기업 내에서 보안을 높이기 위해서는 통제할 범위가 너무 넓다. 더욱이, 기업이 클수록 데이터나 자산 규모도 커지기 때문에 이에 따라 리스크도 커진다. 그런즉슨 기준을 만들어 리스크를 줄이는 것은 현명한 방법이다. 실제로 개인정보보호법 제4조에 따르면, 개인정보책임자는 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립 및 시행하여야 한다고 법으로도 규정되어 있다. 그렇다면, 무엇을 어떻게 규정해야 할까.
만약 보안이 번거롭지 않고, 덜 귀찮고, 이해하기 쉬웠더라면 사람들은 보안을 더 적극 받아들였을 것이다. 이런 유추를 통하면 어디에 보안 계획을 세워야 하는지 설명하는 데 도움이 된다. 그렇다면 가장 먼저 중심이 되는 것은 무엇일까. 바로 ‘데이터’다. 그 데이터는 고객의 정보가 될 수도 있고, 본인의 정보가 될 수도 있고, 기업에서 사업 아이디어가 될 수도 있다. 이 데이터를 보호하고 지키는 것이 기본적으로 우리가 취해야 하는 입장이다. 하지만 많은 사람이 오가는 기업 내에서 데이터를 보호하기란 쉬운 일이 아니다. 데이터를 다룰 시에는 필요할 때에 정확하게 처리되어야 하고, 항상 최신의 상태로 업데이트되어야 한다. 또한, 권한 없는 사용자가 데이터에 접근할 수 없어야 하며, 다른 이로부터의 접근에서 무결성이 증명되어야 한다. 이러한 점을 고려하였을 때, 보안 기준을 구축하면 아주 작은 단위로 정책을 구현하여 규제할 필요성이 있다. 더욱이, 이런 세밀한 부분까지 친절하게도 법률로도 지정되어 있어 어떻게 데이터를 다뤄야 하는지, 그리고 이를 어길 시에 받는 처벌에 관해서도 자세하게 나와 있다.
사실, 기업 내에서 보안을 다룰 수 있는 팁은 우리에게 매우 익숙한 것들이다. 예를 들어, 비밀번호 관리에서 비밀번호를 공유하거나 포스트잇이나 종이에 적어두는 것은 매우 위협적인 일이다. 특히나, 이런 식의 관리는 개인 데이터는 물론 회사 데이터까지 훼손시킬 수 있으므로 해서는 말아야 할 행동이다. 개인정보보호법 제 4조, 접근통제에 관한 법률에 따르면, 정보통신서비스 제공자 등은 개인정보취급자를 대상으로 비밀번호 작성규칙을 수립하고, 이를 적용 및 운용하여야 한다고 나와 있다. 또한, 회사 내에서 비밀번호 및 계정은 1인당 1개로 정해져 있으며, 정보를 다루는 이는 최소한의 범위의 접근성에 한하여 권한이 부여되어야 한다. 즉, 훗날을 생각해서 미리 권한을 주어선 안 된다는 이야기다.
물리적인 보안도 빠질 수 없다. 수많은 사이버 범죄 사례에서 시스템에 접근하기 쉬운 방법의 하나가 바로 ‘USB’다. USB는 사용자도 모르게 악성코드를 옮길 가능성이 있고 이는 기업 네트워크에 심각한 손상을 줄 수 있다. 특히나, 비밀스러운 공간일수록 네트워크를 끊어 다른 이의 접근을 제어하는데, 이럴 때 물리적으로 USB가 연결되면, 이는 네트워크가 연결된 시스템보다 더 리스크 큰 행위일 수도 있다. 스턱스넷도 USB를 통해 세상에 알려졌으니, 이만하면 다 말하지 않았나 생각한다.
네트워크가 없는 공간이라면 물리적인 접근에 한에서 데이터 보안을 할 수 있지만, 네트워크가 연결된 경우 각별한 주의가 필요하다. 특히나 외부에서 기업 네트워크로 연결할 때에는 공공 네트워크를 피하고, 회사의 VPN과 같은 안전한 접속 수단을 써 작업하여야 한다. 또한, VPN을 통해 연결할 경우 민감한 작업이나 금융 거래는 피하는 것이 좋다. 만약 회사에 VPN이 없는가. 개인정보보호법 제 6조 접근 통제에 따르면, 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다고 정해져 있다. 안전한 인증 수단 및 접속 수단은 필수라는 것이다.
랜섬웨어는 시스템 내부에 있는 파일을 잠그고 이에 대한 몸값을 내야 파일에 다시 접근할 수 있는 일종의 악성코드다. 이는 사실 어떠한 방법으로도 침투할 수 있으며, 이를 막기란 실상 쉬운 일은 아니다. 더욱이 랜섬웨어에 피해를 본 기업은 개인을 노린 랜섬웨어보다 훨씬 더 많은 몸값을 기꺼이 지불하여 파일을 되찾길 원하기 때문에 사이버 범죄에 아주 좋은 타겟팅이 될 수 있다. 이 때문에 중요한 것은 바로 백업이다. 백업한다는 것은 랜섬웨어를 대비하여 예방 접종을 한다는 것과 비슷하다. 중요한 것은 바로 정기적인 백업으로 설령 랜섬웨어에 걸리더라도 데이터만 복구시키면 될 일이다. 중요한 데이터는 정기적으로 백업하여 사이버 범죄를 예방하고, 반면에 필요하지 않은 데이터 혹은 소유 권한이 지난 데이터 등 더는 가지고 있을 명분이 없는 데이터는 즉각 처리하는 것이 좋다. 이는 컴퓨터와 같은 전자적인 데이터뿐만 아니라 문서와 같은 서면에도 포함되며, 전자적인 데이터는 복구할 수 없을 정도로 삭제하고 서면은 파쇄기를 돌려 삭제하는 것을 권한다. 이는 개인정보보호법에 따른 ‘개인정보 파기 원칙’이며, 정보통신망 29조와 16조에 따라 이용자의 개인정보를 보호하기 위하여 대통령령이 정하는바 1년이 지나면 개인정보의 파기 등 필요한 조치를 해야 한다.
특히나, 해커들이 기업 내부에 있는 시스템을 해킹하려 들 때 가장 쉽게 취할 수 있는 루트인 Phishing공격을 조심해야 한다. 일반적인 예를 들면, 실제로 있었던 사이버 범죄에서 대부분 해커의 침입 루트는 합법적인 메일을 가장한 피싱 메일이 대다수였다. 이는 기업의 규모와 관련 없이 가장 널리 쓰이고, 그만큼 해커들이 시스템에 침입하는데 아주 효과적인 공격 포인트가 된다는 것이다. 그런 의미로 피싱을 피할 가장 좋은 방법은 의심 또 의심이다. 우리가 익히 알고 있는 모르는 링크는 클릭하지 않으며, 잘 모르겠는 경우 새 브라우저 탭을 열어 사이트의 기본 URL을 수동으로 입력하여 실제로 서비스가 잘 돌아가는 사이트인지 확인하는 것이 좋다. 또한, 메일에 있는 수상한 첨부 파일을 조심해야 하며 설령, 합법적이고 믿을만해 보이는 메일이더라도 의심스러우면 보지 않는 것이 좋다. 만약, 이를 간과하였다가 악성코드에 감염되거나 백도어가 설치된다면 피해는 나뿐만이 아니라 모두에게 돌아갈 수도 있다는 것을 알아야 한다.
이렇게 구구절절, 얘기한 한들, 우리의 뇌는 학습을 한 직후가 가장 크고 시간이 지날수록 점차 완만하게 감소하기 때문에 정기적으로 교육이 필요하다. 교육의 필요성은 우리가 익히 알고 있지 않은가. 교육하는 이유는 기업 내 보안이 단순히 일회성이 아니라 장기적으로 떠안고 가야 하는 문제이며, 보안의 중요도를 상기시켜주는 가장 좋은 방법이기 때문이다. 더불어, 기업 내 보안과 관련된 교육은 법으로도 제정되어 있어, 개인정보보호법 제31조, 제2항 제5호에서는 개인정보보호책임자의 수행 업무로써 ‘개인정보 보호 교육 계획의 수립 및 시행’을 정하고 있다. 또한, 개인정보취급자에 대한 교육은 이처럼 수립된 교육계획에 의거, 매년 정기적으로 실시하여야 한다. 그러므로 이런 교육을 통해 기업 내 보안은 단순히 기업의 IT 부서가 아니라, 모두가 함께 수행되어야 하는 것을 모두가 알아야 한다. 따라서 이 모든 것을 모두와 공유하고 함께 지켜나가는 것이 사이 범죄를 예방하는데 좋지 않을까 한다.