현재 영국 사이트를 방문하고 있습니다. 대신 메인 사이트를 방문하시겠습니까?

네 제발
사무용 책상에서 개인 장치를 사용하는 직원.

개인 장치 가져오기: 직장 내 개인 장치에 대한 보안 조치

8 2023
블로그 홈

직원이 스마트폰, 태블릿 또는 개인 노트북을 직장에 가져올 수 있는 모든 회사에는 개인 장치 가져오기 보안 정책(또는 줄여서 BYOD 정책)이 필요합니다. 거의 모든 직원이 인터넷에 연결된 장치를 회사에 가져오는데, 이 장치가 회사 네트워크에 연결되어 있지 않더라도 보안 위험은 여전히 존재할 수 있습니다.

업무용 이메일 전송과 같이 무해한 용도로 개인 장치를 사용하는 것으로도 조직 네트워크에 취약점이 생길 수 있습니다. 모든 규모의 조직은 직원들이 소유한 스마트폰과 태블릿에 대해 어느 정도 통제권을 행사해야 하기 때문에 BYOD 보안이 어렵다고 생각합니다. 실제로 데이터 유출 사고의 40%는 분실 또는 도난당한 장치로 인해 발생합니다. 하지만 개인의 자유를 중시하는 문화권에서는 이러한 정책이 직원들의 저항이나 분노에 부딪힐 수 있습니다. 이 문제에 대해서는 섬세하지만 확고한 접근 방식이 가장 좋습니다.

이러한 상황에서 기업이 사이버 보안을 개선하기 위해 할 수 있는 일은 무엇일까요? 한 가지 옵션은 BYOD를 전면 금지하고 정책을 엄격하게 시행하는 것입니다. 하지만 전 세계 BYOD 시장은 규모가 크고 계속 성장하고 있습니다. 2022년 시장 규모는 3,500억 달러에 달할 것으로 추정됩니다. 팬데믹으로 촉발된 재택 근무 추세는 이 시장의 성장을 가속화했습니다. 대안은 상식적인 BYOD 정책과 보안을 수립하여 회사와 직원 모두에게 더 안전한 환경을 조성하는 것입니다. 대부분의 기업은 이 두 가지 옵션 중 이 방법을 더 쉽게 구현할 수 있다고 생각하지만, 합리적인 BYOD 정책에는 노력과 고려가 필요하지 않습니다.

BYOD 보안 위험

BYOD는 명목상으로는 기업이 직원을 위해 하드웨어와 소프트웨어에 지출하는 비용이 줄어든다는 것을 의미합니다. 82%의 기업이 직원들이 개인 장치를 업무에 사용할 수 있도록 허용합니다. 이러한 고용주의 71%는 직원들이 개인 휴대폰에 가장 익숙하기 때문에 장치 사용 시 더 편안하게 사용할 수 있다고 답했습니다. 58%는 더 생산적이라고 생각합니다. 하지만 55%만이 비용을 절감할 수 있다고 답했습니다. 왜 이런 차이가 있을까요? 보안 정책상 BYOD를 허용하는 기업의 경우, 놀랍게도 50%가 직원 소유 장치를 통한 데이터 유출을 경험한 것으로 나타났습니다. BYOD 정책 도입에 반대하는 기업 중 26%가 보안 문제를 가장 큰 이유로 꼽은 것도 당연한 결과입니다.

BYOD 보안 모범 사례

노트북, 태블릿, 휴대폰을 함께 사용하는 동료들

제대로 된 BYOD 정책이라면 이러한 요소를 모두 포함해야 합니다.

  • 허용되는 장치 유형
  • 허용되는 사용: 직원이 장치에서 액세스할 수 있는 앱과 자산은 무엇인가요?
  • 장치 보안 제어를 위한 최소 요구사항: 회사에서 BYOD 장치에 대해 어떤 안전 조치를 요구할 것인가?
  • 회사에서 제공하는 구성 요소: 예를 들어, 장치 인증을 위한 SSL 인증서
  • 장치 수정에 관한 회사의 권한: 장치 도난 또는 분실 시 원격 삭제 등
  • 퇴사한 직원의 장치에 있는 회사 데이터는 어떻게 되나요?
  • 장치에 있는 앱과 데이터는 누가 소유하나요? 직원이 앱 또는 월별 요금에 대해 회사로부터 환급을 받나요?
  • IT 부서는 장치 소유자에게 어떤 지원을 제공하나요?

정책 입안자는 최상의 옵션이 제공될 수 있도록 다음 조항을 고려해야 합니다.

  • 상식적인 규칙: 직장에서의 개인 통화 및 비디오 사용 제한, 운전 중 사용 금지
  • 유지 관리 및 업그레이드: 확정된 정책은 직원들이 장치와 앱을 안정적으로 최신 상태로 유지할 수 있도록 보장해야 합니다.
  • 데이터 전송 규정: 회사 데이터는 암호화하고 암호로 보호해야 하며, 회사에서 지정한 애플리케이션으로만 전송해야 합니다.
  • 암호 조항: 암호 사용은 민감한 정보를 보호하는 데 있어 명백히 타협할 수 없는 사항이며, 2단계 인증도 필요할 수 있습니다.

개인정보 보호 조항: 기업은 데이터 보호와 직원의 개인정보 보호 사이에서 어떻게 균형을 맞출 수 있을까요?

BYOD 보안 정책

일관성 있고 안전한 BYOD 관행을 수립하는 가장 좋은 방법은 무엇일까요? 이러한 규모의 정책 초안 작성 시에는 직원과 이해관계자 모두가 참여해야 합니다. 설문조사를 통해 직원의 의견을 수렴할 수 있으며, 이는 정책 수립의 훌륭한 기초가 됩니다. 경영진, HR, IT 운영, 재무 및 보안 부서가 모두 참여하여 BYOD 프로젝트 관리 팀에 참여해야 합니다. 이러한 부서는 기여할 수 있는 부분이 있습니다.

설문조사를 발송하고 응답을 받은 후에는 직원 장치에 어떤 데이터와 앱이 필요한지 등 유익한 분석을 수행해야 합니다. 완성된 정책을 도입한 후에는 교육이 프로세스의 중요한 단계입니다. 모든 직급의 직원을 대상으로 데이터 처리 프로토콜, 장치 문제 해결, 장치 분실 또는 도난 시 절차, 사용해야 할 앱, 피싱 방지 조치에 대한 교육은 물론 사이버 위협에 대한 광범위한 경계 교육이 이루어져야 합니다.

사이버 보안에 대한 교육을 받지 않은 직원이 조직의 데이터 무결성을 위협하는 가장 큰 위험 요소라는 사실이 널리 알려져 있습니다. 2014년에 IT 관리자의 87%는 부주의한 직원이 사용하는 모바일 장치가 조직에 가장 큰 위협이라고 생각했습니다. 2020년에는 놀랍게도 모바일 장치에 대한 공격의 96%가 앱을 매개체로 사용했습니다. 이는 앱 5개 중 4개에 가까운 대다수의 앱이 취약성을 유발할 수 있는 제3자 라이브러리를 포함하고 있기 때문입니다.

강력한 BYOD 정책을 시행하는 기업은 어떤 앱을 사용해야 할까요? 한 연구에 따르면 직원들은 매일 5개 이상의 앱을 사용하는 것으로 나타났습니다. 조직은 전용 보안 메시징 플랫폼, 이메일, CRM 및 직원들이 필요하다고 생각하는 기타 앱을 포함해야 합니다. 법적 책임이 발생할 수 있는 앱은 명시적으로 사용할 수 없도록 해야 합니다.
또한 조직은 어떤 이유로든 퇴사하는 직원을 위한 구체적인 절차를 마련해야 합니다.

직원이 퇴사할 때 조직은 모든 데이터를 장치에서 삭제하고 회사 앱에 대한 모든 액세스 권한도 마찬가지로 철회해야 합니다. 그러나 이러한 의무는 많은 어려움을 수반하며, 종종 BYOD 정책을 포기하고 개인 장치를 제공해야 하는 이유로 간주되기도 합니다.

정책은 회사의 집행 능력만큼만 강력할 뿐이며, 안타깝게도 정책을 준수하지 않는 직원에게는 불이익이 따라야 합니다. 모든 정책은 모든 팀원이 알 수 있도록 책임의 추적, 측정 및 집행에 관한 구체적인 세부 사항을 명시하여 배포되어야 합니다. 감독 기능의 결여는 BYOD 구현의 주요 문제 중 하나입니다. 기업에는 직원들이 설정하고 지속적인 지원과 모니터링을 받을 수 있도록 충분한 IT 지원 인력이 필요합니다.

시스템과 프로토콜을 확보한 후에는 직원 교육에 우선순위를 두어야 합니다. BYOD가 성공하려면 직원들에게 허용 가능한 사용과 기본적인 데이터 보안 위생의 중요성을 강조하는 것이 필수적입니다.

노트북, 태블릿, 서류가 있는 책상에서 작업하는 세 사람을 위에서 내려다본 모습입니다.

BYOD 보안 솔루션

BYOD 정책에 포함하기 위해 고려해야 할 보안 솔루션은 다음과 같습니다.

  • 미사용 및 전송 중 데이터에 대한 암호화
  • 바이러스 백신: 회사에서 제공하거나 직원이 설치해야 함
  • 모니터링: 직원 장치의 GPS 위치 또는 인터넷 트래픽 추적 등
  • 컨테이너화: 암호 보호 기능이 있는 개인용 또는 재무용으로 분리된 장치
  • 정기적인 변경 요건을 포함한 암호 위생 교육
  • 블랙리스트: 운영 보안에 위험하거나 생산성을 저해한다는 이유로 특정 앱을 차단하거나 제한하는 것으로, 컨테이너화를 사용하는 경우를 제외하고는 일반적으로 직원 소유 장치에서는 불가능합니다.
  • 화이트리스트: 승인된 특정 애플리케이션에 대한 액세스만 허용하는 것으로, 일반적으로 조직에 분산된 하드웨어에 더 실용적입니다.
  • 정기적인 백업과 앱 및 운영 체제 업데이트가 필요합니다.
  • BYOD 하드웨어의 WiFi 네트워크 액세스와 관련하여 회사 데이터를 안전하게 보호하는 방법에 대한 정기적인 교육 및 재교육 실시
  • 데이터 액세스 제한: 데이터 유출 방지를 위해 업무상 특정 데이터 세트에 액세스해야 하는 사람에 한해서만 개인 장치를 통해 액세스할 수 있도록 데이터 액세스를 엄격하게 제어해야 합니다.

안전하지 않거나 의심스러운 위치(예: 북한)에서의 액세스 등 의심스러운 행동을 탐지하기 위해 데이터 위치 및 데이터 액세스 패턴을 모니터링하는 도구를 사용합니다.

BYOD 시스템의 보안을 강화하는 한 가지 방법은 직원들에게 암호화 USB 플래시 드라이브와 암호화 SSD를 지급하는 것입니다. 전체 직원에게 휴대폰이나 태블릿을 제공하는 것보다 경제적이고, 직원이 현장에 가져오는 모든 장치를 컨테이너에 보관하는 것보다 훨씬 간단하며, 이러한 장치에 저장된 데이터는 일반 장치에 비해 훨씬 더 잘 보호됩니다. 충분한 품질의 암호화를 사용하면 도둑이 암호화 드라이브를 입수하더라도 권한이 있는 데이터에 액세스할 수 없습니다.

#KingstonIsWithYou #KingstonIronKey

회로 기판 칩셋에 Kingston의 전문가에게 묻기 아이콘

전문가에게 묻기

올바른 솔루션을 계획하려면 프로젝트의 보안 목표를 이해해야 합니다. Kingston의 전문가들이 안내해 드리겠습니다.

전문가에게 묻기

관련 영상

Trisha는 충격과 공포에 휩싸인 채 화면을 바라봅니다. 화면에는 해골과 교차된 뼈, 그리고 위험 표지 삼각형이 그려져 있습니다. 3:59

온라인 계정을 보호하는 방법

온라인 보안을 극대화하는 방법을 알아보세요.

관련 기사

블로그 홈