- KISIA기업멤버십SW캠프
- 임호진기술사
- SK루키즈비전공자
- 클라우드기반스마트융합보안과정
- IT뉴스
- KISIA채용확정형교육
- SK루키즈후기
- SKRookies
- SK루키즈합격
- KISIA
- 판교정보보호클러스터
- 보안기사
- SK루키즈자소서
- 기업멤버십SW캠프
- 네트워크관리사 합격
- 판교제2테크노밸리
- 비전공자 네트워크관리사
- SK루키즈합격자소서
- 뉴스클리핑
- SK루키즈13기
- 사이버시큐리티
- 나도코딩의파이썬입문
- SK루키즈
- KISIA정보보호교육
- 서머싯몸단편선
- 보안뉴스
- 독서기록
- 비전공자부트캠프자소서
- 판교출퇴근
- 짱구플리
- Today
- Total
보글보글 보안 입문
[2023/6/15] 보안 뉴스 본문
1. 해킹 공격으로 돈 잃기 싫다면 무엇보다 소셜 엔지니어링부터 조심
기사요약
1) 돈을 노리는 사이버 공격자들은 대부분 소셜 엔지니어링을 실시.
2) 랜섬웨어의 전성기는 아직도 오직 않은 것으로 보임.
3) 보안의 기초적인 실천 사항을 지킴으로써 많은 공격 시도를 막을 수 있음.
기사발췌
- ”하지만 세상 모든 분야의 기초란 게 그렇지요. 가장 중요하지만 가장 지루해 보이고, 그래서 사람들이 가장 흥미를 가지지 않게 되며, 그래서 부실해지고 모든 문제의 근원이 됩니다. 실제로 지금 대다수 기업들이 이 부실한 기초 때문에 보안에 그 많은 돈을 투자하고도 당하고 또 당하는 겁니다."
- "소셜 엔지니어링 부문 내에서 가장 많이 사용되는 기술은 기업 이메일 침해(BEC)였다. 모든 소셜 엔지니어링 공격의 50%를 차지하는 것으로 조사됐다."
- "랜섬웨어 산업의 분업화와 전문화가 증가하고 있다는 것도 우리의 앞날을 더 어둡게 만든다."
✏️ 랜섬웨어 공격은 꾸준하고 피해가 크다. 랜섬웨어 공격의 시작이 소셜 엔지니어링 공격을 통해 상당수 이루어진다는 것이 흥미로웠다. 소셜 엔지니어링 공격에 당하지 않기 위해서는 기본 보안 수칙을 철저히 지키는 것이 중요하다. 제로 트러스트.... 보안에 종사하는 사람들은 어떻게 같이 일하는 다른 사람들의 보안 인식까지 제고시킬 수 있을 것인지 생각해보아야 한다.
📚 소셜 엔지니어링 : 사람들의 신뢰나 사회적 상호작용을 이용하여 정보를 획득하거나 비인가된 접근을 시도하는 공격 기법. 기술적인 취약점을 공격하는 것보다 신뢰와 상호 작용에 의존하기 때문에 매우 효과적이다. 따라서 개인이나 기업은 의심스러운 요청이나 사건에 대해 조심하고 신중하게 대응해야 한다.
📚 기업 이메일 침해(BEC, Business Email Compromise) : 소셜 엔지니어링 기법 중 하나로, 공격자가 기업의 이메일 시스템을 침해하거나 기업 직원의 이메일 계정을 도용하여 사기를 저지르는 공격. 정교한 사회 공학적 기법과 이메일 스푸핑(Email Spoofing) 기술을 활용하여 기업의 보안 시스템을 우회하고 사기를 성사시킨다.
BEC에 대비하기 위해서는 직원들에게 사회 공학적인 공격에 대한 교육과 함께, 이메일 보안 정책을 시행하고 이중 인증 등 추가 보안 기능을 사용하는 것이 중요하다. 또, 금융 거래나 중요한 정보 전송 시에는 항상 확인 절차를 거치고, 이메일 주소나 요청 내용의 이상 여부를 신중하게 검토해야 한다.
2. 지속 가능한 보안을 원한다면 기술과 교육의 중간 지점을 찾아야 한다
기사요약
1) 기술과 교육 각각만으로는 결점을 모두 해결할 수 없지만, 두 가지를 함께 사용한다면 엄청난 시너지를 낼 수 있다.
2) 회사 내에서도 사람마다 '정보의 격차'가 존재하므로, "정보보안이 중요하다"는 말은 다르게 받아들여진다. 어떤 정보를 보호해야 하는지, 회사 차원에서 정보의 중요도가 어떤지 언급해야 한다.
3) 기술은 교육과 함께 제공되어야 한다. 교육을 제공할 때는 회사가 어떤 정보를 중요하게 여기는지 정확하게 알려주고, 그것이 왜 중요한지, 그리고 어떻게 지키려 하는지 구체적으로 알려주면 된다.
기사발췌
- “임원진과 일반 직원이 매일 다루고, 그러므로 익숙해 하는 정보가 서로 다르다. 그러므로 중요하다고 느끼는 정보도 다르고, 안전하게 지켜야 한다는 방어 감각이 발동되는 지점도 다르다. 악성 행위자들은 이런 상황을 잘 인지하고 있다. 그리고 자주 악용하고 성공한다. 직원들이 낯설어 하는 정보, 그러므로 민감성을 잘 느끼지 못하고 있을 만한 정보를 직원에게 요구하는 피싱 이메일을 보내는 게 좋은 사례다.”
- “누구나 보안 개론부터 시작해 대학 과정에 준하는 교육 코스를 이수할 필요는 없다. 회사라는 맥락에서 꼭 전달해야 할 메시지를 추려내 교육하는 것이 중요하다."
-"한 사람 한 사람 보안을 잘 지켰기 때문에 수익이 증대하기도 한다는 것인데, 회사에서 이 점을 강조해 직원들에게 인센티브나 보너스를 지급하는 것도 교육의 효과를 높이고, 그러므로 회사 보안을 강화하는 좋은 방법 중 하나다."
✏️ 기술이 제공될 때에는 교육도 함께 제공되어야 한다. 인식 변화를 위한 교육은 매우 중요하다. 당연한 이야기지만 교육으로 사람들의 인식을 바꾸기가 쉽지 않기는 하다... 교육이 아주 쉽고 일상적인 형태로 제공되어야 하고, 실용적인 사례를 담고 있어야 한다. 그리고 보안 교육을 실시하는 사람은 회사가 지키려는 정보와 솔루션에 대해 근본적인 이해를 하고 있어야 한다. 나 어쩌면 교육학과를 전공했으니... 나름 나중에 도움이 될지도..?