[(보)일듯(안)보일듯#2]"요즘 것들은 말이야, 보안이 밥 먹여 주는 줄 몰라!"

안녕? Owen 이다.

 

요즘 애들은 모르는 '보안의 정신'! 3만 기업 긴급 점검 공문 뒷이야기 말해줄게.

 

어이, 김 대리! 자네 지금 들고 있는 커피, 그거 마실 때가 아니야. 어제 과기정통부에서 내려온 공문 못 봤어? 'CISO 기업 대상 긴급 보안점검 실시 및 결과 회신 요청'이라잖아! 응? 공문이 길어서 안 읽었다고? (쯔쯧) 자네처럼 설렁설렁 일하니까 나라 전체가 해킹으로 난리가 나는 거 아니겠어!

 

요즘 것들은 통 '긴장감'이라는 게 없어. 보안이 무슨 '하면 좋고 안 해도 그만인' 액세서리인 줄 알아. 통신사, 금융사들 해킹당하는 거 안 보여? 그게 다 기본이 안 돼서 그래, 기본이!

 

이번 공문, 아주 잘 나왔어. 전국 3만 개 기업을 대상으로 아주 탈탈 털겠다는 거 아니야? 특히 이번엔 아예 CEO(최고경영자) 서명을 받아오라잖아. 이거 무슨 뜻인 줄 알아? "보안은 이제 사장이 책임지는 거다! 네들 CISO 혼자 끙끙 앓다가 터지면 끝장이다!" 이 말씀이야. 자, 잔말 말고 내 쓴소리 좀 들어봐. 이게 다 자네들 밥그릇 지키는 소리니까!

 

"긴급 점검? 원래 매일 했어야지!"

 

자네들, 공문 내용 보고 '아이 귀찮아' 했겠지만, 원래 철저한 기업이라면 매일 했어야 할 일이야. 뭐? 무슨 점검을 하라는지 헷갈린다고? 이걸 봐. 딱 네 가지, 핵심만 짚었어.

 

IT 자산 실사? "네 재산 목록부터 제대로 써!"

 

 

IT 자산 실사? 이게 뭐 대단한 거라고. 그냥 "우리 회사에 서버가 몇 대고, 노트북이 몇 대고, 누가 쓰고 있는지" 제대로 파악하라는 거야. 이게 안 되면 해킹이 들어와도 어디가 뚫렸는지, 뭐가 나갔는지도 몰라. 옛날에는 자산 대장 하나 만들 때도 땀 흘려 가며 직접 손으로 썼어!

근데 중요한 건, 이제 그 목록을 CEO에게 보고하고 서명까지 받아야 한다는 거야. 사장님한테 우리 회사가 가진 IT 자산 목록을 들고 가서 "사장님, 이게 우리 회사 돈줄입니다!"하고 보고해 봐. 아마 깜짝 놀랄 걸? 그래야 사장님이 "보안 예산 더 줘!" 소리가 나온다고!

 

 

 

인터넷 접점 식별? "뒷문 단속부터 해!"

 

두 번째, '인터넷 접점 자산' 식별이래. 홈페이지, 이메일, VPN, PC... 그러니까 우리 회사랑 바깥세상이 만나는 모든 문을 찾아내라는 거잖아. 해커들이 어디로 들어오겠어? 당연히 이 문들을 노리지!

옛날에는 해킹이 복잡했지만, 요즘은 그냥 '안 닫힌 문'으로 슬쩍 들어오는 경우가 태반이야. 그러니 이 접점들 목록을 사장님한테 보고해서 "사장님, 여기가 제일 위험합니다!" 하고 경각심을 줘야지.

 

 

취약점 점검? "구멍 난 곳 메우는 건 기본 중에 기본!"

 

식별했으면 뭘 해야 돼? 당연히 취약점 점검이지! 문이 낡았는지, 자물쇠가 부실한지 점검하라는 거야.

자체적으로 하든, KISA(한국인터넷진흥원) 같은 데 도움을 받든(물론 중소기업만 가능하지만!), 구멍 난 곳을 찾아야지. 특히 원격 접속할 때 OTP(일회용 비밀번호)를 쓰는지 확인하래. 21세기에 비밀번호 하나로 원격 접속하는 회사가 있다면, 그 회사는 문 닫을 각오 해야 해!

 

 

관련 참고사이트는 아래 주소

중소기업을 위한 무료 취약점 점검 지원 << Click

 

 

 

 

백업 전환 훈련? "불나면 딴 데서 장사할 준비 됐어?"

 

마지막이 백업 훈련이야. 해킹으로 데이터가 다 날아가거나 시스템이 멈추면? "우리 망했네..." 하고 울고 있을 거야? 아니잖아! 안전하게 백업해 둔 걸로 바로 복구해야지.

이번에 도상 훈련이든 실전 복구 훈련이든 꼭 하래. 훈련 보고서까지 사장님 서명을 받아야 해. 이건 곧 '운영 복원력(Resilience)'이 곧 기업 생존 문제라는 걸 사장님한테 직접 인지시키겠다는 거야! 아주 기특한 발상이지!

 

 

꼰대식 시간 관리법: "미리미리 안 하면 밤샘이지!"

 

기한 봤지?

10월 31일: 기반시설, ISMS 인증 기업 (제일 중요한 곳들이니 빨리 끝내야지!)

11월 30일: 상장 기업

12월 31일: 기타 중소기업 (가장 늦다고 설렁설렁 하지 마!)

 

"아이고, 기한 내에 못 해요!" 이딴 소리 하지 마. 옛날에는 기한 못 맞추면 엎드려뻗쳐 했어. 근데 요즘은 봐줘서 계획서 제출로 대체도 해준다네? 그리고 미흡해도 처벌이나 공개는 안 한대. 자, 이렇게 좋은 기회가 어디 있어? 감사하다고 생각하고 확실하게 점검해서 보고해!

 

결론: "보안은 CEO의 결재가 아니라, 의지야!" 

 

자, 김 대리. 이제 알겠어? 이번 긴급 점검은 단순히 '과태료 안 맞으려고' 하는 행정적인 절차가 아니야. 최근 해킹 사태로 국민들이 얼마나 불안해하는지, 기업의 신뢰가 얼마나 중요한지 정부가 아주 강하게 메시지를 던진 거라고.

 

CEO 서명 확인서가 왜 필요하겠어? 사장님이 직접 자기가 가진 IT 자산의 위험도를 보고, "내가 이 보안을 책임진다"고 도장을 찍으라는 거야. 보안은 CISO의 고독한 사투가 아니라, CEO의 확고한 의지에서 시작되는 거라고!

 

자네는 젊으니까, 이 기회에 우리 회사 보안 체계의 문제점을 확실하게 짚고 넘어가. 점검 보고서는 제출 안 해도 되지만, 그 내용을 토대로 개선 계획을 세워서 다음번에는 떳떳하게 "우리는 준비되어 있습니다!"라고 말할 수 있도록 하란 말이야.

 

자, 이제 쓴소리는 끝났어. 딴짓 말고, 당장 CEO 확인서 양식부터 다운로드해서 점검 항목 체크리스트를 뽑아! 오늘 할 일 내일로 미루지 마! 알았지? 얼른 움직여! (커피는 다 식었군.)