사이버보안 준비 체크리스트

많은 소규모 사업장은 보안이 중요하다는 건 알고 있지만, “지금 당장 충분히 좋은 상태”가 어떤 모습인지 확신하지 못합니다. 이 체크리스트는 실용적인 시작점을 제공합니다. 계정 보호, 소프트웨어 업데이트, 백업, 직원의 습관처럼 일상에서 흔히 발생하는 위험을 줄이는 기본 사항에 초점을 둡니다.

이걸 쓰는 데 기술 지식은 필요 없습니다. 각 항목에 대해 예/아니오/잘 모르겠음을 답할 수 있다면 충분합니다. “잘 모르겠음”도 유용합니다. 보통 그 과정이 비공식적이거나 문서화되어 있지 않거나, 한 사람에게만 의존하는 상황을 뜻하기 때문입니다.

이 내용은 일반적인 교육용 정보이며 보안 평가가 아닙니다. 요구사항은 업종과 주(州)에 따라 달라질 수 있습니다. 의료, 결제, 법률 또는 기타 민감한 데이터를 다룬다면 추가로 따라야 할 규칙이 있을 수 있습니다.

각 항목을 검토하고 한 가지 답을 표시하세요: 예, 아니오, 잘 모르겠음. 솔직하게 답하세요. 목표는 완벽한 점수가 아닙니다. 목표는 오늘의 위치를 파악하는 것입니다.

만약 대표 또는 사무실 매니저라면, 컴퓨터, 소프트웨어, 또는 벤더를 담당하는 사람이 있는 의견을 받아서 답해보는 것이 좋을 수 있습니다. 암호, 네트워크 정보, 시스템 접속 권한은 보내지 마세요. 저희는 요청하실 때 공급업체를 찾아드리기 위해 기본적인 사업 및 연락처 정보를 수집할 뿐이며, 그 이상은 수집하지 않습니다.

좋은 기준은 간단합니다. 보안 단계가 “누군가가 기억할 때만” 일어난다면 아니오로 세세요. 정기적으로 일어나고, 문서화되어 있으며, 그 과정을 아는 사람이 한 명 이상이라면 예로 세세요.

각 항목을 예, 아니오, 잘 모르겠음으로 점수화하세요.

1. 이메일, 회계, 뱅킹, 파일 저장소 및 기타 중요한 시스템에 다중 인증(Multi-Factor Authentication, MFA)이 켜져 있습니다. MFA는 비밀번호만이 아니라 앱 코드나 보안 키처럼 로그인 시 두 번째 단계가 필요하다는 뜻입니다.

2. 각 직원이 고유한 계정을 갖고 있습니다. 공유 로그인은 피합니다(특히 이메일, 재무, 관리자 도구).

3. 이전 직원과 오래된 벤더가 계정, 소프트웨어, Wi-Fi, 기기에서 신속히 제거됩니다.

4. 비밀번호는 강력하고 고유합니다. 팀은 스프레드시트나 노트에 비밀번호를 재사용하는 대신 비밀번호 관리자를 사용합니다.

5. 컴퓨터, 휴대폰, 라우터, 비즈니스 앱이 정기적으로 업데이트됩니다. 패치(patching)는 보안 및 버그 수정 업데이트를 설치하는 것을 의미하며, 알려진 취약점이 악용될 가능성을 낮춥니다.

6. 백신(바이러스 방지) 또는 최신 형태의 기기 보호가 비즈니스 컴퓨터에 설치되어 있고 활성화되어 있습니다. 엔드포인트(endpoint)는 노트북, 데스크톱, 휴대폰, 태블릿처럼 비즈니스 시스템에 연결되는 기기를 말합니다. EDR(Endpoint Detection and Response, 엔드포인트 탐지 및 대응)은 일부 제공업체가 해당 기기에서 의심스러운 활동을 찾아내고 조사하기 위해 사용하는 더 고급 도구입니다.

7. 중요한 데이터가 자동으로 백업되며, 가끔 손으로 복사하는 수준에 그치지 않습니다.

8. 백업은 때때로 파일 또는 시스템을 복원해 테스트하여, 백업이 실제로 사용 가능한지 확인합니다.

9. 백업 방식이 대략 3-2-1 백업 규칙을 따릅니다. 즉, 중요한 데이터 사본을 3개 보유하고, 2가지 유형의 저장 매체에 나누어 두며, 1개 사본은 오프사이트 또는 클라우드에 보관합니다.

10. 직원들은 의심스러운 이메일, 가짜 인보이스, 예기치 않은 로그인 프롬프트를 인지하는 방법을 알고, 최소 1년에 1~2회는 간단한 보안 교육을 받습니다.

11. 직원이 부끄럽다는 느낌 없이 의심스러운 무언가를 빠르게 보고할 수 있는 명확한 방법이 있습니다.

12. 비즈니스용 Wi-Fi는 보안이 설정되어 있고 강력한 비밀번호를 사용합니다. 가능하다면 게스트 Wi-Fi는 비즈니스 기기와 별도로 운영합니다.

13. 관리자 권한은 정말로 필요한 소수 인원에게만 제한됩니다. 모든 사람이 소프트웨어를 설치하거나 보안 설정을 변경하거나 모든 파일에 접근할 수 있어서는 안 됩니다.

14. 귀사는 비즈니스에 의존하는 기기와 핵심 소프트웨어가 무엇인지 알고 있습니다. 복잡할 필요는 없지만, 현재 목록이 있어야 합니다.

15. 원격 근무는 화면 잠금, 승인된 기기, 파일 및 앱에 대한 안전한 접속 같은 기본 규칙으로 관리됩니다.

16. 카드 결제, 건강 정보 또는 기타 규제 대상 데이터를 수집한다면, 어떤 규칙이 적용될 수 있는지 알고 있습니다. PCI는 결제 카드 보안 요구사항을 의미합니다. HIPAA는 미국의 건강보험 양도 및 책임에 관한 법(Health Insurance Portability and Accountability Act)으로, 미국 내 특정 의료 정보에 적용됩니다. SOC 2는 일부 소프트웨어 벤더가 보안 통제를 어떻게 처리하는지 보여주기 위해 사용하는 보고 기준입니다.

17. 의심스러운 로그인, 노트북 분실, 랜섬웨어(ransomware) 같은 문제가 생겼을 때 누구에게 연락해야 하는지 알고 있습니다. 연락처 목록이 아주 간단하더라도, 스트레스 많은 하루 중에 알아내느라 시간을 쓰는 것보다는 낫습니다.

18. 주요 소프트웨어 벤더와 IT 제공업체가 문서화되어 있으며, 최신 지원 연락처와 갱신(renewal) 날짜가 정리되어 있습니다.

19. 외부 회사가 IT를 도와준다면, 그들이 무엇을 책임지고 무엇을 책임지지 않는지 이해하고 있습니다. SLA(서비스 수준 계약, service level agreement)는 계약서에서 대응 목표와 서비스 범위를 설명하는 부분입니다. RMM(Remote Monitoring and Management, 원격 모니터링 및 관리)은 많은 관리형 제공업체가 기기 상태를 모니터링하고 업데이트를 적용하며 원격으로 시스템을 지원하기 위해 사용하는 소프트웨어입니다.

20. 보안 의사결정은 문제 발생 후에만이 아니라 최소한 가끔은 검토됩니다. 일부 관리형 제공업체는 vCIO 지원도 제공합니다. vCIO는 가상(virtual) CISO가 아니라 가상 CIO(Chief Information Officer, 최고정보책임자)로, 기술 우선순위, 예산, 위험을 사업이 생각해 볼 수 있도록 돕는 기획 역할입니다.

대부분의 항목에 예라고 답했다면 좋은 신호입니다. 대개 실행 가능한 기반이 갖춰져 있다는 뜻입니다. 그렇다고 해서 귀사가 “완전히 보안이 완벽하다”는 의미는 아닙니다. 어떤 정직한 제공업체도 해킹이 불가능한 네트워크나 무중단(Zero downtime)을 약속하지 않습니다. 다만 기본 사항들이 이미 마련되어 있고, 그 다음부터 개선해 나갈 수 있을 가능성이 높다는 뜻입니다.

여러 항목에 아니오 또는 잘 모르겠음이라고 답했다면 당황할 필요는 없습니다. 특히 기술이 시간이 지나며 비공식적으로 확장된 소규모 사업장에서는 흔한 일입니다. 보통 가장 먼저 중요한 기본부터 시작하세요: MFA, 패치, 백업, 오래된 접근 권한 제거, 기기 보호, 기본 직원 보안 교육.

거의 모든 항목이 아니오 또는 잘 모르겠음이라면, 다음 단계는 모든 도구를 한꺼번에 구매하는 것이 아닙니다. 우선순위가 명확한 계획을 세우는 것입니다. 좋은 독립형 관리형 IT 제공업체가 긴급한 수정 사항과 장기적인 개선을 구분하도록 도와줄 수 있습니다.

결과를 세 가지 그룹으로 나눠 짧은 실행 목록으로 바꾸세요: 지금 수정, 곧 수정, 나중에 검토. “지금 수정”에는 보통 MFA, 소프트웨어 업데이트, 백업 점검, 오래된 계정 제거, 비즈니스 기기에 최신 보호가 적용되어 있는지 확인이 포함됩니다.

각 아니오 또는 잘 모르겠음 항목에 대해 간단한 질문을 해보세요. 누가 담당하나요? 얼마나 자주 실행하나요? 문서로 되어 있나요? 우리는 그것이 실제로 효과가 있었는지 어떻게 알 수 있나요? 이 네 가지 질문은 해당 과정이 실제로 있는지, 아니면 그럴 거라고 가정만 하는지 드러내줄 것입니다.

선택지(옵션)를 이해하는 데 도움이 필요하다면, NodeBridge IT가 독립형 관리형 IT 서비스 제공업체를 연결해 드릴 수 있습니다. 저희는 무료 매칭 서비스입니다. 저희는 시스템을 관리하지 않고, 네트워크를 모니터링하지 않으며, 계정에 접근하지 않습니다. 또한 쉬운 설명의 가이드를 더 읽고 일반적인 관리형 IT 서비스를 비교해 보실 수도 있습니다.