[보안맨] 사무(업무환경) 보안의 중요성

본 기고글 주제는 ‘사무(업무환경) 보안의 중요성’ 입니다.

ISMS-P 인증에서 요구하는 “업무환경 보안” 기준은 아래와 같습니다.

“공용으로 사용하는 사무용 기기 (문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무 환경 (업무용 Pc, 책상 등)을 통하여 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립/이행해야 한다.”

필자가 글로벌 금융회사 관련 자회사 재직 당시, 본사 IT 내부감사사 로부터 전달 받은 지적사항 중 한가지가 ‘공석 PC에 스크린 Lock 이 설정되지 않았다.’ 였습니다. 여러 차례 감사사와 조율을 진행했으나, 결론적으로 업무 환경 보안 관련 공식 IT 결함 리포트에 포함되어 큰 이슈가 되었습니다.

사전에 외부 감사에 따른 각 부서장에게 중요 action items 을 공유하고 사무 보안 관련 주의점을 환기시켰으나 결과가 좋지 못했습니다. 한 임직원의 부주의한 행동이 나비효과처럼 큰 문제가 된 사례 입니다.

사실 임직원이 자리를 이석할때마다 경각심을 갖고 ‘Window 로고 버튼 + L 키보드 버튼’ 을 누르는 것은 쉽지 않습니다. 중앙 보안 솔루션을 통해 화면 보호기 설정을 10분 이내로 짧게 설정하자니, PC에 로그인 할 때마다 ID/PW를 입력해야 하는 비즈니스 부서의 입장도 고려하지 않을 수 없었습니다. 또한 관련 법령 또는 사내 규정 등 PC 화면 보호기 관련 구체적인 설정값 요구사항은 존재하지 않았으므로 시스템으로 강제화 할 수 있는 근거가 빈약했습니다.

위 PC 화면보호기 에피소드 외 필자가 업무 환경 보안을 위해 주로 어떤 부분을 고려했는지

3가지 포인트로 말씀 드리겠습니다.

• 1.점검 방법 마련 및 IT 보안 절차서 내 반영

당시 사무 보안을 점검해야 하는 근거는 본사 IT 보안 규정 때문이었습니다. 다만, 점검 시기, 보고 방법 등은 자회사에서 선택할 수 있었기 때문에, 기존에 진행하고 있었던 ‘월간 정보보안 점검의 날’ 하위 점검 항목과 통합해 진행하는 것으로 의견을 모았습니다.

당시 진행했던 점검 항목은 아래와 같습니다. (예시)

• -자리 이석 시 화면 스크린 락을 설정 하는가?

• -업무 공간에 패스워드 또는 주요 고객 정보, USB 를 방치하지 않는가?

• -출입증을 패용하는가?

• -중요 개인정보가 보관된 문서함, 사물함 등 시건장치가 되어있는가?

Figure 1. 월간 사무보안 점검 표 (예시)

점검 항목 외에도 점검자, 점검 시기, 미흡 인원 조치 방안 등 에 대해 다각적으로 고민 후 절차서 내 반영했습니다. 

점검 절차는 아래와 같이 구성했습니다.

가. 보안 담당자 불시에 사무 점검 실시

나. 점검 결과에 따른 미흡인원 CISO 보고 및 관련 부서장 공유 

다. 경영진 보고

유의미하게 진행했던 아이디어는 ‘개인 인사평가 반영’ 입니다. 사무보안을 준수하지 않은 여러 인원이 며칠 뒤 똑같은 점검 항목에 대해 미흡했던 사례가 자주 발생했습니다. 따라서, 전 임직원에게 사무 보안에 대한 중요성을 인식시키기 위해 연말 인사평가에 반영하는 아이디어를 CISO (정보보호 최고 책임자)에게 건의 했습니다. 여러차례 HR부서와 논의 끝에, 인사평가 항목의 일부로 반영되어 전 임직원에게 공유되었습니다. 당시 경영진의 긍정적인 의견도 의사결정에 큰 도움이 되었습니다.

• 2.정기 켐페인 (전사 공지) 및 사무보안 점검 실시

매월 실시하는 ‘정보보안 점검의 날’에 사무 보안 점검을 실시한다는 내용을 전 직원에게 공지했습니다. 이때, 몇일 몇시에 진행할지 구체적인 일정을 공유하지 않았습니다. 불시에 진행함으로써 형식적인 점검을 지양했습니다.

Figure 2. 사무보안 점검을 위한 전사 공지 (예시)

인사평가 반영 안내 후 최초 점검 결과는 반영하지 않았습니다. 2회차부터 점검 결과를 공식적으로 반영했습니다. 당시 보안 점검 결과를 놓고 이의를 제기하는 직원들도 많이 있었습니다. 따라서, 관련 점검 방식에 대한 교육/가이드 자료를 만들었습니다. 쉽게 이해할 수 있도록 점검 항목 별 ‘잘 되어있는 예 vs 부적절한 예’에 관한 그림/사진과 관련 설명을 상세히 작성했습니다.

• 3.한계점

첫째, 공용 공간에 대한 점검 부재 입니다. 개인 사무보안 영역에 치중하다 보니 공용 공간에 대한 일부 영역 보안 검토가 소홀했습니다. 프린터 등 공용 공간에 가끔 Confidential 문서가 방치 되었습니다. 보완 대책으로 문서 워터마크 설정을 통해 책임 추적성을 확보하고, 주기적인 전사 보안 공지, 연 단위 보안 집체교육 등을 통해 공용 공간 보안의 중요성을 전파했지만, 수동적인 방식에 불과 했던 것 같습니다. 여력이 된다면, 각 공용 영역별 관리자를 지정해 1차 관리하도록 보안 담당자가 가이드하고, 보안 담당자가 2차 적정성을 점검하는 방법도 실효성 있을 것 같습니다.

둘째, 중요정보, 개인정보의 기준을 어디까지 볼 것인가에 대한 가이드라인이 구체적이지 않았습니다. 결론적으로, 오해 소지가 없도록 해당 점검 항목 범위를 축소했습니다. 사내