설이나 추석 같은 명절에는 기존에 서비스 중단이 어려워서 진행하지 못하던 신규 보안 솔루션 도입이나 서비스 개시 등으로 인하여, 기업의 IT담당자나 보안담당자들은 고향에 가지 못하는 일이 종종 있다.
그럼에도 불구하고, 아무래도 감시가 소홀해지기 마련이며, 이런 때를 틈타서 악성코드 유포나 해킹 시도가 더욱 늘어나기도 하는 만큼 휴가 전 각별한 주의가 요구된다. 실례로 2009년 큰 이슈가 되었던 7.7 DDoS 대란의 경우 미국의 독립기념일인 7월 4일부터 시작되었으며, 성탄절이나 신년 연휴가 되면 악성코드가 급증하는 경우가 목격되고 있다.
정보보호 컨설팅 전문기업인 에이쓰리시큐리티(대표 한재호, http://www.a3security.com)는 추석 연휴 동안에 발생할 수 있는 보안 사고를 대비하여 다음의 사항들을 준비할 것을 권고하였다.
연휴 기간이라고 해서 악성코드 유포자나 해커가 쉬는 것이 아니므로, 언제라도 사고가 발생할 가능성이 있다는 경각심을 가지고 침해 사고 발생시 이에 대비한 체계가 잘 준비되었는지 다시 한번 확인하고, 만일에 발생하는 사고에 대해서 잘 전파할 수 있도록 비상연락망이나 문자메시지, 이메일 등을 통한 긴급 통지가 잘 되는지도 확인해야 한다.
보안 솔루션들도 정상적으로 작동하는지 미리미리 확인하는 것도 하나의 방법이며, 방화벽 등의 경우에 내부 침입의 가능성이 있는 포트는 모두 막아버리는 것도 하나의 방법이다.
또한 사용하지 않는 PC를 비롯한 시스템은 전원을 반드시 끄고 휴가를 떠남으로써, 원격을 통한 해킹 시도를 미연에 방지하여야 한다. 최신의 보안 패치를 진행하고, 백신 역시 업데이트를 진행한 다음 시스템 전체 검사를 진행하여 혹시 악성코드에 감염되지 않았는지 점검이 필요하다.
또한, 휴가 전 책상 위를 깨끗이 정리하고, 불필요한 정보가 노출되어 있지 않은지 확인이 필요하며, 사무실에 사람이 없는 만큼 외부인 출입이 불가능하도록 시건 장치를 철저히 하고, CCTV 등의 작동 여부도 점검할 것을 권고하고 있다.
<추석 연휴 사무실 정보보안 10계명>
1. 침해 사고 발생을 대비하는 체계를 점검한다.
2. 사고 발생시 연락 가능한 비상연락망을 준비한다.
3. 솔루션 이상 징후가 발견되는 경우에 SMS 등을 통한 긴급 통지가 잘 작동하는지 확인한다.
4. 각종 보안 솔루션의 정상 가동 여부를 점검한다.
5. 중요 데이터에 대한 백업 시스템의 정상 가동 여부를 점검한다.
6. 방화벽 설정을 통해 불필요한 포트를 전부 막는다.
7. 사용하지 않는 PC를 비롯한 각종 시스템의 전원을 반드시 끈다.
8. 최신의 보안 패치나 백신 업데이트를 실시하고, 전체 검사를 진행한다.
9. 클린 데스크를 통하여, 책상위에 불필요한 정보가 있는지 확인한다.
10. 연휴 기간 중 외부인 출입이 불가능하도록 시건 장치를 실시하고, CCTV를 점검한다.
에이쓰리시큐리티 조성규 수석 컨설턴트는 "보안 사고와 달력의 빨간 날은 아무런 관계가 없다."며 "오히려 사고 발생 가능성이 더 높다라는 생각으로 철저한 사전 점검을 진행해야만 보안 사고를 예방할 수 있다. 최근에는 사고가 발생하면, 수천만건의 개인정보가 유출되거나 기업의 핵심 정보가 유출됨으로 인하여 기업에 치명적인 악영향을 끼치는 만큼 각별한 주의가 요구된다."라고 전했다.
물론 연휴라고 해서 보안 조치를 새롭게 하는 것이 아니라, 평소에 준비를 철저히 하는 것이 중요하겠지만, 고향에 돌아간다는 생각으로 느슨해질 수 있는 만큼 사무실을 떠나기 전에 마지막으로 다시 한번 돌아본다면 만일의 사고를 예방할 수 있을 것이다.
<자료제공:에이쓰리시큐리티>
장길수기자 ksjang@etnews.com
