AI로 공격은 쉬워졌습니다.
혹시, 기업의 보안은
그대로인가요?
"데이터는 있는데 담당자가 없다면"
이제 AI로 구현된 SecuScan으로 보안 공백을 확인해보세요.
> Cross-referencing assets... DONE
이런 상태의 회사가 생각보다 많습니다
대표자나 개발자가 보안을 겸임하고 있어
체계적인 관리와 대응이 어려운 상태
고객 정보와 내부 데이터는 계속 늘어나는데
보호 수준은 초기 상태에 머물러 있는 상태
시스템은 오래되었지만
인수인계 문서가 없어 건드리기 무서운 상태
사용하는 SaaS와 Cloud 서비스는 늘어났는데
누가 어떤 권한을 가지고 있는지 모르는 상태
보안이 필요하다는 건 알지만
비싼 솔루션부터 떠올라
검토 자체를 미루고 있는 상태
문제가 생길 때마다
임시 조치로만 대응해 왔고
전체를 점검한 적은 없는 상태
보안 점검 영역
보안은 복잡한 기술을 이해하는 문제가 아니라, 지금 어디가 관리되지 않고 있는지를 아는 문제입니다.
서비스 기본 보안 설정
중소기업이 가장 먼저 확인해야 할 영역
- 환경변수(API Key, Secret) 관리 방식
- 프론트엔드 ↔ 백엔드 교환 키 노출 여부
- 관리자 페이지 접근 제한
- 기본 보안 설정 누락 여부
서버 및 접속 관리
누가, 어떻게 서버에 접근하는지
- 서버 접속 계정 현황
- 관리자 권한 공유 여부
- SSH / 원격 접속 통제
- 퇴사자 계정 정리 여부
계정 및 인증 관리
사람이 늘어나면서 반드시 문제가 되는 영역
- 내부 계정 관리 방식
- 권한 구분 여부
- 공용 계정 사용 여부
- SaaS 서비스 접근 통제
데이터 관리
유출되면 되돌릴 수 없는 자산
- DB 접속 계정 및 권한 관리
- DB 내 개인정보 저장 여부
- 암호화 적용 범위
- 접근 로그 존재 여부
사용자 기기(엔드포인트)
직원이 늘어날수록 함께 커지는 위험
- 업무용 기기 식별 여부
- 보안 패치 관리
- 외부 반출 데이터 통제
- 개인 PC 사용 여부
모니터링 및 대응 체계
조직이 성숙해질수록 필요한 영역
- 로그 수집 여부
- 사고 인지 가능 여부
- 대응 책임자 및 절차 존재 여부
회사를 위한 보안 담당자가 되겠습니다.
점검 결과를 기준으로, 가장 시급한 것부터 우선순위를 정하고 바로 실행합니다.
SecuScan
이미 SecuScan을 통해 회사의 보안 취약점 진단
- 기술적 보안 레이어 전수 조사
- 잠재적 위험 요소 식별
- 현 시스템의 보안 점수 산출
설계
점검 결과를 기준으로 이 회사에 맞는 보안 구조를 설계합니다.
- 현재 사용 중인 시스템과 운영 방식 반영
- 불필요한 보안 도입 제외
- 실제 운영 가능한 수준으로 정리
우선순위
가장 시급한 항목부터 정리하고 지금 하지 않아도 되는 것은 뒤로 미룹니다.
- 위험도 기준 우선순위 설정
- 즉시 대응 / 중장기 과제 구분
- 실행 계획 중심으로 재정렬
실행 & 선택
비용이 거의 들지 않는 기본 설정은 검토로 끝내지 않고 즉시 실행합니다.
- 접근 제한 설정
- 계정 및 권한 정리
- 기본 보안 옵션 활성화
필요한 경우에만, 다양한 솔루션 중 이 회사에 가장 효율적인 선택지를 설계합니다.
- 특정 제품 강요 없음
- 비용 대비 효과 기준
- 운영 난이도까지 고려
필요하다면 PM 역할까지 함께합니다
- 보안 예산 범위 산정
- 솔루션 후보 비교 및 검토
- 최종 견적 정리 (의사결정 가능한 형태)
- 협력업체 커뮤니케이션
- 발주 및 도입 단계 관리