[어베스트코리아] 중소기업에서 사이버보안 공격을 대비하기 위한 보안 개선 단계

2019.09.26 10:27새로운 소식/보안정보 공유

안녕하세요?

 

대기업 뿐만 아니라 해커의 공격은 중소기업에게 확률적으로 더 빈번하고 지속적으로 증가되고 있습니다. 중소기업의 경우 대기업과 달리 보안 인력이나 보안 시스템에 있어 대응이 쉽지 않습니다. 보안 시스템에 자원을 충분하게 배분할 수 없는 것이 현실이고 사이버보안에 대한 대응도 쉽지 않을 것입니다.

 

그렇다고하여  사이버 보안에 대해 외면할 수는 없습니다. 보안 침해를 당할 경우 중소기업은 생존 자체에 위협이 될 수 있습니다. 따라서 간단하지만 중소기업이 보안위협에 대응할 수 있는 단계적 개선 방법에 대해 소개해 드리고자 합니다.

 

대응방법은 사실 복잡하지 않습니다. 1) 기업의 데이터를 보호하는 것, 2) 디바이스를 보호하는 것, 그리고 3) 직원들의 보안인식을 개선하는 것으로 크게 3가지로 구분하여 대응책을 살펴보겠습니다. 본 대응 절차는 관리자의 관리시간이나 발생할 수 있는 비용을 절감하고, 데이터 복구에 큰 비용을 지불할 수 있는 상화에 대해 사전 대비하고자 하는 것입니다. 이를 통해 비지니스 기회나 고객서비스에 대한 개선을 이룰 수 있습니다.

 

예방적 보안전략을 수립하는 가장 좋은 방법은 레이어 접근방법입니다. 안티바이러스, 방화벽, 기타 보안 시스템을 조합하여 다계층에서 보안 체계를 구축하는 것이 최선의 방법입니다. 한개의 브랜드 제품으로 다단계 보안 구축을 하는 것은 전혀 바람직하지 않습니다.

 

첫번째 데이터에 대한 보호

  • 컨텐트 필터링 : 컨텐트 필터링은 직원들의 인터넷 사용을 정상화하는 것입니다.
  • 이메일 암호화 : 엔드-투-엔드 암호화를 통해 발신자와 수신자 사에에 메일데이터 및 첨부파일을 암호화하여 통신하는 것입니다. SSL/TLS 를 통해 메일 전송에 암호화를 하는 것은 중요합니다.
  • 데이터손실방지(DLP) : DLP 솔루션을 통해 기업 외부로 회사내 민감한 데이터가 반출되는 것을 통제하여야 합니다.
  • 백업 및 재난복구(BDR) : BDR 솔루션은 재난시 빠르게 시스템을 복원하고 다운타임을 최소화할 수 있습니다. 

 

두번째 시스템에 대한 보호

  • 안티바이러스 : 모든 디바이스에 대한 안티바이러스 설치 및 관리, 회사내의 PC는 물론 휴대폰에 백신을 설치하는 것은 기본중에 기본입니다.
  • 패치관리시스템 : 모든 운영체제 및 소프트웨어는 취약점이 있을 수 밖에 없습니다. 그러나 소프트웨어를 최신 상태로 항상 업데이트하는 것은 취약점에 대응하기 위한 필수 보안 대책입니다. 저희 조사결과에 의하면 개인이나 기업은 패치에 적극적이지 않고 약 80%에 이르는 PC가 패치가 이루어지지 않은 상태입니다.
  • 취약점 점검 : 취약점에 대한 검사가 정규적으로 이루어져야 합니다. 이는 백신소프트웨어 설치 및 업데이트 상태, 비밀번호 정책(시스템 비밀번호, 메일 비밀번호 등), 그리고 소프트웨어 업데이트 상태를 정규적으로 지속적으로 관찰하고 진행하여야 합니다. 자동으로 할 수 있는 체계가 준비되어야 합니다.
  • 웹 서버 강화 정책 : 네트워크의 최전선에 존재하는 웹서버는 공격에 가장 취약한 부분입니다.기본 웹서버 설정 강화를 통해 보안 정책을 강화하여야 하고 사용하지 않는 설정은 중지시켜야 합니다.

 

세번째 직원들에 대한 보안 정책

  • 보안 인증 : 복잡하는 형태의 비밀번호 정책을 수립하고 SSO나 멀티 팩터 인증 방식을 도입할 것을 추천합니다. 최근에는 2팩터 인증이나 OTP 인증 도입의 하나의 추세입니다.
  • 원격 접속 정책 : 재택근무를 통해 외부에서 서버에 접속하거나 IDC 등 에 있는 외부 서버에 접속하기 위해 직원들은 반드시 VPN 사용을 하도록 시스템을 도입하고 교육하여야 합니다. 모든 연결은 VPN을 통해야만 접속이 되도록 하여야 하며 이는 모든 통신이 암호화된다는 것을 의미합니다. 3389와 같은 RDP 사용은 가급적 차단하여야 합니다.
  • 보안 절차 및 정책 : 회사의 데이터에 접속할 수 있는 사람들의 권한이나 데이터에 대한 가치, 접근 정책을 수립할 필요가 있습니다. 모든 사람들이 모든 데이터에 접근할 수 있다면 보안은 없는 것입니다. 기업의 보안을 유지하기 위해 직원들의 역할과 권한을 정리하고 데이터에 접근할 수 있는 권한을 부여하여야 합니다.
  • 보안 훈련 : 보안에 대한 교육과 인식 개선은 매우 중요합니다. 회사와 개인 자신에 대해 보안에 대해 인식을 높이는 것은 상시적으로 이루어져야 합니다. 강력한 비밀번호를 사용할 것을 인지시키고 시스템에서 강제화할 수 있도록 비밀번호 정책을 강화하여야 합니다. 아울러, 직원개인 자신은 항상 이메일이나 웹접속을 통해 피싱을 당할 수 있기 때문에 외부 데이터에 대해 먼저 의심하고 주의하는 인식을 갖도록 교육이 필요합니다.

 

간단하게 3가지 다단계 보안 대응 절차에 대해 살펴보았습니다. 일부의 내용은 크게 비용이 들지 않는 내용이 있습니다. 직원들에 대한 교육이나 안티바이러스 등은 큰 비용이 들지 않습니다. 먼저 할 수 있는 부분들은 먼저 진행하셔야 합니다. 웹필터링이나 패치, DLP 등은 다소 비용이 소요될 수 있지만 진행가능범위 안에서 진행을 추진해 보세요. 그리고 많은 기업들이 백신, 방화벽의 기본 필수 보안 시스템을 갖추지 않은 경우가 상당히 많습니다. 백신과 방화벽 도입은 반드시 갖추시길 바랍니다.

 

어베스트코리아에서는 백신, 패치관리가 준비되어 있고 안티랜섬웨어 제품인 엠시소프트 제품도 소개되어 있습니다.

 

도움이 되셨으면 합니다.

 

어베스트코리아 (주)소프트메일