일반적인 사이버 보안 인식 신화

테이크어웨이: 피싱 및 사기의 명확한 지표를 알려주지만, "링크를 클릭하지 마세요"와 같은 비현실적인 조언은 비생산적일 뿐만 아니라 해로울 수도 있습니다.

"안전한 사용"에 대한 인식은 직원들이 기술을 더 잘 사용하는 동시에 일반적인 문제를 해결하는 데 큰 도움이 되지만, "링크를 클릭하지 마세요"와 같은 근본적인 행동을 바꾸라고 사람들에게 요구하는 데 수년이 걸렸지만 효과가 없는 듯합니다. Verizon의 2023년 데이터 침해 조사 보고서에 따르면 모든 침해의 74%에 인간적 요소(이메일에만 국한되지 않음)가 포함되었으며, Cyentia Institute의 2022년 정보 위험 통찰 연구에 따르면 피싱은 20개 부문 중 18개 부문에서 상위 3대 초기 접근 기술로 선정되었습니다(정보 및 기타 서비스 부문에서는 4위).

사고는 발생할 수 있으며, 좋은 의도를 가지고 훈련된 직원이라도 시간이 지나면서 악성 링크를 클릭하게 됩니다 . 이는 보안 프로그램이 수년간 사용자에게 이메일을 다르게 사용하라고 권유한 후에도 여전히 이메일 및 기기 보안에 투자하는 이유 중 하나입니다. 더욱 우려되는 것은 귀중한 보안 인식 교육에서 이 주제에 시간을 허비하고, 실용성이 부족하여 청중의 관심을 잃는 일이 더 많다는 것입니다.

기업은 직원이 링크를 클릭하는 것보다 더 회복력이 있어야 합니다. 직원들은 특히 실제 사실 보고("무언가를 보고, 무언가를 말했다")를 할 때 도움을 줄 수 있지만, 이러한 위험을 완화하는 것은 보안 팀의 책임입니다.

테이크어웨이: 공공 Wi-Fi는 비즈니스 환경에서도 안전하게 사용할 수 있습니다.

공공 Wi-Fi는 가정이나 사무실 네트워크보다 신뢰성이 낮거나 더 위험하다는 믿음이 여전히 남아 있습니다. 하지만 원격 작업이 급증하는 2020년부터 2022년까지 공공 Wi-Fi의 대량 악용에 대한 보고는 전혀 없습니다. 연방거래위원회(FTC)는 2011년에 공공 Wi-Fi 사용에 대한 경고를 했지만 , 2023년에 그 사용을 안전하게 만드는 기술적 발전을 반영하여 지침을 업데이트했습니다 .

비교적 노트북 및 기기 도난은 공공 장소에서의 기회범죄와 마찬가지로 발생 가능성이 크며, 저장 장치 암호화, 모바일 기기 관리(MDM) 및 잠금 정책에 대한 투자로 위험이 완화될 수 있습니다. 한 가지 예시적 하위 집단은 보건복지부 시민권국(OCR)에서 보고한 보안되지 않은 건강 정보 침해 사례의 보관 목록으로, 500명 이상에게 영향을 미쳤으며 2009년부터 노트북이나 기타 휴대용 전자 기기의 도난이나 분실 사건이 4,600건 이상 발생하여 3억 4,500만 명 이상에게 영향을 미쳤음을 보여줍니다.

한편, 로컬 네트워크 트래픽은 보안 추세를 계속 유지합니다.

• Google의 "웹상의 HTTP 암호화" 투명성 보고서에 따르면 Google 전체에서 90%가 넘는 트래픽이 암호화되었으며 Windows와 Mac과 같은 운영 체제에서 암호화된 트래픽이 널리 채택되었습니다.
• Mozilla의 Firefox Telemetry에서 HTTPS를 사용하여 Firefox에서 로드된 웹 페이지 비율 에 대한 Let's Encrypt 통계에 따르면 글로벌 사용자 트래픽의 약 80%가 암호화되고 미국과 일본 사용자 트래픽의 약 90%가 암호화됩니다.
• Google의 "전송 중 이메일 암호화" 투명성 보고서에 따르면, Google(Gmail)에서 주고받는 이메일의 90% 이상이 암호화되어 있습니다.
• DNS 보안 기능은 여전히 도입 과정에서의 과제를 안고 있지만, 앱 트래픽에 대한 강력한 암호화 지원과 비즈니스 관리 트래픽에 대한 VPN 및 이와 동등한 기능의 보편성으로 인해 어느 정도 완화됩니다. DNSSEC 도입률은 낮습니다( Verisign의 DNSSEC 스코어보드 에 따르면 .com 도메인의 약 5%). 하지만 2020년에 급증하여 지속적인 성장을 보이고 있습니다. 마찬가지로, DNS over HTTPS(DoH)는 운영 체제와 브라우저에서 지원됩니다.

장치에 네트워크 연결 서비스가 없는 한(사용자 장치에 대한 극단적인 예외), 공공 Wi-Fi는 다른 Wi-Fi 네트워크에 비해 고유한 위험이 거의 없거나 전혀 없습니다. 제로 트러스트 방식을 채택하는 사람들에게 공공 Wi-Fi는 네트워크를 절대 신뢰하지 않는 좋은 예입니다. 즉, 공공 네트워크와 개인 네트워크 모두에 적용됩니다.

테이크어웨이: 이 공격은 모든 휴대폰 모델에서 검증되었지만, 이를 사용한다는 것을 시사하는 확인된 데이터는 없으며, 사용자 완화 비용이 낮으므로, 비상 상황에서는 무료 USB 충전기를 사용하는 것이 일반적으로 안전합니다.

휴대폰을 도난당할 수 있으므로 USB 충전소를 피해야 할 때도 있지만, 이러한 공격에 대한 "시범"이 일어날 가능성이 높은 보안 컨퍼런스에서는 피해야 할 때도 있습니다. 그러나 "주스 재킹"이 확산된다는 것을 뒷받침하는 확인된 데이터는 없습니다.

• 연방통신위원회(FCC) 에서는 이러한 공격이 확인된 사례가 없다고 밝혔습니다 .
• 스노프스는 2019년 로스앤젤레스 카운티 지방 검사청의 "주스 잭킹" 경고와 2023년 FCC 및 연방수사국(FBI)의 경고에 대한 사실 확인을 실시한 결과 , 널리 사용되고 있다는 증거를 찾지 못했습니다. 이는 KrebsOnSecurity에서 FCC와 FBI의 2023년 경고에 대해 보도할 때 언급 되었습니다.

이러한 위험에 대해 우려하는 사람들에게 완화 조치는 고용주와 직원 모두에게 비용이 적게 듭니다.

1. 특히 출장객의 경우, 표준 휴대 수하물이 된 전기 콘센트-USB 충전 어댑터와 소형 모바일 배터리 팩을 사용하세요.
   
2. USB에 연결할 때 휴대폰에서 "데이터 공유" 또는 "이 컴퓨터를 신뢰" 등을 묻거나 이와 유사한 내용이 표시되면 "충전 전용"을 선택하세요.
   
3. 사용자의 위험이 상당히 높다고 평가되면 데이터를 차단하거나 전송하지 않는 특수 충전기와 케이블에 투자하는 것을 고려하세요.

무료 USB 충전소를 사용할 경우 더 큰 위험은 기기를 방치하여 누군가가 기기를 가져갈 수 있다는 것입니다. 다시 말해, 기업이 장치 관리 및 위생 강화에 투자하는 것은 일반적으로 합리적인 완화책입니다.