정보화시대에 있어 가장 중요한 키워드가 보안입니다. 갈수록 다양한 해킹 등의 방법으로 개인 정보 및 회사 정보가 유출되는 사건 사고가 늘어나고 이로 인해 회복하기 힘들 정도의 타격을 받는 업체 및 개인도 부지기수 입니다. 사실 중소기업들은 보안 의식과 인프라가 부족하여 제대로 시행되고 있지 않기 때문에 가장 기초적인 보안 교육이 시급한 실정입니다. 이에 예스폼에서 보안에 관한 전반적인 교육과 자가 체크리스트를 제공해 드리고자 합니다.
기업 정보 유출을 막아라.
정보유출 하면 생각나는 것이 바로 대형 쇼핑몰의 개인정보유출입니다. 또한 대기업 직원이 중국 경쟁업체에 공장 설계도를 넘겨주고 중국 해당 업체에 입사하는 사태도 발생하고 있는 것이 지금의 현실입니다. 이런 저런 정보유출로 인한 피해 규모는 수십 조에 달한다고 하니 방관하고 쉽게 넘어가서는 안될 것입니다. 하지만 이런 사태를 방지하기 위해 보안에 투자되는 비용도 점차 늘어가고 있는 상황이지만 정보유출 문제는 더불어 계속적으로 늘어난다고 합니다. 무엇이 문제일까요? 바로 보안 의식 수준이 낮은데 기인하며 여기저기서 보안이 계속 뚫리고 있다는 것입니다.
1. 내부보안이란?
정보의 생성, 저장, 처리, 송신, 수신 시에 발생할 수 있는 정보의 훼손, 변조, 유출 등을 비용 대비 효과적으로 방지하여 정보의 상태를 외부로부터 보호하는 일입니다. 2. 내부보안 왜 해야 하나?
내부보안이 허술해지면 그 피해는 개인은 물론이고 회사에 막대한 금전적 피해와 법적인 피해를 줄 수 있기 때문입니다. 3. 내부보안의 유형
① 물리적 보안 : 정보시스템과 데이터를 절도, 파괴, 화재 등과 같은 각종 물리적인 위협으로부터 보호하는 방법으로서 대표적으로 출입통제하거나 시설을 보호하고, 각종 자료를 백업 하는 일 등으로 이루어 집니다.
② 관리적 보안 : 정보시스템과 데이터를 보호하기 위하여 수립하는 각종 관리 절차나 규정을 정하는 일입니다.
③ 기술적 보안 : 각종 암호, 인증, 침입탐지, 방화벽 등을 이용한 보안 방비책을 마련하는 것입니다. 4. 내부보안의 대상
① 회사에 근무하는 모든 직원
② 회사의 자산에 접근하는 제3자 : 협력업체 직원, 파견 및 상주 인력, 회사 내 출입하는 방문객, 건물 청소부 직원 등. 5. 내부보안을 위한 실천사항
① 사내에서는 반드시 사원증을 휴대한다.
② 출입문 통제를 확실하게 하도록 한다.
③ 불법 소프트웨어를 사용하지 않는다.
④ PC 부팅, 윈도우 로그인, 네트워크 공유폴더 이용 시 비밀번호는 반드시 설정한다.
⑤ 비밀번호는 주기적으로 변경하고 영문, 숫자 포함 8자리 이상으로 설정한다.
⑥ 중요한 데이터는 항상 백업해 놓는다.
⑦ 컴퓨터에는 바이러스 백신 프로그램을 반드시 설치하고 최신 버전을 유지한다.
⑧ 보낸 사람이 분명치 않는 이메일은 열지 않는다.
⑨ 윈도우 보안패치를 일주일에 한 번 이상 설치한다.
⑩ 중요문서는 확실히 파기하고 프린터나 복사기에 출력물을 즉시 수령한다.
⑪ 고객 기밀은 어떠한 경로로도 유출되지 않도록 한다.
⑫ 근무 중 자리 비울 때, 외근 중, 퇴근시 Clear Desk 한다.
Clear Desk 란?
책상 위에 아무것도 놓지 않는다 또는 기밀 정보를 방치하지 않는다 라는 뜻입니다. 다시 말해 책상 위에만 한정된 용어가 아니고 정보의 누출, 도난을 미연에 방지하기 위해 자리를 비울 때 타인에게 누출되어서는 안 되는 정보는 서랍 속이나 잠금 장치 안에 넣어둔다고 하는 행동지침입니다.
회사 출입문을 지켜라
회사 사무실 출입문에 잠금 장치가 안되어 있는 회사에는 하루에도 수십 번도 더 각종 영업사원이 방문하여 사무실을 종횡무진 돌아다닙니다. 업무에 바쁘다 보면 누가 온지도 모르고 그저 약속을 한 방문객이라고 생각하기 마련입니다. 바로 지금 사무실을 유심히 살펴보시기 바랍니다.
1. 출입보안이란?
회사의 정보 보호를 위해 내외부인의 출입과 회사 정보 자산이 들어오고 나가는 것을 통제하는 것을 말합니다. 2. 출입보안의 필요성
정보유출 사고의 경우 내부 임직원에 의해 발생하는 비율이 가장 높습니다.
따라서 출입통제 시스템을 잘 갖추었다고 해도 직원들의 보안의식과 실천이 없으면 안됩니다. 3. 느슨한 출입보안의 문제점
① 금품 및 물품 도난 사고가 발생할 수 있습니다.
② 회사의 고객정보나 신제품 개발 정보 등 귀중한 정보 자산의 도난이나 정보의 파괴, 훼손, 변경 등이 가능합니다.
③ 사고 발생 시 출입자를 추적하기가 매우 어렵습니다. 4. 출입문에 보안시스템 유지
시중에 판매 및 서비스 되고 있는 보안시스템 장비 설치를 권합니다.
하지만 이것 역시 설치만 해서는 안되며 꾸준한 관리가 필요합니다. 5. 출입문 보안 실천사항
① 가슴에 반드시 사원증을 단다.
② 출입문을 맘대로 열어주지 않는다.
③ 회사 정보자산에 대한 무단 방출을 금지한다.
④ 방문객은 사무실이 아닌 지역에서 만난다.
⑤ 방문객의 기록 가능한 휴대폰 카메라 등은 임시보관 시킨다.
⑥ 방문객이 방문 시부터 퇴실할 때까지 주의 관찰을 해야 한다.
⑦ 행동이 수상한 출입자는 즉시 조치한다.
⑧ 중요 시설과 부서는 <통제구역> 으로 선정하여 통제한다. 6. Clear Desk 실천사항
① 퇴근 시 보안상황을 다시 한번 체크 한다.
② 컴퓨터 전원을 끄고 퇴근한다.
③ 노트북은 잠금 장치가 있는 장소에 보관한다.
④ 문서나 저장매체를 책상이나 선반에 두지 않는다.
⑤ 책상서랍이나 캐비닛은 모두 잠금 장치로 잠겼는지 확인한다.
⑥ 퇴근 시 회의실 칠판, 탁자 등에 정보를 남기지 않는다.
⑦ 프린터나 스캐너, 복사기에 문서를 남겨두지 않고 즉시 회수하고 남겨진 문서가 없는지 확인한다.
내 PC를 보호하라.
흔히 하는 말이 있습니다. "퇴근할 때 컴퓨터 좀 끄고 가라고", "모니터 불은 끄고 가라고" 가장 기본적인 것부터 지켜지지 않는 사람이 있습니다. 물론 가끔 열어둔 파일 때문에 컴퓨터가 제대로 꺼지지 않은 체 모니터 화면을 닫아서 다음날 아침에 출근해 보니 어제 퇴근 전 상태 그대로 있는 경우를 본 적이 있을 겁니다. 내 PC를 보호하는 일은 컴퓨터 본체와 모니터를 끄는 것부터 시작합니다.
1. 컴퓨터 사용자 계정에 비밀번호를 설정하자.
① [시작] 메뉴에서 [제어판]을 선택한다.
② 제어판에서 [사용자 계정] 아이콘을 선택한다. 이미 사용자 계정이 생성되어 있고 암호 변경만을 원할 경우에는 [암호]를 선택하여 비밀번호만 선택할 수 있다.
③ [사용자 계정] 설정 창에서 새로운 사용자 계정을 입력하기 위해 [추가] 버튼을 클릭한다.
④ [사용자 계정] 이름을 입력한 후 [확인] 버튼을 클릭한다.
⑤ 추가한 [사용자 계정]을 선택한 상태에서 [암호 설정] 버튼을 클릭한다.
⑥ [암호]란에 비밀번호를 입력한다. [암호 확인] 란에도 동일한 비밀번호를 입력한 후 [확인] 버튼을 클릭한다.
⑦ 컴퓨터를 끄고 다시 시작하면 사용자 계정이 적용되어 암호를 입력해야 바탕화면이 열린다. 2. 휴지통 보안도 보안이다.
휴지통에 들어간 파일은 완전히 지워진 것이 아닙니다. 내 컴퓨터 내에서 간간히 삭제한 파일들은 틈틈이 [휴지통]을 열어 완전히 삭제해야 합니다. 혹시나 다른 사람이 자신의 휴지통을 뒤져 자신이 폐기한 파일들의 내용을 알 수 있기 때문입니다. 3. 내 PC의 사용 흔적이 있다.
① 내가 최근에 열어본 파일 목록
② 윈도 미디어 플레이어에서 실행된 파일
③ 인터넷 익스플로어에서 열어본 페이지 목록
④ 임시 인터넷 파일
- 삭제 방법 : [인터넷 익스플로어]-[일반]-[임시인터넷파일]-[파일삭제]
⑤ 자동 로그인, 자동 완성
- 삭제 방법 : [인터넷 익스플로어]-[도구]-[인터넷옵션]-[내용]-[개인정보]-[자동완성]
- 사람이 쓰는 PC, 또는 회사의 노출된 PC 등에서 이전 사람의 계정, 패스워드, 주민번호, 주소 등의 개인정보를 알 수 있게 되며 자동 로그인 체크를 했을 경우 특정 사이트에 계정만 알면 들어갈 수 있어 대단히 위험합니다. 따라서 개인 PC의 경우에도 자동 로그인, 자동 완성 기능을 사용하지 말고 수동으로 입력해서 로그인하는 습관이 필요합니다.
⑥ 쿠키
- 쿠키란 : 서버의 프로그램이 사용자에 대한 기록을 유지하기 위해 PC에 남겨둔 자그마한 파일입니다.
- 쿠키의 위험성 : 사용자에게는 편리한 기능이지만 어느 웹사이트에 접속했는지, 그 웹사이트에서 어떠한 일을 했는지, 개인정보 등을 노출할 수 있으므로 상당히 위험합니다.
- 삭제 방법 : [인터넷 익스플로어]-[도구]-[인터넷옵션]-[일반]-[임시인터넷파일]-[쿠키삭제] 4. PC 비밀번호 체크리스트
① 기억하기 쉽게 모든 비밀번호를 동일한 것으로 사용한다.
② 비밀번호는 특별한 사정이 없는 한 변경하지 않는다.
③ 비밀번호는 아무도 모르는 숫자 8자리로 되어 있다.
④ 시간단축을 위해 자동로그인 기능을 사용하고 있다.
⑤ 회사 내 정보공유를 위해 공유폴더는 비밀번호 없이 사용하고 있다.
⑥ 내 PC는 사용자 계정 비밀번호만 설정되어 있다.
⑦ 내가 없을 때를 대비하여 PC 비밀번호를 부서원들에게 알려준다.
⑧ 화면보호기 대기시간을 10분 이하로 사용하고 있다.
⑨ 나는 같은 부서 직원의 비밀번호를 수첩에 적어 놓았다.
⑩ 내 컴퓨터는 바로 부팅된다.
백신은 필수이다.
컴퓨터를 사용하는 직장인들은 의외로 바이러스의 위험에 노출되어 있습니다. 수많은 사이트 방문, 이메일 체크, 불법 프로그램 설치 등으로 인해 자동으로 설치되는 바이러스, 툴바, 피싱 등으로 인해 정상적으로 컴퓨터를 사용하고 있지 못하는 경우가 있습니다. 심하게는 컴퓨터를 쓸 수 없는 지경에 이르게 되기 때문에 항시 내 컴퓨터 상태를 최상의 상태로 유지해야 합니다. 바이러스에 일단 감염되면 치료한 뒤에도 시스템이나 파일이 완벽하게 복구되기가 어렵기 때문에 예방이 무엇보다도 중요합니다.
1. 바이러스란?
제작자가 의도적으로 다른 인터넷이나 컴퓨터 사용자에게 피해를 주고자 하는 악의적 목적으로 만든 악성 프로그램이나 코드를 통칭합니다. 이러한 바이러스에는 윈도우 바이러스, 윔, 트로이 목마 등이 있습니다. 2. 바이러스 감염 시 문제점
① 컴퓨터가 바이러스에 감염되면 하드디스크에 저장되어 있는 정보를 지워버린다든지 일부 기록을 바꾸거나 파괴하는 등의 피해가 발생됩니다.
② 트로이 목마를 이용한 침입자는 사용자의 접근 권한과 관리 권한을 이용하여 시스템을 조정, 파괴할 수 있습니다.
③ 사용자의 신상 기록들을 빼내가 신용이나 금전적 피해를 야기할 수 있습니다.
④ 다른 사이트나 컴퓨터 해킹에 본인도 모르게 이용당할 수 있습니다. 3. 바이러스 예방법
① 바이러스 관련 정보에 관심을 갖는다.
② 운영체제 및 MS사 응용 프로그램 업데이트를 주기적으로 한다.
③ 백신 프로그램을 설치하고 주기적으로 업데이트를 한다.
④ 본적이 없었던 파일 확장자 발견 시 바이러스를 검사한다.
⑤ 사용하지 않는 불필요한 프로그램 또는 처음 보는 프로그램은 [제어판-프로그램 추가/제거]를 통해 바로 삭제한다.
⑥ 드라이브/폴더에 가능한 한 공유설정을 하지 않는다.
⑦ 불법 소프트웨어를 사용하지 않는다.
⑧ 컴퓨터로 유입되는 모든 데이터는 바이러스 검사를 한다.
⑨ 백신 프로그램을 이용하여 시스템 점검 및 모니터링을 정기적으로 실시한다.
⑩ 중요한 데이터는 정기적으로 백업을 한다.
인터넷과 이메일
회사에서 근무를 하다 보면 업무적으로 들어가든, 개인 용무로 들어가든 수많은 인터넷 사이트에 방문하게 되며 이때 자신도 모르게 불법 소프트웨어가 설치되는 경우가 자주 일어납니다. 물론 본인은 특별한 증상이 나오기 이전에는 설치되어 있는지 조차도 모르는 경우가 대부분입니다. 또한 이메일을 통해서도 원치 않는 프로그램이 설치될 우려가 있기 때문에 정상적으로 검증이 되지 않는 이메일은 절대 열어보면 안됩니다.
1. 인터넷 보안 왜 해야 하나요?
① 자동 설치 프로그램 대응과 개인 방화벽
회사 서버에서나 관리하면 되는 정도로 인식하고 있는 방화벽은 무심코 윈도우 자리에 저장해 놓은 내 파일들이 인터넷 이용자에게 모두 공유될 수 있다는 사실은 모른 채 더욱 큰 문제를 야기합니다. 개인 방화벽 설정은 클릭 몇 번으로 내 파일, 내 정보들이 지켜질 수 있으니 아무리 강조해도 지나치지 않습니다.
② 인터넷 침해 대응
V3에 탑재된 [PC 최적화] 기능이나 기타 인터넷 침해 대응 프로그램들을 통해 변경된 시작 페이지, 변경이 되지 않는 시작 페이지, 성인 사이트 광고, 각종 툴바, 알 수 없는 이유로 컴퓨터나 인터넷이 느려지기 하는 여러 가지 애드웨어 들을 막아주는 역할을 합니다. 따라서 사전에 자동으로 설치 안되게끔 하는 것이 중요하지만 이미 설치되어 있거나 증상이 발견된다면 [제어판-프로그램 추가/삭제], V3, 각종 방어 프로그램을 통해 최적화 기능을 실행하여 불필요한 것들을 제거해줘야 합니다.
③ 이메일 보안
인터넷에서 제공하는 프로그램을 확인하지 않고 설치하였을 경우나 수신된 메일의 첨부파일을 바이러스 체크 없이 열어보았을 때 이로 인해 컴퓨터가 손상될 수 있습니다. 더 나아가 컴퓨터의 원도우즈 자체를 훼손시키고 개인 및 회사 네트워크에까지 장애를 줄 수 있습니다. 따라서 항상 검증되고 인증된 상황에서만 프로그램을 실행하고 이메일을 확인해야 합니다. 2. 인터넷 보안 수준을 설정하라.
보통 보안 수준을 설정하는 방법으로 웹 화면의 [도구-인터넷 옵션-보안]탭에 있는 [인터넷/로컬 인트라넷/신뢰할 수 있는 사이트/제한된 사이트] 등을 통해 [사용자 지정 수준] 또는 [기본 수준] 등의 보안 설정을 해야 합니다. 때에 따라서는 보안 수준을 높일 경우에 특정 사이트의 접속이 안되거나 다운로드/실행시 애로 사항이 있을 수 있습니다. 자신에게 맞는 보안 수준을 설정할 필요가 있으며 잘 모르는 경우는 항시 [기본 수준]을 클릭하여 보안 수준을 유지하는 것이 좋습니다. 3. 흔적을 남기지 마라.
만약 다른 컴퓨터로 인터넷을 사용했을 경우 반드시 URL 입력 창 목록 및 임시 인터넷 파일, 자동완성 기록의 개인정보, 쿠키를 삭제해야 합니다. 특히 공통으로 사용하는 PC방에서 사용할 경우에는 꼭 이 부분을 체크하고 컴퓨터를 꺼야 합니다. 4. 인터넷 보안 실천사항
① 인터넷 영역에서의 보안 설정은 보통 이상으로 설정해 둡니다.
② Active X 컨트롤이 뜰 때 인증서 확인을 먼저 합니다.
③ 쿠키를 자주 삭제합니다.
④ 타 컴퓨터 사용하였을 경우 타인이 읽을 수 있는 인터넷 사용 흔적을 지우기 위해 URL 입력 창 목록과 임시 인터넷 파일과 자동 완성 기록의 개인정보를 삭제합니다.
⑤ 로그인할 때마다 아이디와 패스워드를 수동 입력하며 보안접속 기능을 이용합니다.
⑥ 웹 사이트를 나갈 땐 로그아웃 버튼을 클릭하여 완전 종료합니다.
⑦ 전자메일 열람 시 첨부파일은 바이러스 체크를 먼저 하며 V3로 모든 첨부파일의 바이러스 체크 설정을 해둡니다.
⑧ 메일의 전송과 수신은 회사의 메일 서비스를 활용합니다.
⑨ 웹 사이트에서 제공하는 스팸메일 차단 기능을 사용합니다.
⑩ 인터넷과 전자메일 사용에서의 보안은 위 내용을 미리 인터넷 설정에 적용하는 실천이 가장 중요합니다.
정품 소프트웨어를 통한 보안
우리는 기업 P2P 및 개인 P2P를 통해 불법 소프트웨어 사용에 익숙해져 있습니다. 불법 소프트웨어를 잘 못 사용하면 컴퓨터에 치명상을 줄 수 있다는 사실을 모른 체 사용하기도 하며 비싼 정품 사용료를 내기 싫어서 할 수 없이 불법 프로그램을 사용하는 경우가 대부분입니다. 불법 소프트웨어는 기업에서 사용하는 것은 위법일 뿐만 아니라 법률에 의해 엄격히 규제하고 있기 때문에 회사에서도 정식 소프트웨어 사용을 권장해야 합니다.
1. 불법 소프트웨어 보안 개념 이해
① 불법 소프트웨어 : 저작권 소유자의 명백한 동의 없이 소프트웨어를 복사, 대여, 위조하거나 인터넷이나 PC 통신을 통해 복제하여 사용하는 소프트웨어를 말합니다.
② 사업용(정품) 소프트웨어 : 소프트웨어 상점 등에서 구입하는 대부분의 소프트웨어로 구입과 동시에 소프트웨어의 사용권을 획득하는 것을 말합니다.
③ 셰어웨어 : 인터넷, PC통신, 사용자끼리 전달들을 통해 제한적이거나 완전한 버전의 소프트웨어를 자유롭게 배포함으로써 유통되는 소프트웨어를 말합니다.
④ 프리웨어 : 라이선스 요금 없이 무료로 배포되는 소프트웨어를 말합니다. 2. P2P 보안 개념 이해
① P2P 개념 : Peer to Peer의 약자로 기존의 서버와 클라이언트 개념이나 공급자와 소비자 개념에서 벗어나 개인 컴퓨터끼리 직접 연결하고 검색함으로써 모든 참여자가 공급자인 동시에 수요자가 되는 형태를 말합니다.
② P2P는 1:1로 파일을 교환하기 때문에 자신이 모든 책임을 져야만 합니다.
③ 파일의 안정성을 확신할 수 없으며 바이러스나 윔, 트로이 목마 등에 감염된 파일을 받아 볼 가능성도 높아 회사의 PC를 이용해 P2P를 이용하는 것은 무조건 피해야 합니다. 3. 메신저 보안 개념 이해
① 메신저로 인한 보안문제로는 가장 큰 윔 바이러스에 의한 피해가 있을 수 있습니다.
② 사내에 메신저 서버를 가지고 있지 못한 것도 회사의 비용적인 측면에서의 큰 걸림돌이 되고 있지만 대기업을 제외하고는 각종 메신저 프로그램을 사전에 필터링 한다는 것은 기술적으로 쉽지가 않습니다. 회사 차원에서 메신저 프로그램 사용을 자제하는 방법 외에는 항상 보안에 노출되어 있다고 볼 수 있습니다. 4. 불법 소프트웨어 보안 체크리스트
① 개인이 구입한 정품 소프트웨어를 회사 PC에 설치해서 사용한다.
② 회사용 소프트웨어를 구입하고 라이선스 등의 증빙 자료를 가지고 있다.
③ 인터넷 등에서 셰어웨어를 다운 받아 사용 기간 범위에서만 활용하고 있다.
④ 회사 PC로 개인적인 필요한 정보를 저장하고 사용하기도 한다.
⑤ 사이버 저장 공간인 웹 하드를 이용하여 거래처와 관련 문서를 교환하기도 한다.
⑥ 회사 PC를 이용하여 개인적으로 필요한 파일을 전송 받는다.
⑦ P2P 프로그램을 사용해서 자료를 실시간으로 전송 받기도 한다.
⑧ 회사 PC를 이용하여 마치지 못한 업무를 개인의 PC로 전송해서 처리하기도 한다.
⑨ 개인적으로 구입한 정보기기를 회사 PC에 설치하여 사용한다.
⑩ 회사 PC에 개인적으로 필요한 프로그램을 임의로 설치하거나 제거한적이 있다.
| 
