코로나19 이후 늘어나는 하이브리드 근무환경과 관련, 보안 유지를 위해서 기업은 어떤 노력을 해야 하는가에 대해 피터 챔버스(Peter Chambers) AMD 아시아 태평양 지역 매니징 디렉터(Managing Director for APJ)가 기고를 보내왔습니다.

지금처럼 출근과 재택을 병행하는 구조는 코로나19 이전에는 본격적으로 채택되진 않았었다. 글로벌 기업들은 출근과 재택근무를 병행하는 하이브리드 업무 환경을 하나의 아디이어 개념으로 테스트 했었고, 소수의 직원들만이 실제로 하이브리드 업무 환경을 받아들였다. 현실에서는 다양한 문화적·기술적 장벽이 존재하기 때문에 예상치 못한 강력한 변수 없이는 산업전반에 걸쳐 하이브리드 체제로 전환되는 구조적 변화가 일어나기 어려워서다.

코로나 팬데믹이 2년째 접어든 지금, 많은 기업들이 경상비 감소는 물론 생산성 개선과 임직원 사기 증진까지 하이브리드 업무 환경의 장점들을 경험하고 있다. 비상시를 위한 안전 방침들은 팬데믹 이전에는 부담 요소로 여겨졌으나 이제는 많은 산업에서 다양한 이유로 경영상 이점으로 작용하고 있다. 또한 몇몇 글로벌 기업들이 원격 근무를 영구적으로 도입하는 것을 검토하고 있어, 다른 기업들도 머지않아 뒤따라 적용할 가능성이 있다.

피터 챔버스 AMD 아시아 태평양 지역 매니징 디렉터

아시아 태평양 지역의 하이브리드 업무 환경

딜로이트 연구에 의하면, 향후 몇 년간 아세안 6개국(인도네시아, 말레이시아, 싱가포르, 필리핀, 태국, 베트남)에서 최대 4780만 명이 원격근무 체제로 전환될 수 있다고 한다.[1]

하이브리드·원격 근무 체제로의 전환 가능성은 업무 특성에 달려있다. 건축이나 농업과 같은 산업은 하이브리드·원격 근무 실행 가능성이 아주 낮다. 이와 같은 맥락으로 보면 아시아에서 원격 근무 체제로의 구조적 변화를 이끌 수 있는 나라는 싱가포르와 말레이시아가 될 것으로 보인다. 딜로이트 연구 결과에서도 “싱가포르와 말레이시아는 서비스 산업 비중이 높아 각 국가별 노동 인구의 45%와 26%가 향후 원격 근무를 하게 될 수 있다”고 한다. [2]

태국, 인도네시아, 필리핀, 베트남은 원격 근무로 통근 시간을 줄여 생산성이 향상시킬 수 있으며 잠재적 원격 근무 인구는 언급된 순서대로 각 15%, 16%, 22%, 13%이다. [3]

그 나라의 문화나 기술에 대한 접근도 등의 요인도 원격 근무 전환을 결정하는 데 매우 중요하게 작용한다. 전 세계 인구의 약 60%를 차지하는 아시아 태평양 지역은 문화와 기술적 숙련도의 편차가 가장 큰 곳이다. 문제는 이 지역에서 문화와 기술적 숙련도가 하이브리드 업무 환경 수용에 결정적인 역할을 한다는 점이다. 예를 들어 일본인들은 원격으로 업무를 진행하게 되면 정확하고 공평한 평가가 이루어질지 확신이 서지 않아 원격 근무를 주저한다.[4] 전문가들은 일본의 ‘프리젠티즘(presenteeism)’, 다시말해 직장에서 필요 이상으로 많은 시간을 보내는 문화를 지적했다.

이러한 상황에서도 하이브리드 근무 체제는 기업에 많은 이점을 제공하기 때문에 팬데믹 이후에도 어떠한 형태로든 지속될 것이 분명하다. 기업이 이러한 이점들을 제대로 누리기 위해 가장 먼저 해야 할 일은 직원들이 생산적으로 업무를 수행하고 협업에 있어 보안이 확보될 수 있도록 적확한 기술에 투자하는 것이다.

진화하는 보안 위협요소와 해커

시스코 지원으로 진행한 한 연구에 의하면, 조사 대상 10개 기업 중 6개 기업이 사이버 보안 위협 혹은 경고가 25% 이상 증가했다고 한다. 조사 기업의 62%는 사이버 보안에 있어 안전이 확보된 상태에서 접속할 수 있게 하는 것을 가장 어려운 도전과제로 꼽았다. 또 이들 기업의 85%가 사이버 보안을 최우선 과제로 삼고 있다고 말했다.

이러한 우려는 설득력이 있다. 많은 기업들이 급격하게 원격 근무로 전환하면서 보안과 클라우드 인프라가 취약한 상태에 놓이게 됐고 해커들이 이를 악용하고 있다. 팬데믹 이후 아시아 태평양 지역 내 도메인 네임 서비스(DNS)에 대한 사이버 공격이 급격히 증가했다.


프랑스의 IT솔루션업체인 이피션트IP(Efficient IP)의 지원으로 작성된 IDC 보고서에 따르면, DNS 공격 증가율은 말레이시아가 78%를 기록해 가장 높았으며 이로 인한 비용은 2019년 44만2820달러에서 2020년 78만7200달러로 늘었다. 피싱 공격 또한 기하급수적으로 늘어났다. IDC 보고서에 따르면 싱가포르의 피싱 공격률은 46%로 아시아에서 두번째로 높았고, 말레이시아는 43%로 그 뒤를 이었다. [5]

개인정보를 탈취하는 개인이나 조직, 해커들은 원격 접속 트로이목마(Remote Access Trojan)와 같은 데이터 수집용 악성 소프트웨어를 이용하고 있으며 기업의 기밀 자료는 물론 자금까지 빼낼 수 있게 됐다. 기업들이 자신의 데이터를 보호하기 위해서는 지속적으로 위협과 취약점을 평가하면서 방어할 수 있는 소프트웨어 보안 정책을 도입해야 한다.

하드웨어 보안의 기본: 하드웨어 신뢰점(Root of Trust)과 메모리 인크립션

업무용 PC를 구매하거나 업그레이드할 때 보안에 종합적·다층적 접근이 가능한 제품을 고르는 것이 중요하다. 온칩(on-chip) 보안 기능을 탑재한 제품은 PC와 운영체제(OS) 보안 기능 외에도 안전한 부팅에서 작업 실행까지 여러단계에 걸쳐 보호 기능을 제공한다.

예를 들어 마이크로소프트의 AMD 기술 기반 시큐어드 코어 PC(Secured-core PC)와 같은 보안 솔루션은 직원들이 노트북으로 작업할 때, 펌웨어나 승인되지 않은 접근으로부터 데이터를 보호할 수 있는 보안 기능을 제공한다.

‘하드웨어 신뢰점(Root of Trust, RoT)’은 암호화된 키로 안전하게 PC를 부팅할 수 있는 다계층 보안(layered security)의 기본이다. 이는 보안의 핵심적인 요소이기 때문에 AMD CPU 아키텍처는 AMD 시큐어 프로세서(AMD Secure Processor, ASP)[6]로 알려진 하드웨어 보안 프로세서를 탑재하여 출하한다. ASP는 하드웨어 신뢰점으로 플랫폼에 사전 탑재된 펌웨어를 인증하여 플랫폼 무결성(integrity)을 제공한다. 오류나 수정사항이 탐지되면 자동으로 접근이 제한되어 안전한 부팅을 확보하고 악성 펌웨어를 상대로 추가적인 보호를 하게 된다.[7]

이러한 이유들로 기업은 PC를 구매할 때 다계층 보안을 제공하는 제품을 고려해야 한다. 더 많은 사람이 보다 다양한 공간에서 일하게 됨에 따라 기밀 정보나 기술이 담긴 노트북의 도난 위험 또한 증가하고 있다. 노트북이 도난될 경우 사용자 데이터 보호를 위한 첫 방어막은 소프트웨어 기반의 풀 디스크 암호화(full disk encryption, FDE)이다. 하지만 결국 데이터가 해커들에게 노출된다는 점에서는 이 방법도 제한적일 수 밖에 없다. 드라이브 암호화/해독에 사용된 키를 포함한 정보가 평문(clear text)으로 되어 있다면 해커들이 암호화 키를 풀 수도 있다.

이를 방지할 수 있는 효과적인 방법은 시스템 메모리를 암호화하는 것이다.[8] 이렇게 되면 노트북을 도난당해도 다른 이가 메모리에 저장된 키에 접근하여 FDE를 우회하는 것을 막을 수 있다. 이것이 바로 모든 PRO 기술을 탑재한 AMD 프로세서에서 다계층 보안을 제공하는 이유다. 여기엔 앞서 언급한 상황을 방지하는 데 도움을 주는 암호 보호 AMD 메모리 가드가 포함된다.

전사적 사이버 보안 조치

사이버 위협에 가장 효과적인 조치 중 하나는 직원을 대상으로 적절한 사이버 보안 교육 프로그램을 실시하고, 이러한 위협이 진화함에 따라 주기적으로 정규 코스를 제공하여 직원들의 온라인 업무 활동에 변화를 주는 것이다. 직원들이 잠재적 위협에 대해 잘 인지하고 있고, 악성 공격을 파악하여 적극적으로 이를 바로잡을 수 있도록 하게 하는 교육은 매우 중요하다. 교육을 통해 잠재적 사이버 공격의 위험에 대해 인지하게 됨으로써 장기적으로 직원들은 원격 근무를 하며 독립적으로 업무를 진행할 수 있는 자신감 또한 생기게 될 것이다.

직원들이 원격으로 근무할 경우, 사무실과 동일한 수준의 사이버 보안을 담보하기 위해서 모든 직원의 노트북에 가상 사설망(Virtual Private Network, VPN)을 꼭 설치해야 한다. VPN은 합리적인 가격으로 노트북, 태블릿, 스마트폰 등 다양한 기기에 적용할 수 있는 서비스로, 직원들의 데이터, 대화 및 인터넷 사용 기록을 암호화하여 안전하게 보호할 수 있는 하나의 예방책이다. 물론 효과적인 또 다른 방법이 있긴 하지만 제한적이다. 악성 인터넷 활동을 감지한 후 그에 대한 바이러스 퇴치용 소프트웨에를 설치하는 것으로 이는 직원들이 악성 코드를 감지하고 파악한다는 것을 전제로 할 때만 효과적이다. 보안에 대해 잘 훈련 받은 인원들도 감지하기 어려운 고도의 침투 기술들이 항상 존재하고 있으니 예방이 가장 중요하다는 것을 명심해야 한다.


직원들이 안전하게 협업할 수 있도록 신경 써야 할 중요한 또 하나의 영역은 클라우드 보안이다. 팬데믹으로 화상 회의의 활용도가 높아졌음은 누구나 알고 있다. 화상 회의는 오프라인으로의 상호활동이 제한적인 요즘 협업뿐 아니라 친구, 동료들과 연결되어 소통할 수 있는 아주 효과적인 방법이다. 이런 툴은 어느 정도 수준의 보안을 갖추고 있긴 하지만, 비공개 비디오 컨퍼런스에 악의적 의도로 접근하는 사례가 발생하기도 한다. 기업은 직원들에게 회의 접속시 링크를 다시 한 번 확인하고 추가 인증(multi-factor authentication, MFA)을 진행해 회의 참가자의 신원을 확인할 것을 주지시켜야 한다.

이 모든 것을 고려했을 때, 원격 근무 체제 전환을 위한 만능 솔루션이란 없다. 하이브리드·원격 근무 체제는 많은 이점을 가지고 있기 때문에 기업의 규모와 상관없이 장려되고는 있지만, 동시에 여러 위험 요소가 발생할 수 있는 중대한 변화이기도 하다. 기업들은 원격 근무 체제에 대한 필요성을 종합적으로 평가하고 이에 대해 가용한 리소스를 파악해야한다. 그리고 이에 따라 직원들이 어디서 근무를 하던 높은 보안 수준을 유지하는데 필요한 툴들을 제공할 수 있도록 적절한 기술에 투자해야 할 것이다.

[각주]

[1] Indranil Roy, Duleesha Kulasooriya, Clarissa Turner and Vicnan Pannirselvam, Deloitte Consulting Pte. Ltd, “Remote work, A temporary ‘bug’ becomes a permanent ‘feature’”, 2020, p5

[2] Indranil Roy, Duleesha Kulasooriya, Clarissa Turner and Vicnan Pannirselvam, Deloitte Consulting Pte. Ltd, “Remote work, A temporary ‘bug’ becomes a permanent ‘feature’”, 2020, p5

[3] Indranil Roy, Duleesha Kulasooriya, Clarissa Turner and Vicnan Pannirselvam, Deloitte Consulting Pte. Ltd, “Remote work, A temporary ‘bug’ becomes a permanent ‘feature’”, 2020, p5

[4] Nippon.com, Implementation of Telework in Japan Continues to Lag, May 2021

[5] IDC InfoBrief, sponsored by Efficient iP, 2020 Global DNS Threat Report, doc #EUR146302820, June 2020

[6] Advanced Micro Devices, “AMD PRO Security”, 2021

[7] Akash Malhotra, Advanced Micro Devices, “Full-stack, Multilayered Security Features for a Changing World”, 2020


[8] Akash Malhotra, Advanced Micro Devices, “Full-stack, Multilayered Security Features for a Changing World”, 2020

<글. 피터 챔버스 AMD 아시아 태평양 지역 매니징 디렉터>