보안 기술보다 더 중요한 것은 직원들의 협조
이메일 보안 관련 제대로 된 교육 필수
[보안뉴스 홍나경 기자] 기업의 이메일 시스템이 해커들에게 있어서 좋은 먹잇감인 것은 공공연해진 사실이다. 게다가 큰 기업일수록 잃을 것이 많고 악용될 수 있는 요인들이 많기 때문에 더 자주 해커들의 표적이 된다.
최근 조사에 따르면, 조직들의 절반 이상이 보안 사고와 데이터 침입의 요인으로 회사에 악의를 품거나 사이버 공격에 대한 심각성을 모르는 직원들을 꼽았다고 한다. 기업들이 많은 돈과 자원을 더 강한 이메일 보안 시스템을 개발하기 위해서 투자하고 있음에도 불구하고 직원들, 즉 인간 방화벽인 셈인 이들이 협조를 하지 않는다면 무용지물이 된다 뜻으로 풀이할 수 있다.
따라서 이메일의 안전은 이러한 ‘인간 방화벽’ 중 얼마나 많은 인원이 올바르게 보안 수칙을 이해하고 있는지, 얼마나 쉽게 이해한 바를 실행할 수 있는지에 달려있다. 이메일 보안의 개선이란 보안 기술과, 그것을 사용하는 사람들에 집중한 계획으로부터 시작되어야 할 것이다. 먼저 기술적인 부분을 살펴보자.
1. 이메일 보안의 기술적인 구성
이메일 보안이라는 것은 ‘보내기’ 버튼을 누르는 순간부터 받는 사람이 그 메일을 여는 순간까지 모든 과정 중에 발동, 적용되어야 한다. 이메일 보안을 위해서 서버에서부터 여러 대책들이 마련되어야 하는데, 이는 두 가지로 구성된다. 바로 이메일이 오고가는 네트워크 및 통신망의 보호와 이메일 내용 자체에 대한 보호가 바로 그것이다. 이를 제대로 수행하려면 서버에 몇 가지 기능이 필수적으로 도입되어야 한다.
하나는 암호화다. 가장 널리 사용되는 건 TLS라고 불리는 전송 계층 보안이다. 이메일 서버들끼리 통신할 때 적용되는 것으로 공격자가 패킷을 중간에 가로채지 못하도록 해준다. 이메일 전송 시 TLS를 적용하는 건 필수 중 필수다. 서버 간 통신의 보안을 강화했다면, 이메일 보낸 사람을 확인하는 게 다음 차례다. 최근에는 DMARC라는 도메인 기반 이메일 인증방식이 널리 활용되고 있다. 한 마디로 이메일 발신인을 확인하는 시스템으로, SPF라는 메일 서버 등록제와 DKIM이라는 키 인증 서명 기술을 활용하여 발신인이 진짜인지 가짜인지를 구분해낸다.
메일 서버 등록제란, 일종의 화이트리스팅 제도로 서로 신뢰하고 믿어주자는 업체 및 조직들이 도메인 및 이메일 서버를 등록하는 것이다. 즉 SPF는 신뢰할 만한 서버들의 목록이자 등록 제도를 말한다. DKIM은 메일 헤더에 서명을 넣는 기술로, SPF와 DKIM을 다 활용한다는 건 DMARC라는 시스템이 2중 보안 장치로 구성되어 있다는 뜻이 되기도 한다.
DMARC 시스템을 역으로 활용하는 것도 가능하다. 즉, 내게 도착한 이메일의 발신인을 확인하는 것처럼, 내가 보낸 이메일이 안전한 것이라고 상대를 안심시키는 데에도 활용할 수 있다는 것이다. 복잡하지도 않다. DMARC 및 SPF 기록들을 공개하고 내가 보내는 메일의 헤더들에 DKIM 서명을 적용시키면 된다. 이렇게 함으로써 누군가 우리 회사를 사칭할 수 없게 된다.
2. 교육과 훈련, 그리고 참여 유도
BYOD(Bring your own device) 때문에 이제 정보보안은 보안 담당 부서들만의 일이 아닌 것이 되었다. 모든 직원들이 주기적으로 비밀번호를 바꾸도록 하는 등 참여를 유도하는 방안들도 이메일 보안에 있어 중요한 영향을 끼친다. 하지만 이런 교육은 직원들에게 잘 녹아들 수 있는 방법이어야 한다. 누구에게나 중요한 ‘사생활 보안’을 ‘업무 관련 보안’으로 연결시켜 ‘나 자신을 지키는 것이 곧 회사를 지키는 것’이란 사실을 이해시켜야 한다. 이를 위해 직원들과 함께 할 수 있는 효과적이 교류 방법으로는, 웹캐스트와 소정의 상품이 걸린 퀴즈 등을 꼽을 수 있다.
이렇게 직원들이 참여하도록 유도하는 것은 보안 팀을 그저 그들이 하고 있는 일을 귀찮게 하는 장애물로 여겨지는 데서 오는 힘든 점들을 극복할 수 있게 도와준다. 그 이유는 보안이 개인적인 것과 연관이 되었을 때 직원들은 좀 더 기관에게 협조적인 자세를 취하기 때문이다.
3. 교육만으로 끝? 지속적인 관리가 필요
보안 프로그램과 직원들을 모니터링 하는 것은 주기적인 노력을 요하는 작업이다. 직원들의 보안 이해도는 반드시 기술 산업과 함께 진화해야 한다. 이는 단순히 교육을 반복하는 것만으로는 이루기 어렵다. 학교에서도 교육 후 시험을 보듯, 직원들의 보안인식이라는 것도 정량화된 평가의 대상이 되어야 한다. 보고되는 사고의 수, 위험한 사이트에 방문하는 횟수, 내부 위협거리들, 회사에 있지 않을 때 기기 감염률, 기기 분실을 보고하는 데 걸리는 평균 시간 등은 수치화가 가능하다.
또한 직원들이 이러한 방침을 잘 지키고 있는지 혹은 경각심을 갖고 있는지 시뮬레이션을 통해서 확인해 볼 수도 있다. 대표적인 것은 가짜 피싱 공격을 해서 걸려든 사람들을 추려서 따로 공격하는 것이다.
이메일은 모든 직원들에게 접근이 가능하며 회사와 고객들의 중요한 정보들을 포함하고 있기 때문에, 이를 까다롭고 중요하게 보호해야 할 필요가 있다. 인적 요소 또한 정보보안의 중요한 일부이기 때문에, 직원들을 교육시키고 보안에 참여하게 하고 지속적으로 모니터링 하는 건 필수다.
글 : 롤랜드 클라우티어(Roland Cloutier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]
이메일 보안 관련 제대로 된 교육 필수
[보안뉴스 홍나경 기자] 기업의 이메일 시스템이 해커들에게 있어서 좋은 먹잇감인 것은 공공연해진 사실이다. 게다가 큰 기업일수록 잃을 것이 많고 악용될 수 있는 요인들이 많기 때문에 더 자주 해커들의 표적이 된다.
최근 조사에 따르면, 조직들의 절반 이상이 보안 사고와 데이터 침입의 요인으로 회사에 악의를 품거나 사이버 공격에 대한 심각성을 모르는 직원들을 꼽았다고 한다. 기업들이 많은 돈과 자원을 더 강한 이메일 보안 시스템을 개발하기 위해서 투자하고 있음에도 불구하고 직원들, 즉 인간 방화벽인 셈인 이들이 협조를 하지 않는다면 무용지물이 된다 뜻으로 풀이할 수 있다.
따라서 이메일의 안전은 이러한 ‘인간 방화벽’ 중 얼마나 많은 인원이 올바르게 보안 수칙을 이해하고 있는지, 얼마나 쉽게 이해한 바를 실행할 수 있는지에 달려있다. 이메일 보안의 개선이란 보안 기술과, 그것을 사용하는 사람들에 집중한 계획으로부터 시작되어야 할 것이다. 먼저 기술적인 부분을 살펴보자.
1. 이메일 보안의 기술적인 구성
이메일 보안이라는 것은 ‘보내기’ 버튼을 누르는 순간부터 받는 사람이 그 메일을 여는 순간까지 모든 과정 중에 발동, 적용되어야 한다. 이메일 보안을 위해서 서버에서부터 여러 대책들이 마련되어야 하는데, 이는 두 가지로 구성된다. 바로 이메일이 오고가는 네트워크 및 통신망의 보호와 이메일 내용 자체에 대한 보호가 바로 그것이다. 이를 제대로 수행하려면 서버에 몇 가지 기능이 필수적으로 도입되어야 한다.
하나는 암호화다. 가장 널리 사용되는 건 TLS라고 불리는 전송 계층 보안이다. 이메일 서버들끼리 통신할 때 적용되는 것으로 공격자가 패킷을 중간에 가로채지 못하도록 해준다. 이메일 전송 시 TLS를 적용하는 건 필수 중 필수다. 서버 간 통신의 보안을 강화했다면, 이메일 보낸 사람을 확인하는 게 다음 차례다. 최근에는 DMARC라는 도메인 기반 이메일 인증방식이 널리 활용되고 있다. 한 마디로 이메일 발신인을 확인하는 시스템으로, SPF라는 메일 서버 등록제와 DKIM이라는 키 인증 서명 기술을 활용하여 발신인이 진짜인지 가짜인지를 구분해낸다.
메일 서버 등록제란, 일종의 화이트리스팅 제도로 서로 신뢰하고 믿어주자는 업체 및 조직들이 도메인 및 이메일 서버를 등록하는 것이다. 즉 SPF는 신뢰할 만한 서버들의 목록이자 등록 제도를 말한다. DKIM은 메일 헤더에 서명을 넣는 기술로, SPF와 DKIM을 다 활용한다는 건 DMARC라는 시스템이 2중 보안 장치로 구성되어 있다는 뜻이 되기도 한다.
DMARC 시스템을 역으로 활용하는 것도 가능하다. 즉, 내게 도착한 이메일의 발신인을 확인하는 것처럼, 내가 보낸 이메일이 안전한 것이라고 상대를 안심시키는 데에도 활용할 수 있다는 것이다. 복잡하지도 않다. DMARC 및 SPF 기록들을 공개하고 내가 보내는 메일의 헤더들에 DKIM 서명을 적용시키면 된다. 이렇게 함으로써 누군가 우리 회사를 사칭할 수 없게 된다.
2. 교육과 훈련, 그리고 참여 유도
BYOD(Bring your own device) 때문에 이제 정보보안은 보안 담당 부서들만의 일이 아닌 것이 되었다. 모든 직원들이 주기적으로 비밀번호를 바꾸도록 하는 등 참여를 유도하는 방안들도 이메일 보안에 있어 중요한 영향을 끼친다. 하지만 이런 교육은 직원들에게 잘 녹아들 수 있는 방법이어야 한다. 누구에게나 중요한 ‘사생활 보안’을 ‘업무 관련 보안’으로 연결시켜 ‘나 자신을 지키는 것이 곧 회사를 지키는 것’이란 사실을 이해시켜야 한다. 이를 위해 직원들과 함께 할 수 있는 효과적이 교류 방법으로는, 웹캐스트와 소정의 상품이 걸린 퀴즈 등을 꼽을 수 있다.
이렇게 직원들이 참여하도록 유도하는 것은 보안 팀을 그저 그들이 하고 있는 일을 귀찮게 하는 장애물로 여겨지는 데서 오는 힘든 점들을 극복할 수 있게 도와준다. 그 이유는 보안이 개인적인 것과 연관이 되었을 때 직원들은 좀 더 기관에게 협조적인 자세를 취하기 때문이다.
3. 교육만으로 끝? 지속적인 관리가 필요
보안 프로그램과 직원들을 모니터링 하는 것은 주기적인 노력을 요하는 작업이다. 직원들의 보안 이해도는 반드시 기술 산업과 함께 진화해야 한다. 이는 단순히 교육을 반복하는 것만으로는 이루기 어렵다. 학교에서도 교육 후 시험을 보듯, 직원들의 보안인식이라는 것도 정량화된 평가의 대상이 되어야 한다. 보고되는 사고의 수, 위험한 사이트에 방문하는 횟수, 내부 위협거리들, 회사에 있지 않을 때 기기 감염률, 기기 분실을 보고하는 데 걸리는 평균 시간 등은 수치화가 가능하다.
또한 직원들이 이러한 방침을 잘 지키고 있는지 혹은 경각심을 갖고 있는지 시뮬레이션을 통해서 확인해 볼 수도 있다. 대표적인 것은 가짜 피싱 공격을 해서 걸려든 사람들을 추려서 따로 공격하는 것이다.
이메일은 모든 직원들에게 접근이 가능하며 회사와 고객들의 중요한 정보들을 포함하고 있기 때문에, 이를 까다롭고 중요하게 보호해야 할 필요가 있다. 인적 요소 또한 정보보안의 중요한 일부이기 때문에, 직원들을 교육시키고 보안에 참여하게 하고 지속적으로 모니터링 하는 건 필수다.
글 : 롤랜드 클라우티어(Roland Cloutier)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
