재무 설계사는 최악의 시나리오에 대비해야 합니다. 사이버 보안 전문가들은 설계사가 사이버 공격으로부터 회사를 보호하기 위해 필요한 조치를 취하지 않으면 엄청난 문제에 직면할 수 있다고 경고합니다.

사이버 보안 컨설팅 회사인 Invisus의 설립자이자 CEO인 제임스 해리슨(James Harrison)과 사이버 보안 전문가인 존 실레오(John Sileo)는 중소기업이든 대기업이든 상관 없이 기업은 IT 담당 이사나 테크놀로지에 해박한 지인에게만 의존하지 말고, 보안 대책을 마련해야 한다고 조언합니다.

해리슨은 데이터 유출이 발생할 경우에 대비한 방어 전략과 실행 계획을 준비하는 것은 회사를 보호하고 법적 방어력을 강화하기 위해 반드시 필요한 조치라고 말합니다. “우리는 데이터가 모든 것인 세상에 살고 있습니다. 데이터가 재산입니다. 데이터 보안은 여러 건의 재무 계약보다 더 중요하기 때문에, 제삼자로 인한 위험에 대해서도 대책을 세워야 합니다.”라고 그는 말합니다.

재무 서비스 업계에는 늘 피싱과 해킹, 기타 사이버 공격의 위험이 존재합니다. 하지만 재택근무의 확산으로 여러 기업들이 끊임없이 발생하는 새로운 위협에 직면하고 있습니다. 실레오와 해리슨은 디지털 보안이 더 중요해졌다고 설명합니다.

시작하기

사이버 보안 대책을 마련할 때 가장 중요한 것은 보안 평가를 진행할 회사를 선택하는 것이라고 실레오는 말합니다. “방어막의 빈 틈을 찾아줄 보안 전문 회사를 아직 찾지 못했다면, 1인 기업이든 수천 명이 일하는 회사든 상관 없이, 이 문제를 최우선으로 해결해야 합니다.”

실레오는 아직 대책을 세우지 못한 기업에게는 업계의 지인들과 상의해서 추천을 받으라고 설명합니다. “비즈니스 그룹이나 TOT 그룹에 소속되어 있다면, 보안 평가 업체를 이용하고 있는 회원들에게 물어 보십시오. 여의치 않다면, 가까운 지역의 은행에 가서 믿을 만한 업체를 소개해 달라고 부탁하십시오.”라고 그는 말합니다.

사이버 보안 평가에 드는 비용은 그만한 가치가 있다고 그는 덧붙입니다. 팬데믹 동안, 특히 클라우드 컴퓨팅 때문에 사이버 보안에 변화가 생겼기 때문입니다. “예방하는 것이 복구하는 것보다 훨씬 저렴합니다.”

평가를 통해 취약점을 찾을 수 있고, 보안 대책이 제대로 세워져 있는지 점검할 수 있다고 해리슨은 말합니다. 우선, 컨설턴트는 사이버 보안을 위한 경영진의 노력에 대해 살펴본다고 해리슨은 말합니다. “(사이버 보안을 감독하는) 직원이 있나요? 혼자 일하는 독립 설계사라면, 여러분이 그 담당자입니다.”라고 그는 말합니다.

파트너들로 이루어진 회사라면, 누가 보안 프로그램을 감독할 것인지 정하고, 보안 대책이 사이버 보안 규정을 준수하고 있는지 확인해야 한다고 해리슨은 덧붙입니다. “지침과 절차들을 문서화해야 합니다. 감사나 관리 당국도 이런 문서들을 살펴봅니다.” 보안 대책에는 연간 위험 요소 평가, 데이터 침해 예방 관련 정보, 직원 교육 정책 등과 같은 필수 점검 항목이 포함되어야 합니다.

해리슨은 보안 대책을 마련해야 설계사를 보호할 수 있을 뿐 아니라, 고객에게도 정보 보안에 대한 믿음을 줄 수 있다고 설명합니다. “고객에게 이런 정책과 절차를 보여줄 필요는 없지만, 문서화된 보안 대책이 있고, 회사가 이를 준수하며 SEC 및 당국의 규정을 충족시키고 있다는 사실을 고객이 안다면 안심할 것입니다.”라고 그는 말합니다.

빈 틈 메우기

첫 평가가 완료되면, 사업주는 평가 결과를 활용하여 정책과 절차를 만들거나 기존 내용을 보완해야 합니다. 실레오는 먼저 사내에 운영체제의 버전이 낮은 컴퓨터가 있는지 확인하라고 합니다. 구형 모델이 보안 업데이트를 지원하지 않아서 컴퓨터를 교체해야 할 수도 있기 때문입니다.

이러한 시스템 업데이트는 네트워크의 방어력을 높이기 위해 “반드시 필요한” 조치입니다. 여기에는 컴퓨터, 태블릿, 휴대전화, 스마트 기기 등 업무에 사용되는 모든 전자 기기가 포함됩니다. 기업들, 특히 소규모 회사들은 이런 업데이트가 자동으로 시행되도록 하여 “새로운 위협이 발생할 때마다 지속적으로 대응할 수 있게 해야 합니다.”라고 실레오는 설명합니다.

보안 대책을 마련해야 설계사를 보호할 수 있을 뿐 아니라, 고객에게도 정보 보안에 대한 믿음을 줄 수 있습니다.
—제임스 해리슨(James Harrison)

강력한 사이버 보안 대책을 세웠다면, 다음 단계는 데이터를 암호화하는 것이라고 실레오는 말합니다. 여기에는 컴퓨터, 하드 드라이브 등에 있는 모든 데이터가 포함되며, 특히 플랫폼이나 클라우드로 전송되는 데이터가 가장 중요합니다. “재무 설계사와 생명 보험 설계사들이 고객과 주고받는 이메일 중에 암호화되지 않은 내용이 셀 수 없이 많으며, 여기에는 고객의 사회보장 번호, 금융계좌, 은행 계좌 정보가 담겨 있습니다.”라고 그는 말합니다.

요즘은 직원들이 회사 외부에서 업무를 보는 경우, 데이터 암호화, 방화벽이나 VPN 구축과 같은 보안 조치들이 기업의 데이터를 제대로 보호하지 못한다고 해리슨은 말합니다. 해커들이 인터넷 Wi-Fi 연결을 통해 데이터에 접근할 수 있기 때문입니다. “해커들이 VPN을 타고 들어와서 여러 승인 단계를 통과하여 가정에서 회사의 시스템으로 바로 침입합니다.”라고 해리슨은 경고합니다.

이것은 대기업들도 힘들어하는 문제이지만 쉽게 해결될 수 있다고 해리슨은 말합니다. 대기업이나 중소기업에서는 직원들이 재택근무를 할 때, 사이버 보안 규정을 준수하겠다는 서약서에 서명하도록 해야 합니다. 기업은 직원이 가정에서 사용하는 Wi-Fi 라우터와 컴퓨터에 대해서도 보안 점검을 주기적으로 해야 합니다.

기본을 넘어서

보안 대책을 시행하면, 외부 컨설턴트의 정기 사이버 점검 등, 사이버 보안을 유지하기 위한 장기적 전략을 마련하는 단계로 접어듭니다. 해리슨에 따르면, 끊임없이 변화하는 보안 위험과 새로운 규제에 대처하려면 사내 IT 팀만으로는 힘들다고 합니다.

취약점을 테스트하고 새로운 규제에 대처하는 것은 많은 IT 전문가들도 감당하기 힘든 일이라고 그는 말합니다. “외부에서 접근하여 [취약점]을 찾는 방법은 IT 직원들이 대부분 하지 않는 업무입니다. 그들에게는 회사의 네트워크에 대해 접근하거나 해킹을 시도하여, 잠재적으로 어느 부분이 해킹을 당할 수 있는지 파악할 수 있는 강력한 툴이 없습니다.

해리슨은 때때로 해커의 표적이 된 제휴사를 통해 사이버 공격이 발생하며, 이런 경우에는 취약점을 찾기가 더 힘들다고 설명합니다. 최근 Fortune 500대 기업의 주식을 거래하는 헤지펀드 매니저들은 사이버 보안 위협을 파악하기 위해, 이들 기업의 제휴사들에 대해 조사를 한다고 합니다. “어떻게 위험에 처하게 될까요? 상장기업들은 사이버 보안에 대한 준비 상태에 따라 점수를 받게 되며, 제삼자로 인한 위험을 확인하기 위해 공급사들까지 점검하고 있습니다.”라고 그는 말합니다. 재무 설계사라면 규모에 상관 없이 고려해야 할 내용입니다.

그는 또한 예방조치가 실패할 경우에 대비하여 사이버 보안 보험에 가입할 것을 권합니다. 사이버 보안 대책을 마련하면, 보안 공격으로부터 회사를 방어할 수 있을 뿐만 아니라, 시스템이 해킹 당한 경우, 클레임을 제출할 때 자격요건을 강화할 수도 있습니다.

“여러분이 보험금을 청구하면, 사이버 보험사는 거절하지 못할 것입니다.”라고 그는 말합니다. 중소기업의 경우, 50만~100만 달러 정도의 보험을 검토해 보라고 조언합니다. “여러분에게 보안 대책이 없고, 다양한 조치를 강구하지 않거나, 이런 내용을 자세히 기술하지 못한다면, 보험사는 보험금 청구를 거절하고, 다음 해에는 보험료를 두 배로 인상할 것입니다. 규정 준수는 중대한 문제이며, 보안 대책을 마련하고 문서화하는 것이 규정을 준수하는 가장 간단하고, 쉽고 저렴한 방법입니다.”

연락처

제임스 해리슨(James Harrison) james@invisus.com
존 실레오(John Sileo) john@sileo.com