이비즈타임즈 연재 ‘생존경영’ 17편. 작은 회사가 덜 흔들리도록 구조와 기준을 점검한다.
이비즈타임즈는 작은 회사에서 보안이 기술 영역으로만 취급되며 뒤로 밀리기 쉽다고 봤다. 그러나 보안 구멍이 한 번 터지면 손실은 돈에 그치지 않고 자료·운영·거래 흐름이 동시에 멈출 수 있다. 17편은 보안을 프로그램 하나의 문제가 아니라 사람·시스템·권한·백업·관리체계가 함께 돌아가는 ‘운영 지속 구조’로 정리한다.
작은 회사를 운영하면 보안은 늘 후순위로 밀린다. 당장 매출이 급하고 고객 대응이 바쁘면 정품 소프트웨어, 계정 관리, 백업 체계, 권한 통제는 “중요하긴 하지만 나중에”로 분류된다. 이비즈타임즈는 보안이 바로 이런 방식으로 미뤄질수록 더 비싸게 돌아온다고 봤다. 평소에는 티가 나지 않지만, 한 번 사고가 나면 회사는 자료와 흐름을 동시에 잃고 운영 리듬이 무너진다.
보안 사고는 갑자기 터지지만, 구멍은 오래전부터 열려 있는 경우가 많다.
정품 사용 여부, 계정과 권한 관리, 파일 보관 방식, 백업 점검, 직원 보안 습관이 각각 약해져 있다가 한 번에 폭발하는 구조다. 이비즈타임즈는 보안 사고를 단일 사건이라기보다 ‘약해진 체계가 드러난 결과’로 정의했다.
작은 회사에서 가장 큰 보안 변수는 사람이다.
급하다는 이유로 개인 메신저로 자료를 주고받고, 회사 계정을 여러 사람이 함께 쓰고, 비밀번호를 비슷하게 돌려 쓰고, 누가 어떤 프로그램을 설치했는지 모르는 상태가 쌓이면 기술보다 먼저 사람이 보안을 무너뜨린다. 중요한 전제는 “사람은 실수할 수 있다”는 것이다. 그래서 이비즈타임즈는 인적 보안을 ‘조심해라’가 아니라 ‘실수가 생겨도 리스크가 커지지 않게 만드는 관리체계’로 정리했다.
시스템이 약하면 작은 실수도 큰 사고가 된다.
자료가 흩어져 있고, 계정 구조가 정리돼 있지 않고, 백업이 자동으로 돌아가지 않고, 파일 버전이 뒤섞여 있으면 사고 후 복구는 훨씬 더 어렵다. 작은 회사는 규모가 작다는 이유로 시스템이 필요 없다고 생각하기 쉽지만, 오히려 규모가 작기 때문에 단순하고 기본적인 시스템이 필수다. 이비즈타임즈는 대단한 솔루션보다 정품 사용, 계정 분리, 공용 저장소 운영, 권한 차등, 주기적 백업 점검 같은 기본이 먼저라고 봤다.
권한과 계정은 편의보다 경계가 먼저다.
급하다는 이유로 대표 개인 계정으로 시작하고, 같이 쓰는 메일 계정을 만들고, 권한을 넓게 열어두면 단기적으로는 편하지만 장기적으로는 큰 위험이 된다. 계정이 섞이면 회사 자산과 개인 자산도 섞이고, 권한이 넓으면 수정·삭제·설치의 책임 추적이 어려워진다. 퇴사나 역할 변경이 생겼을 때 회수와 정리가 되지 않으면 운영 리스크가 폭발한다. 이비즈타임즈는 권한을 ‘의심’이 아니라 ‘자산과 기억을 지키는 경계’로 봤다.
백업은 회사의 “다시 켜기” 장치다.
이비즈타임즈는 백업을 보조 작업이 아니라 운영 복구의 핵심으로 정리했다. 백업에서 중요한 것은 ‘있다’가 아니라 ‘실제로 남아 있고, 실제로 꺼낼 수 있느냐’다. 저장돼 있다고 믿는 것과 필요할 때 복구 가능한 것은 다르다. 그래서 백업 점검은 ‘존재 확인’보다 ‘복구 가능 확인’이 중심이 돼야 한다.
이비즈타임즈는 보안을 현실적인 점검 체계로 묶기 위해 5개 영역과 5개 질문을 제시했다. 인적 관리, 시스템 구조, 계정 관리, 권한 통제, 백업 체계를 각각 점검하고, 대표가 반복해서 확인해야 할 질문을 정해두면 보안은 “운”이 아니라 “관리”가 된다.
표1. 보안 체계 5개 영역 점검 항목
영역 | 꼭 점검할 것 | 왜 중요한가 |
|---|---|---|
인적 관리 | 파일 저장 습관, 다운로드 기준, 계정 사용 습관 | 작은 실수가 큰 사고로 번지지 않게 하기 위해 |
시스템 구조 | 공용 저장소, 정품 사용, 권한 차등 | 운영 리스크를 줄이기 위해 |
계정 관리 | 회사·개인 계정 분리, 퇴사자 계정 정리 | 자산과 기록을 회사 안에 남기기 위해 |
권한 통제 | 보기·수정·설치 권한 구분 | 추적 가능성과 안전성을 높이기 위해 |
백업 체계 | 정기 백업, 복구 가능 여부 점검 | 사고 후 회사를 다시 움직이기 위해 |
표2. 대표가 반복 점검할 5개 질문
점검 질문 | 대표가 확인할 내용 |
|---|---|
누가 무엇을 설치할 수 있는가 | 설치 권한이 과도하게 열려 있지 않은가 |
중요한 자료는 어디에 있는가 | 개인 PC·메신저에 흩어져 있지 않은가 |
계정은 누구 명의인가 | 회사 자산이 개인 계정에 묶여 있지 않은가 |
백업은 실제로 복구 가능한가 | 저장만 돼 있고 확인은 안 한 상태는 아닌가 |
사고가 나면 누가 무엇부터 할 것인가 | 최소한의 대응 순서가 있는가 |
실행 체크리스트
- 1. 자료가 개인 PC와 메신저에 흩어져 있지 않은가.
- 2. 회사 계정과 개인 계정이 분리돼 있는가.
- 3. 보기·수정·설치 권한이 분명한가.
- 4. 정기 백업이 실제로 복구 가능한 상태인가.
- 5. 보안을 기술이 아니라 운영 관리체계로 보고 있는가.
오늘의 생존 포인트
보안은 프로그램 문제가 아니다. 작은 회사에서는 사람, 시스템, 계정, 권한, 백업이 함께 돌아갈 때 회사가 멈추지 않는다. 보안은 비용이 아니라 ‘멈춤’을 막는 구조이며, 기술보다 체계가 회사를 지킨다.
다음 장에서는 내부 인력뿐 아니라 외부 파트너와 함께 일할 때도 왜 구조가 필요하고, 협업을 시스템으로 묶어야 자산이 되는지 다룬다.
){kind=small}
){kind=small}
){kind=small}
){kind=small}
