회사 내에서 개인 정보 보안 팁 & 절대 하지 말아야 할 것

보통 규모가 크고 첨단 기술을 가지고 있고 경쟁력 있는 회사일수록 일반 중소 규모 기업보다 IT 보안 시스템이 체계적으로 관리되고 있을 가능성이 높습니다. 빌딩 출입용 스마트카드 및 지문 인식 시스템, RSA 토큰, 윈도우 계정, 지문인식, 암호화된 저장기기, 바이러스 백신, 인트라넷, VPN 연결, 네트워크 방화벽, 스팸메일 필터링 시스템, 파일 백업 시스템, 중앙화된 소프트웨어 분배 시스템, CCTV 등 정말 다양한 종류의 시스템이 기업의 IT 보안 정책에 의해 통제 및 관리되고 있습니다. 꼭 이렇게까지는 아니더라도 기업 규모와 상관없이 일반 개인이 회사 내에서 각종 IT 기기를 사용하면서 자주 실수하고 미처 깨닫지 못하는 보안상 위험에 대해 설명해 드리겠습니다.

 

 

 

 

• 사내 IT 기기에 절대 사적인 정보가 담긴 파일을 저장하지 않는다. (급여명세서, 통장잔고, 병원 진단, 보험 관련 파일 등)
• 한 대의 PC에 여러 사용자가 함께 로그인해서 사용하는 경우 윈도우 관리자 권한만 얻으면 다른 사용자 계정 폴더에 손쉽게 접근할 수 있다. (바탕화면, 내 문서, 즐겨찾기, 내 그림, 다운로드 폴더 등)
• 네트워크 공유 폴더(보통 내컴퓨터에 X, Y, Z 드라이브로 등록되어 있는 \\network_folder_address\ 형식의 주소)에 파일을 저장하는 경우 기업에 따라서 매일매일 자동으로 백업이 되는 시스템을 운영하기도 한다. 그런 환경에서는 당장 파일을 지운다고 하더라도 그 전에 이미 백업된 파일은 한동안 서버 어딘가에 보존될 것이다. 네트워크 공유 폴더에 파일을 저장할 때는 신중을 기한다.
• 회사에서 제공 받은 업무용 USB, 외장하드는 분실 등의 상황에 대비해 항상 비트라커 등으로 암호화한다.
• 회사에서 공식적으로 허용하지 않은 소프트웨어의 설치를 최대한 줄인다. (바이러스, 말웨어, 악성코드 감염 및 해킹의 우려가 있음)
• 정식 라이센스가 없이 크랙이나 불법 시리얼번호를 이용하여 소프트웨어를 사용하지 않는다. (법인 사용자의 경우 소송이 들어올 가능성이 개인 불법 사용자보다 높음)
  
• 개인용 USB, 외장하드, 스마트폰을 사내 IT기기와 연결하지 않는다. (바이러스, 말웨어, 악성코드 감염 및 해킹의 우려가 있음)
• 업무와 관련된 메일은 반드시 회사 계정 이메일을 사용하고 개인 이메일 계정 사용을 피한다. (개인 이메일 계정 해킹 등으로 업무 자료가 유출될 가능성이 있음)
• 업무용으로 사용하는 어플리케이션, 시스템의 아이디와 비밀번호는 유출을 막기 위해 절대 평문으로 일반 문서 파일(한글, 워드, 엑셀, 메모장 등)에 저장하지 않고 반드시 암호를 걸어서 저장한다. 또한 아이디와 비밀번호를 절대 동료나 다른 사람과 공유하지 않는다.
• 사내 메일이나 메신저로 업무와 관련되지 않은 사적인 이야기는 되도록 피한다. 모든 메일과 메신저 기록은 중앙 서버에 저장되며 시스템에 따라서 관리자가 접근을 할 수도 있다. 
• 회사에서 제공받은 스마트폰이나 개인용 스마트폰에 특정 앱을 설치해서 회사 네트워크 망에 연결하는 경우 관리자 권한을 가진 사람은 사용자의 스마트폰에 어떤 어플리케이션이 설치되어 있는지 확인할 수 있고 기기 분실의 경우 보안 정책에 따라 강제로 기기를 초기화할 수도 있다.
• 인터넷으로 접속하는 사이트 리스트는 프록시 서버 등에 기록될 수 있으며 시스템 혹은 네트워크 관리자가 모니터링 할 수 있다.
• 사내 네트워크 프린터(복합기)로 절대 사적인 문서를 스캔하거나 프린트하지 않는다. 프린터 설정에 따라 작업 수행한 문서가 프린터 내부에 설치된 저장매체 혹은 프린터와 연결된 서버에 저장될 수도 있고 사용자의 프린터 이용 시간과 몇 페이지를 프린트 했는지도 확인이 가능하다.
• 사내 IT 기기에 자신에게 불리하게 작용할 가능성이 있는 정보 자체를 저장하지 말고 의심받을 수 있는 행위 자체를 시도하지 말 것. (다른 사람 아이디로 로그인 시도하면 시스템에 기록이 남음)
• 사내 IT 기기에 저장된 모든 사용자의 정보는 특정 직원이 회사 내에서 불법적인 일에 연루될 경우 법적 근거자료로 활용될 수 있다. 그 뿐만 아니라 주변 동료에 의해 주인의 동의를 받지 않은 상태로 악용될 가능성도 존재한다.
• 서버나 데이터베이스를 담당하는 경우 보안을 위해 사용자의 모든 작업 내역(키보드 타이핑, 명령어, SQL 쿼리)을 기록하는 솔루션이 작동 중일 수 있으므로 권한 밖을 벗어나거나 불필요한 작업을 하지 않는다.
  
• 간혹 사측에서 민감하게 여기는 특정 단어나 키워드(하도급, 계약, 리베이트, 경상수익, 상법 등)를 모니터링 시스템을 이용하여 감시하는 회사들이 있는데 사용자가 그러한 단어가 적힌 문서를 인터넷, 메일, USB 등으로 유출하는 경우 감지가 된다.