오늘날과 같은 디지털 시대에 이메일은 규모와 관계없이 모든 기업에 없어서는 안 될 통신 수단이 되었지만, 이와 동시에 특히 소규모 기업에 큰 보안 문제를 야기하고 있습니다. 사이버 위협이 계속해서 진화하고 더 교묘해지면서 민감한 정보를 보호하고 이메일 서신의 기밀성을 보장하는 일이 그 어느 때보다 중요합니다.
최근 몇 년 동안 기업의 이메일 서버를 이용한 사이버 공격은 기업 전반적으로 급격하게 증가했습니다. 지난 몇 년간 전 세계 기업이 원격 근무로 전환한 것을 생각하면 그리 놀랄 일도 아닙니다. 하지만 이제 원격 근무가 보편화되면서 대부분의 사이버 보안 전문가들이 놀랄 수밖에 없었던 점은 대부분의 조직, 그중에서도 특히 이러한 유형의 공격에 가장 취약한 소규모 기업에서 기업 이메일 침해(Business Email Compromise, BEC)와 기타 전통적인 형태의 이메일 중심 사이버 공격으로부터 회사 시스템을 보호하기 위해 기본적인 사이버 보안 방식을 구현하지 않았다는 것입니다.
기업 이메일 침해는 기업 간에 일상적으로 이루어지는 이메일 통신을 활용하려는 심각한 유형의 디지털 사기 및 탈취 행위입니다. 사이버 범죄자는 복잡한 소셜 엔지니어링 프로세스를 통해 직원이나 신뢰할 수 있는 동료로 사칭하고 같은 회사에 근무하는 피해자를 설득하여 숨겨진 계정으로 민감한 정보를 전송하거나 자금을 이체하도록 합니다. 이러한 유형의 공격을 받으면 피해 심각도는 기업마다 다르지만, 일반적으로 공격 표적이 된 기업에 막대한 피해 비용이 발생합니다. 따라서 특히 소규모 기업에 초점을 맞춰 이메일 보안 모범 사례, 지침, 프로토콜, 정책 가이드를 마련했습니다(하지만 해당 모범 사례는 모든 규모의 조직에 동일하게 적용됩니다). 이제 소규모 기업에서 사용하는 이메일이 안전하고 모든 중요한 정보가 원치 않는 사용자로부터 안전하게 보호되고 있는지 확인해야 할 때입니다.
소규모 기업의 이메일 보안 모범 사례
소규모 기업의 이메일 보안 모범 사례는 대규모 기업에서 사용되는 해당 모범 사례와 유사하며, 세 가지 주요 유형의 이메일 사이버 공격에 해당하는 피싱 신용 사기, 스피어 피싱 공격, 사기 청구서로부터 보호해 줍니다. 먼저 필수 이메일 보안 조치부터 시작해 보겠습니다.
기업만 사용할 수 있는 기업 이메일 계정
다소 쉽고 간단한 이야기 같지만, 만일의 경우를 대비하여 한 번 더 짚고 넘어가는 것이 좋습니다. 업무가 모든 사람의 삶에서 중요한 부분으로 자리 잡으면서 기업 이메일을 사용하여 개인 계정으로는 액세스할 수 없는 특정 서비스에 가입하거나 로그인하고 싶은 유혹에 빠질 수 있습니다. 하지만 개인적인 온라인 활동을 하는 데 기업 이메일을 사용하면 사기범이 사용자를 더욱 쉽게 프로파일링하여 훨씬 더 표적화된 사이버 공격을 받을 수 있습니다. 이와 마찬가지로 일반적으로 직장에서 사용하는 기업용 연결이나 맞춤형 컴퓨터만큼 안전하지 않은 개인 컴퓨터나 가정용 Wi-Fi 연결을 사용하고 있다면 해커가 기업 자격 증명을 탈취할 수 있는 더 좋은 기회를 얻게 됩니다. 이에 관한 자세한 내용은 다음 모범 사례로도 이어집니다.
공용 Wi-Fi에서 기업 이메일 사용 금지
안전한 회사 컴퓨터를 사용하여 기업 이메일 계정에 액세스한다고 해도 공용 Wi-Fi는 해커와 사이버 범죄자가 사용자의 컴퓨터에 침투하여 민감한 데이터를 탈취할 수 있는 완벽한 게이트웨이입니다. 불가피하게 공용 연결을 사용할 수밖에 없을 때는 VPN을 사용하여 중요한 기업 서버에 연결하고 전반적인 엔드포인트 보안을 향상하는 것이 좋습니다. 가상 사설망(Virtual Private Network, VPN)은 사용자의 원격 컴퓨터와 조직의 전용 서버 사이에 일종의 암호화된 비공개 터널을 만들어 작동합니다. 따라서 안전하지 못한 네트워크를 통해 전송하는 데이터를 실시간 암호화로 보호합니다. VPN과 VPN 작동 방식에 관한 자세한 내용은 "VPN이란?" 문서를 참조하세요.
강력한 암호와 암호문
기업 이메일 계정을 해킹하는 첫 번째 단계는 해당 계정에 무차별 암호 대입 공격을 하여 사용자의 암호나 암호문을 추측하는 것입니다. 따라서 모든 직원이 '강력한' 암호나 암호문을 사용하는 것이 좋습니다. 암호는 12~14자로 충분히 길고 특수 문자, 숫자, 대문자, 소문자를 조합하여 이루어진 경우 '강력한' 것으로 간주됩니다. 이와 마찬가지로 '강력한' 암호문은 거의 동일한 규칙을 따르지만, 15~20자여야 하고 다른 언어 문자(가능한 경우)를 사용해야 합니다.
암호와 암호문은 모두 고유해야 하고 한 애플리케이션에서만 사용해야 한다는 점을 기억하는 것이 가장 중요합니다. 즉, 직장에서 사용하는 시스템 수에 따라 암호나 암호문이 많이 필요합니다. 따라서 강력한 암호를 만들 수 있는 암호 생성기를 제공하는 암호 관리자나 암호 저장소를 사용하여 고유한 암호와 암호문을 모두 저장하는 것이 좋습니다. 암호 저장소와 암호 관리자가 해킹당하더라도 암호는 암호화되어 여전히 안전하게 보관됩니다. 256비트 AES(고급 암호화 표준) 같은 업계 표준 암호화를 해독하는 것은 거의 불가능합니다. 따라서 해커가 저장소 자체에 '침입'한다고 해도 암호화된 데이터로 아무것도 할 수 없습니다.
피싱 신용 사기와 첨부 파일 인식 제고 교육
비즈니스를 보호하는 가장 쉬운 방법 중 하나는 모든 직원을 대상으로 간단한 사이버 보안 교육을 실시하는 데 투자하는 것입니다. 이러한 교육을 실시할 수 없는 경우에는 직원들에게 피싱 신용 사기와 이메일 첨부 파일 공격, 즉 악성 첨부 파일 또는 HTML 스머글링의 위험에 대해 알려주는 것이 좋습니다. 이때 다루어야 할 주요 사항은 다음과 같습니다.
- 사용자의 로그인 자격 증명을 탈취하고 Microsoft Outlook 로그인 창과 같은 일반적인 팝업 창을 모방하는 사기성 웹사이트와 로그인 창 등 일반적인 피싱 신용 사기에 대한 인식.
- .DOCX, .HTML, .EXE 등 악성 코드가 숨겨져 있을 수 있는 가장 일반적인 이메일 첨부 파일 벡터에 대한 지식. 이 지식에는 최근에 일반적으로 발생하는 형태인 HTML 스머글링이라고 하는 이메일 사이버 공격도 포함됩니다.
- 직원들에게 의심스럽거나 알 수 없는 발신자가 보낸 링크를 절대 클릭하지 말라고 강력히 이야기합니다. 악성 링크는 사기범이 일종의 피싱 신용 사기 웹사이트를 이용하여 직원과 기업을 상대로 사이버 공격을 성공적으로 수행할 수 있는 가장 쉬운 방법입니다.
다단계 인증 활성화
효과가 좋아서 점점 더 많이 사용되고 있는 한 가지 보안 방식은 다단계 인증입니다. 경우에 따라 MFA, 2단계 인증(2FA)이라고도 하는 다단계 인증을 사용하면 직원에게 계정 메시지에 대한 액세스 권한을 부여하기 전에 기업 이메일 계정에 대한 보안 검사를 여러 수준에 걸쳐 수행할 수 있습니다. 예를 들어 추가 암호, 보안 SMS 코드, 미리 설정한 보안 질문에 대한 답변 등이 있습니다.
로그아웃 필수
업무 이메일을 사용할 때 당연히 해야 할 일이라고 생각될 수도 있지만, 사이버 보안 공격의 대다수는 이전 회사에 불만을 품고 비즈니스에 피해를 주려는 직원으로부터 시작됩니다. 사이버 범죄를 저지르고 탐지를 회피하기 위해 가장 쉽게 사용하는 방법 중 하나가 바로 다른 사람의 계정을 도용하여 다른 직원으로 가장하는 것입니다. 따라서 자신이나 직원이 의도치 않게 사이버 범죄에 기여하지 않으려면 모든 직원이 각 세션을 완료한 후 로그아웃하고 로그인 세부 정보를 절대 공유하지 않도록 해야 합니다.
이메일 검사 및 보호 시스템
소셜 엔지니어링 위협과 이메일 관련 사이버 공격이 점점 더 복잡해지고 있는 현 상황에서 고급 악성 이메일 첨부 파일과 임베디드 스크립트 공격으로부터 보호할 수 있는 최선의 방어책은 전용 이메일 검사 및 보호 시스템을 마련하는 것입니다. 기계 학습과 정적 코드 분석을 기반으로 첨부 파일 유형뿐만 아니라 실제 이메일 콘텐츠를 평가하는 자동화된 바이러스 백신 솔루션을 사용하는 것이 좋습니다. 고급 온라인 사이버 보안 솔루션이 필요한 경우 Kaspersky Security for Microsoft Office 365를 사용할 것을 권장합니다. 수상 경력에 빛나는 시스템으로, 기업과 개인 사용자가 모두 사용할 수 있는 프리미엄 패키지에는 원격 및 연중무휴 지원이 함께 제공됩니다.
이메일 보안 프로토콜 및 표준
기업 이메일 시스템을 보호할 수 있는 가장 중요한 방법 중 하나는 적절한 이메일 보안 프로토콜을 시행하는 것입니다. 이메일 프로토콜은 일반적으로 이메일 관련 사이버 공격으로부터 보호하기 위한 최전선 방어책으로 간주되며 이메일 통신이 웹 메일 서비스를 통과할 때 안전하게 보호하도록 고안되었습니다. 정확히 설명하자면 메일 서버는 이메일 프로토콜을 사용하여 수신자의 메일 클라이언트 간에 이메일 메시지를 전달합니다. 이 프로토콜은 서버에 메시지를 처리하고 전달하는 방법을 알려줍니다. 보안 프로토콜은 이 프로세스를 확인하고 인증합니다.
기업 이메일을 보호하는 데 사용할 수 있는 다양한 프로토콜이 많습니다.
- SPF – 이메일 도메인 소유자는 이메일을 보낼 때 도메인 이름을 사용하도록 권한이 부여된 사용자를 식별하고 확인할 수 있습니다.
- DMARC – 도메인 소유자는 메시지 인증에 실패하면 알림을 받고 이에 대응할 수 있습니다.
- SMTPS 및 STARTTLS – 클라이언트와 서버 간에 이루어지는 이메일 교환을 암호화합니다.
- DKIM – 인증을 위해 사용자를 디지털 서명에 연결할 수 있습니다.
- S/MIME – MIME 형식의 데이터를 암호화하고 인증하는 방법을 정의합니다.
- OpenPGP – Pretty Good Privacy 프레임워크를 기반으로 하며 이메일 암호화 및 인증 표준입니다.
- 디지털 인증서 – 공개 키 소유권으로 발신자의 세부 정보를 확인하는 방법입니다.
- SSL/TLS – 이메일 보안에 직접적으로 사용되지는 않지만, HTTPS에 사용되므로 웹 메일 메시지를 포함한 서버 간 네트워크 트래픽을 암호화합니다.
많은 유명 이메일 클라이언트 공급업체는 SPF, DKIM, DMARC(DNS 레코드를 통해 구성됨)를 사용하여 사용자의 프라이버시를 보호합니다. 위에 명시된 프로토콜 중 적어도 세 가지를 기업 이메일 시스템에 구현하는 것이 좋습니다.
이메일 보안 정책, 지침 및 규정 준수
이메일 보안 정책, 지침 및 규정 준수는 직장에서 기업 이메일 계정을 사용하는 것과 관련된 규칙과 규정을 정의합니다. 조직에서 이메일 보안 정책 수립 시 위에 명시된 각 사항을 중점적으로 다루어야 합니다. 또한 다음 사항에 관한 규칙도 해당 지침에 포함해야 합니다.
- 사용자 액세스 및 기기 사용
- 데이터 처리 및 저장
- 이메일 전달, 삭제 및 보존에 관한 규칙
- 네트워크와 시스템 사용을 포함한 정책 적용 범위
- 윤리적 행동과 적절한 행동
- 이메일 클라이언트에서 사용되는 암호 암호화 및 기타 보안 도구
- 이메일 악성 코드와 사기성 첨부 파일, 링크, 메시지를 알아채는 방법과 관련된 사이버 보안 교육 자료
- 기업에서 수행하는 이메일 모니터링 및 작업 기록법 관행
- 이메일로 받은 악성 코드, 위협적이거나 불법적인 콘텐츠를 신고하는 곳과 방법
즉, 소규모 기업부터 대규모 기업까지 모든 조직에서 위에서 이야기한 주제를 명확하게 제시하고 정의하는 보안 규정 준수 모델(Security Compliance Model, SCN)을 마련해야 합니다. 이메일 보안 지침은 기업 이메일에 포함된 모든 콘텐츠의 프라이버시와 보안을 보장할 수 있는 법적 틀(국가 정부에서 집행 가능)로 사용됩니다. 이러한 지침은 고객과 파트너가 디지털 통신 위반 행위를 한 기업을 더욱 경계한다는 점을 생각하면 특히 중요합니다.
오늘날과 같은 디지털 환경에서 이메일은 규모를 막론하고 모든 기업에 없어서는 안 될 필수 요소가 되었지만, 사이버 공격의 주요 표적이 되기도 합니다. 원격 근무가 더욱 보편화되면서 이메일 관련 사이버 공격 위험이 증가하고 있습니다. 소규모 기업의 요구 사항에 부합하도록 특별히 설계된 Kaspersky’s Small Business Security를 사용하여 소규모 기업을 쉽게 보호하세요.
추천 제품: