2021-09-26 14:50 (일)
중소기업 사무실 보안, 무작정 따라하기...①
상태바
중소기업 사무실 보안, 무작정 따라하기...①
  • 홍석범
  • 승인 2012.02.13 22:08
이 기사를 공유합니다

100명 이하 중소기업의 사무실 보안 체크리스트 공개
대기업의 ‘사무실 보안’이야 굳이 언급하지 않아도 나름의 프로세스를 구축하여 잘 운영되고 있지만, 100여명 이내의 중소 규모의 사무실 환경에서의 보안은 어디에서부터 어떻게 시작하여야 할지 막막한 것이 사실이다. 물론 회사의 업종 등 특징에 따라 다양한 구성이 있을 수 있겠지만, 어느 정도 대략적인 표준은 존재할 것이라 생각한다. 2부로 진행하는 본 글에서 제시하는 checklist를 통해 각자의 환경과 비교해 보기 바란다.

# 사무실 네트워크는 기본적으로 사설IP를 사용하여야 한다.
아직도 적지 않은 사무실에서는 주말이나 야간 등에 외부에서의 접속을 위해 특정PC등에 공인IP를 직접 할당하여 사용하는 경우가 적지 않다. 또는 포트 포워딩을 위한 백도어 서버를 두기도 한다. 이러한 백도어 PC는 경우 자신만 알고 있다고 생각할 수 있지만, 외부에서의 다양한 스캔과 사전식 로그인 시도에 그대로 노출되기 때문에 매우 위험하다 할 수 있다. 따라서 사무실의 환경은 예외 없이 반드시 외부에서 직접 접속이 불가하도록 사설IP로 NAT 구성하여야 한다.

# 외부에서의 접속은 반드시 VPN을 이용하여야 한다.
그렇다면, 야간이나 주말에 긴급하게 사내 인프라에 접속을 하기 위해서는 어떻게 하여야 하는가? 가장 안전한 방법은 VPN을 이용하는 방법이다. 물론 상용 VPN 솔루션을 이용할 수 있지만, 장비 구매 및 운영에 대한 비용이 부담된다면 OpenVPN(openvpn.net/)등과 같은 오픈소스 솔루션을 이용하거나 무/유료로 제공되는 logmein(secure.logmein.com/)등과 같은 서비스를 이용할 수도 있다.

# 개발 관련 팀은 사내 네트워크를 분리하고 외부로 나갈 때도 다른 공인IP를 사용하도록 구성한다.
대부분 사내에서 네트워크를 구성할 때, 한 회사내에서 규모가 크지 않다 보니 운영의 편의를 위해 모든 팀을 단일한 네트워크로 구성하는 경우가 많다. 즉, 총무팀이나 개발팀이나 같은 네트워크를 구성하여 사용한다는 것인데, 그러할 경우 상대적으로 컴퓨터에 대한 지식이 없는 팀의 PC에서 웜이나 바이러스에 감염되었을 경우 사내 전체로 퍼지게 될 가능성이 높다. 따라서 가능한 팀별로 네트워크를 분리하는 것이 좋은데, 그것이 어렵다면 최소한 운영이나 개발팀은 별도의 네트워크를 두어 분리하는 것이 권장된다.  또한 사무실에서 NAT 환경을 사용하고, 모든 임직원이 외부로 나갈 때 공인IP 1개로 나간다면, IDC에 있는 서버에서는 사무실 IP 를 허용하여야 하고, 결국 사무실의 모든 PC에서 IDC의 서버에 접근을 할 수 있게 된다. 이를테면, DB서버와 무관한 총무나 인사팀에서도 IDC에 있는 DB 서버에 직접 접근 권한을 갖게 된다는 것이다. 따라서, 최소한 개발이나 운영팀등은 공인IP를 별도로 설정하여 분리하는 것이 권장된다.

# 윈도우PC는 WSUS등으로 중앙에서 보안패치 관리를 하여야 한다.
윈도우 시스템의 경우 최소 한 달에 한번씩 정기적인 보안패치를 적용 후 시스템 재부팅이 권장된다. 그러나 대부분 재부팅의 번거로움과 불편함으로 잘 하지 않다 보니, 윈도우 업데이트 패치 관리가 잘 안 되는 것이 사실이다. 이를 위해 PMS를 도입할 수 있으나 워낙 고가이니 중소기업에서는 도입에 어려움이 있는데, 이때 무상으로 사용이 가능한 솔루션으로 WSUS라는 것이 있다. WSUS는 Windows Server Update Service(technet.microsoft.com)의 의미로 MS에서 제공하는, 무상으로 사용이 가능한 일종의 PMS(패치관리시스템)으로서 중앙에서 사무실내 각 PC들의 정기적인 보안패치 수준에 대한 모니터링, 레포팅과 함께, 패치 적용을 위해 자동으로 패치,재부팅을 하도록 할 수도 있어 사무실에서 일괄적인 패치 정책을 모니터링하고 내릴 수 있는 장점이 있다.

# 백신은 의무적으로 설치해야 하며, 중앙에서 정책을 제어할 수 있어야 한다.
최근 APT등을 통해 일부 백신 무용론이 나오고 있지만 그래도 현실적으로 가장 큰 부담 없이 투자가 가능하고, 신뢰할만한 보안 솔루션은 “백신”인 것이 사실이다. 단, 사무실 환경에서 백신을 사용할 때에는 개별 단품이 아닌, 중앙 관리 콘솔에서 백신 설치 현황과 감염 이벤트를 모니터링하고, 일괄 정책을 내릴 수 있는 기업용 제품을 사용하는 것이 권장된다. 그렇지 않으면 개별적으로 엔진 업데이트 현황을 알 수 없을 뿐 더러 개인에 따라 백신을 임의로 삭제 하거나 실시간감시 기능을 disable 하는 경우도 자주 있기 때문이다.

# 보안 담당자를 선임한다.
대기업은 보안팀이 별도로 구성되어 있지만, 대부분의 중소기업은 보안팀의 존재가 아예 없으며 보안에 대한 R&R도 정의되어 있지 않다. 예산상의 문제로 팀이나 인원을 별도로 구성하기 어렵다 하더라도, 반드시 특정 팀이나 인원에게 보안에 대한 R&R을 부여하고 적절한 책임과 권한을 주어야, 추진력을 갖고 위의 보안강화 작업을 할 수 있을 것이다.
 
# 정기적인 보안 교육을 실시한다.
아무리 기술적으로 훌륭한 솔루션을 설치하였다 하더라도 결국 운영은 사람이 하는 것이기에 분명 한계가 있다. 따라서 임직원들에 대한 지속적인 교육과 remind를 통해 ‘나의 작은 보안 불감증이 회사의 미래에 영향을 줄 수 있다’ 라는 보안 mind를 유지하는 것이 중요하다. 물론 이를 위해서는 두말할 것도 없이 경영진의 지속적인 관심과 투자가 선행되어야 함은 가장 중요할 것이다.
[글. 홍석범 씨디네트웍스 팀장 antihong@gmail.com]