원격 근무자를 통한 데이터 유출 방지

게시 됨: 2024-07-25

원격 근무자를 고용하면 얻을 수 있는 많은 이점에도 불구하고 원격 근무와 관련된 내부 위협 및 데이터 유출 위험이 상당히 증가합니다. 이는 이제 막 비즈니스 세계에 뛰어든 스타트업 오너는 물론, 비즈니스 분야의 전문가들에게도 고질적인 문제입니다.

Titan Security Europe은 10년 동안 완전히 원격으로 운영되었습니다. 원격근무 분야의 전문가로서, 원격근무 시 데이터 유출로부터 비즈니스를 보호하기 위한 사이버 및 물리적 보안 관점에서 조언을 제공할 예정입니다.

통계

원격 작업자의 데이터 유출을 방지하기 위해 무엇을 할 수 있는지 알아보기 전에 사실을 아는 것이 중요합니다.

Wifi Talents에 따르면 원격으로 작업할 때 발생할 수 있는 사이버 보안 위협에 대한 통계는 다음과 같습니다.

  • IT 전문가의 75%는 이제 원격 근무로 전환한 기업이 사이버 위협에 더 취약하다고 말합니다.
  • IT 전문가 중 55% 이상이 원격 근무자가 사무실 근무자보다 회사 정책을 위반할 가능성이 더 높아 정보 유출 위험이 더 높다고 생각합니다.
  • 사이버 보안 침해의 95%는 사람의 실수로 인해 발생합니다.
  • 원격 근무자의 80%는 적절한 사이버 보안 교육을 받지 못했습니다.
  • 기업은 원격 근무로 인해 주당 평균 22건의 보안 위협을 경험합니다.

이러한 통계는 원격 근무자의 주요 문제를 나타내지만 이로 인해 스타트업 회사에 원격 근무자를 채용하는 것을 방해 하지 마십시오 . 위험을 성공적으로 관리하는 한 위험보다 이점이 더 큽니다.

문제를 해결하는 방법

원격 근무자의 경우 데이터와 관련하여 발생할 수 있는 특정 보안 문제가 있습니다. 이러한 문제를 해결하기 위해 기업과 직원 모두가 취할 수 있는 조치가 있습니다.

안전하지 않고 취약한 하드웨어

개인 및 보안되지 않은 장치를 사용하는 직원은 데이터 유출로 이어질 수 있습니다. 이러한 장치에는 회사 장치의 보안 수준이 없는 경우가 많으며 업무 파일과 개인 파일이 혼합되어 부주의한 유출로 이어질 수 있습니다.

당신은 무엇을 할 수 있나요?

  • 아래 프로세스가 설치된 회사 기기를 직원에게 제공합니다. 가능하지 않은 경우 직원이 작업할 장치에 다음을 설치하도록 하십시오.
    • 다단계 인증(Multi-Factor Authentication): 사용자가 여러 단계를 거쳐 장치나 서버에 로그인할 수 있도록 하는 시스템입니다. 예를 들어, 비밀번호 외에 다른 장치로 코드를 전송하고, 지문을 사용하고, 비밀 질문에 답해야 합니다. MFA 소프트웨어의 예로는 JumpCloud, ManageEngine, Cisco Secure 등이 있습니다.
    • 엔드포인트 보안: 네트워크에 연결된 모든 장치를 보호하는 방식인 엔드포인트 보호 플랫폼은 네트워크에 들어오는 모든 파일을 검사하여 맬웨어와 위협을 신속하게 탐지할 수 있도록 합니다. 엔드포인트 보안의 예로는 Cisco Secure, WatchGuard, Avast Business Security 등이 있습니다.
    • 암호화 소프트웨어: 업무에 사용되는 장치에 설치된 파일 및 데이터 암호화 소프트웨어는 모든 데이터가 승인 없이 수정되거나 도난되거나 손상되지 않도록 보호합니다. 암호화 소프트웨어에는 Secure IT, Folder Lock 및 Kruptos 2 Professional이 포함됩니다.
  • 위 프로그램이 설치된 기기만 업무에 사용할 수 있도록 원격근무 정책을 설정하세요.

직원들은 무엇을 할 수 있나요?

  • 설정된 정책을 따르고 회사에서 제공한 기기에서만 작업하세요.
  • 가능하다면 회사 장치를 개인적인 용도로 사용하지 마십시오.

안전하지 않고 취약한 네트워크

원격 작업에 대한 가장 큰 보안 문제 중 하나는 안전하지 않고 취약한 네트워크입니다. 개인 집 네트워크는 일반적으로 문제가 없지만 공용 및 보안되지 않은 네트워크는 장치를 매우 취약하게 만듭니다.

당신은 무엇을 할 수 있나요?

  • 장치의 데이터베이스(특히 MFA 또는 암호화된 데이터가 있는 서버)가 아닌 서버에 데이터를 저장하면 장치가 안전하지 않은 네트워크에 로그인되어 있는 경우에도 중요한 데이터가 보호되도록 할 수 있습니다.
  • 데이터는 장치와 별도로 보관되므로 안전하지 않은 네트워크를 통해 장치가 손상되더라도 데이터는 안전하게 유지됩니다.

직원들은 무엇을 할 수 있나요?

  • 가능하면 공용 네트워크를 피하세요.
  • 개인 핫스팟을 사용하거나 공공장소에서는 오프라인으로 작업하세요.
  • VPN을 사용하여 연결을 보호하세요.

데이터 처리에 대한 감독 감소

직원이 모두 재택근무를 하면 보안팀이 데이터 처리를 모니터링하기가 훨씬 더 어렵습니다. 그들이 걱정해야 할 장치와 서버, 네트워크가 더 많습니다. 또한 직원이 랩톱을 공개적으로 공개하고 대중이 민감한 데이터를 볼 위험도 있습니다.

당신은 무엇을 할 수 있나요?

  • 데이터가 모두 서버 내에 보관되어 있고 다운로드하거나 공유할 수 없는 경우 데이터 처리 위험이 훨씬 줄어듭니다.
  • 사용하기 위해 데이터를 다운로드해야 하는 경우 직원이 사용 중인 데이터를 완료하는 순간 해당 데이터를 클라우드에 다시 업로드하고 장치에서 삭제하도록 정책을 시행하십시오.
  • 원격 작업자가 사용할 수 있도록 회사에서 제공한 장치에 추적 소프트웨어를 구현합니다. 이를 통해 보안 팀은 개별 장치의 데이터 처리를 추적할 수 있습니다.
  • 시스템에 액세스하는 모든 장치의 세부 정보를 잠가 두십시오. 그러면 보안 팀이 필요한 소프트웨어를 사용하여 장치의 모든 회사 비밀번호, 데이터 또는 문서가 분실되거나 도난당했다고 보고되는 즉시 지울 수 있습니다.

직원들은 무엇을 할 수 있나요?

  • 분실된 기기는 즉시 신고하세요.
  • 가능하면 공개적으로 일하는 것을 피하세요. 그렇지 않은 경우 다른 사람이 화면을 볼 수 없도록 하세요.

이메일 사기 및 피싱 취약성

원격 근무자는 모든 근무자와 마찬가지로 피싱 및 이메일 사기의 위험에 처해 있습니다. 기업 환경을 벗어나면 부주의하고 인식이 바뀌어 원격 근무자가 더 취약해질 수 있습니다. 또한 직원들은 같은 공간에 있지 않을 때 동료로부터 이메일이 왔는지 여부를 확인할 수 없습니다.

당신은 무엇을 할 수 있나요?

  • 대화를 순환시키세요. 잠재적인 사기를 발견하는 방법과 직원이 사기를 당하고 있다고 생각하는 경우 어떻게 해야 하는지에 대한 세미나를 진행하세요.
  • 직원들이 피싱 사기 이야기를 접할 수 있도록 하세요.
  • 직원 이메일을 모니터링하여 잠재적인 사기를 차단합니다.

직원들은 무엇을 할 수 있나요?

  • 사기라고 생각되는 이메일을 즉시 상사에게 보내십시오.
  • 모르는 사람의 링크는 열지 마세요.
  • 이메일이 검사될 때까지 동료 및 알려진 고객의 이메일에만 응답하십시오.
  • 전화번호 등 이메일이 아닌 모든 동료의 연락처 정보를 갖고 있어야 합니다. 이를 사용하여 동료가 이메일을 보냈는지 여부를 확인하세요.

무인 장치

사무실과 마찬가지로 무인 장치는 큰 보안 위험을 초래합니다. 그러나 원격 근무에서는 다른 직원뿐만 아니라 누구나 내부에 보관된 데이터에 액세스할 수 있으므로 더욱 그렇습니다.

당신은 무엇을 할 수 있나요?

  • 비밀번호는 장치의 모든 데이터를 보호합니다.
    • 위에서 언급한 MFA는 추가 보안 계층을 제공합니다.
    • 데이터가 암호화되었는지 확인하세요. 이는 매우 특정한 디지털 키를 사용하지 않는 한 데이터를 읽을 수 없는 형식으로 뒤섞습니다. 이 특정 디지털 키는 해당 데이터에 액세스해야 하는 직원에게만 알려집니다.
  • 해당 데이터가 직전에 폐쇄된 경우에도 데이터에 액세스할 때마다 MFA를 통한 로그인이 필요한지 확인하십시오.
  • 직원은 해당 데이터에 대한 비밀번호만 알고 있으면 필요한 특정 데이터에만 액세스할 수 있습니다. 예를 들어 영업 직원은 인사 정보에 ​​액세스할 필요가 없습니다.

직원들은 무엇을 할 수 있나요?

  • 암호 보호 – McAfee에서는 강력한 암호를 보장하기 위해 암호에 대문자, 소문자, 특수 문자 및 숫자를 포함할 것을 제안합니다. 모든 업무용 장치에는 직원이 다른 사람에게 알려주지 않는 고유한 비밀번호가 있어야 합니다.
    • MFA: 직원은 MFA 코드를 보내거나 자신만이 답을 알 수 있는 개인 보안 질문을 보낼 수 있는 신뢰할 수 있는 장치를 보유해야 합니다.
  • 공공장소에 기기를 방치하지 마세요.
  • 장치를 사용하지 않을 때는 잠겨 있는지 확인하십시오.

규정 준수 및 데이터 규정

보안팀은 데이터 관행이 GDPR 규정을 준수하는지 확인해야 합니다.

  • 정해진 정책이 없으면 직원은 데이터 액세스 및 관리를 통해 GDPR 규정을 쉽게 위반할 수 있습니다.
  • 위에서 설명한 대로 직원이 액세스할 수 있는 데이터를 제한하고 보안 조치를 구현하면 법적 보안 규정을 훨씬 쉽게 준수할 수 있습니다.

보안과 직원 신뢰의 균형

회사의 데이터를 부주의나 악의적인 유출 및 내부 공격으로부터 보호하는 것이 중요합니다. 그러나 직원들에게 자신이 신뢰할 수 있다는 점을 알리는 것도 마찬가지로 중요합니다.

직원의 신뢰를 바탕으로 보안을 조정하는 것은 까다로울 수 있습니다. 이를 관리하기 위한 몇 가지 팁과 요령은 다음과 같습니다.

  • 직원에게 알리십시오. 직원들에게 어떤 보안 조치를 취하고 있는지 정확히 설명하고 그 이유를 설명하십시오 . 이는 신뢰 문제가 아니라 데이터를 보호하기 위한 안전 담요입니다.
  • 그들에게 사실을 알려주십시오. 대부분의 데이터 유출은 무고한 실수와 부주의로 인해 발생한다는 점을 설명합니다.
  • 일부 개인 정보 보호를 허용합니다 . 데이터베이스, 회사 사이트, 비즈니스 커뮤니케이션 등 추적 해야 할 사항을 추적하되 장치에서 이루어지는 모든 움직임을 추적하지는 마십시오. 직원들은 자신의 모든 행동이 감시당하고 있다는 느낌을 받을 자격이 없습니다.
  • 대화를 순환시키세요 . 데이터 유출, 위협 등에 대해 논의하는 가상 회의를 개최하세요. 데이터 유출 사례를 보내 요점을 입증하세요. 직원들에게 데이터 유출과 이를 방지하기 위해 할 수 있는 일에 대해 이야기하도록 하십시오.

결론

원격 근무자의 경우 이점과 위험을 모두 고려하는 것이 중요합니다.

사무실 공간 임대에 대한 걱정 없이 직원을 고용할 수 있으므로 스타트업 회사에 효율적이고 비용 효과적입니다. 원격 근무자는 또한 동기 부여가 더 잘 되고 원격 근무의 일과 삶의 균형을 즐기는 경향이 있습니다.

그러나 잠재적인 보안 유출을 고려하고 대비해야 합니다. 이는 직원을 신뢰하는 경우가 아닙니다. 유출의 대부분이 사람의 실수로 인한 경우도 아닙니다. 이는 원격 작업자가 누출 가능성을 최소화하면서 필요한 데이터에 액세스할 수 있도록 가능한 모든 조치를 취하는 것입니다.