[구노하우 88] 기업의 영업비밀을 지키기 위한 보안 가이드
블록체인 기반 연구노트 솔루션 ’구노’를 개발하는 레드윗의 김지원 대표입니다. ‘구노하우’는 많은 스타트업이 겪는 고민에 대한 해결책을 안내해드리는 칼럼입니다.
기업이 가장 먼저 시행해야 할 일은 무엇일까요? 바로 영업비밀과 같은 기업의 핵심 정보를 지키기 위하여 보안 인프라를 구축하는 일입니다. 최근 대기업을 중심으로 보안 의식이 높아졌으나 아이디어로 이제 막 창업한 스타트업은 아직도 보안 의식이 약한데요. 오늘은 핵심 정보를 지키기 위한 보안 방법에 대하여 알아보겠습니다.
정보 보안 정책 수립 및 교육
정보 보안 정책은 기업의 데이터 보호를 위한 기준과 절차를 정의한 문서로, 접근 권한 관리, 암호 정책, 보안 업데이트 및 사고 대응 절차 등을 포함합니다. 법적 규제 준수와 정기적인 점검이 필요하며, 이를 통해 보안을 강화합니다. 그리고 피싱 및 악성 이메일 방지, 소셜 엔지니어링 대응 등의 보안 교육과 정기적인 모의 훈련 및 테스트를 통해 직원의 보안 의식을 높입니다.
그 전에 제일 먼저 해야 할 것은 바로 기업의 핵심 비밀 정보가 무엇인지 파악하는 것입니다. 핵심 비밀 정보는 기업의 비즈니스나 사업장 환경에 따라서 다양하게 정의될 수 있는데 분류가 막막하다면 ‘영업비밀 등급 분류 가이드’를 참고하는 것도 방법입니다.
데이터 암호화
중요한 데이터는 암호화를 통해 전송 및 저장되어야 합니다. 특히 이메일, 파일 전송 등의 과정에서 해킹 위험을 방지하기 위해 암호화 기술을 사용하는 것이 좋습니다. 일반적인 텍스트 문자를 읽을 수 없는 형식으로 변환하는 알고리즘을 사용하는 암호화 기술은 데이터를 변환하여 승인된 사용자만이 읽을 수 있도록 합니다.
접근 제어
영업비밀에 대한 접근 권한을 최소한의 직원들에게만 부여하고, 정보 관리 시스템에서 권한 관리를 철저히 해야 합니다. 그리고 영업비밀 취급자는 보안 서약서, 퇴직 시 전직 금지 약정서 등을 작성하도록 하는 것이 좋습니다.
정기적인 보안 점검 및 업데이트
정기적인 보안 점검 및 업데이트는 사이버 위협에 대비해 시스템과 네트워크의 취약점을 사전에 발견하고 해결하는 과정입니다. 네트워크, 시스템 로그 분석과 취약점 스캐닝을 통해 위협을 탐지하고, 최신 보안 패치와 업데이트로 시스템의 취약점을 해결합니다.
물리적 보안
물리적 보안은 기업 자산과 정보를 물리적인 위협으로부터 보호하는 데 중점을 둡니다. 출입 카드, 생체 인식, PIN 번호 등을 활용하여 민감한 구역에 대한 접근을 통제하며, 방문자 관리를 통해 외부인의 출입을 관리합니다. 보안 장치로는 CCTV, 경보 시스템, 보안 도어락, 보안 조명 등이 있으며, 이는 침입 시 즉각적인 탐지와 경고를 제공합니다.
사이버 보안 도구 사용
사이버 보안 도구들은 외부 해킹 시도, 악성 소프트웨어 감염, 내부 보안 위협 등으로부터 중요한 자산을 안전하게 지킬 수 있습니다. ‘방화벽(Firewall)’은 네트워크 트래픽을 필터링하여 불필요한 접근을 차단하고, ‘침입 탐지 시스템(IDS)’은 비정상적인 활동을 모니터링해 침입을 탐지합니다. ‘침입 방지 시스템(IPS)’은 탐지 후 자동으로 공격을 차단하며, ‘안티바이러스 소프트웨어’는 악성 소프트웨어를 실시간으로 감지하고 제거합니다. 그리고 ‘가상 사설 네트워크(VPN)’는 암호화를 통해 안전한 원격 접근을 제공하고, ‘보안 정보 및 이벤트 관리(SIEM)’는 다양한 보안 이벤트를 통합 관리하여 신속한 대응을 돕습니다.
데이터 백업 및 재해 복구 계획 마련
정기적 백업은 중요한 데이터를 주기적으로 백업하여 데이터 손실에 대비합니다. 이 백업은 안전한 위치에 보관되고 암호화되어야 합니다. 더불어 ‘재해 복구 계획(DR)’을 수립하여 사이버 공격, 자연재해 등 예기치 않은 사고에도 빠르게 데이터와 시스템 복구할 수 있도록 대비합니다.
기밀유지 협약(NDA)
‘기밀유지 협약서(NDA)’는 사업 기밀이나 주요 정보를 공유할 때 일반적인 사용을 제한하는 계약입니다. 기밀유지 협약서를 통해 당사자 간에 어떤 종류의 영업비밀을 보호하면서 신뢰 관계를 유지할 수 있으므로 핵심 사업 정보를 보호할 수 있습니다.
사고 대응 계획
사고 대응 계획은 보안 사고 발생 시 피해를 최소화하기 위한 절차입니다. 대응팀은 책임자, IT 보안 전문가, 법무팀, 홍보팀 등으로 구성되며, 각자의 역할이 명확히 정의됩니다. 대응 절차는 주로 준비, 탐지 및 분석, 격리, 제거, 복구, 사후 분석의 6단계로 이루어집니다. 정기적인 모의 훈련과 교육이 필수적입니다.
기업에서 기술력은 곧 기업의 존폐를 좌우하는 핵심 자산입니다. 보안 인프라 구축을 비용이 아니라 기업의 장래를 책임질 투자라고 생각하기를 바랍니다.
글: 김지원 / 전자연구노트 솔루션 개발사 레드윗 대표 / 저자 블로그