스스로와 직원들에게 능력 부여

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

• 시스템 및 기기를 모니터링하여 여러 사이버 위협을 포착하고 제거할 수 있습니다.
  
• 주요 파트너 및 협력업체와의 사이버 관계를 관리할 수 있습니다.
  
• 사이버 공격이 외부 조직에 미치는 영향을 인식할 수 있습니다.
  
• 직원에게 사이버 보안 및 보안을 책임질 수 있는 능력을 부여할 수 있습니다.
  

적에 대해 알기

이 사이버 보안 게임의 플레이어들은 누구일까요? 비즈니스와 사이버 보안을 해치려고 하는 이들은 누구일까요? 상황을 모니터링하고 사용자를 보호하려고 하는 이들은 누구일까요? 마지막으로, 이 모든 것에 관한 각자의 역할은 무엇일까요? 무엇을 해야 하는지 알게 되었고, 이제 이 일을 더 쉽게 하기 위해 필요한 리소스를 갖게 되었습니다. 플레이어들을 만날 시간입니다.

항시 새로운 공격이 등장함에 따라 사이버 위협 환경이 계속 변하고 있습니다. 누군가가 계속 시스템에 '침투'할 방법을 찾고 있다는 느낌이 든다면, 실제로 그럴 수 있습니다. 앞에서 언급한 바와 같이, 사이버 범죄는 계속 증가하고 있습니다. IBM의 보고서에서는 사이버 공격의 평균 비용을 400만 달러로 추산합니다. 특히 소규모 비즈니스를 비롯한 대부분의 기업은 이런 비용을 감당할 수 없습니다.

항상 염탐꾼에 주의하는 것이 중요합니다. 이 일을 직접 할 수 없다면 대신 해주는 사람이 있어야 합니다. 사이버 탄력성을 갖추려면 좋은 팀워크가 필요합니다. 직원, 외부 공급업체, 동맹 파트너, 법 집행 기관, 그리고 심지어는 경쟁업체까지도 각기 해야 할 역할이 있습니다. 하지만 조직의 최전선에서는 사이버 보안팀이 방어를 책임집니다. 연구에서는 보안팀이 전체 보안 침해 중 평균 54~83퍼센트를 발견하는 것으로 나타났습니다.  

팀 구성

가장 중요한 사실부터 말씀드리겠습니다. 사이버 보안은 모두의 책임입니다. 이메일을 비롯한 여러 시스템에 액세스하거나 조직의 기기 중 하나를 사용하여 업무를 수행하는 사람은 각자 사이버 보안을 책임집니다.

직원 교육을 실시하고, 직원들이 각자의 책임을 이해하도록 하고, 항상 보안을 생각하면서 다음을 실천할 수 있게 지원하세요.

• 강력한 비밀번호를 만들고 관리하면서 타인과 공유하지 않기
  
• 필요한 경우 자신이 관리하는 모든 주요 데이터를 백업하기
  
• 이메일 사기로 의심되는 수법에 주의 기울이기
  
• 웹 사이트를 방문할 때 사이트가 안전하고 보안이 강력한지 확인하는 주의 의무 이행하기
  
• 시스템을 모니터링하고 의심스러운 것이 발견되면 책임자에게 알리기
  

모든 직원에게 스스로와 회사를 사이버 공격으로부터 보호하는 방법을 알림과 더불어 조직의 사이버 보안을 모니터링하고 관리할 사람을 찾아서 임명하는 방법도 권장됩니다. 그러면 이 사람이 조직에서 발생하는 사이버 및 디지털과 관련된 모든 일을 요약하여 알려줄 수 있습니다. 큰 그림을 보면 문제를 방지하고 찾아내기가 더 쉬워집니다.

친구와 가깝게 지내기

거래처, 공급업체, 그리고 심지어는 클라이언트 및 고객까지도 포함하는 주요 비즈니스 파트너에 대해 생각해 보세요. 이들은 사이버 보안을 어떻게 실천하고 있나요? 사이버 보안을 상대적으로 더 잘 실천하는 조직도 있고, 보호 조치를 갖추고 있지 않은 조직도 있습니다. 이제 비즈니스 파트너들과 이에 관해 대화해야 합니다. Marsh & McLellan 2020 사이버 핸드북에 따르면, 많은 기업은 복잡한 공급망 속에서 사업을 운영하면서 사이버 위험 관리에 자사만큼 집중하지 않는 다른 회사의 약점에 노출되고 있다고 합니다. 해커들은 이 공급망 사슬에서 가장 약한 연결 고리를 찾으려고 합니다.

파트너 및 공급업체들과 사이버 보안에 대해 얘기하는 일은 어색하다고 느껴질 수 있지만 중요합니다. 그들은 여러분과의 관계를 소중하게 여깁니다. 그래서 최고의 사이버 보안 조치를 이행하고 있지 않음으로 인해 거래처 또는 자사의 시스템이 손상되는 것을 절대 원치 않습니다. 내 시스템에서 발생한 바이러스 때문에 타사 시스템에 문제가 발생한다면 정말 미안할 것입니다. 비즈니스 파트너들도 마찬가지입니다.

자체 시스템을 둘러싸는 벽을 보호하는 '경계 보안'만 실천하는 데 그치면 안 됩니다. 제로 트러스트(zero-trust) 접근방식은 너무 엄격하다고 생각될 수 있지만, 회사가 자체 '보안' 네트워크의 경계 안에서 안전을 보장할 수 있다고 단정하지 않기 때문에 회사와 파트너를 모두 보호합니다. 사적인 감정이 있어서 신뢰하지 않는 것이 아닙니다. 제로 트러스트 접근방식에서는 시스템과 기기 자체가 제어 중심이 되므로 전체 사슬에 대한 가시성이 높아지고 각 시스템이 서로 미칠 수 있는 영향이 고려됩니다. 이 접근방식에서는 사슬을 회사 벽 안과 밖에서 모두 봅니다. 보안 사슬의 보안 수준은 가장 약한 연결 고리에 좌우됩니다.

상황 반전: 세 갈래 접근방식 사용

좋은 전략은 시스템을 보호하고 공격을 예방하고 공격이 발생할 경우 빨리 복구하는 사이버 보안 목표를 달성하는 데 도움이 될 수 있습니다. 가장 작은 조직도 다음과 같은 기본적인 세 갈래 접근방식을 채택하여 위험을 가늠하면서 위협을 모니터링하고 관리할 수 있습니다.

예방: 사이버 공격을 예방하기 위한 모든 전략을 준비합니다. 만병통치약이 있는 것은 아니지만, 앞에서 공유했던 리소스를 활용하면 여러 가지 공격을 효과적으로 차단할 수 있습니다.

• 누구를 지켜봐야 하나요? 의심스러운 활동을 모두 모니터링하세요.
  
• 무엇을 통제할 수 있나요? 비밀번호, 보안 조치 및 바이러스 백신 소프트웨어를 생각하세요.
  

탐지: 리소스를 사용하여 위협에 피해를 입기 전에 위협을 찾습니다.

• 위협 확인 절차를 이행하고 위협이 발생하기 전에 위협을 차단합니다.
  
• 제때 대응합니다. 위협을 조기에 찾으면 상황이 완전히 바뀔 수 있습니다.
  

대응: 위협 또는 공격을 찾으면 대응할 수 있어야 합니다. 어떻게 대응할지 계획합니다.

• 위협/공격에 대해 관련자에게 알립니다.
  
• 위협을 제거한 후 필요한 업데이트를 수행합니다.
  

경계심 유지

어렵다고 생각될 수 있지만, 여기서 공유해 드린 리소스가 많은 도움이 될 수 있고 지금 노력을 기울이면 나중에 큰 보상으로 이어질 수 있습니다. 그래도 경계심을 늦춰서는 안 됩니다. 시스템, 애플리케이션 및 기기 제조업체에서 발표하는 업데이트 및 알림을 항시 확인해야 합니다. 내외부의 사이버 위협을 모두 모니터링하는 사람이 있어야 합니다. 위협은 시스템 및 애플리케이션뿐만 아니라 여러 곳에서 비롯될 수 있습니다. 경계심이 스스로 통제할 수 있는 것에만 국한되어서는 안 됩니다.

그리고 소셜 미디어에도 주의를 기울여야 합니다. 해커가 액세스 권한을 얻는 또 하나의 방법이기 때문입니다. SNS에서 제공하는 모든 보안 조치를 사용해야 합니다. 특히 직원들이 업무용 기기로 SNS를 이용하는 경우 책임감 있는 SNS 사용의 중요성을 직원들에게 강조해야 합니다. SNS 채널을 최신 사이버 위협에 대해 알아보는 리소스로 활용할 수도 있습니다. 교육은 최선의 방어입니다.

각자가 실천해야 하는 사이버 보안

누구나 경쟁에서 우위를 차지할 방법을 찾고 있습니다. 사이버 보안과 사이버 보안으로 경쟁 우위를 점하세요. 내 비즈니스, 사이트, 시스템을 고객, 직원 및 파트너가 보호를 받는다고 확신할 수 있는 곳으로 만드세요. 사이버 보안을 이용해 비즈니스를 강화하고 평판을 높이세요.

비즈니스 소유자 겸 리더에게는 많은 책임이 따릅니다. 사이버 보안은 최우선이 되어야 합니다. 위험과 대가가 너무 크기 때문입니다. 사이버 위협을 무시한다고 해서 없어지지는 않습니다. 지금 위협에 대비하면 나중에 그 결과에 대처하는 것보다 더 쉽습니다.

이 시간에는 강력한 사이버 보안을 실천하기 시작하는 데 필요한 리소스와 도구를 몇 개 공유해 드렸습니다. 하지만 더 많은 리소스와 도구가 있습니다. 주저하지 말고 전문가의 조언을 구하세요.

요약

사이버 위협 및 공격은 생활과 비즈니스의 일부입니다. 비즈니스 보호는 각자가 해야 하는 일입니다. 시스템 및 이메일 보호를 설정하세요. 직원들에게 그 중요성을 강조하세요. 공격을 받기 전에 직원들이 사이버 위협을 포착할 수 있는 가장 좋은 위치에 있도록 교육과 훈련을 장려하세요. 그리고 연습하세요. 문제가 발생할 때 모두가 무엇을 해야 하는지 알도록 계획을 수립하세요. 직원들이 비즈니스를 보호할 수 있는 가장 좋은 위치에 있도록 능력을 부여하세요. 전략을 수립하세요. 책임자를 임명하세요. 경계심을 유지하고 사이버 보안으로 경쟁에서 우위를 점하세요. 비즈니스의 성패가 달린 일입니다. 사이버 보안에 관한 더 많은 정보를 알아보고 싶으신가요? Trailhead에서 사이버 보안 학습 허브를 확인해 보세요.