 통해 안전성 여부를 검증하고 반입해야 합니다. 특히 공장으로 반입하는 모든 기기는 정문 출입통제 구역에서 최신 보안패치 설치 여부, 백신 설치 여부, 악성코드 감염여부 등을 검사하고, 이상이 없다면 반입을 허용합니다. 만약에 정문에서 이러한 반출입을 통제할 수 없다면, 작업에 필요한 파일은 사전에 메일로 사내 반입 후 안전성이 검증된 작업용 노트북으로 작업을 관리합니다. 작업용 노트북은 보안 안전성 확보를 위해 주기적으로 백신검사를 실행하고 보안패치를 업그레이드합니다.
사칭메일 의심하기
(사례3) 이대리는 해외에서 수입한 원재료를 가공해 수출하는 화학제품 제조회사에 근무하고 있다. 어느날 해외 거래업체로부터 기존 거래계좌가 변경됐으니 새 계좌로 비용을 지불해달라는 메일이 도착했다. 메일 주소나 보낸 사람을 확인했는데 특별한 이상이 없어보여 바뀐 계좌로 송금했다. 한달 뒤 해당 거래업체로부터 송금하지 않았다는 연락이 왔고, 해당 거래처는 ‘계좌를 변경한 적이 없다’고 말했다.
(사례4) 식품업체에 다니고 있는 박주임은 며칠 전 스키 시즌 할인권을 저렴하게 판매한다는 메일을 받았다. 개인정보를 입력하면 할인권을 보내준다길래 이름, 이메일 주소, 폰번호를 제출했고, 할인권은 오지 않았다. 며칠 뒤, 회사 주요 PC가 랜섬웨어에 감염돼 업무가 마비됐고 박주임 PC도 그 중 하나였다.
이메일을 활용한 정보유출과 랜섬웨어 감염 시도가 끊이지 않고 있습니다. 신뢰할만한 경영진 또는 지인을 사칭한 메일은 의심없이 메일을 열거나 파일을 실행합니다. 랜섬웨어나 악성코드는 이러한 과정을 거쳐 회사 내부로 침투하고 보안에 취약한 PC부터 확산됩니다. 메일 첨부파일을 다운로드하거나 실행하기 전 백신 프로그램으로 검사해야 합니다. 또한 백신은 매일 업데이트해 최신 상태로 관리하며, 직원들에게 점심시간을 이용해 주기적으로 검사하도록 안내합니다. 또한 운영체제(Windows 10)에 맞는 보안 패치를 적용해 최신 상태로 유지 관리해야 합니다.
인쇄한 종이서류 숨겨두기
(사례 5) 스타트업에 근무하는 홍부장은 2022년을 맞이해 사업계획 및 전략을 수립하고 있다. 다음 날 경영진 발표를 앞두고 해당 내용을 검토하기 위해 출력해서 집으로 가져갔는데, 택시에서 깜빡 졸다가 해당 문서를 떨어뜨리고는 집으로 갔다. 그로부터 6개월 후 야심차게 추진했던 신규 사업은 다른 기업에서 유사한 서비스로 등장해 전면적으로 개선해야 했다.
(사례 6) 제조업 기술연구소에 근무하는 김책임은 현재 개발 중인 도면을 책상에 둔 채로 장시간 회의를 진행했다. 해당 시간에 외부 협력업체의 담당자가 연구원을 만나기 위해 출입했으며 옆자리에 있는 김책임의 책상에 있는 도면을 스마트폰 카메라로 촬영해 외부로 반출했다. 해당 기업에서 최신 제품을 출시하기 1주일 전에 유사 제품이 출시돼 제품 출시일이 무기한 연기하는 사고가 발생했다.
업무에 스마트폰을 활용하는 빈도가 늘어나면서 중요서류를 인쇄하는 빈도는 현저히 줄어들었습니다. 하지만 문제는 중요한 정보를 출력해 리뷰하거나 출퇴근 시 대중교통에서 관련 자료를 검토하는 데서 발생합니다. 해당 문서가 도난 또는 분실된다면 회사에 막대한 영향을 미치므로, 출력물을 외부로 반출하지 않도록 교육하며 인식을 개선해야 합니다.
또, 회의나 출장으로 자리를 장시간 비운다면 중요문서를 책상과 복합기/복사기 등에 방치하지 않아야 합니다. 중요문서를 출력해 회의에 활용할 경우, 출력물에 번호를 부여해 관리하는 게 좋습니다. 회의를 마치고 난 뒤에는 회수해 회의 주최자가 해당 문서를 파기해 정보유출을 예방합니다.
공장-본사 업무망 분리하기
(사례7) 스마트공장을 구축하고 있는 제조공장에 본사 대표이사를 포함한 일부 경영진이 일일 생산량, 재고량 모니터링(보고)를 요청했다. 담당자는 제조공장에 방화벽을 구축해 모든 외부접근을 통제하고 있었고, 요청을 따르려면 본사와 제조공장 업무망을 연결해야만 했다. 공장 내 별도 보안솔루션은 구축돼 있지 않았다. 3개월 후 업무망을 통해 공장 내 위치한 EWS((공학용 워크스테이션, Engineering WorkStation)), 컴퓨터가 모두 랜섬웨어에 감염돼 생산라인이 멈췄고 회사로 비트코인을 요구하는 협박 메일을 받았다.
(사례 8) 본관 건물과 공장동으로 구성된 제조기업에서 업무망과 공장망을 구분하지 않고 하나의 네트워크로 구성했다.공장 PC는 인터넷 접속이 가능해 생산인력들은 쉬는시간과 점심시간에 해당 PC로 인터넷에 접속했다. 어느날 유명 쇼핑몰에 접속하려던 김주임은 URL(주소)를 잘못 입력했으나 해당 사이트로 연결되는 것 같아보여 그대로 주문했다. 일주일 후, 전사 모든 PC는 악성코드에 감염돼 모든 업무가 중단됐다.
공장 네트워크는 사무구역 네트워크와 분리돼야 합니다. 만약에 특정 PC가 악성코드에 감염이 되더라도 네트워크가 분리돼 있다면 피해범위를 최소화할 수 있습니다. 공장을 짓기 전부터 네트워크 아키텍처를 설계하기란 쉽지 않지만, 신규 라인으로 변경하거나 새 공장을 건축할 때는 네트워크 분리를 고려해 설계하세요. 공장의 데이터가 업무망까지 전송돼야 한다면 단방향 통신을 고려해야 합니다.
수집한 정보 암호화하기
(사례 9) 제조기업A는 임직원의 개인정보만 법률에 따라 수집하고 있다. 인사부에서는 임직원 주민등록번호와 계좌번호를 암호화하지 않았다. 게다가 입사지원서 중 불합격자 지원서를 삭제하지 않고 장기간 보관하다가 개인정보가 유출되는 사고가 발생했다.
(사례 10) 고객정보를 비즈니스에 활용하는 A기업은 외부 콜센터에 고객상담서비스를 위탁했다. 해당 콜센터는 A기업 CRM을 직접 이용했고, 최근 입사한 직원이 개인 목적으로 A기업 고객정보를 외부로 유출한 정황이 파악됐다.
고객의 개인정보와 임직원의 개인정보는 개인정보보호법에 따라 안전하게 관리해야 합니다. 주민등록번호와 같은 고유식별번호는 암호화해 저장하며, 개인정보처리시스템을 통해 조회한다면 마스킹해 쉽게 알아볼 수 없도록 처리합니다. 또한 수탁사는 주기적으로 개인정보 관리 실태를 점검하고 미흡한 사항은 즉시 조치해야 합니다.
10가지 정보보안 사고 사례에 대해 살펴봤습니다. 다음 4가지 정보보호 활동을 잘 이행한다면 정보보호 전담팀이 없는 기업도 최소한의 보안 수준을 확보할 수 있습니다.
가장 먼저, 보호해야할 대상을 식별해야 합니다. 보호 대상은 개인정보, 핵심기술(도면, 연구정보, 공정정보 등), 서버/데이터베이스/보안장비를 포함한 정보자산으로 구분합니다. 보호 대상을 식별했으면, 계정/비밀번호 관리, 권한 관리, 백업, 로깅으로 안전하게 관리해야 합니다.
그 다음으로는 식별된 자산의 보안 패치를 주기적으로 업데이트해야 합니다. 보안 패치 적용과 최신 상태 유지는 서버, PC가 랜섬웨어에 감염되지 않도록 관리하는 가장 좋은 방법이죠.
세 번째로는 계정과 비밀번호, 권한을 관리해야 합니다. 특히 비밀번호는 주기적으로 변경해 유출됐더라도 악용할 수 없도록 주의합니다. 접근권한은 분기마다 검토해 업무상 과도하게 부여한 권한은 회수합니다.
마지막으로는 개인정보 수집과 처리죠. 개인정보는 비즈니스에 필요한 최소한으로, 필요한 시점에만 수집해야 합니다. 또한 주민등록번호, 외국인번호, 운전면허번호와 같은 고유식별정보와 계좌번호는 암호화해 저장합니다. 이용 목적이 끝난 개인정보는 즉시 파기해야 합니다.
정보보호 활동은 일회성 이벤트가 아니라 상시적으로 확인하는 활동임을 임직원이 인식하고 있어야 합니다. 정보보호 전담조직을 구성하기 어렵고 예산도 없다는 이유로 정보보호를 포기할 게 아니라, 최소한의 보안 조치라도 적용해 기업의 핵심기술과 고객/임직원의 개인정보를 안전하게 보호할 수 있도록 노력해야 합니다.
홍성권
기업 정보보호 강화를 위한 퍼실리테이터(Facilitator)
現) 탤런트뱅크 전문가
前) (주)노르마 컨설팅본부 본부장/이사
前) EY한영회계법인 Advisory본부 Cyber Security 이사
회사의 핵심인 CEO와 임원진은 언제나 제대로 의사결정하고 있는지 고민합니다. ‘원포인트 레슨’은 탤런트뱅크 전문가들이 수십년간 실무를 경험하며 다듬어낸 인사이트를 제공합니다. 의사결정 파트너가 돼줄 전문가들의 핵심조언 한마디를 들어보세요.
