안녕하세요 전산팀 전산쟁이 입니다
개인정보보호 관련하여 내부 시스템 검토중, 선배님들의 의견을 여쭙고자 질문하게 되었습니다
1.웹 취약점 점검(소스코드 내 개인정보 및 서버정보 포함여부 검토)
2.보안파일서버(IP별 접근 차단, 파일별 암/복호화, 파일 필터링)
3.데이터베이스 개인정보 데이터 암호화 및 접근제어
4.개인용PC 암호화(개인정보 검색, 제거, 암호화) 및 화면보호기
5.원격 접속 SSL VPN 유지
6.DLP, DRM 도입
7.사내 개인정보보호 교육
위와 같은 사항을 철저히 준수하더라도 카카오톡 허용을 해준 순간 개인정보 파일을 1초만에 넘겨버리는 수단을 방치하는 것이 맞는가 진지하게 고민하고 있습니다
카카오톡 사용자는 사내 업무 결재 서류까지 받아, 업무용 목적으로만 사용하도록 안내 후 방화벽에서 해당 IP 허용 후 권한 보안프로그램까지 허용하여 설치 실행 사용하고 있습니다
하지만 현실은 개인 용도로도 사용하는게 당연하다는 분위기
19개의 답변이 있습니다.
저희도 같은 문제를 고민하고 있습니다. 카카오톡을 막아야 할 것 같은데 영업에서 반발이 심해서 대안을 주고 막아야 할 것 같은데 대안을 찾기가 힘이 듭니다.
예로 Forti는 애플리케이션 정책에서 KakaoTalk_File.Transfer 별도로 정책으로
설정할 수 있는 기능도 있습니다. FORTI 외 장비들도 대체 기능들은 있겠죠
문제는 CISO가 얼마나 영향력을 주는지 또는 회사가 보안에 신경을 쓰고 있는 지 인 것 같아요.
고객사의 보안 요구 사항 영향을 받는 경우가 제일 처리하기 쉽긴 합니다..ㅎㅎ
대기업과 거래하고 있으면 보안 정책에 대한 자료들을 요구하고 요구에 부합하고 있는지 판단을
해야하기 때문에 조치할 때 도움이 되는 것도 있는 것 같습니다.
당연히 카톡 차단이고, 회사 그룹웨어 메신저만 사용하게 했습니다.
저휘도 사내 메신저 있음에도 카톡으로ㅠㅠ
카톡에 대해 별도 제재가 없어서.
업무 중요도와 보안 정책 범위에 따라 제재하는게 좋을 듯 하네요 갠적으로 제재에 찬성합니다^^
보안은 어떻게 하던 원칙과 규정으로 지켜야 합니다.
비지니스는 회사가 발전하느냐 , 리스크를 안고 가느냐에 따라
달리 할수 있습니다.
개개인의 사생활에 대한 부분은 업무외에 해야하고
내부규정에 대한 보안 규칙 사항을 작성하여 공지하는게 맞습니다.
보안으로 메신저를 차단하긴 정말 힘듭니다.
처음부터 사용안했으면 모르겠지만 이미 사용중이시라면 사용자의 저항도 심할꺼구요.
실무자 차원에서 추진하긴 힘드니 상용 메신저의 보안 이슈, 취약 상황을
보고서로 만들어 경영자에게 보고하고 경영자의 강력한 의지로 추진하는게
힘을 받을 수 있습니다.
개인 메신저는 업무용으로는 맞지 않다고 보는게 맞는거죠.
보안을 고려한다면 외부 메신저는 엄격하게 차단하는 것이 맞는 것이고...
보안을 위해 망분리까지 할 정도로 업무망과 인터넷망을 완전히 분리하고 있는 실정에...
보안이 고려되지 않은 외부 메신저는 차단하는게 맞는 것이죠.
보안과 편리성은 반비례 관계라고 생각하면 됩니다.
저희는 설치 자체가 안됩니다.
카톡 막으면 융단폭격을 온전히 IT에서 감내하게 만드는 구조가 문제같습니다.
왜 회사업무에 카톡이 필요한지 이해를 못하겠습니다.
회사업무라면 업무용메신저나 이메일을 사용해야하는거죠
저는 거래처에서 카톡오면 개인 공간을 침해당한것 같아 불쾌감이 들기도 하는데....
솔직히 보안은 편의성과는 동떨어진건 맞습니다.
보안이 강화될수록 사용자들은 불편한게 당연합니다.
진짜 제대로된 보안을 하려면 내부 그룹웨어 메신저 외엔 모든 상용 메신저는 차단해야 하는게 맞습니다.
보통 금융권, 공공기관은 내부 메신저외에 상용메신저는 핸드폰을 사용하지.. PC에 설치해서 사용은 하지 않고 있습니다.
제가 보안심사 담당자면 카카오톡을 사용하면 그 회사에 ISMS 나 ISO27001 같은 인증을 절대 안해줄겁니다...
사실 저희 회사도 카카오톡에 대한 통제는 하고 있지 않습니다. 파일 전송 등에 대한 모니터링 기록만 남기는 정도.
그걸 통제할 명분을 찾는 중인데, 편의와 보안 사이에서 고민되는 건 사실입니다.
상용 메신저를 사용하면 정말 편리하고, 업무 효율도 높아 지는 듯 하지만,
그로 인해 쉽게 보안을 저해하는 수단으로 이용되어 버리지요....
조금 불편하더라도 업무용으로는 사용하지 못하게 하는게 맞다고 생각합니다.
문서 하나로 인해 회사의 존폐가 왔다 갔다 할 수도 있다는 것을 생각해야 할 듯 하네요.....
공공기관은 상용메일 및 메신저 등 접속, 송수신 기타 등등 모두 차단하는 것을 원칙으로 정보보안 및 개인정보보호를 준수하고 있습니다. 개인적으로 사내에서는 기관장도 예외를 두지 않고 강경하게 대응하고 있습니다. ^^
그럼에도 불구하고 본인들의 편의를 위해 차단하는 것에 대한 내부 불만은 존재하며, 욕을 먹어가면서 일을 하고 있습니다. 그래서 월급에 욕값이 포함되어 있어요.. ^^
그래도 요즘은 보안 인식도 많이 올라가고 짬이 되니 시키면 시키는데로 하긴 합니다. ^^ 일부 강경파들은 무시하면 되고... 그렇게 하고 싶으면 핸드폰으로 하라고 합니다. ㅎ
참고로, 요즘 젊은 친구들은 아는 것도 많아 VPN 우회 등을 통해 시도하기도 하고 방법도 공유하다 걸리면 한마디 듣고 차단하고 ...에피소드가 다양합니다. ^^ 진화하는 젊은이들이 승부욕을 자극하고 나를 더욱 발전시킵니다.
짬이 되면 강경하게 하시고, 아니라면 적절하게 원칙을 내세우며 전사적으로 협조를 구해서 끌고가는 수밖에 없을 듯 합니다.
다양한 인간들이 존재하는 회사에서 월급주는 대장의 한마디에 쫄고, 그 이하 보직자들은 시키는 데로 해라는 강압적인 말과 눈치로 실무자를 괴롭히니까 즐겁게 직장생활 하려면 적당한 밀당을 생활하 해서 상황을 즐기세요. ㅎ
you got this!
경영진에게 강하게 어필해서 상용 메신저는 차단해야 합니다.
바로 차단이 어려우면 첨부파일(최신 UTM,방화벽은 지원) 전송이라도 막도록 협의해야 합니다.
보안 Vs. 업무 편의
항상 보면 업무편의입니다.
전혀 로그도 남지도 않고 이를 허용하는 것은 보안상 아주 큰 취약점이라고 생각합니다.
저희도 결재받고 거의 모든 인원이 사용중인데..
그것이 고객과의 내용도 있지만. 개인도 있으니.. 정확히 분리(공사를 구분)하기가 힘든 상황이죠.
그러한 이유로..
회사차원의 강력한 보안 정책을 만들고 절대 PC용은 허용하면 안된다고 생각하는 1인입니다.
그러게요 저희는 업무용 PC에 카카오톡 설치 못하게 되어져 있어 다행이네요
직원들 불만이 폭팔하겠지만 보안을 생각한다면 카톡같은 개인 메신저는 금지가 답입죠
업무용 PC에 카카오톡 설치는 안하는게 좋습니다.
특히 개인정보 등 중요 정보를 취금하는 경우에는 꼭 필요하고요.
설치 할 수 없게 해놔도, 우회해서 설치하는 경우가 있는데요.
이중, 삼중으로 설치 및 사용을 막아야 합니다.
중요정보 취급 안하는 경우는 크게 상관 없을거 같긴 합니다.