소규모 비즈니스가 꼭 알아야 할 사이버보안 기초

대부분의 소규모 비즈니스에겐 탄탄한 사이버보안 기본 체계가 복잡하지 않습니다. 보통 시작은 멀티팩터 인증(MFA)입니다. 이는 앱 코드 같은 두 번째 로그인 단계를 뜻합니다. 그다음은 정기 패치 적용입니다. 즉 보안 업데이트를 설치하는 일입니다. 또한 신뢰할 수 있는 백업, 이메일 필터링, 그리고 간단한 직원 교육이 필요합니다.

좋은 관리형 IT 서비스 제공사(Managed IT services provider, MSP)는 이 기본 사항들을 쉬운 영어(plain English)로 설명할 수 있어야 합니다. 무엇을 대신 처리하는지, 아직 귀하의 팀이 해야 하는 일이 무엇인지, 무엇이 포함되지 않는지도 알려줘야 합니다.

정직한 제공사는 ‘무중단(Zero downtime) 보장’이나 ‘해킹이 불가능한 네트워크’ 같은 약속을 하진 않습니다. 실제 목표는 흔한 위험을 줄이고, 문제를 더 빨리 발견하며, 문제가 생겼을 때 복구가 덜 고통스럽게 진행되도록 만드는 것입니다.

작은 사무실, 클리닉, 매장, 창고, 음식점 그룹, 또는 전문직 사무소를 운영한다면, 대부분의 일상 리스크는 특별한 것에서 오기보다 흔한 일에서 시작됩니다. 재사용하는 비밀번호. 업데이트를 놓친 오래된 노트북. 가짜 인보이스 이메일. 직원이 잘못된 링크를 클릭. 보기엔 괜찮아 보이지만 실제로는 복구가 안 되는 백업.

그래서 기본 사항이 이렇게 중요합니다. 이 기본들은 비즈니스를 더 어렵게 만들지 않으면서 가장 흔한 문제들을 커버합니다. 또한 루틴을 만들어 줍니다. 기기는 업데이트되고, 신규 직원은 올바르게 셋업됩니다. 퇴사하는 직원은 접근 권한을 빠르게 잃습니다. 의심스러운 이메일은 필터링되거나 표시됩니다. 중요한 파일은 백업되고 테스트됩니다.

여기에 ‘명확한 절차’가 도움이 됩니다. 누가 소프트웨어를 승인하나요? 누가 새 컴퓨터를 구매할 수 있나요? 누가 관리자 권한을 갖나요? 은행 변경 사항은 어떻게 확인하나요? 이런 간단한 규칙은 비용이 큰 실수를 막아주는 경우가 많습니다.

제공사를 비교한다면, 귀하의 업종과 규모에 맞춰 보안을 어떻게 처리하는지 물어보세요. 업계 및 주(州) 요구사항은 달라질 수 있습니다. 헬스케어, 결제, 법률, 규제가 강한 업무는 일반적인 사무실보다 더 많은 통제가 필요할 수 있습니다.

이메일, 파일 저장소, 원격 액세스 도구, 그리고 중요한 비즈니스 앱 전반에 대해 MFA부터 시작하세요. 이메일은 특히 중요합니다. 한 메일함이 종종 인보이스, 비밀번호 재설정, 고객 메시지, 내부 승인과 연결되기 때문입니다. 이메일이 약하면, 다른 많은 시스템도 노출될 수 있습니다.

다음은 패치 적용입니다. 이는 보안 수정 사항이 포함된 업데이트를 컴퓨터, 휴대폰, 네트워크 장비, 비즈니스 소프트웨어에 꾸준히 적용하는 것을 뜻합니다. 업데이트를 얼마나 자주 검토하는지, 긴급 이슈는 어떻게 처리하는지, 그리고 사무실에 거의 없는(상주가 적은) 기기는 어떻게 다루는지 물어보세요.

그다음은 엔드포인트 보호를 확인하세요. 엔드포인트는 노트북, 데스크톱, 휴대폰 같은 사용자 기기 전반을 의미합니다. 일부 제공사는 EDR(Endpoint Detection and Response)처럼 의심스러운 활동을 기기에서 탐지하고 대응하는 데 도움이 되는 도구를 사용합니다. 브랜드 이름을 알 필요는 없습니다. 중요한 건 제공사가 무엇을 관찰하는지, 그리고 이상 징후가 보일 때 어떤 조치를 하는지 이해하는 것입니다.

백업도 그만큼 중요합니다. 3-2-1 백업 방식(중요 데이터 3개의 사본, 서로 다른 저장 장치 2종, 그중 1개는 오프사이트(offsite) 보관)을 따르는지 물어보세요. 또한 복원이 얼마나 자주 테스트되는지도 확인해야 합니다. 백업은 실제로 복구할 수 있어야만 의미가 있습니다.

이메일 필터링도 대화에 포함되어야 합니다. 이는 직원에게 도달하기 전에 스팸, 악성코드, 가짜 로그인 페이지, 가장(사칭) 시도 등을 차단하거나 표시하는 ‘스크리닝’입니다. 전부를 잡아내진 못하므로 직원의 인지(awareness) 역시 여전히 중요합니다.

마지막으로 사용자 셋업과 퇴사자 처리(offboarding), 비밀번호 규칙, 관리자 권한, 보안 인식 교육에 대해 물어보세요. 짧고 실용적인 교육은 긴 강의보다 보통 더 잘 작동합니다. 직원들은 가짜 이메일을 식별하고, 금전 요청을 확인하며, 이상 징후를 발견하면 빠르게 보고할 수 있어야 합니다.

소규모 비즈니스의 사이버보안 비용은 폭이 꽤 큽니다. 실제 금액은 인원 수, 기기 수, 보안 요구사항, 위치, 그리고 야간/휴일 지원이 필요한지, 컴플라이언스(규정 준수) 지원이 필요한지, 프로젝트 작업이 필요한지에 따라 달라집니다. 아래 범위는 견적이 아닙니다.

많은 소규모 비즈니스에서는 관리형 IT와 기본 보안이 함께 묶여(또는 같이 제공되어) 대략 ‘사용자 1인당 월 $100~$250’ 정도의 구간에 있는 경우가 많습니다. 일부 지역이거나 구성이 비교적 가벼우면 더 낮을 수도 있습니다. 규제가 더 강하거나 보안 중심 환경이라면 더 높을 수 있습니다.

일부 항목은 하나의 월간 플랜에 포함될 수 있고, 다른 항목은 별도로 청구될 수 있습니다. 예를 들어 고급 이메일 보호, EDR, 백업 저장소, 보안 인식 교육, 또는 가상 최고정보책임자(vCIO, virtual chief information officer) 같은 항목은 포함되거나 별도 가격으로 책정될 수 있습니다. vCIO는 예산 편성, 계획, 우선순위 설정을 돕는 파트타임 시니어 IT 자문 역할입니다.

또한 시스템이 낡았거나 정리되지 않았거나 기본 통제가 빠져 있다면, 셋업 비용이나 1회성 프로젝트 비용을 보게 될 수도 있습니다. 이는 정상적인 흐름입니다. 중요한 건 제공사가 월간으로 수행할 작업, 1회성 정리(cleanup), 그리고 플랜의 한계를 명확한 말로 설명할 수 있는지입니다.

전문가 수준으로 기술을 익힐 필요는 없습니다. 다만 몇 가지 직접적인 질문은 필요합니다. 무엇이 포함되는지, 무엇이 추가인지, 얼마나 빨리 응답하는지, 그리고 보안 작업을 어떻게 보고하는지 물어보세요. 또한 RMM(Remote Monitoring and Management, 원격 모니터링 및 관리)을 사용하는지 확인하세요. RMM은 제공사들이 장치의 상태를 관찰하고 원격으로 정기 유지보수를 수행하는 데 쓰는 소프트웨어입니다. 그 다음엔 그 도구를 통해 무엇을 볼 수 있고, 무엇은 볼 수 없는지도 물어보면 좋습니다.

서비스 수준 협약(SLA, Service Level Agreement)도 요청하세요. SLA는 응답 목표, 커버리지(서비스 제공 시간대), 서비스 범위를 설명하는 문서입니다. 이는 ‘무엇도 절대 실패하지 않는다’는 약속이 아닙니다. 다만 도움이 필요할 때 어떤 일이 실제로 진행되는지를 글로 적어 둔 설명입니다.

헬스케어 정보를 다루거나 결제 카드(payments)를 취급하거나, 더 큰 규모의 회사들과 함께 일한다면 일반적인 요구사항을 어떻게 지원하는지 물어보세요. HIPAA는 의료 정보에 대한 Health Insurance Portability and Accountability Act를 의미합니다. PCI는 보통 카드 결제를 처리하는 비즈니스를 위한 Payment Card Industry Data Security Standard를 뜻합니다. SOC 2는 많은 대형 벤더와 파트너가 참고하거나 요청하는 공통 보안 보고 체계입니다. 요구사항은 업계와 주에 따라 달라지므로, 정답은 귀하의 상황에 따라 달라집니다.

옵션 비교가 필요하다면, NodeBridge IT가 기본 개념을 이해하고 독립적인 관리형 IT 제공사와 연결하는 데 도움을 줄 수 있습니다. 저희 서비스는 비즈니스를 위한 무료입니다. 저희는 비밀번호나 시스템 접근 권한이 아니라, 비즈니스 및 연락처 정보를 수집합니다.

먼저 지금 보유한 것들을 짧게 목록으로 정리하세요. 인원, 컴퓨터, 위치, 핵심 소프트웨어, 그리고 업종에 따른 특별한 요구사항이 무엇인지 세어보세요. 가짜 이메일, 오래된 장비, 형편없는 Wi-Fi, 백업에 대한 걱정, 또는 IT를 담당하는 사람이 없는 상황 같은 ‘불편 포인트’를 적어두세요.

둘째로, 향후 12개월 동안 ‘충분히 좋은 상태(good enough)’가 무엇인지 결정하세요. 대부분의 비즈니스는 놀람이 줄고, 도움이 더 빨리 오고, 이메일이 더 안전해지고, 백업이 실제로 동작하며, 월간 플랜이 명확하기를 원합니다. 이는 시작점으로 충분히 합리적입니다.

셋째로, 어떤 계약이든 서명하기 전에 충분히 알아보세요. 저희의 답변 페이지에서 더 쉬운 언어의 질문들을 살펴보거나, 규모, 지역, 필요에 맞는 독립 제공사를 찾는 데 도움이 필요하다면 매칭 받기(get matched)를 이용할 수 있습니다.

첫날부터 ‘완벽한 보안’이 필요하진 않습니다. 실용적인 기본 체계, 명확한 책임(소유권), 그리고 꾸준한 후속 진행이 필요합니다.