최근 인터넷 기술의 발달로, 규모와 위치에 상관없이 모든 기업이 더 넓은 시장에 진출하고 생산성을 높일 기회를 얻고 있다. 이메일 활용이나 웹사이트 운영부터 클라우드 컴퓨팅 도입에 이르기까지, 디지털 기술을 효과적으로 사용하는 기업이 많아지는 추세다. 그러나 이에 발맞춰 ‘사이버 보안(Cybersecurity)’은 선택이 아닌 필수로 부상하고 있다. 실제로 디지털 정보 도난은 물리적 절도를 넘어 가장 흔히 보고되는 사기 유형으로 자리 잡았다. 따라서 인터넷을 사용하는 모든 기업은 자체적인 보안 문화를 구축해 기업 신뢰도와 소비자 신뢰를 높여야 한다.

이에 따라 미국 연방통신위원회(FCC)는 2012년 10월, 중소기업을 위한 맞춤형 사이버 보안 계획 수립 온라인 리소스인 ‘Small Biz Cyber Planner 2.0’을 새롭게 공개했다. 아울러 기업들이 빠르게 참고할 수 있도록 ‘사이버보안 팁 시트(Cybersecurity Tip Sheet)’도 업데이트해 배포했다. 이 팁 시트에는 모바일 기기 보안과 결제·신용카드 보안 관련 새로운 조언이 추가되었다.

아래는 FCC가 제시한 중소기업 사이버 보안 10대 수칙이다. 폭넓은 브로드밴드와 정보기술이 중소기업 성장에 필수적인 지금, 기업과 고객, 데이터 보호를 위해 반드시 숙지해야 할 핵심 사항이다.

---

1. 직원 대상 보안 교육

직원들에게 보안의 기본 원칙과 정책을 숙지시키는 것이 중요하다. 예를 들어 강력한 비밀번호 사용을 의무화하고, 회사의 인터넷 이용 수칙을 정해 위반 시 제재 조치를 명확히 안내한다. 또한 고객 정보 및 중요 데이터를 어떻게 다루고 보호해야 하는지 구체적인 행동 지침을 마련해두자.

2. 정보·컴퓨터·네트워크를 사이버 공격으로부터 보호

최신 보안 소프트웨어, 웹 브라우저, 운영체제를 꾸준히 유지·관리하는 ‘청결한(클린) 기기’가 바이러스, 악성코드(Malware), 기타 온라인 위협을 막는 가장 효과적인 방법이다. 안티바이러스 소프트웨어는 업데이트 직후 스캔이 자동으로 진행되도록 설정하고, 기타 중요 소프트웨어 역시 업데이트가 나오면 즉시 설치한다.

3. 인터넷 연결에는 방화벽(Firewall) 보안 적용

방화벽은 외부로부터 내부 네트워크를 보호해주는 일련의 프로그램이다. 운영체제에 내장된 방화벽을 활성화하거나, 무료 방화벽 프로그램을 설치해두자. 재택근무를 하는 직원이 있다면, 그들의 가정용 PC에도 방화벽이 설정되어 있어야 한다.

4. 모바일 기기 보안 계획 수립

스마트폰·태블릿 등 모바일 기기는 민감한 정보를 담고 있거나 회사 네트워크에 접속할 수 있어 관리가 더욱 까다롭다. 사용자들에게 기기 비밀번호 설정, 데이터 암호화, 보안 앱 설치를 의무화해 공용 네트워크 사용 시 정보 유출을 방지하도록 해야 한다. 분실·도난 발생 시 즉시 보고할 수 있는 절차도 마련해두자.

5. 중요한 비즈니스 데이터 및 정보 백업

모든 컴퓨터의 데이터를 정기적으로 백업해야 한다. 워드 프로세서 문서, 전자 스프레드시트, 데이터베이스, 재무 정보, 인사 관리 자료, 미수금·미지급금 관련 문서 등이 이에 해당한다. 가능하다면 자동 백업 시스템을 구축하고, 최소 주 1회는 백업을 진행하자. 백업 파일은 별도의 외부 장소나 클라우드에 안전하게 보관한다.

6. 물리적 접근 통제 및 직원별 사용자 계정 생성

무단으로 사내 컴퓨터에 접근하거나 사용할 수 없도록 통제하는 것이 중요하다. 노트북은 특히 도난 위험이 높으므로 방치해두지 말고 잠금장치를 사용하는 등 신경 써야 한다. 직원마다 별도의 사용자 계정을 생성하고 강력한 비밀번호를 사용하도록 한다. IT 관리자나 핵심 인력 외에는 관리자 권한을 부여하지 않는다.

7. 와이파이(Wi-Fi) 네트워크 보안 강화

사무실 내 무선 인터넷을 사용한다면, 이를 안전하게 암호화하고 네트워크를 숨겨야 한다. 무선 액세스 포인트 또는 공유기(라우터)의 설정에서 네트워크 이름(SSID)이 외부에 공개되지 않도록 설정하고, 공유기 접속에 비밀번호를 적용한다.

8. 결제·신용카드 관련 모범 사례 준수

결제 대행사나 은행과 협력해 신뢰할 수 있는 최신 결제 도구, 사기 방지 서비스를 사용한다. 또한 은행 및 결제 대행사와의 계약에 따라 요구되는 보안 의무 사항을 준수해야 한다. 결제 업무를 위한 시스템은 다른 프로그램과 분리해 사용하고, 동일한 컴퓨터에서 결제 업무와 일반 인터넷 서핑을 병행하지 말아야 한다.

9. 직원별 데이터 접근 권한 제한 및 소프트웨어 설치 권한 관리

한 명의 직원에게 모든 데이터 시스템에 대한 접근 권한을 주는 것은 위험하다. 각 직원은 업무에 필요한 범위 내에서만 접근이 가능하도록 하고, 별도의 허가 없이 임의로 소프트웨어를 설치하지 못하도록 통제한다.

10. 비밀번호·인증 관리

직원들이 고유한 비밀번호를 사용하고, 이를 3개월마다 변경하도록 의무화한다. 또한 단순 비밀번호를 넘어, 추가 인증 정보를 함께 요구하는 ‘다중 인증(Multi-factor authentication)’ 도입도 고려해보자. 금융기관 등 민감 정보를 다루는 업체와 계약했다면, 해당 서비스에서 다중 인증을 지원하는지 확인해야 한다.

---

오늘날 사이버 공격은 점차 정교해지고 있으며, 기업 규모에 상관없이 누구도 예외가 될 수 없다. FCC가 제공하는 이러한 가이드라인과 자원을 적극적으로 활용해, 디지털 환경에서의 비즈니스 운영 리스크를 줄이고 안전한 기업 환경을 구축하는 데 힘써야 할 것이다.