블로그 | CTO 사무실

일반적인 사이버 보안 인식 신화

샘 비스비 썸네일
샘 비스비
2023년 10월 2일 게시

사이버 보안 인식의 달 을 맞아, 우리는 흔히 있는 보안에 대한 오해와 신화의 물결에 대비해야 합니다. 이런 오해와 신화는 좋은 의도로 시작하지만 결과적으로는 나쁜 결과를 낳기도 합니다. 이러한 주제는 노련한 전문가들 사이에서도 논란이 될 수 있으므로, 우리는 데이터 중심의 관점을 취하고 가장 광범위한 비즈니스 대상을 다루도록 하겠습니다.

그러한 폭은 종종 의견 불일치의 원인이 됩니다. 모든 기업은 위험과 허용 가능한 손실, 적용 가능한 위협 모델과 가능성 있는 위협 요인, 그리고 자사 환경의 고유한 점에 대해 개별적으로 논의해야 합니다. 그러나 공통점은 데이터, 전문성, 객관성이며, 부족적 지식, 이해 없는 모방, 확인 편향과 생존 편향은 아닙니다.

우리는 "3대 위험"을 다루겠습니다. 이메일의 링크 클릭, 공공 Wi-Fi 사용, 그리고 "주스 재킹" 즉, 휴대전화의 무료 USB 충전 위험입니다.

#1 이메일의 링크 클릭

테이크어웨이: 피싱 및 사기의 명확한 지표를 알려주지만, "링크를 클릭하지 마세요"와 같은 비현실적인 조언은 비생산적일 뿐만 아니라 해로울 수도 있습니다.

"안전한 사용"에 대한 인식은 직원들이 기술을 더 잘 사용하는 동시에 일반적인 문제를 해결하는 데 큰 도움이 되지만, "링크를 클릭하지 마세요"와 같은 근본적인 행동을 바꾸라고 사람들에게 요구하는 데 수년이 걸렸지만 효과가 없는 듯합니다. Verizon의 2023년 데이터 침해 조사 보고서에 따르면 모든 침해의 74%에 인간적 요소(이메일에만 국한되지 않음)가 포함되었으며, Cyentia Institute의 2022년 정보 위험 통찰 연구에 따르면 피싱은 20개 부문 중 18개 부문에서 상위 3대 초기 접근 기술로 선정되었습니다(정보 및 기타 서비스 부문에서는 4위).

사고는 발생할 수 있으며, 좋은 의도를 가지고 훈련된 직원이라도 시간이 지나면서 악성 링크를 클릭하게 됩니다 . 이는 보안 프로그램이 수년간 사용자에게 이메일을 다르게 사용하라고 권유한 후에도 여전히 이메일 및 기기 보안에 투자하는 이유 중 하나입니다. 더욱 우려되는 것은 귀중한 보안 인식 교육에서 이 주제에 시간을 허비하고, 실용성이 부족하여 청중의 관심을 잃는 일이 더 많다는 것입니다.

기업은 직원이 링크를 클릭하는 것보다 더 회복력이 있어야 합니다. 직원들은 특히 실제 사실 보고("무언가를 보고, 무언가를 말했다")를 할 때 도움을 줄 수 있지만, 이러한 위험을 완화하는 것은 보안 팀의 책임입니다.

#2 공공 Wi-Fi 사용

테이크어웨이: 공공 Wi-Fi는 비즈니스 환경에서도 안전하게 사용할 수 있습니다.

공공 Wi-Fi는 가정이나 사무실 네트워크보다 신뢰성이 낮거나 더 위험하다는 믿음이 여전히 남아 있습니다. 하지만 원격 작업이 급증하는 2020년부터 2022년까지 공공 Wi-Fi의 대량 악용에 대한 보고는 전혀 없습니다. 연방거래위원회(FTC)는 2011년에 공공 Wi-Fi 사용에 대한 경고를 했지만 , 2023년에 그 사용을 안전하게 만드는 기술적 발전을 반영하여 지침을 업데이트했습니다 .

비교적 노트북 및 기기 도난은 공공 장소에서의 기회범죄와 마찬가지로 발생 가능성이 크며, 저장 장치 암호화, 모바일 기기 관리(MDM) 및 잠금 정책에 대한 투자로 위험이 완화될 수 있습니다. 한 가지 예시적 하위 집단은 보건복지부 시민권국(OCR)에서 보고한 보안되지 않은 건강 정보 침해 사례의 보관 목록으로, 500명 이상에게 영향을 미쳤으며 2009년부터 노트북이나 기타 휴대용 전자 기기의 도난이나 분실 사건이 4,600건 이상 발생하여 3억 4,500만 명 이상에게 영향을 미쳤음을 보여줍니다.

한편, 로컬 네트워크 트래픽은 보안 추세를 계속 유지합니다.

  • Google의 "웹상의 HTTP 암호화" 투명성 보고서에 따르면 Google 전체에서 90%가 넘는 트래픽이 암호화되었으며 Windows와 Mac과 같은 운영 체제에서 암호화된 트래픽이 널리 채택되었습니다.
  • Mozilla의 Firefox Telemetry에서 HTTPS를 사용하여 Firefox에서 로드된 웹 페이지 비율 에 대한 Let's Encrypt 통계에 따르면 글로벌 사용자 트래픽의 약 80%가 암호화되고 미국과 일본 사용자 트래픽의 약 90%가 암호화됩니다.
  • Google의 "전송 중 이메일 암호화" 투명성 보고서에 따르면, Google(Gmail)에서 주고받는 이메일의 90% 이상이 암호화되어 있습니다.
  • DNS 보안 기능은 여전히 도입 과정에서의 과제를 안고 있지만, 앱 트래픽에 대한 강력한 암호화 지원과 비즈니스 관리 트래픽에 대한 VPN 및 이와 동등한 기능의 보편성으로 인해 어느 정도 완화됩니다. DNSSEC 도입률은 낮습니다( Verisign의 DNSSEC 스코어보드 에 따르면 .com 도메인의 약 5%). 하지만 2020년에 급증하여 지속적인 성장을 보이고 있습니다. 마찬가지로, DNS over HTTPS(DoH)는 운영 체제와 브라우저에서 지원됩니다.

장치에 네트워크 연결 서비스가 없는 한(사용자 장치에 대한 극단적인 예외), 공공 Wi-Fi는 다른 Wi-Fi 네트워크에 비해 고유한 위험이 거의 없거나 전혀 없습니다. 제로 트러스트 방식을 채택하는 사람들에게 공공 Wi-Fi는 네트워크를 절대 신뢰하지 않는 좋은 예입니다. 즉, 공공 네트워크와 개인 네트워크 모두에 적용됩니다.

#3 "Juice jacking" 또는 휴대전화 무료 USB 충전의 위험

테이크어웨이: 이 공격은 모든 휴대폰 모델에서 검증되었지만, 이를 사용한다는 것을 시사하는 확인된 데이터는 없으며, 사용자 완화 비용이 낮으므로, 비상 상황에서는 무료 USB 충전기를 사용하는 것이 일반적으로 안전합니다.

휴대폰을 도난당할 수 있으므로 USB 충전소를 피해야 할 때도 있지만, 이러한 공격에 대한 "시범"이 일어날 가능성이 높은 보안 컨퍼런스에서는 피해야 할 때도 있습니다. 그러나 "주스 재킹"이 확산된다는 것을 뒷받침하는 확인된 데이터는 없습니다.

이러한 위험에 대해 우려하는 사람들에게 완화 조치는 고용주와 직원 모두에게 비용이 적게 듭니다.

  1. 특히 출장객의 경우, 표준 휴대 수하물이 된 전기 콘센트-USB 충전 어댑터와 소형 모바일 배터리 팩을 사용하세요.
  2. USB에 연결할 때 휴대폰에서 "데이터 공유" 또는 "이 컴퓨터를 신뢰" 등을 묻거나 이와 유사한 내용이 표시되면 "충전 전용"을 선택하세요.
  3. 사용자의 위험이 상당히 높다고 평가되면 데이터를 차단하거나 전송하지 않는 특수 충전기와 케이블에 투자하는 것을 고려하세요.

무료 USB 충전소를 사용할 경우 더 큰 위험은 기기를 방치하여 누군가가 기기를 가져갈 수 있다는 것입니다. 다시 말해, 기업이 장치 관리 및 위생 강화에 투자하는 것은 일반적으로 합리적인 완화책입니다.

이러한 주제에 대한 인식을 높이는 것이 왜 나쁜가요? 더 많은 인식이 항상 좋은 것은 아닌가요?

보안 담당자는 일반적으로 직장 동료로부터 긍정적인 관심을 거의 받지 못하고, 회사에서 의무적으로 실시하는 교육도 별로 흥미롭지 않습니다. 이런 소중한 순간과 첫인상은 보안팀이 보유한 가장 비싼 자원 중 일부입니다.

가장 좋은 경우는, 중요하지 않거나, 관련성이 없거나, 부정확하거나, 비현실적인 자료에 시간을 허비하는 것은 낭비일 뿐입니다. 최악의 경우, 보안팀은 청중을 잃게 되고, 아무리 중요한 메시지를 전달하더라도 다음에는 관심을 받지 못하게 될 것입니다.

거시적인 질문은 왜 이런 신화와 오해가 지속되는가입니다. 이 기사의 서두에서 언급했듯이, 문제 중 일부는 인간에게 있습니다.

이러한 오해가 규정 준수 프레임워크와 비즈니스 계약에 기재되는 경우 다른 부분은 구조적입니다. 이런 처방은 오래되어도 효과가 거의 없으며, 특히 기술 발전에 맞춰 업데이트되지 않은 구체성을 담아 작성된 경우 더욱 그렇습니다. 이로 인해 보안 프로그램에서는 오래되거나 신화적인 요구 사항을 구현하게 되고, 이를 팀에서 채택하여 다음 고용주에게 전가하게 됩니다. 이런 감염된 지식은 맬웨어보다 더 나쁩니다.