[디지털데일리 이종현기자] 코로나19로 비대면(언택트) 열풍이 불어닥쳤다. 사회적 거리두기로 출근이나 미팅 등의 비즈니스 활동이 어려워지면서 그 대안으로 떠오른 것. 하지만 원격근무 환경에서의 보안은 여전히 풀어야 할 숙제로 남았다.
19일 한국산업보안한림원(이하 한림원)과 국가정보원이 개최한 ‘2020 산업보안 국제컨퍼런스’에서도 원격근무 상황에서의 보안대책은 중요한 화두로 떠올랐다.
‘코로나 팬데믹 시대 재택근무 보안대책’을 발표한 유은선 포스코 팀장은 “재택근무는 더 이상 미래가 아닌 우리 생활의 일부가 됐다”고 말했다.
한국경영자총협회 자료에 따르면 매출 100대 기업 중 재택근무를 도입한 기업은 2019년 기준 4.3%에 그쳤다. 하지만 올해 9월에는 88.4%로 급증했다. 삼성, 현대자동차, SK, LG, 포스코 등 국가핵심기술을 보유한 대기업들로 구성된 한림원 회원사도 92%가량이 재택근무를 도입하는 등 사회 주류로 자리매김 했다.
유 팀장은 “국가핵심기술 보유 대기업들은 가상사설망(VPN)이나 가상 데스크톱 인프라(VDI)와 같은 원격접속 인프라를 100% 갖추고 있다. 다수 기업이 문서중앙화, 클라우드 등으로 문서관리를 시행 중”이라며 “정상근무 대비 업무생산성이 80% 이상 증가했다거나 재택근무 제도 만족도가 90.2%에 달하는 등 긍정적인 평가가 이어지고 있다”고 전했다.
그럼에도 향후 재택근무 제도를 지속하겠다는 기업은 7.7%에 그쳤다. 코로나19로 급하게 진행된 만큼 보안에 대한 충분한 검토가 되지 않았기 때문이라는 것이 유 팀장의 설명이다.
재택근무 환경에서 보안은 필연적으로 약화될 수밖에 없다. 외부에서 사내 시스템에 접속해야 하기 때문에 해커의 공격면이 넓어진다. 랜섬웨어에 감염된 재택근무 PC로 사내 서버에 접속했다가 500기가바이트(GB)가량의 정보가 유출된 국내 대기업 사례도 있다. 이밖에 물리적 장벽이 없어짐에 따라 내부 정보유출에 대한 방비도 약해진다.
업무 연속성을 위해 재택근무를 도입했더니 보안은 약해지는 구조. 이를 극복하기 위해 유 팀장이 제안한 것은 정보 중요도에 따른 차별화 보안이다. 이는 최근 금융권을 중심으로 제시되고 있는 ‘데이터 중심의 망 분리’와 맥락을 같이한다. 꼭 지켜야 할 중요 정보와 일반정보를 분류하고 정보의 중요성에 따라 보안을 적용하자는 의견이다.
이와 함께 여러 단계의 인증 절차를 거치는 멀티팩터 인증을 비롯해 ▲재택근무 PC의 보안 강화 ▲영상회의를 통한 정보유출 리스크 관리 ▲화면 촬영 대비 워터마크 ▲감사기록 관리와 같은 정보유출 추적관리 ▲사이버 공격 및 감염 PC 즉시 격리 ▲데이터 유실에 대비한 복구체계 마련 등도 주문했다.
유 팀장은 “기업에서 발생하는 보안사고 대부분이 내부직원에 의해 발생한다. 기업 주도의 통제 중심의 보안에서 개인의 책임성을 강화하는 형태로 규정과 지침을 개정하는 것이 필요하다”고 피력했다.
이어서 “재택근무 시 기업이 지켜야 하는 보안사항에 대한 가이드라인 등 법·제도적 지원과 중소기업의 재택근무 보안 확보를 위한 지원도 요구된다”며 “이를 충족할 경우 우리의 재택근무 보안 수준이 향상될 것”이라고 부연했다.
한편 이날 컨퍼런스에서는 재택근무 환경에서 활용되고 있는 화상회의 솔루션에 대한 문제점도 지적됐다. 편의성을 위해 별도의 인증 없이 접속하거나 화료·자료를 공유하는 기능이 보안 측면에서는 문제가 될 수 있어 사용에 제약이 있다는 것이다.
고흥태 SK이노베이션 정보보호최고책임자(CISO)는 “시중의 화상회의 솔루션 문제점이 화면을 공유하고 초대할 수 있다는 것이다. 최악의 경우 국가핵심기술 자료를 화상회의 솔루션에 띄워두고 중국의 산업스파이를 초대해 정보를 유출할 수도 있다”고 지적했다.
이어서 그는 “만약 화상회의에 공유할 수 있는 자료를 보안 툴에 걸러지거나 상관의 허락을 받는 등, 보안 통제가 가능한 커스터마이징이 가능한 솔루션이 있다면 대기업부터 중소기업까지 다 같이 쓸 수 있을 것 같다”고 밝혔다.