중소기업 정보보호 실무 가이드 (KISA)
과거 KISA에서 중소기업을 비롯한 소상공인들이 직면한 다양한 보안 위협에 효과적으로 대응하기 위한 실무 가이드가 발간되었었습니다. 오늘 소개할 이 가이드는 중소기업 스스로 쉽게 이해하고 실행할 수 있도록 보안 위협의 종류별 특징, 피해 사례, 예방 대책, 그리고 피해 발생 시 대응 방법을 체계적으로 정리한 자료입니다.
“중소기업 정보보호 실무 가이드”는 중소기업이 실제 현장에서 바로 적용할 수 있도록 보안 위협별 예방과 대응 방법, 그리고 실무 중심의 관리·운영 노하우를 두 권(1부, 2부)으로 나누어 제공합니다.
- 1부(보안위협 예방 및 대응 가이드)는 악성 프로그램, 해킹, 랜섬웨어, 개인정보 유출 등 다양한 보안 위협의 유형별 피해 사례, 예방책, 그리고 사고 발생 시 구체적 대응 절차를 중점적으로 다룹니다. 즉, “어떤 위협이 있고, 어떻게 막고, 사고가 나면 어떻게 대응해야 하는가?”에 초점을 맞춥니다.
- 2부(정보보호 업무 가이드)는 정보보호 관리체계, 인적·물리·시스템 보안, PC/서버/네트워크/클라우드 등 IT 인프라의 실무적 보안관리 방법을 상세하게 안내합니다. 즉, “기업의 정보보호를 체계적으로 운영하고, 실무에서 바로 쓸 수 있는 보안관리 방법”에 중점을 둡니다.
※ 출처 : 한국인터넷진흥원 지식플랫폼 법령·가이드라인 / 중소기업 보안위협 - 예방 및 대응 가이드, 정보보호 업무 가이드
1부. 중소기업 정보보호 실무 가이드: 보안위협 예방 및 대응 가이드
중소기업이 실제로 겪을 수 있는 다양한 보안 위협과 그에 대한 예방 및 대응 방법을 체계적으로 정리한 실무 가이드입니다.
주요 내용
- 악성 프로그램의 설치
- 바이러스, 악성코드, 스파이웨어 등 악성 프로그램의 정의와 주요 유포 경로(웹하드, P2P, USB, 스팸메일 등), 감염 시 피해 유형, 예방책(백신 설치, 최신 업데이트, 의심메일 주의 등), 감염 시 대응 방법(정밀검사, 전문기관 신고 등)
- 해킹
- 해킹의 정의, 주요 공격 경로(취약한 비밀번호, 보안취약점 등), 피해 유형(정보 유출, 서비스 장애 등), 예방책(강력한 비밀번호, 2단계 인증, 방화벽 등), 사고 발생 시 신고 절차
- 랜섬웨어
- 랜섬웨어 감염 증상, 주요 유포 경로, 피해 사례(파일 암호화, 금전 요구 등), 예방책(정기 백업, 백신, 의심 파일 주의), 감염 시 대응 절차(네트워크 차단, 복구 시도, 신고 등)
- 디도스(DDoS) 공격
- 디도스 공격의 원리, 피해 사례(서비스 중단, 매출 손실 등), 예방책(디도스 방어 서비스, 방화벽 설정 등), 공격 발생 시 대응 방법
- 복사·절취 및 내부자 유출
- USB 등 휴대용 저장매체를 통한 중요 정보의 무단 반출, 내부자·외부자에 의한 유출 사례, 예방책(보안서약서, 출입통제, 정보 암호화 등), 사고 발생 시 법적 대응
- 온라인 거래사기(피싱), 개인정보 유출
- 이메일, 메신저, 위장사이트 등을 통한 사기, 개인정보 유출 시 법적 책임과 신고 절차, 예방책(상대 확인, 계좌변경 시 전화확인, 개인정보 최소화 등)
- 악성 모바일앱, APT 공격, 네트워크 도청
- 모바일 기기 보안 위협, 지능형 표적공격(망분리, EDR 등), 무선 네트워크 도청 예방책
- 도움을 받을 수 있는 기관
- KISA, 중소벤처기업부 ‘기술보호울타리’, 경찰청 등 주요 지원기관 및 서비스 안내
특징
- 각 위협별로 “위협의 정의 → 피해 사례 → 예방책 → 사고 발생 시 대응”의 흐름으로 정리
- 실제 중소기업에서 바로 적용 가능한 실무 위주 팁과 체크리스트 제공
- 피해 발생 시 즉각 신고할 수 있는 기관과 절차 안내
2부. 중소기업 정보보호 실무 가이드: 정보보호 업무 가이드
기업의 정보보호를 체계적으로 구축·운영하고, 실무에서 바로 활용할 수 있는 보안관리 방법을 분야별로 안내합니다.
주요 내용
- 관리체계 기반 마련
- 정보보호 거버넌스, 경영진의 역할, 정보보호 조직 구성, 예산 및 규정 수립, 정보자산 식별·목록화, 중요도 평가, 자산 폐기 절차
- 인적 보안
- 임직원 및 외부자(협력사, 방문자 등) 보안 관리, 보안서약서, 퇴사자 접근권한 회수, 보안교육, 특수권한자 관리
- 물리 보안
- 사무실 및 전산실 출입통제, 보호구역 설정, CCTV, 잠금장치, 문서·휴대용 저장매체 보안, 생활보안 점검
- 시스템 및 서비스 보안관리
- PC 보안: 계정·비밀번호·공유폴더·화면보호기·운영체제 패치·백신·방화벽·불필요 서비스 제거·로그 관리·보안솔루션 도입
- 서버 보안: Windows/Linux 서버의 계정·패치·공유폴더·접근제어·불필요 서비스 제거·백신·접근통제·로그 관리·보안솔루션
- 네트워크 보안: 장비 패치, 원격관리 제한, 포트/계정/암호화/권한설정, SNMP·방화벽·로그서버 운용
- 공유기·클라우드·홈페이지·모바일앱·스마트폰 등 각종 IT 인프라의 실무 보안 가이드
- 사고 예방 및 대응
- 내부 정보 유출 및 훼손 예방, 백업 및 복구, 사고 발생 시 대응 프로세스
- 정보보호 법규
- 개인정보보호법 등 관련 법규 요약, 고객정보 수집·보관·파기 실무
특징
- 각 장별로 “실무자가 바로 따라할 수 있는 보안관리 절차와 체크리스트” 제공
- Windows, Linux, 네트워크 장비 등 실제 명령어와 설정 방법까지 상세하게 안내
- 보안 솔루션 도입 시 고려사항, 제품 예시, 체크포인트 등 실무 중심 정보
맺음말
정보보호는 더 이상 대기업만의 과제가 아닙니다. 중소기업도 현실적이고 실천 가능한 보안 가이드가 반드시 필요합니다.
이 가이드는 복잡한 이론이 아니라, 실제 현장에서 바로 쓸 수 있는 실무 중심의 내용을 담고 있어, 정보보호 담당자가 없는 기업이나 보안에 익숙하지 않은 실무자도 쉽게 따라할 수 있습니다.
1부를 통해 다양한 보안 위협에 대한 예방과 신속한 대응법을 익히고, 2부를 통해 체계적인 정보보호 관리와 일상적인 보안 운영 방법을 구축해 보세요.
이 두 권의 가이드가 여러분의 기업을 안전하게 지키는 든든한 길잡이가 되길 바랍니다.
지금 바로 실천하여, 내 기업의 정보와 신뢰를 지켜내시길 응원합니다!