2016.12.29

기업 소셜 미디어 보안을 강화하는 7가지 방법

Ryan Francis | CSO
소셜 미디어가 새로운 사이버 전장이 됐다. 소셜 미디어는 디지털 세상에서도 가장 가변적이고, 체계가 없으며, 규제가 되지 않는 데이터세트의 집합소이기 때문이다. 소셜 미디어 혁명에서 깨어나고 있는 가운데 사이버범죄자들이 대규모로 기업과 이들의 고객을 공격하고 있다.


Credit: Umberto NURS

기업과 기관의 약 40%가 소셜 공간을 이용한 스피어 피싱(spear-phishing) 공격의 피해자가 됐다. 그리고 이를 통해 기업 방어망이 뚫렸다. 소셜 미디어가 매개체인 네트워크 침해가 다른 웹 기반 공격을 능가한다. 예를 들어, 이메일의 10배에 달한다. 소셜 공간의 고객 및 브랜드 사기 실행 속도가 이를 바로잡는 속도보다 75% 빠르며, CXO 계정들이 주요 타깃이 되고 있다.

제로폭스(ZeroFOX)는 기업이 소셜 미디어 보안을 강화하기 위해, 또는 많은 경우 구현하기 위해 도입해야 할 베스트 프랙티스를 제시했다.

직원 교육
조직의 보안 강화를 위해 SaaS 솔루션과 첨단 기술을 강조하는 경우가 많다. 그러나 아주 단순한 베스트 프랙티스를 망각하는데, 직원들에게 사이버 보안을 교육하고, 이에 대한 인식을 높이는 활동을 말한다.

디지털 시대에서 소셜 미디어는 사회를 연결하는 시스템, 편재형 비즈니스 커뮤니케이션 도구로 진화했다. 사용자와 플랫폼 사이에 일정 수준 신뢰가 형성되어 있다. 소셜 플랫폼으로 공유하는 정보가 안전하다고 가정하는 신뢰다. 최근 사이버 위협의 최전선에는 직원들이 위치해 있다. 이들에게 트윗, 스냅, 클릭, 포스트가 초래하는 위험을 환기시키는 것이 중요하다.

직원들에게 베스트 프랙티스 정보를 제공, 비즈니스의 전반적인 보안 상태는 물론 비즈니스 수준에서의 보안 지식을 향상시킬 수 있다. 세미나, 워크숍, 기타 프로그램을 통해 공격자들이 개별 직원을 매개체로 브랜드를 공격하는 방법을 교육해 보안에 대한 인식을 높인다.

직원들이 정기적으로 비밀번호를 변경하도록 장려
여러 소셜 미디어 계정에 동일한 비밀번호를 사용하면 간편하다. 그러나 직원과 기업의 보안에 아주 큰 위협이 초래된다. 해커는 사용자가 좋아하는 비밀번호를 해독한 후, 이를 이용해 다른 플랫폼과 계정에 쉽게 접속할 수 있다. 직원들에게 소셜 플랫폼에서 여러 비밀번호를 이용하도록 유도하면, 해커들이 계정을 침해하기 어려워진다. 이는 기업이 운영하는 계정에 동일하게 적용되는 원칙이다.

이중 인증을 이용
직원 계정과 모든 기업 계정에 비밀번호, 사용자명, 기타 사용자만 인식하거나 알 수 있는 고유의 인증 등 이중 인증을 이용해야 한다. 유수 소셜 네트워크 중 상당수가 이중 인증을 지원하고 있다. 통상 새 장치나 브라우저로 로그인을 시도할 때마다 스마트폰이나 이메일로 코드를 보내는 방식이다.

이렇게 하면 직원들의 신원을 확실히 확인해 해당 계정에 적법하게 액세스 하도록 만들 수 있다. 이를 두 번째 보호 계층으로 활용하면, 공격자의 침입이 힘들어지고, 취약점을 줄일 수 있다.

의심스러운 콘텐츠 피하기
URL 링크를 클릭하기 전에 자세히 확인하라고 강조한다. 회사나 사이트 이름을 정확히 입력했는지 확인하는 것이다. 사이버범죄자는 진짜 주소에 문자를 추가하거나, 빼거나, 배열을 바꾸는 방법으로 진짜와 아주 유사한 주소 링크로 공격을 한다. 여기에 더해 소셜 네트워크 URL을 줄여주는 플랫폼이 더 큰 혼란을 초래한다. 빠르게 스크롤할 경우 안전해 보이지만, 자세히 조사하면 링크가 안전한지 판단하기 어렵다.


Credit: Michael Kan/IDGNS

많이 사용되는 또 다른 해킹 전술 가운데 하나는 애플 앱 스토어나 구글 플레이 등 큐레이된 스토어 외부의 소셜 미디어 링크를 통해 애플리케이션을 다운로드 받도록 유도하는 것이다. 이런 다운로드는 좋지 않다. 직원들에게 업무에 사용하는 장치에 써드파티 애플리케이션을 다운로드 받을 때 초래되는 위험을 알려야 한다. 특히 생소한 소스가 위험하다. 이는 기업을 취약하게 만들 수 있다.

디지털 위협을 방지하는 가장 좋은 방법 가운데 하나는 의심스러운 웹사이트나 링크는 아예 클릭하지 않는 것이다.

안티바이러스와 보안 소프트웨어 설치
가장 중요하지만, 간과되는 때가 많은 베스트 프랙티스다. 악성코드의 기업 시스템 침입을 막는 것이 아주 중요하다. 해결책은 간단하다. 안티바이러스 소프트웨어를 설치하는 것이다.

소셜 미디어에는 피싱과 악성코드가 숨어있는 링크가 많다. 따라서 추가 보호 계층을 구현하는 것이 아주 중요하다. 사용자가 제아무리 주의를 기울여도, 실수로 유해한 링크를 클릭할 위험이 남아 있다. 클릭 한 번 때문에 복구에 몇 달의 시간을 낭비할 수도 있다.

안티바이러스 소프트웨어를 설치한 후, 직원들에게 이를 자주 업데이트하도록 상기시킨다. 그래야 새로운 위협을 방어할 수 있다.

가짜 친구의 요청을 경계
많은 해커가 가짜 계정을 생성한 후 '동료 직원'을 연결하는 방법으로 기업 정보에 접속한다. 직원들은 확인 없이 이런 요청을 받아들이고, 결국 피해자가 되고 만다.


Credit: Facebook

직원들에게 친구 요청을 수용하기 전에, 진짜 아는 사람인지 확인하도록 만들어야 한다. 해당 계정과 연결된 다른 동료가 있는지 확인해야 한다. 계정이 의심스럽거나, 해당인을 모른다면 요청을 거부하고 신고를 한다. 그리고 이들이 보낸 링크를 클릭하지 않는다.

검증과 확인
많이 사용되는 해킹 기법 가운데 하나는 팔로워, 연결, 멘션으로 구성된 '망'을 던지는 것이다. 예를 들어, 많은 사람들이 태그나 멘션을 한 별다른 특징 없는 이미지를 포스트한다. 직원들은 이를 클릭하기 전에 태그나 멘션을 한 사람이 진짜 사용자, 즉 신뢰할 수 있는 친구나 동료인지 확인해야 한다.

해커들은 또 연예인, 정치가, 운동 선수, 대기업을 가장한 계정을 만들어 악용하는 경향이 있다. 이름난 소셜 네트워크는 합법성을 증명하는 '확인된 계정(Verified Accounts)' 마크를 도입했다. 그러나 이 마크를 도입해 활용하지 않는 기업들이 많다.

직원들은 요청을 받았을 때, 온라인에서 해당인의 이름이나 기업을 검색해 확인해야 한다. 이것이 아주 중요하다. 확인된 계정이 요청을 한 것이 아니라면, 요청한 계정이 가짜일 확률이 높다. 그렇다면 내부 IT 부서에 알려, 다른 동료들도 이를 회피하도록 만들어야 한다. editor@itworld.co.kr  

2016.12.29

기업 소셜 미디어 보안을 강화하는 7가지 방법

Ryan Francis | CSO
소셜 미디어가 새로운 사이버 전장이 됐다. 소셜 미디어는 디지털 세상에서도 가장 가변적이고, 체계가 없으며, 규제가 되지 않는 데이터세트의 집합소이기 때문이다. 소셜 미디어 혁명에서 깨어나고 있는 가운데 사이버범죄자들이 대규모로 기업과 이들의 고객을 공격하고 있다.


Credit: Umberto NURS

기업과 기관의 약 40%가 소셜 공간을 이용한 스피어 피싱(spear-phishing) 공격의 피해자가 됐다. 그리고 이를 통해 기업 방어망이 뚫렸다. 소셜 미디어가 매개체인 네트워크 침해가 다른 웹 기반 공격을 능가한다. 예를 들어, 이메일의 10배에 달한다. 소셜 공간의 고객 및 브랜드 사기 실행 속도가 이를 바로잡는 속도보다 75% 빠르며, CXO 계정들이 주요 타깃이 되고 있다.

제로폭스(ZeroFOX)는 기업이 소셜 미디어 보안을 강화하기 위해, 또는 많은 경우 구현하기 위해 도입해야 할 베스트 프랙티스를 제시했다.

직원 교육
조직의 보안 강화를 위해 SaaS 솔루션과 첨단 기술을 강조하는 경우가 많다. 그러나 아주 단순한 베스트 프랙티스를 망각하는데, 직원들에게 사이버 보안을 교육하고, 이에 대한 인식을 높이는 활동을 말한다.

디지털 시대에서 소셜 미디어는 사회를 연결하는 시스템, 편재형 비즈니스 커뮤니케이션 도구로 진화했다. 사용자와 플랫폼 사이에 일정 수준 신뢰가 형성되어 있다. 소셜 플랫폼으로 공유하는 정보가 안전하다고 가정하는 신뢰다. 최근 사이버 위협의 최전선에는 직원들이 위치해 있다. 이들에게 트윗, 스냅, 클릭, 포스트가 초래하는 위험을 환기시키는 것이 중요하다.

직원들에게 베스트 프랙티스 정보를 제공, 비즈니스의 전반적인 보안 상태는 물론 비즈니스 수준에서의 보안 지식을 향상시킬 수 있다. 세미나, 워크숍, 기타 프로그램을 통해 공격자들이 개별 직원을 매개체로 브랜드를 공격하는 방법을 교육해 보안에 대한 인식을 높인다.

직원들이 정기적으로 비밀번호를 변경하도록 장려
여러 소셜 미디어 계정에 동일한 비밀번호를 사용하면 간편하다. 그러나 직원과 기업의 보안에 아주 큰 위협이 초래된다. 해커는 사용자가 좋아하는 비밀번호를 해독한 후, 이를 이용해 다른 플랫폼과 계정에 쉽게 접속할 수 있다. 직원들에게 소셜 플랫폼에서 여러 비밀번호를 이용하도록 유도하면, 해커들이 계정을 침해하기 어려워진다. 이는 기업이 운영하는 계정에 동일하게 적용되는 원칙이다.

이중 인증을 이용
직원 계정과 모든 기업 계정에 비밀번호, 사용자명, 기타 사용자만 인식하거나 알 수 있는 고유의 인증 등 이중 인증을 이용해야 한다. 유수 소셜 네트워크 중 상당수가 이중 인증을 지원하고 있다. 통상 새 장치나 브라우저로 로그인을 시도할 때마다 스마트폰이나 이메일로 코드를 보내는 방식이다.

이렇게 하면 직원들의 신원을 확실히 확인해 해당 계정에 적법하게 액세스 하도록 만들 수 있다. 이를 두 번째 보호 계층으로 활용하면, 공격자의 침입이 힘들어지고, 취약점을 줄일 수 있다.

의심스러운 콘텐츠 피하기
URL 링크를 클릭하기 전에 자세히 확인하라고 강조한다. 회사나 사이트 이름을 정확히 입력했는지 확인하는 것이다. 사이버범죄자는 진짜 주소에 문자를 추가하거나, 빼거나, 배열을 바꾸는 방법으로 진짜와 아주 유사한 주소 링크로 공격을 한다. 여기에 더해 소셜 네트워크 URL을 줄여주는 플랫폼이 더 큰 혼란을 초래한다. 빠르게 스크롤할 경우 안전해 보이지만, 자세히 조사하면 링크가 안전한지 판단하기 어렵다.


Credit: Michael Kan/IDGNS

많이 사용되는 또 다른 해킹 전술 가운데 하나는 애플 앱 스토어나 구글 플레이 등 큐레이된 스토어 외부의 소셜 미디어 링크를 통해 애플리케이션을 다운로드 받도록 유도하는 것이다. 이런 다운로드는 좋지 않다. 직원들에게 업무에 사용하는 장치에 써드파티 애플리케이션을 다운로드 받을 때 초래되는 위험을 알려야 한다. 특히 생소한 소스가 위험하다. 이는 기업을 취약하게 만들 수 있다.

디지털 위협을 방지하는 가장 좋은 방법 가운데 하나는 의심스러운 웹사이트나 링크는 아예 클릭하지 않는 것이다.

안티바이러스와 보안 소프트웨어 설치
가장 중요하지만, 간과되는 때가 많은 베스트 프랙티스다. 악성코드의 기업 시스템 침입을 막는 것이 아주 중요하다. 해결책은 간단하다. 안티바이러스 소프트웨어를 설치하는 것이다.

소셜 미디어에는 피싱과 악성코드가 숨어있는 링크가 많다. 따라서 추가 보호 계층을 구현하는 것이 아주 중요하다. 사용자가 제아무리 주의를 기울여도, 실수로 유해한 링크를 클릭할 위험이 남아 있다. 클릭 한 번 때문에 복구에 몇 달의 시간을 낭비할 수도 있다.

안티바이러스 소프트웨어를 설치한 후, 직원들에게 이를 자주 업데이트하도록 상기시킨다. 그래야 새로운 위협을 방어할 수 있다.

가짜 친구의 요청을 경계
많은 해커가 가짜 계정을 생성한 후 '동료 직원'을 연결하는 방법으로 기업 정보에 접속한다. 직원들은 확인 없이 이런 요청을 받아들이고, 결국 피해자가 되고 만다.


Credit: Facebook

직원들에게 친구 요청을 수용하기 전에, 진짜 아는 사람인지 확인하도록 만들어야 한다. 해당 계정과 연결된 다른 동료가 있는지 확인해야 한다. 계정이 의심스럽거나, 해당인을 모른다면 요청을 거부하고 신고를 한다. 그리고 이들이 보낸 링크를 클릭하지 않는다.

검증과 확인
많이 사용되는 해킹 기법 가운데 하나는 팔로워, 연결, 멘션으로 구성된 '망'을 던지는 것이다. 예를 들어, 많은 사람들이 태그나 멘션을 한 별다른 특징 없는 이미지를 포스트한다. 직원들은 이를 클릭하기 전에 태그나 멘션을 한 사람이 진짜 사용자, 즉 신뢰할 수 있는 친구나 동료인지 확인해야 한다.

해커들은 또 연예인, 정치가, 운동 선수, 대기업을 가장한 계정을 만들어 악용하는 경향이 있다. 이름난 소셜 네트워크는 합법성을 증명하는 '확인된 계정(Verified Accounts)' 마크를 도입했다. 그러나 이 마크를 도입해 활용하지 않는 기업들이 많다.

직원들은 요청을 받았을 때, 온라인에서 해당인의 이름이나 기업을 검색해 확인해야 한다. 이것이 아주 중요하다. 확인된 계정이 요청을 한 것이 아니라면, 요청한 계정이 가짜일 확률이 높다. 그렇다면 내부 IT 부서에 알려, 다른 동료들도 이를 회피하도록 만들어야 한다. editor@itworld.co.kr  

X