기술의 발전과 더불어 모바일 등의 IT 기기 활용이 높아지고 있고, 시간적/공간적 생활 환경이 온라인 네트워크로 상당 부분 이동한 세상에 살고 있다. 또한 코로나 시대를 통해 재택근무가 활성화되고, 업무의 대부분이 온라인에서 이루어지고 있다.
기존에는 오프라인의 장비와 기계 설비들에 기름칠을 잘하고, 엔진오일을 잘 갈아주면 안전하게 사용할 수 있었던 것들이, 네트워크에 연결되면서 패치를 받아야 하고, 인증을 강화해야 안전을 보장 받을 수 있는 시대로 변화하고 있다.
바야흐로 안전과 보안을 위해 ‘내’가 신경 써야 할 부분이 많아졌다는 의미이고, 이는 선택이 아닌 필수인 시대가 되고 있다.
네트워크로 연결된 세상
세상의 모든 디바이스들이 누가 먼저 네트워크에 연결되는지 내기라도 하는 듯이 빠르게 진행되고 있다. 가정에서 사용하는 전자제품들이, 도로를 주행하던 자동차가, 수술만 하던 의료기기들이 인간의 편의성을 높이기 위해 네트워크에 연결되지 않으면 사라지는 시대인 것이다.
이렇게 연결된 디바이스들은 인간의 편의성을 높일 수 있지만, 정보보호가 기반이 되어있지 않으면 그 리스크는 기존보다 훨씬 무섭고 더 불편한 세상을 만들 수 있다.
보안의 일상
지금 회사에서 사용하고 있는 PC나 노트북의 작업표시줄을 살펴보면 상당한 리소스를 차지하면서 수많은 보안 프로그램들이 설치된 것을 볼 수 있다.
외부에서 회사 시스템에 접속하려고 하면, 사전 신청을 통해 승인을 받고 OTP 등의 추가 인증을 사용해서 VPN을 접속하고 가상데스크탑에 로그인해야 비로소 업무를 시작할 수 있는 단계에 이르는 모습이 일상화되고 있다.
은행 사이트에 접속해서 이체를 하려고 해도 여러가지 보안 프로그램을 설치해야 하고, 안면인식이나 지문인식, OTP 등의 추가적인 인증 수단을 자연스럽게 사용하는 시대가 되었다.
지치지 않는 다양한 공격
공격자가 개인 PC 나 서버 시스템 등에 악성코드를 심어 중요 데이터를 임의로 암호화한 후 정상적인 권한자가 시스템에 접근할 수 없도록 하고, 복구를 위한 금전적 대가를 요구하는 랜섬웨어 공격이나, 랜섬웨어 공격 후 인프라와 서비스를 마비시켜 기업 본연의 비즈니스를 수행할 수 없게 만드는 것과 더불어 기업의 중요 데이터를 유출하거나 판매하는 2차 피해 사례로 이어지는 수법도 등장하고 있다.
2021년 11월에는 집안 내부 CCTV 영상이 유출되면 일반인들이 공포에 떤 일이 있었다.
아파트 각 세대에 설치된 월패드 카메라를 해킹하여, 가장 민감한 개인정보라고 할 수 있는 사생활이 적나라하게 노출된 것이다.
코로나 시대를 지나면서 대면 접촉을 최소화하기 위한 원격 업무 및 서비스가 필수 요소로 자리 잡았고, 다수의 조직이 비대면 환경으로 전환하면서 외부에서 접속하기 위한 VPN 솔루션의 취약점을 통해 이메일 해킹, 화상회의 참여, 악성코드 배포 사례도 나타나고 있다.
또한, 온라인 유통업체를 해킹하여 카드 정보를 획득하거나 POS 단말기에 악성코드를 심어 카드 정보를 탈취하는 방식으로 2008년부터 시작된 POS 악성코드 공격은 지속적으로 증가하고 있으며, 피해 규모는 수천만 건에 달하는 것으로 추정하고 있다.
회사를 위해, ‘나’를 위해, 생활 속 정보보호 실천
기존에는 회사를 위해 정보보호에 관심을 가져야 했다면, 최근에는 개인 스스로를 지키기 위해서도 필요한 부분이 되고 있다.
여전히 보이스피싱 연간 피해 금액이 수천억 원에 이르고, 메신저피싱 등 신종 사기가 빠르게 확산하고 있다. 정부 발표에 따르면 지난해 보이스피싱 범죄 피해액은 7,744억 원에 달하며 매년 늘어나는 추세라고 한다.
보이스피싱이나 메신저피싱에서 중요한 것은, 당황하지 않고 침착하게 확인하는 것이다.
금전을 요구하는 행위 자체에 대한 의심과 친한 관계나 기존에 약속된 거래에 대해서도 마지막까지 확인하는 자세가 사고를 예방할 수 있다.
회사에 접속할 필요가 있을 경우에는, 지급받은 PC를 사용하거나 백신 등의 보안솔루션이 설치된 안전한 PC에서 접속하려는 노력을 해야 한다.
누구나 사용할 수 있는 공용 PC를 통해 접속하거나, 공개된 장소에서 Wifi를 사용하여 회사 시스템에 접속하는 것은 로그인 정보나 회사 중요 정보를 외부에 유출할 가능성을 높일 수 있다.
특히, 모바일 기기의 분실을 대비하여 인증 방식을 안전하게 설정하고, 분실했다면 관련 부서에 도움을 받아야 한다. 또한, 기기나 업체에서 제공해주는 최신 보안 패치를 적극적으로 적용하는 것도 중요하다.
회사에서는 조직의 규정을 준수하는 일이 기본이고, 의심스러운 경우 즉시 관련 부서에 확인을 요청하는 것이 필요하다.
일반적으로 PC에 문제가 생기면 즉시 도움을 요청하지만, 정보보호 관점에서 의심스러운 점이 발행하면 신고를 잘 하지 않는 분위기를 개선해 나갈 필요가 있다.
정보보호는 ‘나’만 잘한다고 해서 회사의 보호 수준이 높아지는 건 아니지만, ‘나’ 하나로 인해 조직에 커다란 리스크를 가지고 올 수 있는 분야다.
그래서, 회사는 전 직원의 보안 인식 수준을 높일 수 있는 다양한 노력들을 지속해 나가야 하고, 개인은 회사만을 위해서라는 생각에서 벗어나 나와 가족을 위한 신뢰 확보 수단임을 이해하고, 정보보호를 위한 ‘성가신 과정’은 이제 일상의 당연한 모습으로 받아들일 필요가 있다.
글 편집실 / 검수 정보보안팀 장신성 책임매니저
2022.07.21
