안녕하세요 오래간만에 글을 남기네요~~
아무래도 비슷한 고민을 가진 IT/보안 담당자 분들이 많을것 같아 집단지성의 힘을 믿고
도움을 받고자 살포시 문의 드립니다.
요근래 예산시즌 들어가면서 현업부서와의 커뮤니케이션이 그 어느때보다 많은것 같네요.
그러다보니 자연스럽게 불편/불만사항이 무엇이냐구 물어보면 "카카오톡/네이트온" 등과 같은 상용 메신저 사용금지를 하여 업무가 힘들다 라는게 몇년째 반복되는 이야기네요.
우선은 보안 적으로 위협적인 사항이다보니 사용메신저 사용은 차단 처리 하고 대안으로
사내 메신저 & MS Teams등을 대안책으로 제공 했음에도~~
현업에서는 이메신저는 이래서 힘들고 저래서 힘들다라는 계속 볼멘 소리를 하네요.
생각을 해보니 궁극적으로 카톡을 못쓰게 하는이유는 해당 메신저가 통제가 안되다 보니
항상 개인정보 유출의 채널로 악용될수 있는부분이 가장 큰부분 이다 라는 건데...
그럼, 내부에서 통제가 가능한 카카오플랫폼을 써서 현업에 제시하면 어떨까라는 생각으로 마무리 져지네요.
찾아보니 카카오워크라고 있는데 아직은 내부용 메신저로서만의 활용밖에 안되어서
가장중요한 외부 고객들과의 소통을 현재로서는 할수 없다라는 치명적 단점이 있네요~~~
요런상황에서 적절한 대안이 뭐가 될수 있을까요?
여러분의 집단지성의 힘을 빌리고자 합니다~~^^
19개의 댓글이 있습니다.
참.........워라벨이라고 하면서 카카오톡으로 업무 연락 받으면 힘들다는 소리도 있고....
카카오톡 막아서 거래처랑 연락을 못한다는 소리도 있고.... 난감하긴 합니다.
저희는 DLP에서 우선 업무용 공식 메신저 외에는 다 차단하고 필요한 경우 예외 결재 받아서 사용하라고 가이드 하고 있습니다.
보안을 밀자니 막아야 하고
편의성을 높이자니 풀어야 하고...
IT에서 고민할 거리가 아니라고 생각합니다.
의사결정을 하실수 있는분이 결정하셔야지요
대표이사던, 임원이던
원천적으로 다 차단을 해야 문제와 오해의소지를 안 만들것 같네요
회사의 궁극적인 목적은 비지니스입니다
비지니스의 핵심은 보안이구요
회사에서 카톡를 사용한다는건 보안에 가장 취약합니다
CIO가 직접 나서야하고 그에 뒷받침 해야할 부분은
자료를 만들어 내부 방침을 세워야겠죠
사내 목적이 아닌 외부와의 업무 또는 개인적 사용 때문이죠.
카톡 사용자가 대다수이다 보니 편하기는 합니다.
메일보다는 카톡을 선호합니다만 보안의 말그대로 취약하죠.
보안 위협은 어차피 사람입니다... ㅠㅠ
완벽한 보안은 없습니다. 마음만 먹으면 얼마든지 유출가능합니다.
예외를 두고 허용하되 책임도 함께 주어져야 한다고 생각합니다.
쌤팍님~ 오래 간만입니다.
반갑습니다.
보안과 편의는 상반성이 있기 때문에...
보안을 생각한다면 편의성을 희생해야 겠고~
편의성을 생각한다면 보안을 감수해야 겠고...
기업에서 가장 중요한 것은 일을 하는 것이라 생각되고요.
그 일을 하기 위한 기반을 마련해 두고, 편의성과 보안성을 저울질 하는게 맞을 것 같고요.
모든 직원들이 카카오톡, 네이트온을 사용할 수 있게 해달라는 건 아닐것 같아 보이는데요.
아마도 많은 직원들은 사내 메신저만으로도 충분할 거라 보여 지는데...
특별히 요구하는 직원들에 대해서는 융통성도 있는게 필요하지 않을까 싶어 보이네요.
단, 융통성을 가급적 엄격한 기준을 정해 두고서 발휘한다면 되지 않을까 싶고요.
왜 필요한지, 사용해야만 하는 사유를 문서로 받아서 그 사유가 업무상 꼭 필요한 것인지를 평가해서 상부 보고해서 결재를 받아 자료를 남기고 허용해 주면 되지 않을까 싶네요.
그리고, 허용해 줌으로 인해 발생할 수 있는 문제점들도 충분히 인지 시켜 주고 책임에 대한 각서도 받아 두고, 관리를 위한 점검도 더욱 엄격하게 할 수 있는 기준도 마련해 두고서 허용해 준다면...
허용해 주는 것에 대한 정당성도 확보할 수 있을 것 같고, 업무의 편의성도 제공해 줄 수 있지 않을까 싶어 보이고요~
대기업계열 광고 에이전시 다니고있습니다..
타 관계사에서 근무할때는 카카오톡 설치도 못하는 정책이었는데 여기는 카카오톡/위챗 다 허용입니다 ㅠㅠ (중국사업이 많아서..)
대신 모회사 SWG에서 업로드 제어는 하고 있어요
포티게이트/팔로알토 같은 NGFW 사용하시면 어플리케이션으로 기능별로 제어 하실수 있을것 같아요
카카오워크가 카카오톡하고 사용성이 같아서 도움이 되는 것 같아요
보안은 튼튼하고 사용은 편하다가 핵심인것 같아요.
기능이 많지는 않지만 니즈 충족은 되겠네요
정말 거래처간에 카톡 쓰는 문화좀 사라졌으면........
dlp 등으로 모니터링이 되신다면...
철권통치도 방법중에 하나입니다.
풀어주는대신 파일이동 1건당 보안위반으로 중징계도 고려해볼만한 사항입니다.
통제가 필요할 수 밖에 없습니다.
외부와의 채널은 메일로 하고,
메신저는 사내 메신저로 한정하는 것은 꼭 지켜져야 하는 룰이라고 생각이 됩니다.
소 잃고 외양간 고치면 안되겠죠.
보안과 편의성은 항상 정반대에 있는거 같아요...
보안을 생각하면 편의성은 포기 해야 하는게 맞다고 봅니다.
하나 둘씩 풀어 주다 보면, 분명 그곳을 통해서 무언가 빈틈이 생기고,
그로 인해 나중에는 큰 문제가 꼭 발생하곤 하죠...
내부 지침이 정해져 있다면 그대로 행하되,
정말 필요에 의해 풀어야 한다면 최소한의 권한을 주고,
그에 대한 사용자에 대한 교육과 필요 서류는 반드시 받아놔야 한다고 생각합니다.
저희는 DLP(오피스키퍼)로 최소한 파일 유출은 막은 상태이구요
PC카톡이나 다른 메신저는 자유롭게 쓸수 있지만
업무와 관련된 정보 공유라던가 업체와의 연락은 간단한것을 제외하고는
다 메일로 하라고 되어 있어요.(메신저 내용은 근거자료가 될수 없다는 전제로..)
몇년전에 저희도 정책문제로 어찌할지 여러가지로 고민과 협의가 많았는데.
저희 사례를 말씀드리면
IT/보안은 최대한 통제 - 현업은 최대한 허용. 이런 스탠스죠.
IT/보안은 상용메신저는 정보유출이 심하고 의도치 않게 해킹이나 외부유출이 될 수 있다.
현업은 타사도 다쓴다. 타사와 협업하는 것도 많아 안쓰면 프로젝트가 진행이 안된다.
그래서 정책이
1차 : 최대한 통제에서
2차 : 꼭 필요한 사원들만 사용신청서 검토 후 허용 (목적 및 기간)
3차 : 텍스트는 허용 파일은 차단.
이렇게 정책을 변경했습니다.
카카오 워크도 지인과 자유롭게 메세징이 안되면 대안이 되긴 어렵겠네요
정답이 존재키 어려운 문제인데 결국 모바일 메신저를 통한 업무 소통이 발생하는 자체가 문제라는 가장 기본적인 대원칙을 이해 시켜야 하는 문제입니다.
업무연락은 e-mail만을 사용하고, 구두로 필요시엔 통화(이거도 원칙적으론 회사 전화기만을 사용, 개인 휴대통신은 금지) 등의 형태로 접근이 되어야 하는 문제인데 결국 외부의 절대자(보통 갑...이라고 하죠)와의 소통 방안은 절대자의 편의성을 따라가야 하는 문제들이 있다보니 쉽지가 않습니다. 중국하고 업무보시면 Wechat이든 뭐든 써야 하는 상황이 오는건 당연하지 싶습니다.
내부에서 외부로 먼저 말을 걸어야 할 상황이 아니라면 카카오톡 API등을 이용해서 상담챗 형태로 연결시켜서 업무를 보게 하는 방법 정도가 최선 아닐까 싶습니다.
아 물론 제가 있는 회사는 제한을 걸지도, 제한을 하는것 조차 무리입니다. ㅠㅠ
대기업들도 결국 회사 내에서 본인의 디바이스(스마트폰)으로 카카오톡 어떻게든 하는 수준이라 이게 PC에서만 막는다고 해결되는건가 싶기도 하구요.
요즘 잔디다, 슬랙이다 기업용 메신져들이 이슈긴하지만 결국 내부 협업용이고 보안을 고려한다면 외부업체와의 커뮤니케이션은 이메일이 정답이라고 생각합니다
짦은 코멘트지만.. 이게 정답이라고 생각합니다.
이메일은 적어도 어떤식으로든 모니터링이 가능하며 공과 사가 분명히 갈리기 때문이죠.
보안이 편이성과 상충된다는 특성외에
소 잃고 외양간 고치는 특성도 가지고 있죠.
회사안에 랜섬웨어가 한번 휘젖고 가고
내부 퇴사 예정자가 중요 자료를 경쟁업체에 넘겨서 회사가 존폐위기에 처해봐야
보안에 대해서 심각하게 생각할것입니다.
저희도 사내 메신저 외에는 다 막고 있습니다.
근데,,이게 참... 해외 대리점 고객들이 많다보니 특정 팀에서는 무조건 PC 버전을 써야한다는 입장이더라구요.
특히 중국은 무조건 Wechat ....
모바일로 쓰라고 하니, 누가 지나가다 보면 폰만 만지고 있다고 오해를 할 수 있다는거죠
우선 진~~짜 필요한 경우에는 보안서약서를 받고 있습니다.
부서장, 팀장, 사용자 모두 서명받고 모니터링 시에 개인적으로 사용 시 삭제조치 한다는 전제하에
사용하도록 하고있습니다.