기업을 위한 최선의 보안정책「AUP」

만약 회사의 컴퓨터와 네트워크에 AUP를 만들어 사용하지 않고 있다면 보안 문제를 그냥 보고만 있는 것이다. 부적절하게 네트워크를 사용하는데 익숙한 사용자를 포함한 사용자의 행위로 규제법을 위반하게 될 수도 있다. 요즘은 기관의 규모와 상관없이 종업원들이 회사 컴퓨터와 인터넷으로 무엇을 하는지 걱정해야 한다. 더이상 네트워크 회선 비용이나 업무에 낭비한 시간이 문제가 아니다. 행정규칙, 민법, 범죄의 복잡성이 증가해서 부적절하게 온라인을 이용하는 것은 문제가 될 수 있다. 회사는 컴퓨터와 네트워크의 사용을 관리하는 규칙을 제정하거나 강화해서 자산을 보호해야 한다. 보안 정책은 네트워크를 보호하고 사용자가 바이러스에 감염시키거나 자신의 시스템과 전체 네트워크를 공격 당할 수 있도록 공개하는 것을 방지하기 위해 필요하다. 그래서 처음부터 AUP(Acceptable Use Policies)가 필요하다. 업무와 관련되지 않은 일에 회사의 자산이 사용되지 않도록 종업원들에게 이야기하는 것만으로는 충분하지 않다. 정책문서를 만들고 배포하고 사용자가 직접 읽고 승인하게 해야 한다. 이것이 효과적이고 공평할 뿐만 아니라 회사가 성장해도 실질적으로 의미 있는 정책을 만드는 방법이다. 좋은 AUP란? AUP는 네트워크와 컴퓨터 장치들이 사용되는 방법을 제한하는 규칙의 집합이다. 사용자의 행동규칙과 책임을 기술하는 정확한 구절이 있어야 한다.다음은 정책을 만드는 몇 가지 팁이다. - 금지하는 것은 명확하게 기술해야 한다. "부적절한 사용 금지"같은 문장은 애매모호하다. 부적절한 사용이 무엇인지 정의해야 한다. 물론 "부적절함"과 관련된 모든 개별적인 행위를 전부 기술할 수는 없지만 빈번히 발생하는 것은 정확하게 기술 해야 한다. 예를 들어, 성을 노골적으로 표현하거나 외설적인 글과 사진을 포함하는 이메일을 금지할 수 있고 웹브라우저로 온라인 도박 사이트 등에 접속하지 못하도록 금지할 수도 있다. - 포괄적인 구절로 명확하게 이름을 기술하지 않은 행동도 금지할 수 있다. 예를 들어, 법을 위반하면서 인터넷을 사용하거나 이메일, 인스턴트 메시지, 문서 등의 방법으로 회사, 고객, 파터너의 기밀을 노출시키는 것을 금지할 수 있다. - 효과적이고 실현 가능하도록, 정책은 관리돼야 하고 정책의 갱신과 개발을 감독하는 책임자도 있어야 한다. 보통 CIO(Chief Information Officer)가 담당한다. 정책은 회사의 변호사에의해 검토되는 것이 좋다. 정책문서에 법률용어가 포함되어야 할지도 모르지만, 각 정책은 보통사람들이 이해할 수 있도록 어려운 용어를 비전문가들이 이해할 수 있는 쉬운 말로 요약돼야 한다. 정책의 예AUP에는 다음과 같은 것들이 포함돼야 한다. - 네트워크의 사용자를 위한 . 회사의 사생활 보호 정책과 보안을 위해 회사의 컴퓨터와 네트워크에서 전송되거나 저장된 모든 내용이 감시될 수도 있다는 구절 - 회사의 소유 정보에 관환 정책 - 암호와 계정정보를 공유하는 것에 관한 정책: 자신의 계정이 아니라 다른 사람의 것으로 로그인하거나 다른 사람에게 로그인할 때 자신의 시스템을 사용하거나 자신의 인증서로 로그인하도록 허가하지 못하도록 하는 것 - 자리비움 시 컴퓨터를 잠그도록 요구하는 것 같은 보안 정책; 이메일 첨부와 관련된 보안 정책; 사용자가 컴퓨터와 네트워크의 보안 정책을 교묘히 피하거나 끄지 못하게 하는 것; 허가되지 않은 소프트웨어를 설치하지 못하게 하는 것; 허가 없이 이동디스크로 회사의 정보를 복사하거나 외부 네트워크로 전송하지 못하게 하는 것 - 암호화 이용에 관한 정책 - 뉴스그룹과 게시판에 글을 게시하는 것에 대한 정책: 회사의 직원으로서가 아니라 개인의 자격으로 의견을 게시하지 말 것. - 개인의 랩톱, 핸드헬드PC, 스마트폰을 회사의 네트워크에 연결시키는 것에 관한 정책: 회사의 네트워크에 허가없이 모뎀이나 무선 AP 등에 연결하는 것을 금지하는 것. - 외설, 저작권 위반, 불법적인 파일 공유 같은 부적절한 행위의 정의; 위협적이거나 귀찮게 하는 내용을 전송하는 것; 스팸을 전송하는 것; 피싱과 다른 방법으로 남을 속이는 행위; 내부나 외부 네트워크에 있는 다른 시스템을 해킹하는 것; 말웨어를 배포하고 권한 없이 네트워크에 있는 데이터에 접근하는 것; 스니퍼 같은 것을 이용하여 네트워크상에 있는 다른 사람의 데이터를 가로채는 것; 스푸핑 기술로 이메일 주소나 다른 네트워크상의 활동(주: 예를 들어, IP를)을 속이는 것 AUP에 기술되는 일반적인 예를 들었지만 이것은 완벽하지 않고 회사마다 다르다. 처벌과 실행 정책을 위반한 처벌조항이 정책 자체에 정의되어야 한다. 위반은 매우 다양하게 발생할 수 있기 때문에 명시적인 위반내용과 위반자의 의도에 따라 처벌되어야 한다. 예를 들어, 악의없이 친구에게 개인적인 짧은 이메일을 보낸 것에 대한 처벌은 회사의 네트워크를 이용하여 아르바이트를 한 처벌사항과 같을 수 없다. 또 회사의 컴퓨터에 아동 포르노를 다운받았을 때와 똑같이 처벌할 수 없다. 실제로 모든 것을 정책에 정의할 수도 있고 아닐 수도 있다. 회사의 전화를 개인용도로 사용하지 못하게 하는 것처럼 회사의 이메일 계정을 개인용도로 사용하지 못하도록 제한하는 회사도 있다. 이것은 오직 실행할 수 있는 정책만을 입안해야 한다는 다른 문제를 야기한다.만일을 위해서 과도하게 엄격한 정책을 만든다면 누군가에게는 그 정책을 적용해야 할 것이고 바로 무시될 것이다. 결국, 사용자는 암묵적으로 위반이 허용돼 상식적으로 문서화되지 않은 정책에 반하는 정책과 임의적이고 불공평하게 적용되는 정책을 위반하는 것에 익숙해진다. 그리고 익숙해진 직원들은 심지어 이것을 근거로 회사를 고소할지도 모른다.그래서 정책의 실행은 공평하게 적용되어야 한다. 정책에 누구도 예외가 될 수 없다는 것을 의미하지는 않지만 이 경우에 예외조항이 정책에 명시돼야 한다. 예를 들어, 회사의 재무정보를 거론하는 이메일을 외부에 보내는 것을 금지해도 CFO나 CEO처럼 합법적으로 그렇게 해야만 하는 사람에게도 적용되는 정책을 의미하는 것이 아니다. 정책문서의 확장성을 고려할 것 정책은 주기적으로 갱신되고 검토돼야 한다. 회사가 성장함에 따라, 관리 철학과 기술은 변한다. 어떤 정책은 반드시 수정되어야 한다. 정책문서를 좀 더 확장성 있게 만들려면 하위문서를 하나로 묶어서 각 금지조항을 별도의 문서로 작성하는 것이 좋다. 각 하위문서는 장과 절로 구분하고 링바인터로 묶어둘 수 있다. 변경이 필요하면 오직 필요한 절만 제거하고 교체하는 것이 좋다. @