한국어

EDPS

최근 입사하는 대졸 신입사원들은 거의 대부분 기술에 익숙한 사람들이지만 기업 보안에 대해서만큼은 잘 모르는 것처럼 보인다. 대졸 신입사원들의 사소한 행동 때문에 발생할 수 있는 보안 위험에 대해 알아보자.



"대졸 신입 직원이 조직에 초래하는 보안 위험에는 고유의 특징이 있다. 따라서 '대졸 신입 직원의 보안 위험'을 관리할 수 있는 특별한 대책이 필요하다."

이는 대졸 신입 직원을 많이 채용하는 회사들에게 클라우드 서비스를 제공하고 있는 캘리포니아 소재 인터미디어(Intermedia)의 CTO 조나단 레빈의 주장이다.

그는 "대졸 신입 직원들은 컴퓨터에 정통하지만, 불행히도 기업 문화와 업무, 환경에는 익숙하지 못하다. 그런데 여기에서 문제가 발생한다"고 그 이유에 대해 설명했다. 현재 CIO 가운데 상당수가 처음 직장 생활을 시작했던 과거는 지금과 달랐다. 당시에는 컴퓨터나 합류한 조직의 보안 요건을 전혀 모르는 대졸 신입 직원이 많았다.

그러나 지금은 중학교 이전에 앱을 이용해 과제를 하고, 다양한 서비스로 문서를 공유한 경험이 있는 세대가 신입 직원으로 입사하고 있다. 그러나 정보 보안이나 기밀 유지 등 기업의 요구사항은 거의 교육 받지 못했다.

레빈은 "드롭박스와 스냅챗(Snapchat) 등 기술 툴에는 정통하지만, 반드시 지켜야 할 기업 운영 방식에는 무지한 것이 위험한 조합이 될 수 있다"고 지적했다.

따라서 IT 부서나 보안 부서가 대졸 신입 직원들을 대상으로 보안 교육을 실시해야 한다. 클라우드 스토리지나 웹메일 등 소비자용 서비스는 기업 환경에 적합한 감사, 관리, 보안 기능을 제공하지 못해 위험이 초래될 수 있음을 경고해야 한다.

레빈은 "대학 졸업자들이 학교를 졸업하고 입사할 때 초래될 수 있는 가장 큰 위험 중 하나는 데이터 유출이다. 대학은 자유롭게 유통되는 정보, 수 많은 오픈소스 프로그램이 특징인 환경이다. 반면 기업은 자유롭게 유통해도 되는 정보, 절대 유통해서는 안될 정보가 있는 환경이다"고 말했다.

그는 "기업에서도 정보를 공유해야 하는 상황이 있다. 그러나 누가 그 정보를 이용하는지 파악할 수 있어야 한다"고 덧붙였다.

또 페이스북이나 트위터 등 소셜 미디어 서비스에 해커가 악용할 수 있는 정보를 공개할 수 있다. 이런 행동을 하는 이유는 간단하다. 자신이 공개한 정보가 초래할 보안 위험을 전혀 생각하지 않은 채 서비스를 이용하는 데만 익숙하기 때문이다.
  
대졸 신입 직원들을 교육시키는 것과 더불어 배운 내용을 실천하도록 만드는 것도 중요하다. 지금부터 이를 위한 6가지 방법을 소개한다.
 


1. 인사고과에 보안을 포함시킨다. 대졸 신입 직원의 업무, 업무 성과, 업무 실적을 정기적으로 평가하는 프로세스가 있을 것이다. 여기에 보안을 포함시켜야 한다. 대졸 신입 직원이 보안에 대한 인식을 높이고, 여기에 맞게 행동할 수 있도록 만들기 위해서다.



2. 보안을 게임화한다. 보안을 게임으로 만들라는 이야기는 아니다. 보상을 통해 동기를 부여하는 보안 인식 제고 프로그램을 만들라는 의미다.

보안 교육 과정이나 보안과 관련된 자격 증명서를 취득하도록 유도하는 방법이다. IT부서가 직접 운영하는 내부 교육 과정, 수여하는 자격 증명서다.

대졸 신입 직원들이 보안에 대한 인식을 높여가면서 자격증, 포상, 기업 특정, 보너스 등 다양한 보상을 받을 수 있다.



3. 대졸 신입 직원의 행동을 모니터링한다. 신뢰하되 검증하라! IT부서가 대졸 신입 직원의 IT이용 방식을 모니터링해, 해당 직원의 상사에게 이들이 보안 베스트 프랙티스를 얼마나 잘 준수하고 있는지 통보하고, 필요할 경우 개입해야 한다.



4. 보안을 쉽게 만든다. 대졸 신입 직원이 가급적 소비자용 서비스를 사용하지 않게끔 유도하는 방법 중 하나는 이의 대안이 될 수 있고, 쉽게 사용할 수 있으면서도 매력적인 기업용 서비스를 제공하는 것이다.

지메일과 함께 성장한 대졸 신입 직원들에게는 보기 싫고 비대한 아웃룩 같은 이메일 클라이언트를 사용하도록 만들기가 어려울 수 있다. 그러나 지메일과 유사한 대체재를 제공해 지메일 사용을 중단하도록 만들기란 훨씬 더 쉽다. 아웃룩 웹 액세스(Outlook Web Access), 액티브싱크(ActiveSync)를 이용하는 안드로이드 태블릿이나 아이폰 등 모바일 장치에서 익스체인지(Exchange) 데이터를 이용할 수 있는 서비스를 예로 들 수 있다.



5. 보안 관련 행사를 개최한다. 레빈은 인터미디어의 경우 매년 가을 '헥토버(Hacktober)'라는 이벤트를 개최한다고 말했다. 보안팀은 이 이벤트 기간 동안 그 동안 대졸 신입 직원들에게 경고했던 행동을 한다. 무해한 악성코드가 들어있는 USB 저장 장치를 방치하거나, 실제 위험은 없는 피싱 이메일을 발송한다.

그리고 USB 저장 장치를 사용하거나 피싱 이메일에 응답한 대졸 신입 직원에게 연락한다. USB 장치나 피싱 이메일을 보고한 대졸 신입 직원은 '칭찬'을 듣고, '영예'를 얻을 수 있다.



6. 가장 간단한 방법: 별개의 ID와 비밀번호를 사용하도록 만든다. 아주 큰 차이를 만들 수 있는 한 가지 방법이 있다. 대졸 신입 직원들에게 자신들이 접속하는 기업 시스템이나 애플리케이션마다 별개의 비밀번호를 사용하도록 홍보하는 것이다.



특히 소비자용 서비스에 이용하는 비밀번호와 다른 비밀번호를 사용하도록 만드는 것이 중요하다. 소비자용 서비스는 보안 체계가 취약해 해커들의 표적이 되는 사례가 많다. 해커가 해당 사이트에서 비밀번호를 탈취해 기업 환경으로 침입했을 경우 큰 보안 위험이 초래될 수 있다.


List of Articles
번호 제목 글쓴이 날짜 조회 수
79 소규모 인디 개발팀이 지켜야 할 몇 가지 규칙 WindBoy 2018-08-14 27
78 어느 개발자의 - 개발 방법론 철학 수텐리 2018-07-27 18
77 이정문화백이 1965넨에 예측한 2000년대의 미래 만화 WindBoy 2017-09-27 181
76 칼럼] “What is real? How do you define 'real'?” WindBoy 2015-09-03 32
75 비트코인의 중추 '블록체인'··· 미래의 활용처 7곳 WindBoy 2015-09-03 347
74 효과적인 보안 교육을 위한 10계명 [1] WindBoy 2015-08-18 52
» 신입사원이 초래할 수 있는 보안 위험, 어떻게 줄일까? WindBoy 2015-08-18 41
72 능력 있는 개발자들의 7가지 습관 WindBoy 2015-08-17 37
71 구글의 새로운 모회사 ‘알파벳’의 알려진 것과 알려지지 않은 것 WindBoy 2015-08-14 28
70 강력한 비밀번호가 고유한 비밀번호보다 별 도움이 되지 않는다 ?!?! WindBoy 2015-08-13 31
69 페이스북 뉴스피드와 알림을 ‘깔끔’하게 만드는 3가지 팁 WindBoy 2015-08-10 30
68 인분교수 사건을 통해 본 권위의 허상 WindBoy 2015-08-10 39
67 키보드 앱 ‘사인리’, 수화 이모티콘 서비스 공개 WindBoy 2015-08-09 85
66 데이트 비용으로 본 한·일·호주 최저시급 WindBoy 2015-08-06 58
65 펌] 대한항공 부기장 "회장, 직원 이야기에 귀 기울여야" WindBoy 2015-08-06 35
64 환경도, 경쟁력도 놓친 한국 IT 기업 WindBoy 2015-08-05 26
63 엎질러진 프라이버시는 주워담을 수 없다··· 美 판례 2건 분석 WindBoy 2015-08-03 31
62 가상현실, 목전에 와 있는 것일까 WindBoy 2015-08-03 52
61 구글의 룬 프로젝트, 스리랑카 인터넷 공급 책임진다 WindBoy 2015-07-31 28
60 “아니, 윈도우10을 깔지 말라니요?” WindBoy 2015-07-31 27