여러분, 혹시 오늘 아침에 출근해서 이메일 확인하면서 ‘이상한데?’ 싶은 메일이 있었는데도 그냥 링크를 클릭하신 적 있으신가요? 아니면 급하게 자료 옮기려고 개인 USB를 회사 컴퓨터에 꽂으신 적은요?
사실 저도 IT 관리 업무를 하면서 수없이 목격했습니다. 똑똑하고 업무 능력 뛰어난 직장인분들도 보안만큼은 ‘설마 나한테 그런 일이?’라고 생각하시더라고요.
그런데 현실은 어떨까요? 2025년 1분기에만 국내에서 대형 개인정보 유출 사고가 연이어 발생했습니다. G사는 크리덴셜 스터핑 공격으로 고객 9만여 명의 개인정보가 유출됐고, 한 달 뒤에는 같은 방식으로 158만 명의 정보가 또 유출됐죠. 가트너 보고서에 따르면 생성형 AI와 통합 플랫폼을 결합한 기업은 2026년까지 직원 실수로 인한 사이버 보안 사고를 40%나 줄일 수 있다고 합니다.
오늘은 실제로 현장에서 가장 빈번하게 일어나는 직장인 보안 실수 TOP 10을 정리해봤습니다. 각 항목마다 실제 사례와 함께 바로 실천 가능한 예방법을 알려드릴게요.
1위: 출처 불명 이메일의 링크나 첨부파일 클릭
실제 사례가 이렇게 무섭습니다
한 기업의 임직원이 가족사진으로 위장한 이메일 첨부파일을 열었습니다. 그 파일에 악성코드가 숨어 있었고, 해당 PC가 감염된 후 파일공유 서버와 DB서버 관리자 PC까지 순식간에 퍼졌습니다. 결국 DB서버에서 대량의 개인정보가 외부로 유출되는 대형 사고로 이어졌죠.
2025년 현재, 해커들은 더욱 교묘해졌습니다. 단순히 ‘당첨되셨습니다’식 이메일은 이제 옛날 이야기고요. 요즘은 실제 거래처나 동료의 메일 주소와 거의 구분이 안 될 정도로 정교하게 위장합니다. 심지어 ‘저작권 위반 통보’, ‘교통범칙금 고지서’, ‘이력서’ 같은 제목으로 위장하기도 하죠.
이렇게 예방하세요
- 발신자 이메일 주소를 꼼꼼히 확인하세요. company.com과 company-info.com은 완전히 다릅니다
- 첨부파일 확장자를 반드시 체크하세요. .exe, .zip, .scr 파일은 특히 조심
- 예상치 못한 메일에 첨부파일이나 링크가 있다면, 발신자에게 전화로 확인하세요
- 회사 보안팀이 제공하는 백신을 최신 버전으로 유지하세요
저희 회사만 해도 실제로 이메일 훈련을 정기적으로 하는데요. 가짜 피싱 메일을 보내서 직원들이 얼마나 클릭하는지 테스트합니다. 처음엔 40%가 넘게 클릭했던 게, 교육 후엔 5% 이하로 떨어지더라고요.
2위: 약하거나 재사용하는 패스워드
현실은 이렇습니다
여러분 혹시 지금 회사 이메일 비밀번호랑 개인 네이버 메일 비밀번호 같으신가요? 아니면 ‘회사명2025!’ 이런 식으로 쓰고 계신가요?
한 공과장이 해외 출장 중 개인 메일로 업무 문서를 받았다가 해킹을 당한 사례가 있습니다. 자고 있던 시간에 로그인 기록이 남아 있었죠. 5년간 공들인 국가예산 프로젝트 자료가 유출되어 결국 중징계를 받았습니다.
문제는 우리가 관리해야 할 계정이 너무 많다는 겁니다. ERP, 이메일, 그룹웨어, 각종 업무 시스템… 하나하나 다 다르게 만들기 어렵죠. 그래서 많은 분들이 똑같은 패스워드를 여러 곳에 쓰거나, 간단한 변형만 하시는데요. 이게 정말 위험합니다.
바로 실천 가능한 해결책
- 최소 10자 이상, 영문 대소문자+숫자+특수문자 조합 사용
- 회사 계정과 개인 계정의 패스워드는 반드시 다르게
- 3개월마다 주요 계정 패스워드 변경 (회사 규정 확인)
- 패스워드 관리 프로그램 활용 (회사에서 승인한 것만)
- 2단계 인증(OTP) 가능하면 꼭 설정하세요
패스워드 만들 때 작은 팁 하나 드리자면, 문장으로 만드는 방법이 있습니다. 예를 들어 “나는 매일 아침 7시에 출근한다”를 Nm@Aa7sC!로 바꾸는 식이죠. 외우기도 쉽고 안전합니다.
3위: 개인 USB나 외장하드 무단 사용
실제 사고 사례
한 직원이 퇴직 전 회사의 휴대용 저장장치에 주요 자산을 백업하고 반출했습니다. 이후 동종업계 업체를 설립해 반출한 영업비밀을 사용하여 부정한 이익을 얻었죠. 회사가 별도 보안서버를 구축하고 접근을 제한했지만, 외장하드 사용을 막지 못해 영업비밀 무단 반출 문제가 발생했습니다.
통계에 따르면 기술 유출의 60%가 휴대용 저장장치를 통해, 40%가 이메일을 통해 발생한다고 합니다. USB 하나가 회사 전체를 위험에 빠뜨릴 수 있다는 얘기죠.
예방법
- 회사에서 승인한 저장장치만 사용
- 개인 USB는 절대 회사 컴퓨터에 연결하지 않기
- 급하게 자료 옮겨야 한다면 회사 승인된 클라우드 사용
- 출처 불명의 USB를 주웠다고 컴퓨터에 꽂지 마세요 (악성코드 감염 위험)
- 회사 USB라도 중요 파일은 반드시 암호화
실제로 어느 회사에서는 주차장에 일부러 악성코드 들어간 USB를 떨어뜨려 놓는 보안 훈련을 했다고 합니다. 놀랍게도 30% 이상의 직원이 그걸 주워서 자기 컴퓨터에 꽂아봤다고 하네요.
4위: 공유폴더 권한 설정 실수
이런 일이 실제로 일어납니다
팀 내에서만 봐야 하는 인사평가 자료를 Everyone(모든 사용자) 권한으로 공유폴더에 올려놓은 적 있으신가요? 아니면 퇴사한 직원의 접근 권한을 그대로 두신 적은요?
공유폴더 설정 실수는 겉으로 드러나지 않아서 더 위험합니다. 몇 달, 몇 년 동안 민감한 정보가 무방비 상태로 노출되어 있을 수 있거든요.
올바른 공유폴더 관리법
- Everyone 권한은 절대 사용하지 말 것 (정말 모든 사람에게 공개해도 되는 자료만)
- 필요한 사람에게만 최소 권한 부여
- 읽기 전용이면 충분한지, 쓰기 권한이 필요한지 꼼꼼히 판단
- 분기마다 공유폴더 권한 점검 (특히 퇴사자 계정)
- 중요 문서는 암호 걸어서 공유
회사 네트워크 환경설정도 중요한데요. 2024년 8월 금융위원회가 망분리 규제를 완화하면서 클라우드와 외부 AI 서비스 활용이 가능해졌지만, 동시에 새로운 보안 위협도 증가했습니다.
5위: 회사 정보를 개인 이메일로 전송
이런 실수, 한 번쯤 해보셨죠?
‘집에서 작업하려고’ 혹은 ‘참고용으로’ 회사 자료를 개인 메일로 보낸 경험, 있으실 겁니다. 저도 솔직히 신입 때는 그랬거든요. 근데 이게 정말 위험한 행동입니다.
개인정보가 포함된 이메일을 권한 없는 내부 직원에게 잘못 발송하거나, 이동형 저장매체를 분실하거나, 오발송하는 등의 단순 실수가 개인정보 유출 사고의 33%를 차지한다는 통계가 있습니다.
대신 이렇게 하세요
- 회사 승인된 클라우드 드라이브 활용 (구글 드라이브, 원드라이브 등)
- VPN으로 회사 시스템에 원격 접속
- 어쩔 수 없이 개인 메일 사용 시 파일 암호화는 필수
- 작업 끝나면 개인 메일에서 즉시 삭제
- 개인정보 포함 문서는 절대 개인 메일 사용 금지
개인정보 유출 사고 중 이메일이나 공문에 개인정보 포함된 파일을 첨부하는 실수가 8%를 차지합니다. 작은 실수가 큰 법적 문제로 이어질 수 있어요.
6위: 공공장소에서 업무 시 화면 노출
카페에서 노트북 쓰는 분들 주목!
요즘 재택근무나 원격근무가 많아지면서 카페나 공항에서 노트북 켜고 일하시는 분들 많으시죠? 그런데 뒤에서 누가 화면을 보고 있을 수도 있습니다.
실제로 ‘숄더 서핑(Shoulder Surfing)’이라고 해서, 다른 사람 어깨 너머로 화면이나 비밀번호 입력하는 걸 훔쳐보는 수법이 있습니다. CCTV가 있는 곳에서 비밀번호 입력하다가 녹화되는 경우도 있고요.
공공장소 업무 시 주의사항
- 노트북에 프라이버시 필터(시야각 차단 필름) 부착
- 뒷자리나 벽 쪽에 앉기
- 화면 밝기 적절히 조절 (너무 밝으면 멀리서도 보임)
- 잠깐 자리 비울 때도 반드시 화면 잠금 (Windows+L)
- 화상회의 시 배경에 민감한 정보 보이는지 확인
특히 요즘은 딥페이크 기술이 발전해서 2025년 2월 미국에서는 IT 직원 채용 과정에서 딥페이크로 만든 가짜 지원자가 화상 인터뷰에 참여한 사례도 있었습니다. 화상회의도 조심해야 할 시대가 됐네요.
7위: 소프트웨어 업데이트 미루기
“나중에 할게요” 버튼의 위험성
Windows 업데이트 알림 뜨면 “나중에 다시 알림” 누르시나요? 업무용 프로그램 업데이트도 귀찮아서 미루시나요? 이게 보안에는 치명적입니다.
2025년에는 제로데이 취약점 대신 패치가 적용되지 않은 시스템을 노리는 1-Day 취약점을 악용하는 방식이 증가하고 있습니다. 즉, 이미 해결책이 나와 있는데 업데이트를 안 해서 당하는 경우가 더 많다는 얘기죠.
업데이트 관리 팁
- 보안 업데이트는 최우선으로 적용
- 회사에서 제공하는 업데이트 일정 준수
- 자동 업데이트 설정 (퇴근 시간대나 점심시간 활용)
- 백신 프로그램은 항상 최신 버전 유지
- 업데이트 후 재부팅 필요하면 미루지 말기
8위: 의심스러운 웹사이트 접속
업무 중 개인 웹서핑의 위험
점심시간에 쇼핑몰 구경하거나, 업무 참고자료 찾다가 출처 불명의 사이트 들어가신 적 있으시죠? 회사 컴퓨터로 개인 인터넷 뱅킹 하시는 분도 계실 거고요.
문제는 악성코드가 숨어있는 사이트에 접속만 해도 감염될 수 있다는 겁니다. 특히 불법 소프트웨어 다운로드 사이트나, ‘무료’를 강조하는 의심스러운 사이트가 위험합니다.
안전한 웹 사용 수칙
- https:// 로 시작하는 보안 사이트만 이용
- 업무용 컴퓨터로 개인 금융거래 자제
- 불법 소프트웨어, 영화, 음악 사이트 절대 접속 금지
- 팝업 광고 함부로 클릭하지 않기
- 브라우저 보안 경고 뜨면 즉시 나가기
9위: 퇴사 시 데이터 삭제 누락
회사 떠날 때도 보안은 중요합니다
퇴사할 때 개인 물건 챙기고, 인수인계하고, 작별 인사하느라 정신없으시죠? 그런데 깜빡하고 회사 클라우드나 개인 계정에 회사 자료를 그대로 두고 나가시는 경우가 많습니다.
나중에 전 직장 자료가 개인 메일에 남아있다가 문제가 되는 경우도 있고, 반대로 회사에서 퇴사자 계정을 그대로 두다가 보안 사고가 나는 경우도 있습니다.
퇴사 시 체크리스트
- 회사 이메일에서 개인 메일로 전송한 파일 모두 삭제
- 개인 클라우드에 저장한 회사 자료 완전 삭제
- 회사 업무용 앱에서 로그아웃
- 개인 기기에 설치한 회사 프로그램 제거
- 회사 메신저, VPN 등 모든 계정 연동 해제
10위: 보안 교육 불참 또는 무시
“또 보안 교육이야?” 하시는 분들께
솔직히 말씀드릴게요. 저도 보안 교육 담당하면서 느끼는 건데, 많은 분들이 보안 교육을 형식적인 것으로 생각하세요. “어차피 나한테는 안 일어나” “매년 똑같은 내용”이라고요.
그런데요, 생성형 AI를 활용한 보안 행동 및 문화 프로그램을 도입한 기업은 2026년까지 직원 실수로 인한 사이버 보안 사고를 40%나 줄일 수 있다는 연구 결과가 있습니다. 교육이 정말 효과가 있다는 증거죠.
보안 교육 제대로 활용하기
- 연간 필수 보안 교육은 반드시 이수
- 새로운 보안 위협 정보 정기적으로 확인
- 회사 보안팀 공지사항 꼼꼼히 읽기
- 궁금한 점은 보안팀에 바로 문의
- 가족에게도 기본 보안 수칙 공유
보안은 습관입니다 – 오늘부터 실천해보세요
지금까지 직장인이 가장 많이 저지르는 보안 실수 TOP 10과 예방법을 알아봤습니다. 하나하나 보면 어렵지 않죠? 대부분 작은 습관의 문제입니다.
2025년에는 AI 기술 발전과 함께 사이버 공격도 더욱 지능화되고 있고, 협력사를 타깃으로 한 공급망 공격도 증가하고 있습니다. 개인의 작은 실수가 회사 전체, 나아가 고객들에게까지 피해를 줄 수 있는 시대입니다.
오늘부터 실천 가능한 3가지만 꼭 기억하세요:
- 의심하는 습관 – 이메일, USB, 웹사이트 모두 일단 의심하고 확인
- 잠그는 습관 – 자리 비울 때 화면 잠금 (Windows+L), 중요 파일 암호화
- 업데이트하는 습관 – 보안 패치와 백신은 항상 최신 상태로
보안은 IT 부서만의 일이 아닙니다. 우리 모두가 함께 만들어가는 안전한 업무 환경입니다. 여러분의 작은 습관 하나가 회사를 지키고, 동료를 보호하고, 고객의 정보를 안전하게 지킬 수 있습니다.
오늘 소개해드린 내용 중 하나라도 실천하신다면, 그것만으로도 여러분은 이미 훌륭한 보안 담당자입니다. 함께 안전한 디지털 업무 환경을 만들어가요!
궁금하신 점이나 추가로 알고 싶은 보안 팁이 있으시면 댓글로 남겨주세요. 실무 경험을 바탕으로 성심껏 답변드리겠습니다!
관련 키워드: 직장인 보안, 정보보안 실수, 이메일 보안, USB 보안, 공유폴더 보안, 패스워드 관리, 랜섬웨어 예방, 개인정보 보호, 기업 보안사고, 사이버 보안 2025