기업이 갖춰야 할 SNS 보안 정책
개인의 보안 수칙만으로는 부족합니다. 임직원 개개인의 SNS 활동이 기업 전체의 보안 리스크로 이어질 수 있는 만큼, 조직 차원에서 명확한 정책과 체계를 갖추는 것이 필수입니다.
✅ 임직원 SNS 사용 가이드라인 수립
많은 기업이 정보보안 정책을 운영하면서도 SNS 관련 규정은 별도로 두지 않는 경우가 많습니다. 이메일 보안, 접근 권한 관리, 망 분리 등 기술적 보안에는 집중하면서 정작 가장 열린 통로인 임직원의 개인 SNS는 관리 사각지대로 남겨두는 것입니다.
가이드라인에는 최소한 다음 항목이 포함되어야 합니다. 업무 관련 정보의 SNS 게시 금지 원칙, 사무실 내부·업무 화면 촬영 및 게시 금지, 조직 구조·인사 정보·내부 행사 공유 제한, 고객 정보 및 거래처 정보 언급 금지, 개인 계정이라도 회사 관련 내용 게시 시 준수 사항이 이에 해당합니다. 가이드라인은 입사 시 서면으로 고지하고, 정기적으로 내용을 업데이트해야 합니다.
✅ 게시 금지 정보 유형 명문화
"회사 관련 내용을 올리지 마세요"라는 포괄적인 지침은 실효성이 낮습니다. 임직원이 무엇이 위험한지 직관적으로 판단할 수 있도록 금지 정보 유형을 구체적으로 명문화해야 합니다.
게시 금지 유형으로는 사원증·명함이 보이는 사진, 사무실 내부 전경 및 업무 화면이 담긴 사진, 내부 회의 내용이나 프로젝트명, 고객사 이름이나 거래 정보, 미발표 제품·서비스 관련 내용, 회사 시스템·소프트웨어·인프라 관련 정보, 동료 임직원의 개인정보가 포함된 게시물을 명시해야 합니다. 구체적인 사례와 함께 제시하면 임직원이 스스로 판단하는 데 도움이 됩니다.
✅ 정기 보안 교육 의무화
가이드라인을 만들었다고 보안이 완성되는 것이 아닙니다. 임직원이 실제로 위협을 인식하고 행동을 바꾸려면 반복적인 교육이 필요합니다. SNS를 통한 실제 피해 사례, OSINT 기법을 활용한 정보 수집 시연, 스피어 피싱 이메일 구별 훈련 등을 포함한 실습형 교육이 효과적입니다.
특히 신입 직원 온보딩 교육에 SNS 보안 항목을 반드시 포함해야 합니다. 입사 초기에 형성된 보안 습관이 재직 기간 전체에 걸쳐 영향을 미치기 때문입니다. 교육 이수 여부를 기록으로 남겨두면 사고 발생 시 조직의 보안 투자를 입증하는 자료로도 활용됩니다.
✅ 퇴직자 SNS 관리
재직 중인 직원의 SNS 관리에는 신경을 쓰면서도 퇴직자 관리는 놓치는 경우가 많습니다. 퇴직 후에도 이전 직장의 내부 정보를 SNS에 게시하거나, 재직 당시 촬영한 사진을 뒤늦게 올리는 경우가 발생할 수 있습니다.
퇴직 처리 절차에 SNS 관련 항목을 반드시 포함해야 합니다. 업무용 계정 및 시스템 접근 권한 즉시 회수, 재직 중 취득한 기밀 정보의 SNS 게시 금지 서약, 회사 관련 정보 게시물의 자진 삭제 확인이 이에 해당합니다. 이 절차를 퇴직 확인서에 포함해 서면으로 남겨두는 것이 분쟁 예방에 효과적입니다.
✅ SNS 보안 정책과 저장매체 파기의 연결
SNS 보안 정책이 완성되려면 디지털 흔적의 마지막 단계까지 관리해야 합니다. 임직원이 업무용 PC, 노트북, 모바일 기기에서 SNS에 접속하고 업무 파일을 다루는 과정에서 남긴 데이터들, 즉 캐시 파일, 로그인 정보, 다운로드한 자료들은 장비 폐기 시 완전히 파기되지 않으면 고스란히 남습니다.
장비 교체나 폐기 시 저장매체 안의 데이터를 복원이 불가능한 방법으로 완전히 파기하고 파기 증적 자료를 확보하는 것이 SNS 보안 정책의 마지막 단추입니다. SNS에서 시작된 보안 관리가 저장매체 파기로 완성되는 것입니다.
