Offcanvas

보안

'기본만 지켜도 충분' 피싱 막는 보안 수칙 11가지

2017.07.11 CSO staff  |  CSO
정상적인 이메일이라고 생각하고 클릭했지만, 위험한 링크였던 것으로 판명된 경험을 모두 가지고 있다. IT 실무 사례, 직원 교육과 현명한 SNS 사용법에 대한 필수 기본 수칙을 알아보자.



95~99%의 스피어 피싱 시도를 막을 수 있는 방법 3가지
1. 인바운드 이메일 샌드 박싱
사용자가 이메일 링크를 클릭할 때 연결 안전성을 확인하는 솔루션을 구축하라. 사이버 범죄자들이 시도하는 새로운 전술에 대항할 수 있다. 해커들은 조직의 이메일 보안에 접근하기 위해 이메일에 URL을 첨부한다. 메일을 발송한 후 웹 사이트에 바로 악성 코드를 주입하는 것이다. 이런 URL은 일반적인 표준 스팸 솔루션 대부분을 통과할 수 있다.

2. 실시간 분석 및 웹 트래픽 검사
먼저 악성 URL이 게이트웨이의 사용자 회사 받은 편지함에 접근하는 것 자체를 차단하라. 회사 이메일에서 인바운드 이메일 샌드박스 기술을 쓰더라도, 사용자들이 지메일 등의 개인 이메일에서 링크를 클릭할 수 있다. 이런 경우에는 회사 이메일의 스피어 피싱 보호 기능이 트래픽을 볼 수 없다. 결론은, 웹 보안 게이트웨이가 더욱 지능적이고 실시간 분석적이어야 하며, 맬웨어 차단에 더 효율적이어야 한다는 것이다.

3. 직원의 행동
조직에 있어 인간이라는 요소는 매우 중요하다. 직원 테스트 프로그램을 도입하고 지속적인 훈련 체계를 만들기를 권한다. 직원 프로그램의 목적은 교육인 보안 자각이 아니라 바로 행동 교정이다.

직원 행동 변화시키기 팁 5가지
직원은 조직에 있어 데이터 유출 사고를 막을 수 있는 역량, 스피어 피싱 방어, 성공적인 보안 구축에 가장 중요한 요소다. 직원들을 가장 강력한 보안 정책 지지자로 바꾸어 놓을 방법 5가지를 알아보자.

1. 조직적 펜 테스트
직원들이 새로운 행동을 하게 되는 가장 쉬운 방법은 실수를 하고, 조언을 얻는 것이다. 주요 부서에서 한 사람씩 뽑아서 하나의 그룹을 만들고, 외부 이메일 주소로 타깃 스피어 피싱 이메일을 보내자. 페이스북, 트위터, 링크드인 등 주요 소셜 미디어웹 사이트에서 모을 수 있는 정보를 활용한다. 예를 들어, 지역 축구 팀을 응원하는 직원에게는 그 팀과 교류할 수 있는 해피 아워 정보를 보내는 식이다. 직원들이 이 링크를 클릭하면, 피싱 사이트에 걸려들었을 수 있다고 경고하고 긍정적인 방식으로 소통해보자.

2. 마케팅 부서에 지원을 요청한다
직원들과의 의사소통을 매끄럽게 하기 위해 마케팅 부서의 협력을 요청하라. 마케팅은 각기 다른 고객과 소통하고 그들에게 영향력을 미치는 업무에 특화된 부서다. 이 역량을 적극적으로 활용하자. 두 팀이 실행할 수 있는 직원 의사소통 계획을 만들고 가장 효율적인 전략을 사용하라.

3. 메시지가 전달되는 방식을 변경한다
시각적인 교육에 반응하는 사람이 있고, 청각적인 교육이 효율적인 사람이 있다. 대부분은 둘 다이다. 조직의 보안 메시지가 직원들에게 전달되는 방식을 바꿔보자. 정기적인 이메일, 웨비나, 사내 인트라넷 포스트부터 시작하고, 대면 교육과 영상을 제공한다. 각기 다른 매체를 활용하면 더 많은 직원들에게 영향을 미칠 수 있다. 한 가지 방법을 고수하면 같은 메시지를 여러 번 반복해야 한다는 점을 기억하라.

4. 보안을 업무와 밀착된 것으로 만들기
직원들에게 의심스러운 이메일을 조심하라고 언급하는 것만으로 바로 스피어 피싱에 대한 위기 의식이 생겨나지 않는다. 바로 본론으로 진입하자. 유명 대기업에서 직원이 감염된 이메일을 열어 데이터 유출 사태가 일어났을 때, 어떻게 이런 사고가 생겼는지에 대해 직원들과 토의하는 것이 좋다. 시기도 적절하고, 주목 거리가 되며, 경영진의 레이더에 포착되기도 쉽다.

5. 좋은 행동에는 보상을
IT 보안은 어렵고 우중충한 이미지를 가진 분야지만, 이런 인식을 바꿔볼 수도 있다. ‘오늘의 보안 상’을 만들어 직원들에게 보상을 지급하라. 개인 이메일과 회사 이메일 양쪽에서 받은 의심스러운 이메일 링크를 포워딩하는 조직 내부 경연대회를 여는 것이다. 매주 금요일마다 ‘이주의 보안 상’을 시상하고 스타벅스100달러 상품권 등을 안겨주며 피싱 공격과 대응 방법을 공론화하자.

소셜 미디어에 절대 올려서는 안 되는 개인 정보 3가지
사이버 범죄자에게 소셜 네트워크는 타깃 스피어 피싱 이메일의 금광이라고 할 만큼 많은 개인정보가 널려 있는 곳이다. IT 보안 전문가라면 온라인으로는 절대 언급하지 말아야 할 3가지를 알아보자.

1. 생일, 주소, 통신 네트워크 비밀번호와 관계된 모든 항목
절대로 생일이나 주소 등 쉬운 개인정보를 비밀번호에 사용하지 말라는 전문가들의 충고에도 불구하고, 이들 항목은 여전히 비밀번호에 가장 자주 쓰이는 정보다. 그러나 이런 개인 정보를 소셜 네트워크에 전시하지는 말아야 한다.

2. 휴가 계획과 집안 사진
언제 집을 비우는지와 집안 사진을 함께 공개하는 것은 범죄자들에게 있어서는 사전 정찰 정보를 알려주는 것과 같다.

3. 휴대폰 번호
사이버 범죄자들은 날이 갈수록 창의적으로 변해간다. 더욱 많은 범죄자들이 타깃이 된 직원과의 연락을 시도하면서 안내 직원으로 가장하고 비밀번호 초기화를 요구한다. 의심스러운 전화를 받았을 때는 본인의 직감을 믿어라. 모르는 사람이 전화를 해 왔고 어딘지 미심쩍은 부분이 있으면, 연락처를 받아두고 검색해본다. 결국 예의에 약간 어긋나는 것보다 안전을 확보하는 것이 우선인 법이다.

피싱 공격은 사라지지 않았다. 사용자들이 소셜 네트워크 서비스와 이메일을 핵심 의사소통 창구로 사용하는 한, 스피어 피싱은 사이버 범죄자들의 선택적 무기가 될 것이다. editor@itworld.co.kr  
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.