언제 어디서나 어떤 기기를 통해서든
업무를 처리할 수 있는 BYOD 바람, 중소기업이라고 예외는 아니죠!
그리고 BYOD의 편리성, 효율성을 '안심하고' 마음껏 누리기 위해,
각 기업들은 적절한 보안 규칙과 정책들을 세우고 있습니다.
하지만 기업들이 모두 똑같은 규칙과 정책을 적용할 수는 없는 노릇입니다.
대기업과 중소기업은 맞닥뜨린 환경과 리스크가 서로 다른 만큼
보안 규칙, 정책을 세우는데 있어서도 당연히 차별점이 있을 수밖에 없겠지요.
이에 오늘은 중소기업이 안전한 BYOD 정책을 세우고
이를 적절히 실행하는 법을 알아보도록 하겠습니다.
1. "왜 필요한가?"라는 질문에 대한 명확한 답을 구하라
BYOD 정책을 결정하기에 앞서, 우선 이 정책으로 무엇을 성취하고자 하는지 명확히 해야 합니다.
정책을 세우는 것은 쉽지만, 잘못된 정책을 없애는 것은 그처럼 쉽지 않습니다.
없느니만 못한 정책을 파기하기까지는 무수한 시간과 자원이 소모되고,
무엇보다도 파기가 완료될 때까지 엄청난 리스크에 노출돼야 합니다.
그러니 애초에 꼼꼼한 리서치를 바탕으로 정말 필요한 정책을 가려내고,
또 여러 차례 논의를 거쳐 "왜 이 정책이 필요한가"에 대해
규명하고 합의하는 작업이 필수적입니다.
2. 어떤 기기를 허용할 지 결정하라
BYOD는 기본적으로 '어떤 기기이든' 자유롭게 업무 처리에 쓰게 하는 개념입니다.
하지만 만일 이 자유로움이 회사의 보안을 위협한다고 판단된다면
관련 상황을 직원들에게 충분히 설득시키고 단호하게 정리해야 마땅하겠지요?
특히 직원들의 수가 그리 많지 않은 중소기업이라면
업무 전용 기기를 구입해 나눠주는 것도 나쁘지 선택이 될 것입니다.
기기 구입에 드는 지출 규모와 보안 유지를 통해 지켜질 가치를 비교한다면
당연히 후자가 훨씬 더 중요하니까요~
3. BYOD 보안을 총괄할 수 있을지 판단하라
우리 회사 스스로가 BYOD 보안을 모두 감당할 수 있는지 여부를
냉정하게 판단해야 합니다. 특히 중소기업들의 경우 대기업과는 달리
IT팀이 따로 없거나, 있더라도 소규모 인력만 있는 경우가 많지요.
이럴 때는 BYOD 보안을 담당해 줄 IT 회사를 고용하는 것이 좋습니다.
4. 직원 보안 교육이 가장 강력한 보안 무기임을 기억하라
제아무리 2중, 3중으로 보안을 걸어 둔 건물이라도
마지막으로 나가는 직원이 현관문 잠그는 걸 깜빡한다면... 다 소용 없어지는 노릇이겠지요? ^^;
이와 마찬가지로, IT 보안에 있어서도 각 직원들이 얼마나 보안을 철저히 지키는지 여부가
곧 보안 리스크 전반을 좌우한다고 해도 과언이 아닐 것입니다.
직원들이 BYOD 정책을 철저히 준수하게 하려면, 그에 대한 '공감'을 이끌어 낼 필요가 있습니다.
"왜"규정을 준수해야 하는지 충분히 납득한다면 귀찮고 번거롭더라도 지키게 돼 있으니까요.
이를 위해서는 BYOD에 관해 직원들이 이야기를 나누고 또 BYOD 남용의 잠재적 리스크를 보여주는
트레이닝 세미나를 여는 것도 방법이 될 수 있습니다. 물론, 무분별한 행동에 어떤 '징계'가 내려지는 지
적극 알릴 필요도 있겠지요.
5. 제한적 사용 정책, BYOD 정책을 겸하라
만일 현재 ‘제한적 사용 정책(Acceptable Use Policy)’을 갖추지 않은 상태라면,
꼭 도입할 것을 강력히 제안 드립니다. 이는 직원들의 실수나 '귀차니즘'에 의한
보안 리스크도 막아줄 뿐 아니라 바이러스나 말웨어에 대한 잠재 리스크를 낮춰줄 것입니다.
더불어, 기본적인 BYOD 정책의 중요성을 다시 한번 인지할 필요가 있습니다.
이를테면 주기적으로 비밀번호를 바꾸도록 직원 교육을 시키거나 아예 이를 시스템적으로
구현하는 것만으로도 보안이 훨씬 강화될 수 있습니다.
또 회사 네트워크에 모니터링 시스템을 갖추고 직원들이 네트워크 상에서
무엇을 하는지 파악할 수 있어야 훗날 골칫거리를 덜 수 있다는 점도 기억하시기 바랍니다.
6. 퇴사 직원 체크리스트를 개발하라
퇴사 직원들로부터 기존에 접근할 수 있었던 네트워크상 정보, 비즈니스 이메일,
그 외 다른 앱에 대한 접근권을 없애는 일은 필수적입니다.
하지만 자질구레하게 챙길 게 많은 까다로운 작업이다보니
"그 사람 믿을 만한 사람인데, 뭐 별 일 있겠어~?"하며 유야무야 지나가는 경우도 없지 않죠. ^^;
이를 방지하려면, 퇴사 직원용 보안 체크리스트를 만들어 프로세스를 체계화 할 필요가 있습니다.
해당 직원 회사 이메일이 비활성화 됐는지, 회사에서 제공한 기기가 회수됐는지,
그가 쓰던 회사 계정들의 비밀번호는 변경됐는지를 꼼꼼하게 확인할 수 있도록 말이지요.
자칫 '너무나 당연한 원칙'을 새삼 글로 적고 있다고 생각되실 수도 있습니다만,
꺼진 불도 다시 보는 것이 보안 아니겠어요~? ^^
중소기업 BYOD 보안,
이 쉽고 간단한 6가지 원칙과 함께 든든히 지키시기 바랍니다!
