업무용 이메일을 어떻게 보호하나요?

비즈니스 이메일을 안전하게 하려면, 가장 흔한 문제를 막아 주는 제어부터 시작하세요. 강력하고 고유한 비밀번호를 사용합니다. 멀티팩터 인증, 즉 MFA를 켜세요. MFA는 사용자가 휴대폰 앱 코드 같은 두 번째 단계를 거쳐야 로그인할 수 있다는 뜻입니다. 기기와 이메일 앱을 최신 상태로 유지합니다. 링크를 누르기 전, 첨부파일을 열기 전, 또는 돈을 보내기 전에는 직원들이 잠깐 멈춰 확인하도록 교육하세요.

그다음 이메일 시스템 주변에 ‘업무용 수준’의 추가 보호를 더합니다. 보통 스팸 및 피싱 필터링, 로그인 알림, 사서함 백업, 회사 밖으로 이메일을 전달할 수 있는 사람에 대한 규칙, 그리고 누군가 퇴사했을 때 접근 권한을 빠르게 제거하는 절차가 포함됩니다.

이게 너무 많게 느껴지더라도 괜찮습니다. 대부분의 소규모 사업체는 이 모든 것을 혼자 관리하지 않습니다. 많은 업체가 MSP(관리형 IT 서비스 제공업체)와 함께 일하며, 이러한 보호를 설정하고 검토하고 유지하는 데 도움을 받습니다. NodeBridge IT는 MSP나 보안 회사가 아닙니다. 일반 정보를 제공하며 도움을 받아 찾기로 독립적인 관리형 IT 제공업체를 연결받을 수 있습니다.

이메일은 종종 다른 비즈니스 시스템으로 들어가는 ‘문’ 역할을 합니다. 한 직원의 사서함에 누군가 접근하면 비밀번호 재설정 시도를 하거나, 송장을 읽거나, 연락처를 복사하거나, 당신의 팀인 것처럼 가장할 수 있습니다. 많은 소규모 사업체에서 이메일은 파일 저장, 캘린더, 급여 공지, 벤더(거래처) 커뮤니케이션과 연결되어 있습니다.

많은 이메일 공격은 기술적으로 고도화되어 있지 않습니다. 바쁜 사람들을 노립니다. 가짜 송장, 배송 알림, 은행 정보 변경 요청, 또는 소유자가 보낸 것처럼 보이는 메시지만으로도 충분할 수 있습니다. 좋은 이메일 보안은, 한 번의 급한 클릭이 더 큰 비즈니스 문제로 번질 가능성을 낮춰 줍니다.

또한 신뢰와 기록 관리에도 도움이 됩니다. 고객, 거래처, 직원들은 비즈니스 이메일이 안정적이고 전문적으로 관리되길 기대합니다. 업종과 주(지역)에 따라, 정보를 보호하기 위한 법적 또는 계약상 요구사항이 있을 수 있습니다. 예를 들어 HIPAA는 Health Insurance Portability and Accountability Act(건강보험 양도·책임에 관한 법)를 뜻하며, 특정 의료 정보에 적용됩니다. PCI는 Payment Card Industry Data Security Standard(결제 카드 산업 데이터 보안 표준)로, 결제 카드 데이터(결제정보)를 처리할 때 적용됩니다. 요구사항은 업종과 주에 따라 다릅니다.

좋은 이메일 보안은 한 가지 도구가 아닙니다. 단순한 ‘여러 겹의 층’으로 구성됩니다. 첫째, 모든 사서함에 강력하고 고유한 비밀번호가 있고 MFA가 켜져 있어야 합니다. 둘째, 이메일 제공업체의 보안 설정을 검토해야 하며 기본값에 그대로 두면 안 됩니다. 셋째, 직원들이 의심스러운 메시지를 식별하는 방법과 확신이 없을 때 어떻게 해야 하는지를 알아야 합니다.

또한 명확한 규칙이 있어야 합니다. 누가 송금 변경을 승인할 수 있나요? 누가 급여 파일을 보낼 수 있나요? 누가 이메일 전달 규칙을 만들 수 있나요? 전화기나 노트북을 분실하면 어떻게 되나요? 작은 문서화된 절차 하나가 비용이 큰 실수를 막을 수 있습니다.

기술적인 측면에서는 스팸 필터링, 피싱 보호, 로그인 모니터링, 기기 업데이트 정책, 중요한 이메일 데이터에 대한 백업이 포함되는 경우가 많습니다. 일부 업체는 공유 사서함에 대한 더 강한 제어, 법적 보관(리텐션), 이메일로 전송되는 모바일 기기, 민감 정보에 대한 추가 관리도 필요할 수 있습니다.

정직한 제공업체라면 ‘무중단 0(제로) 보장’이나 ‘해킹 불가능한 네트워크’는 약속하지 않습니다. 목표는 위험을 줄이고, 문제를 더 일찍 발견하며, 문제가 생겼을 때도 체계적으로 복구하는 것입니다.

가장 가치가 큰 기본부터 시작하세요. 모든 이메일 계정에 MFA를 켭니다. 특히 소유자, 재무 담당자, 관리자는 우선순위로 합니다. 오래된 계정과 공유 로그인은 제거하세요. 각 사람이 자신의 계정을 갖고 있는지 확인합니다. 전달 규칙과 복구 이메일 주소를 검토하세요. 과거 직원이 아직 접근 권한을 가지고 있다면 즉시 제거하십시오.

다음은 기기입니다. 이메일은 ‘여는’ 휴대폰, 태블릿, 컴퓨터만큼만 안전합니다. 운영체제와 이메일 앱을 최신 상태로 유지하세요. 화면 잠금(스크린 락)을 사용합니다. 직원들이 비즈니스 이메일을 알 수 없는 앱이나 공용 컴퓨터와 섞어 사용하지 못하게 하세요. 업무용으로 개인 휴대폰을 사용하는 경우, IT 제공업체에 최소한으로 요구해야 할 보안 설정이 무엇인지 문의하세요.

그다음 직원들의 습관을 점검합니다. 결제 변경은 이메일에 적힌 번호가 아니라, 알고 있는 번호로 전화를 걸어 확인하도록 가르치세요. 긴급 메시지, 기프트 카드 요청, 로그인 링크에는 특히 주의하세요. 신고(리포팅)를 권장합니다. 추측하기보다 직원이 질문하는 편이 낫습니다.

무엇을 확인해야 할지 잘 모르겠다면, 저희 답변에서 자주 묻는 질문을 다루고 있으며, 서비스 페이지에서는 관리형 IT 제공업체가 보통 무엇을 돕는지 설명합니다.

사용자가 몇 명을 넘어서는 경우, 민감한 정보를 다루는 경우, 또는 의심스러운 이메일 활동이 있었던 경우에는 외부 도움을 받을 시점일 수 있습니다. 독립적인 관리형 IT 제공업체는 현재 구성(세팅)을 검토하고, 빈틈(갭)을 쉬운 말로 설명하며, 우선순위를 정하는 데 도움을 줄 수 있습니다.

또한 관련 도구와 정책도 함께 도울 수 있습니다. 예를 들어 엔드포인트(endpoint)는 노트북, 데스크톱, 또는 휴대폰처럼 비즈니스 시스템에 연결되는 기기를 뜻합니다. 패치(patching)는 소프트웨어와 보안 업데이트를 적용하는 것을 말합니다. EDR은 endpoint detection and response(엔드포인트 탐지 및 대응)로, 기기에서 의심스러운 활동을 탐지하는 데 도움을 주는 도구입니다. RMM은 remote monitoring and management(원격 모니터링 및 관리)로, 많은 제공업체가 기기 상태와 유지보수를 모니터링하는 데 사용하는 소프트웨어입니다. vCIO는 virtual Chief Information Officer(가상(원격) 정보 책임자)로, 비즈니스 수준에서 IT 계획과 의사결정을 돕는 사람을 말합니다.

원하시면 NodeBridge IT가 연결해 드릴 수 있습니다—독립적인 관리형 IT 제공업체와요. 매칭을 돕기 위해 기본적인 비즈니스 정보와 연락처만 수집합니다. 저희는 고객님의 시스템, 네트워크, 계정을 관리하거나 모니터링하거나 보안 처리하지 않으며, 수리하거나 접근하지도 않습니다.

소규모 사업체의 경우, 이메일 보안 비용은 기본 보호만 적용할 때 사용자당 월 몇 달러 수준에서 시작해, 고급 보안 도구, 모바일 기기 제어, 컴플라이언스(규정 준수) 지원, 교육, 그리고 직접적인 IT 지원을 추가하면 훨씬 더 늘어날 수 있습니다. MSP를 고용하면 월별 지원 비용이 보통 사용자당, 기기당 또는 번들 형태의 패키지로 책정됩니다.

정확한 금액은 인원 수, 기기 수, 보안 요구사항, 지역, 그리고 일부 보호가 포함된 비즈니스 이메일 플랫폼을 이미 사용 중인지 여부에 따라 달라집니다. 아래 범위는 견적이 아닙니다. 계획을 위한 출발점에 불과합니다.

좋은 제공업체라면 무엇이 포함되는지, 무엇이 선택 사항인지, 그리고 무엇이 직원의 행동과 비즈니스 프로세스에 따라 달라지는지 설명해 줘야 합니다. 범위가 명확한 것이 중요합니다. 무엇을 설정하는지, 무엇을 모니터링하는지, 알림을 어떻게 처리하는지, 그리고 사용자가 질문할 때 어떤 지원을 제공하는지 물어보세요.