감성보안프로젝트#4
SNS, 메신저 사용이 증가됨에 따라 나도 모르게 회사 중요 정보를 유출하거나, 랜섬웨어 같은 악성코드 감염에 걸려 회사 내 중요 정보를 잃게 되는 사고를 겪을 수가 있습니다. 복잡한 보안관리, 기본부터 시작하면 됩니다. 회사원이 알면 도움되는 보안관리 실천 수칙 10가지를 알려드립니다.
회사에서는 중요 정보 및 자산(파일, 노트북, 저장매체, 인쇄물 등)을 외부 반출(이메일 전송 포함)할 경우 사전에 부서장의 승인을 받아야 합니다. 그래서 내가 지켜야 할 회사의 중요 정보가 무엇인지 먼저 알아야 합니다.
우선 고객의 개인정보는 고의 및 실수로 유출할 경우 개인정보보호법에 따라 처벌을 받을 수 있기 때문에 적법한 절차에 따라 승인을 받고 안전하게 암호화(파일 암호 설정 등)하여 전송하여야 합니다. 그 외에 회사에서 대외비, 비밀 등 중요 정보로 정의하고 있는 정보 및 자산은 회사 반출 규정을 반드시 사전에 숙지하고 반출하는 것이 필요합니다.
보안관리의 기초이지만 가장 준수하기 어려운 부분이 아이디, 패스워드 보안관리입니다. 회사에서 사용하는 시스템, 업무용 프로그램, 이메일, PC 등에 접속하기 위해 수많은 ID와 패스워드를 사용하다 보니 알면서도 놓치기 쉽습니다. 일반적으로 회사 규정은 벤더에서 제공하는 ID와 패스워드는 반드시 변경해서 사용하도록 가이드하고 있습니다.
개인정보보호법에는 개인정보처리 시스템 접속 패스워드는 3문자(영문 소문자/대문자+숫자+특수문자)를 포함할 경우 8자 이상 또는 2 문자를 포함할 경우 10자 이상으로 패스워드를 설정하도록 의무화하고 있습니다. 그래서 다른 시스템에 대한 임직원 패스워드 복잡도 기준도 법 기준에 준용해서 관리하고 있는 회사가 대부분입니다.
회사 보안관리 규정을 반드시 확인하고 아이디, 패스워드 작성 규칙대로 관리하시는 것이 보안의 기초이자 직원으로서 보안 의무를 준수하는 가장 기본적인 행동입니다. 추가적으로 당부드리고 싶은 것은 회사 ID 및 패스워드는 개인적으로 사용하는 포탈/SNS 계정(ID) 및 패스워드와 다른 것으로 사용하셔야 추후 개인 계정이 해킹되더라도 피해가 확산되지 않을 수 있습니다.
패스워드 생성 방법은 본인만의 패턴을 만들어 시스템별로 다른 패스워드를 사용하시면 안전하고 기억하기 쉽게 사용하실 수 있습니다. (예시 : 03^0^sec => 3월에 만든 sec 시스템 패스워드, ^0^ 고정 ) 대신 절대 패스워드 규칙이나 패스워드를 별도로 적어놓아서는 안됩니다 :)
지금 사용하고 있는 패스워드의 안전성을 확인하는 사이트가 있습니다. 아래 링크에서 확인해 보시면 안전성 결과에 따라 '빨강 -위험, 노랑 - 보통, 초록- 안전'으로 페이지 색깔이 표시됩니다.
https://howsecureismypassword.net/
개인정보보호법에 따라 고객의 개인정보는 개인정보 라이프 사이클(개인정보 수집, 보관, 처리 등) 동안 안전하게 관리돼야 합니다. 나중에 실수로 개인정보가 유출될 경우 개인정보보호에 대한 기술적/관리적 보호조치를 준수했는지 감독기관에서는 확인하게 되는데, 그때 법을 몰랐다고 해도 면죄가 되지 않습니다.
개인정보 관련 개발/업무 수행할 경우 사전에 개인정보 수집, 처리 등에 대한 영향도와 법적 요구사항 준수 여부 등을 판별하는 보안성 검토를 수행하는 것이 반드시 필요합니다. 회사 내 보안 부서 또는 법무팀 협조를 받아 업무 기획 단계에서 보안 요구사항이 반영될 수 있도록 하는 것이 중요합니다.
참고사이트
1) KISA 시큐어코딩 가이드
http://www.kisa.or.kr/public/laws/laws3_View.jsp?mode=view&p_No=259&b_No=259&d_No=55
2) KISA 암호이용활성화
3) KISA 무료 교육 : 개발자를 위한 시큐어코딩
https://academy.kisa.or.kr/edu/planning01.kisa
악성코드 감염으로 인한 개인정보 해킹 사고가 많이 일어나고 있습니다. 악성코드는 운영체제(OS), 응용소프트웨어의 보안 취약점을 악용하여 시스템을 감염시킵니다. 모든 소프트웨어는 최신 버전으로 업데이트하는 것이 중요합니다.
추가로 회사 보안부서에서 가이드하는 백신은 반드시 설치하며, 최신 버전으로 업데이트하여 악성코드 위협으로부터 예방하여야 합니다.
참고사이트 : SW 보안 취약점 공지
https://www.krcert.or.kr/data/secNoticeList.do
회사 내 악성코드 유입경로로 이메일, 메신저로 전송되는 URL 링크가 악용되고 있습니다. 출처가 불명확한 이메일, 메시지에 포함된 URL 링크는 클릭해서는 안됩니다. 이메일에 첨부된 파일 또한 마찬가지입니다. 이메일 주소도 최근에는 회사 메일 계정과 유사하게 속여서 발송하니 유심히 볼 필요가 있습니다.
최근 이력서, 저작권, 교통범칙금으로 위장한 악성메일 사례를 보면 다음과 같습니다.
GandCrab 랜섬웨어는 컴퓨터 파일을 암호화 한 뒤 해독키를 제공하는 대가로 금전을 요구하는 악성코드입니다. 공격방식은 채용사이트에 기재된 인사담당자를 대상으로 입사지원자의 이력서로 위장하여 메일에 첨부된 랜섬웨어 유포지 링크를 클릭하도록 유도하거나 저작권 위반 및 교통범칙금으로 위장하여 이메일에 첨부된 egg 압축파일을 실행하도록 유도하고 있습니다.
이와 같이 타깃을 특정한 공격(이메일 피싱)이 정교해지고 있으니 각별한 사용자 주의가 필요합니다.
참고사이트 : KISA 보안 공지
https://www.krcert.or.kr/data/secNoticeView.do?bulletin_writing_sequence=27210
토렌트 같은 P2P, 파일공유 사이트에서 파일 다운로드 시 악성코드에 감염되기 쉽습니다. 회사에서는 이런 위험때문에 파일공유 사이트를 차단하고 있습니다. 접속이 가능하더라도 가급적이면 다운로드를 하지 않는 것이 중요하며, 불가피하게 다운로드를 할 때에 주의해야 합니다.
출처가 불명확한 사이트에서도 마찬가지입니다. 파일 다운로드 후 백신 검사는 필수이며, 백신에서 탐지가 되지 않더라도 안전하지 않을 수 있으니 중요 시스템에 접속하는 PC에서는 가급적이면 실행을 시키지 않는 것이 중요합니다.
집에서 다운로드를 받다가 악성코드에 감염되는 위험도 조심해야 합니다. 감염된 PC에서 USB매체로 옮긴 파일을 회사로 가지고 와서 실행시켜 발생된 사고가 농협 전산망 해킹 사고였습니다.
최근 랜섬웨어 감염으로 피해를 보시는 분이 많은데, 일단 감염이 되면 복구하기 어렵습니다. 돈을 주고 해커에게 암호 복호키를 받더라도 복구가 되지 않을 수도 있습니다.
랜섬웨어의 가장 중요한 예방 및 복구 방법은 중요 데이터는 반드시 별도 백업을 수행하는 것입니다. 최근 랜섬웨어는 MS Windows OS에서 제공하는 복원 기능(복원 시점 선택)에서 쓰는 파일까지 삭제하고 있어서 별도 저장매체에 백업을 해놓고 외장하드 선은 컴퓨터와 분리하는 것이 중요합니다.
특히 랜섬웨어는 같은 네트워크 드라이브에 연결되어 있는 파일까지 암호화시키기 때문에 업무상 필요한 네트워크 드라이브는 필요시에만 연결해서 사용하시는 것이 필요합니다. 업무 파일 공유 드라이브를 평상시 연결해서 사용하다가 랜섬웨어에 감염될 경우 업무 파일까지 암호화되어 잠겨버릴 수 있습니다. 네이버 클라우드도 드라이브로 연결해서 사용할 경우 감염대상이 됩니다. 반드시 필요할 때만 접속해서 사용하세요!
참고사이트
1) 랜섬웨어 대신 직접 걸려보고 리뷰 - 천대광 신동훈의 [대신리뷰]
2) 랜섬웨어 걸렸을 때 도움되는 사이트
https://www.krcert.or.kr/ransomware/recovery.do
3)랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드 (KISA)
https://www.krcert.or.kr/data/guideView.do?bulletin_writing_sequence=27049
소설 '스마트폰을 떨어뜨렸을 뿐인데'를 보면 SNS(페이스북)를 통해 어떻게 특정인의 정보에 접근하는지 방법이 상세히 나와 있습니다. 회사원이 SNS(페이스북)를 하게 되면 자연스럽게 회사 관련된 직장 동료, 학교 친구들이 연결되기 때문에 손쉽게 나에 대한 정보가 유추 가능합니다.
최소한 내가 다니는 현재 회사 정보, 부서명은 공개 프로필에 기재를 하지 않는 것이 좋습니다. 특정인을 타게팅하는 APT(지능화지속위협) 공격이 증가함에 따라 내가 올린 SNS 정보들로 인해 해커의 먹잇감이 될 수 있습니다.
회사 홈페이지 개인정보 노출 여부를 의무적으로 검사하는 것도 필요하지만, 나의 개인정보에 대한 구글 노출 여부도 정기적으로 확인해 보는 것이 좋습니다. 검색어(필터)로 회사 ID, 개인 포탈/SNS ID, 사번, 주민번호(생년월일), 주소, 회사명+이름, 전화번호 등을 추천드립니다.
구글에서 검색 삭제 정책에 따라 자발적으로 삭제하는 정보는 아래와 같습니다. 그 외의 정보가 검색 사이트에서 발견될 경우 해당 웹사이트와 구글 검색사이트 모두 삭제 요청을 하시면 됩니다.
참고사이트 : Google에서 내 개인정보 삭제 (요청하는 방법)
https://support.google.com/webmasters/answer/7479439?hl=ko
개인정보처리자 PC를 켜둔 상태에서 퇴근하여 해커가 악성코드 감염된 PC를 통해 내부 서버망까지 쉽게 침투할 수 있었던 해킹사고가 있었습니다. 사이버 범죄를 성공시키기 위한 철칙이 있습니다. 악성코드 감염 대상자가 보안이 뚫렸다는 낌새를 알아채지 못하게 하는 것입니다.
일반적으로 해커들은 컴퓨터 바이러스, 웜 등의 악성코드를 타깃 PC나 단말기에 몰래 심어놓고 당장 작동시키지 않습니다. 이렇게 타깃이 퇴근한 이후에 들어와서 맘 놓고 정보를 빼내갑니다. PC 전원을 퇴근 시 끄고 가는 작은 습관이 이런 해커의 공격을 차단하는 보안사고 예방활동이 됩니다.
SNS 사용은 신중하게, 회사 보안 관리는 기본 수칙 준수!
[참고문헌]
KISA 랜섬웨어 예방수칙 https://www.krcert.or.kr/ransomware/prevention.do
정보는?