lascom

정보보호관리체계 가이드(ISMS, ISMS-P)

글로벌 기업의 임직원 보안 관리 가이드

2021-05-21

라스컴

[ 글로벌 기업의 임직원 보안 관리 가이드 ]


오늘은 글로벌 초우량 대기업들이 임직원 개인(또는 프로젝트 인력)의 보안 점검은 어떻게 관리해야​ 하는지 알아 보는 시간을 갖겠습니다. 이 보안관리 수준은 이론적으로만 정리한 자료가 아니고 실제 이 정도의 기준과 수준으로 관리하고 실행하고 있습니다. 때문에 이 자료를 통해서 글로벌 기업들의 보안 수준은 어느 정도인지도 판단할 수 있는 좋은 기회라고 생각합니다. 기업의 관리보안 측면의 정보보호관리체계(ISMS, ISMS-P, ISO27001 등), 기술보안 측면에서 모의해킹 및 보안취약점진단과 아울러 임직원 개인의 보안관리까지 정기적으로 점검 및 관리되어 진다면 기업의 종합적인 보안관리가 상위 수준으로 유지될 수 있습니다. 


기업의 보안 담당자는 아래의 보안관리 지침을 참고하여 임직원의 개인별 보안관리를 실행하면 한층 효과적으로 기업의 높은 보안 수준을 유지하는데 많은 도움이 될 것으로 생각합니다. 왜냐하면 기업의 기밀 또는 핵심 정보 유출 등 대부분의 보안사고는 외부의 악의적인 해커의 공격인 해킹에 의해서 발생할 수도 있으며 이러한 보안사고는 정보보호관리체계(ISMS, ISMS-P 등)와 모의해킹 및 보안취약점진단 컨설팅을 통해서 사전에 예방할 수 있습니다. 기업은 모의해킹 및 보안취약점진단 컨설팅을 통해서 웹사이트 취약점 진단, 소스코드 취약점 진단, 모바일 앱 취약점 진단, 시스템 취약점 진단(인프라 취약점 진단)을 수행할 수 있어서 외부의 해킹에 사전 대비할 수 있습니다. 


하지만 기업 임직원 내부의 보안관리 부재로 인하여 발생하는 경우의 보안사고도 많기 때문에 기업 임직원 개인의 보안 관리는 그 무엇보다도 중요합니다. 이를 위해서 기업은 정기적으로 임직원 및 외부에서 프로젝트 수행으로 입주한 협력업체 인력 대상으로 정기적인 교육과 관리를 통하여 보안관리 의식을 강화하고 실행해야 합니다.


1. PC(노트북) 보안 관리


1) 임직원 개인 PC에 회사에서 규정한 필수 보안 소프트웨어를 설치하고 점검 및 관리하라

기업의 임직원들은 개인별로 PC에 회사에서 지정한 필수 보안 프로그램을 모두 설치해야 합니다. 그래야 보다 체계적으로 기업의 보안 수준이 일정하게 유지됩니다. 개인 PC에 설치해야 하는 필수 보안 프로그램으로는 개인별 네트워크 접근제어 소프트웨어, 문서의 외부 유출 시 대비한 암호화 및 복호화 하기 위한 DRM 소프트웨어, 프린터를 통해서 문서 출력을 관리하는 문서 출력 보안 소프트웨어, 개인PC에 악성코드 및 바이러스 점검 SW, 개인 PC에 회사에서 규정한 SW가 설치되고 혹시 불법SW가 설치되어 있는지 점검하는 SW 등 입니다. 개인 PC에 이러한 필수 보안 소프트웨어가 설치되어 있는지 정기적으로 확인하고 관리되어야 합니다. 보다 효율적으로 관리하기 위해서는 기업의 중앙에서 원격으로 관제를 통해서 자동으로 개인 PC를 관리하고 통제되어야 합니다. 만일 어느 특정 임직원이 설치되지 않았다면 기업의 보안 담당자는 해당 임직원 본인에게 보안관리 위규로 통보하고 설치를 가이드 해야 합니다. 


2) 조직 내 개인 PC를 조직의 공용 파일 서버로 활용하고 있는지 점검 및 관리하라

어떤 회사의 부서는 업무를 효율적으로 수행하기 위해서 특정 개인의 PC를 부서원들과 파일 공유 서버로 활용하여 업무 자료를 공유하는 경우가 있습니다. 특히 외부로 파견 나가서 프로젝트를 수행하거나 협력업체가 회사의 사업장에 입주하여 특정 프로젝트를 수행하는 경우에 많이 발생합니다. 따라서 만일 개인 PC를 특정 부서의 공용 파일 서버로 활용하고 있다면 사내 보안 위규로 적발하고 즉시 개선 조치되고 관리되어야 합니다. 이를 위해서는 기업의 보안 담당자는 정기 점검을 통해서 개인별 IP를 확인하고 파일 서버를 확인하고 관리해야 합니다.


3) OS 멀티 부팅을 통해서 보안 프로그램의 관리를 회피하고 있는지 점검하고 관리하라.

기업의 임직원들이 개인 PC에 멀티 OS를 설치하여 OS 멀티 부팅을 시도하고 개인의 PC에 필수 설치되어 있는 보안 프로그램의 관리를 회피하고 있는지 점검하고 관리해야 합니다. 이는 기업의 내부의 특정 임직원이 악의적인 정보유출을 위해서 기업의 보안관리를 회피하기 위한 목적으로 멀티 OS를 사용하는 경우도 있으며, 간혹 기업의 임직원들 또는 외부의 프로젝트 요원들이 기업의 보안 관리 지침을 잘 몰라서 준수하지 못하고 멀티 OS를 설치하여 사용하는 경우가 있습니다. 이 경우에 임직원 개인이 어떤 보안 위규를 하지 않더라도 멀티 OS를 설치한 그 자체로도 기업의 보안담당자는 보안 위규로 간주하고 교육하고 파악해서 관리해야 합니다. 이 보안 점검 항목 또한 점검 대상은 개인 PC이며 원격 자동 또는 수동으로 정기 점검할 수 있습니다.


4) 회사에서 규정한 SW외에 개인 불법 SW를 사용하고 있는지 점검하고 관리하라.

회사에서 제공하거나 규정된 SW외에 임직원(또는 협력업체 인력) 개인이 특정 SW 또는 불법SW를 사용하고 있는지 점검하고 관리해야 합니다. 회사에서 제공하거나 규정하지 않은 SW 설치 및 사용 점검을 위해서는 정기적으로 개인의 PC를 점검해야 하는데 주로 개인의 PC에 설치하는 필수 보안 SW에 의해 정기 점검하고 회사 보안 부서의 중앙으로 그 점검 결과를 취합하고 통제되어야 합니다. 그리고 만일 개인의 PC에서 설치된 불법 SW를 발견했다면 회사의 보안 위규로 간주하고 후속 절차로 처리되어야 합니다.


2. 개인정보 보안 관리

임직원 개인 PC 내에 개인정보를 보관하고 있는지를 점검하라.

회사의 임직원들이 업무상 개인정보를 취급하다가 폐기하거나 삭제 처리하지 않아서 본의 아니게임직원 개인 PC에 그대로 개인정보가 보관되는 경우가 있습니다. 회사 내에서 마케팅, IT부서에서 B2C로 외부의 대 고객에게 이벤트를 하거나 상품 발송 등을 위하여 개인정보를 다루는 경우가 많은데요. 이 경우에 특히 외부의 협력업체에 마케팅 의뢰, 이벤트 상품 발송 의뢰 등을 위해 개인정보 사후 처리 및 외부 유출을 조심하고 정기적으로 점검하고 관리되어야 합니다. 개인정보 보안관리 역시 개인 PC에 설치된 보안관리 SW로 자동으로 정기 점검하고 관리해야 합니다. 이러한 개인 PC의 개인정보 저장에 대한 점검과 관리를 통해서 임직원들이 쉽게 실수할 수 있는 개인정보보호가 철저하게 유지되고 관리될 수 있습니다.


3. 임직원의 인터넷 사용 보안 관리

1) 회사 업무 처리 시 외부의 메일 시스템을 사용하지는 점검하라

사내 임직원간 업무 처리 시 회사의 메일 등 회사 그룹웨어를 사용하고 있는지 점검하고 관리되어야 합니다. 즉 만일 외부의 메일 시스템을 통해서 업무처리 한다면 회사의 주요 정보 및 기밀이 쉽게 누설될 수 있기 때문입니다. 또한 외부의 고객 또는 협력사와 업무처리를 위해서 사내 메일을 사용하지 않고 혹시 외부의 메일 시스템을 사용한다면 회사 보안에 심각한 문제가 발생합니다. 회사 내에서 임직원들이 외부의 고객 또는 협력사와 업무 처리를 위해서는 반드시 회사의 메일 시스템을 사용해야 합니다. 아울러 문서 보안을 위해서 반드시 DRM을 설치하여 문서 암호화 및 외부에 문서 전달 시 부서 상사의 사전 전자결제를 통해서 복호화하여 외부에 전달되어야 합니다. 임직원에게는 업무 처리를 위해서 외부 메일 계정 사용 시에는 보안 위규라고 철저한 교육이 되어야 합니다.


2) 임직원의 업무 시 취득한 각종 문서가 회사의 문서 저장소에 보관하고 있는지 점검하라.

임직원들이 회사의 업무를 수행하다 보면 각종 다양한 문서가 수도 없이 쏟아 집니다. 만일 이러한 문서가 외부의 웹하드 및 개인 클라우드, 게시판, 블로그 등 SNS에 등록 또는 보관된다면 심각한 보안 문제가 발생할 수 있습니다. 따라서 회사의 문서 및 자료가 외부에 유출되지 않도록 외부의 저장소 사용은 금지해야 합니다. 이를 위해서는 회사에서 문서 중앙화 시스템이 준비한다면 보안 관리에 한층 강화되었다고 볼 수 있습니다. 


3) 회사에서 인가하지 않는 무선 AP를 사용하고 있는지 점검하고 관리하라

사업장 별로 보안 등급을 관리해야 하며, 회사에서 인가하지 않은 무선 AP(유무선공유기, EGG 등)네트워크를 통하여 임직원이 회사의 문서 또는 자료를 외부에 전송할 수 있기 때문에 불법 무선 AP를 사용하고 있는지 점검하고 관리해야 합니다. 회사에서 지급하고 사용하는 PC로는 네트워크 접근제어 SW가 설치되어 있어서 자료의 외부 전송이 불가능하나 개인의 사적인 PC가 회사에 반입되어 있다면 회사의 중요 문서 또는 자료의 외부 전송이 가능하기 때문입니다. 따라서 임직원들이 회사의 미 인가 무선 AP를 사용하지 않도록 정기적으로 홍보 및 교육이 수반되어야 합니다. 왜냐하면 외부에서 입주한 외주업체의 프로젝트 인력들이 잘 몰라서 편의상 사용하는 경우가 있기 때문입니다.


4. 문서관리 보안

임직원 개인 PC에 회사의 주요 문서가 있는지 점검하고 관리하라

만일 개인 PC에 기밀유지협약서(NDA), 견적서, 계약서, 개인정보가 들어 있는 이력서, 프로필 등이 있는지 주기적으로 점검하고 관리되어야 합니다. 이러한 회사의 주요 문서가 개인 PC에 있는지 자동으로 개인PC를 점검하고 만일 탐지되었다면 보안 위규이므로 해당 개인에게 통보하고 관리되어야 합니다. 관리되어야 할 중요 문서 키워드는 점검 관리 시스템에 주기적으로 변경 관리해야 합니다. 이러한 문서 보안관리를 통해서 기업의 중요 문서 및 서류에 대한 정보보호가 이루어 집니다. 


5. 사업장 출입 및 반출입 보안 관리

1)회사의 사업장에 물품 반출입 관리가 잘 되고 있는지 점검하고 관리하라.

회사서 지급하고 관리되는 업무용 PC 외에 개인 소유의 PC가 회사 사업장에 반입되어 사용하고 있는지 점검하고 확인해야 합니다. 회사에서 인가되지 않은 개인 PC가 사업장에 반입이 되었다면 네트워크 접근 제어 프로그램 등 보안 관리 SW가 설치되지 않아서 보안 통제가 어렵기 때문입니다. 개인 PC, 저장장치 등 외부 물품의 무단 반입 시 보안 위규로 관리되어야 합니다.


2)회사의 사업장 출입 시 본인의 출입증을 사용하는지 점검하고 관리하라.

어떤 경우에 임직원 및 외부인들이 타인의 출입증으로 사업장을 출입하는 경우가 있습니다. 반드시 본인의 출입증으로 1인 1출입증을 사용해야 합니다. 이 사안은 임직원 개인별로 점검하고 관리되어야 한다. 사업장에 스피드게이트가 설치되어 있는 경우에 출입관리요원은 임직원이 출입 시 사용한 출입증과 모니터에 나타나는 사진과 비교하면서 확인해야 합니다. -끝-


모의해킹 · 취약점진단 · 정보보호컨설팅 

보안컨설팅 전문기업 - 라스컴 시큐리티
secu.lascom.co.kr         www.lascom.co.kr
고객센터 1522-3863  secu@lascom.co.kr 
 
      목록