기업들이 원격 근무와 대면 근무를 병행하거나 사무실 중심의 업무 체제로 전환함에 따라, 정보보안 리스크 역시 새로운 양상으로 재편되고 있다. 장기간 원격 근무에 익숙해진 직원들이 다시 사무공간에 복귀하면서, 보안 정책·기술·행동 측면에서 공백이나 취약점이 드러나는 경우가 많다.

특히 구형 기기의 미갱신, 약화된 물리적 보안 의식, 변경된 네트워크 접속 정책 등에 대한 혼란은 사이버 공격자의 침투 기회를 높이는 요인이 될 수 있다. 이에 따라 조직은 물리·디지털 영역을 아우르는 새로운 보안 체계를 재정비하고, 재택-오피스 간 이동이 자연스러운 하이브리드 근무 환경에서도 보안 일관성을 유지할 수 있는 기준이 필요하다.

안전한 사무실 복귀를 위한 사이버 보안 가이드라인

노우비포(KnowBe4)는 사무실 복귀를 준비하는 기업들을 위해 사이버 보안 가이드라인을 공개했다. 이 가이드라인은 직원들이 원격 근무에서 사무실 업무 환경으로 전환할 때 발생할 수 있는 고유한 보안 문제를 다루고 있으며, 민감한 데이터 보호와 보안 문화 유지에 중점을 둔다. 가이드에는 기기 보안, 비밀번호 위생, 접근 제어, 보안 인식 교육, 물리적 보안 등 총 5가지 영역의 체크리스트가 포함된다.

노우비포가 제안한 첫 번째 조치는 기기 보안 점검이다. 노트북이나 스마트폰 등 회사 자산으로 활용되는 기기는 사무실 네트워크에 접속하기 전에 반드시 최신 보안 패치 상태를 유지해야 하며, OS와 백신 소프트웨어의 자동 업데이트가 활성화되어 있어야 한다. 두 번째는 비밀번호 보안이다. 모든 계정에 피싱 방지 기능을 갖춘 다중 인증(MFA)을 적용하도록 권장하고 있으며, 재사용 비밀번호 최소화 및 주기적인 변경을 포함한 비밀번호 위생도 요구된다. 세 번째는 권한 설정의 재검토다. 장기간의 재택근무 중 발생한 권한 누수나 불필요한 접근 권한을 정리하고, 최소 권한 원칙에 기반해 사용자 접근 제어를 재설정하는 절차가 강조된다.

네 번째는 보안 인식 재교육이다. 기존 교육에서 다뤄지지 않았던 최신 보안 위협, 피싱 및 소셜 엔지니어링 기법, 장비 관리 수칙 등을 중심으로 전사 차원의 정기 교육을 다시 실시해야 한다. 마지막으로는 물리적 보안의 재정립이다. 공유 공간에서 민감 정보를 다루는 업무가 늘어날 가능성을 고려해, 무인 상태 장비 보호와 문서 보관 규칙, 화면 잠금 정책 등 물리적 접촉 지점을 포함한 대응 프로토콜이 필요하다고 강조했다.

노우비포의 사이버 보안 전문가 제임스 맥퀴건(James McQuiggan)은 "원격 근무와 사무실 근무 간 전환은 고유한 보안 취약점을 동반한다"며, "사무실 복귀 시 구형 기기, 잊힌 보안 습관, 변경된 프로토콜에 대한 이해 부족이 복합적으로 작용해 위험을 유발할 수 있다"고 지적하며, "이번 지침은 조직이 운영 효율성을 유지하면서도 위험을 체계적으로 완화할 수 있도록 지원하는 실질적 보안 전략"이라고 설명했다.