글로벌 기업의 사이버 보안 컨설턴트입니다. 해당 기업은 BYOD(Bring Your Own Device) 정책을 채택하고 있지만, 최근 직원의 기기가 침해되는 피싱 사고를 경험했습니다. 조사 결과, 직원이 설치한 타사 이메일 앱을 통해 피싱 공격이 발생했음을 확인했습니다. BYOD 정책에 따라 보안과 사용자 자율성 간의 균형을 맞춰야 할 필요성을 고려할 때, 기업은 이러한 사고 위험을 어떻게 완화해야 할까요? 또한, 개인 기기 사용을 과도하게 제한하지 않으면서도 유사한 공격을 예방할 수 있는 방안을 고려해 보세요.
정답: D
개인 기기 사용을 지나치게 제한하지 않으면서 유사한 공격을 예방하는 가장 좋은 방법은 피싱 공격에 중점을 둔 정기적인 사이버 보안 인식 교육을 실시하는 것입니다. 사이버 보안 인식 교육은 피싱, 악성코드, 랜섬웨어 또는 데이터 유출과 같은 사이버 위협으로부터 자신과 조직을 보호하기 위한 모범 사례와 행동에 대해 직원들을 교육하고 역량을 강화하는 과정입니다. 사이버 보안 인식 교육은 다음과 같은 이점을 제공하여 조직이 피싱 사고 위험을 완화하는 데 도움이 될 수 있습니다.12
* 발신자, 제목, 내용, 첨부 파일, 메시지 URL을 확인하고, 응답하거나 클릭하기 전에 메시지의 적법성과 진위성을 검증하는 등 피싱 이메일, 메시지 또는 링크를 식별하고 피하는 방법에 대한 직원의 지식과 기술을 향상시킬 수 있습니다.
* 사이버 보안의 중요성과 책임에 대한 직원의 태도와 문화를 강화할 수 있습니다. 예를 들어, 의심스럽거나 악의적인 활동을 보고하고, 보안 정책과 지침을 따르고, 의심이나 문제가 있을 때 도움이나 지침을 구하도록 장려하는 것입니다.
* 직원들에게 기기와 애플리케이션을 업데이트하고, 강력하고 고유한 비밀번호를 사용하고, 다중 인증을 활성화하고, 데이터를 정기적으로 백업하도록 상기시키는 등 피싱 사고의 주요 원인인 인적 오류와 과실을 줄일 수 있습니다.
다른 옵션은 다음과 같은 이유로 옵션 D만큼 최적이 아닙니다.
* A. 업무 관련 업무를 위해 직원에게 회사 소유 기기를 제공합니다. 이 옵션은 직원이 업무 관련 업무에 개인 기기를 사용할 수 있도록 허용하는 BYOD 정책에 위배되므로 실행 불가능합니다. 직원에게 회사 소유 기기를 제공하려면 기기 구매, 유지 관리 및 보안, 직원 교육 및 사용 방법 지원 등 추가 비용과 자원이 필요합니다. 또한, 회사 소유 기기를 직원에게 제공한다고 해서 피싱 사고를 반드시 예방할 수 있는 것은 아닙니다. 회사가 기기에 엄격한 보안 관리 및 정책을 구현하지 않는 한, 기기는 피싱 이메일, 메시지 또는 링크에 의해 여전히 감염될 수 있으며, 이는 사용자의 자율성과 생산성을 제한할 수 있습니다.
* B. 승인되지 않은 애플리케이션 설치를 제한하는 모바일 기기 관리 솔루션 구현: 이 옵션은 직원들이 개인 기기를 개인적 및 업무적 목적으로 사용할 수 있도록 허용하는 BYOD 정책에 따른 사용자 자율성과 개인정보 보호를 침해하므로 바람직하지 않습니다. 승인되지 않은 애플리케이션 설치를 제한하는 모바일 기기 관리 솔루션을 구현하려면 조직에서 직원의 기기를 모니터링하고 제어해야 하며, 이는 데이터 소유권, 동의 및 규정 준수와 같은 법적 및 윤리적 문제를 야기할 수 있습니다. 또한, 승인되지 않은 애플리케이션 설치를 제한하는 모바일 기기 관리 솔루션을 구현하더라도 피싱 사고를 완전히 방지할 수는 없습니다. 조직이 애플리케이션에 대한 엄격한 보안 제어 및 정책을 구현하지 않는 한, 직원들은 승인된 애플리케이션을 통해 피싱 이메일, 메시지 또는 링크를 계속 수신할 수 있으며, 이는 사용자 경험과 기능에 영향을 미칠 수 있습니다.
* C. 모든 직원 기기에서 인터넷 접속을 위해 회사에서 제공하는 VPN을 사용하도록 요구: 이 옵션은 피싱 사건의 근본 원인인 인적 문제를 해결하지 못하기 때문에 충분하지 않습니다.
모든 직원 기기에 회사에서 제공하는 VPN을 사용하여 인터넷에 접속하도록 요구하면 네트워크 트래픽 암호화, IP 주소 은폐, 지역 제한 우회 등 조직에 몇 가지 이점을 제공할 수 있습니다. 그러나 모든 직원 기기에 회사에서 제공하는 VPN을 사용하여 인터넷에 접속하도록 요구한다고 해서 피싱 사고를 예방할 수는 없습니다. 조직이 VPN에 엄격한 보안 제어 및 정책을 구현하지 않는 한, 직원들은 악성 웹사이트나 애플리케이션으로 유인하는 피싱 이메일, 메시지 또는 링크의 희생자가 될 수 있기 때문입니다. 이러한 조치는 네트워크 성능과 안정성에 영향을 미칠 수 있습니다.
참고문헌:
* 1: 사이버 보안 인식 교육이란 무엇인가요? | 정의, 이점 및 모범 사례 | 카스퍼스키
* 2: 보안 인식 교육을 통한 피싱 공격 예방 방법 | Infosec
* 3: BYOD vs. 기업 소유 기기: 장단점 | Bitglass
* 4: 모바일 기기 관리(MDM) | OWASP 재단
* : VPN이란 무엇이고 왜 필요한가요? 알아야 할 모든 것 | ZDNet
