[보안맨] 사무(업무환경) 보안의 중요성

안녕하세요,

 기고글 주제는 사무(업무환경) 보안의 중요성 입니다.

 

ISMS-P 인증에서 요구하는 업무환경 보안 기준은 아래와 같습니다.

공용으로 사용하는 사무용 기기 (문서고공용 PC, 복합기파일서버  개인 업무 환경 (업무용 Pc, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크정기점검 등 업무환경 보호대책을 수립/이행해야 한다.”

 

필자가 글로벌 금융회사 관련 자회사 재직 당시본사 IT 내부감사사 로부터 전달 받은 지적사항  한가지가 공석 PC 스크린 Lock  설정되지 않았다.’ 였습니다여러 차례 감사사와 조율을 진행했으나결론적으로 업무 환경 보안 관련 공식 IT 결함 리포트에 포함되어 큰 이슈가 되었습니다.

사전에 외부 감사에 따른  부서장에게 중요 action items  공유하고 사무 보안 관련 주의점을 환기시켰으나 결과가 좋지 못했습니다한 임직원의 부주의한 행동이 나비효과처럼 큰 문제가 된 사례 입니다.

 

사실 임직원이 자리를 이석할때마다 경각심을 갖고 ‘Window 로고 버튼 + L 키보드 버튼’ 을 누르는 것은 쉽지 않습니다중앙 보안 솔루션을 통해 화면 보호기 설정을 10 이내로 짧게 설정하자니, PC에 로그인 할 때마다 ID/PW를 입력해야 하는 비즈니스 부서의 입장도 고려하지 않을 수 없었습니다또한 관련 법령 또는 사내 규정 등 PC 화면 보호기 관련 구체적인 설정값 요구사항은 존재하지 않았으므로 시스템으로 강제화 할 수 있는 근거가 빈약했습니다.

 

 PC 화면보호기 에피소드  필자가 업무 환경 보안을 위해 주로 어떤 부분을 고려했는지

3가지 포인트로 말씀 드리겠습니다.

 

 

  • 1.점검 방법 마련  IT 보안 절차서  반영

 

당시 사무 보안을 점검해야 하는 근거는 본사 IT 보안 규정 때문이었습니다다만점검 시기보고 방법 등은 자회사에서 선택할  있었기 때문에기존에 진행하고 있었던 월간 정보보안 점검의 날’ 하위 점검 항목과 통합해 진행하는 것으로 의견을 모았습니다.

당시 진행했던 점검 항목은 아래와 같습니다. (예시)

  • -자리 이석  화면 스크린 락을 설정 하는가?

  • -업무 공간에 패스워드 또는 주요 고객 정보, USB  방치하지 않는가?

  • -출입증을 패용하는가?

  • -중요 개인정보가 보관된 문서함, 사물함  시건장치가 되어있는가?



 


Figure 1. 월간 사무보안 점검  (예시)

 

점검 항목 외에도 점검자점검 시기미흡 인원 조치 방안   대해 다각적으로 고민 후 절차서 내 반영했습니다

점검 절차는 아래와 같이 구성했습니다.


. 보안 담당자 불시에 사무 점검 실시

점검 결과에 따른 미흡인원 CISO 보고  관련 부서장 공유 

경영진 보고

 

유의미하게 진행했던 아이디어는 개인 인사평가 반영’ 입니다사무보안을 준수하지 않은 여러 인원이 며칠 뒤 똑같은 점검 항목에 대해 미흡했던 사례가 자주 발생했습니다따라서전 임직원에게 사무 보안에 대한 중요성을 인식시키기 위해 연말 인사평가에 반영하는 아이디어를 CISO (정보보호 최고 책임자)에게 건의 했습니다여러차례 HR부서와 논의 끝에인사평가 항목의 일부로 반영되어 전 임직원에게 공유되었습니다당시 경영진의 긍정적인 의견도 의사결정에 큰 도움이 되었습니다.

 

 

  • 2.정기 켐페인 (전사 공지)  사무보안 점검 실시

 

매월 실시하는 정보보안 점검의 날에 사무 보안 점검을 실시한다는 내용을 전 직원에게 공지했습니다이때몇일 몇시에 진행할지 구체적인 일정을 공유하지 않았습니다불시에 진행함으로써 형식적인 점검을 지양했습니다.



 

 


Figure 2. 사무보안 점검을 위한 전사 공지 (예시)

 

인사평가 반영 안내 후 최초 점검 결과는 반영하지 않았습니다. 2회차부터 점검 결과를 공식적으로 반영했습니다당시 보안 점검 결과를 놓고 이의를 제기하는 직원들도 많이 있었습니다따라서관련 점검 방식에 대한 교육/가이드 자료를 만들었습니다쉽게 이해할 수 있도록 점검 항목 별 잘 되어있는 예 vs 부적절한 예에 관한 그림/사진과 관련 설명을 상세히 작성했습니다.

 

  

  • 3.한계점

 

첫째공용 공간에 대한 점검 부재 입니다개인 사무보안 영역에 치중하다 보니 공용 공간에 대한 일부 영역 보안 검토가 소홀했습니다프린터 등 공용 공간에 가끔 Confidential 문서가 방치 되었습니다보완 대책으로 문서 워터마크 설정을 통해 책임 추적성을 확보하고주기적인 전사 보안 공지연 단위 보안 집체교육 등을 통해 공용 공간 보안의 중요성을 전파했지만수동적인 방식에 불과 했던 것 같습니다여력이 된다면각 공용 영역별 관리자를 지정해 1차 관리하도록 보안 담당자가 가이드하고보안 담당자가 2차 적정성을 점검하는 방법도 실효성 있을 것 같습니다.

 

둘째중요정보개인정보의 기준을 어디까지 볼 것인가에 대한 가이드라인이 구체적이지 않았습니다결론적으로오해 소지가 없도록 해당 점검 항목 범위를 축소했습니다사내


보안 절차서(준칙)가 구체화되고 임직원에게 공표되기 전까지 패스워드 정보 노출 로 점검 항목을 축소/진행했습니다.

 

이상 글을 마치겠습니다.

읽어 주셔서 감사합니다.


1개의 댓글이 있습니다.

16일 전

자료 감사합니다.

Reply

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입

댓글 남기기

댓글을 남기기 위해서는 로그인이 필요합니다.

로그인 회원가입