글: 양승도 (구글 클라우드 코리아 커스터머 엔지니어링 총괄)

기업은 언제든지 재택근무 체제에 돌입할 수 있다는 가능성을 염두에 두고 언제 어디서나 일할 수 있는 안전한 업무 환경에 대한 준비가 되어 있어야 한다.

원격 근무가 확대되면서 직원들이 보안이 검증되지 않은 공공 장소의 개방된 네트워크나 개인 디바이스를 이용해 기업의 중요한 데이터와 애플리케이션에 접근하는 경우가 늘고 있다.

그러나 업무 환경의 변화에도 불구하고 기업의 보안은 아직 과거의 수준에 머물러 있는 경우가 많다. IT 보안 부서에만 의지해 기업 보안을 유지하기에는 관리해야 하는 포인트와 통제할 수 없는 영역이 늘어났다. 이제는 변화한 업무 환경에 맞는 보안 기술을 도입해 기업 네트워크 및 디바이스에 대한 고도의 보안을 준비하는 것은 물론 전직원이 기업 보안에 참여하는 문화를 조성해 한 차원 견고한 대응 체계를 구축해야 한다.

기업은 기존의 정적인 보안 체계를 제고하고 최근 도입이 늘고 있는 클라우드 환경에 맞는 기술을 도입해야 한다. 오랫동안 많은 기업이 사용해왔던 VPN은 계정 정보를 가지고 있는 사람이면 누구나 접속을 조건 없이 허가하는 특성상 네트워크 방화벽에 취약점이 발생할 수밖에 없다. VPN의 대안으로 나온 제로 트러스트(Zero Trust) 보안 모델은 ‘아무것도 신뢰하지 않고 모든 것을 검증한다’는 개념을 바탕으로 VPN의 취약점을 극복했다.

구글 또한 자사의 고유한 제로 트러스트 보안 모델로 ‘비욘드코프(Beyond Corp)’를 제시한다. 비욘드코프는 네트워크 중심이 아닌 애플리케이션 중심의 능동적인 보안을 구현한다. 비욘드코프가 제시하는 서비스 및 데이터 액세스 정책은 직원의 실제 위치나 연결된 네트워크를 기준으로 판단하지 않는다. 대신 디바이스 정보 및 현재 상태, 관련된 사용자 정보 등을 상황마다 검증해 위험성을 판단한다. 비욘드코프는 경직된 VPN 보안 울타리를 걷어내고도 어느 위치에서나 안전한 업무 환경을 조성한다.

강력한 암호화 기술도 필수적이다. 기업 리소스 및 데이터와 연결되는 모든 과정은 암호화되어야 한다. IT 부서는 기업 소유의 디바이스에 보안패치를 적용하고 디바이스 보안 소프트웨어를 설치하는 것을 우선순위로 삼아야 한다. 직원이 개인 디바이스를 사용할 때에는 업무상 중요한 앱에 접근하기 전에 데이터 암호화와 같은 보안 기능을 설정하고 강력한 패스워드를 사용하도록 해야 한다.

좋은 기술과 IT 부서의 대응만으로는 안심하기 이르다. 보안에 대한 전직원의 인식 변화는 안전한 업무 환경을 지속하는데 가장 중요한 요소다. 한 명의 직원이 피싱 이메일이나 악성 링크를 실수로 클릭하면 강력한 보안 기술을 갖추고 IT 부서의 대응이 완벽하다 하더라도 손쉽게 무너질 수 있는 것이 기업 보안이다.

이에 반드시 직원을 대상으로 한 기본적인 보안 의식 개선 교육이 병행되어야 한다. 이메일 침해(business email compromise, BEC) 등 기업을 대상으로 한 잠재적인 위협을 심각하게 인지할 수 있도록 직원 교육 및 가이드라인을 제공해야 한다.

예를 들어 공유 폴더나 링크가 합법적인 수신자로부터 전달된 것인지 확인하는 방법이나 회사 로그인 정보를 요구하는 유효하지 않은 로그인 페이지를 탐지하는 방법 등 직원들이 지켜야할 행동을 명확히 제시해야 한다. 이를 통해 전 직원이 함께하는 보안 체계를 만들어 IT 부서에 과도한 부담을 주지 않으면서 스피어 피싱(spear phishing)이나 BEC 등 정교한 공격을 막을 수 있다. 최근 언택트 업무 문화의 확산과 함께 더 높은 수준의 보안 의식이 요구되는 가운데 전사적인 기본 교육은 더욱 큰 효과를 발휘할 수 있다.

또한 직원 스스로 보안에 대한 의사 결정을 내릴 수 있는 권한이 있다고 의식하는 환경이 조성되어야 한다. 예를 들어 G 스위트를 사용하는 기업의 관리자는 보안 키를 제공하는 구글 고급 보호 프로그램(Advanced Protection Program, APP)과 같은 계정 보안 옵션에 직원 스스로 등록하도록 권장할 수 있다. 지속적인 교육을 통해 직원들은 회사의 로그인 정보를 유출하는 악성 이메일 링크를 보고하거나 계정 보호를 위해 보안 키 같은 더욱 강력한 이중 인증(two-factor authentication) 방법을 채택하는 등 사용자 관점에서 주체적으로 결정을 내릴 수 있어야 한다.

한국을 포함한 전 세계의 스마트 워크 레이스는 이제 시작됐다. 코로나19 확산은 예상치 못한 변화에도 언제나 준비되어 있는 기업을 가려낼 수 있는 계기가 됐다. 수동적이고 정적인 보안 체계를 갖춘 기업은 위협에 민첩하게 대응하지 못하고 경쟁에서 뒤쳐질 수밖에 없다.

기업은 디지털 트랜스포메이션을 더욱 가속화하고 새로운 성장 모멘텀을 확보하기 위해 보안에 대한 근본적인 시각을 변화시켜야 한다. 더 많은 기업이 보안 패러다임의 변화를 반영한 기술과 전직원의 의식적인 참여를 장려하는 미래 보안 전략을 구축해 포스트 코로나19 시대에도 경쟁력을 유지할 수 있기를 기대한다.

* 본 기고문 내용은 본지의 편집 방향과 무관합니다.