비즈니스 데이터를 보호하기 위한 5가지 사이버 보안 모범 사례

2022년에만 연방수사국(Federal Bureau of Investigation)은 사이버 공격의 피해를 입은 미국 기업으로부터 800,944건의 불만사항을 접수했습니다.

사이버 공격이 증가하고 있는 것은 사실이지만, 귀하의 비즈니스가 공격의 희생양이 될 필요는 없습니다. 오히려 사이버 공간의 다양한 보안 위험으로부터 보호하기 위해 사이버 보안 조치를 구현함으로써 주도권을 잡을 수 있습니다.

비즈니스 데이터를 안전하게 유지하기 위해 구현할 수 있는 5가지 필수 사이버 보안 모범 사례는 다음과 같습니다.

1. 2단계 인증 활성화

2단계 인증("다단계 인증"이라고도 함)은 사이버 위협을 막기 위해 구현할 수 있는 가장 일반적인 사이버 보안 모범 사례 중 하나입니다. Microsoft 및 Google과 같은 회사에서는 고객의 데이터를 안전하게 유지하기 위해 이를 사용하며 유럽 연합의 일반 데이터 보호 규정(GDPR)과 같은 법률에서 권장됩니다.

이 간단한 사이버 보안 조치는 직원에게 계정에 대한 액세스 권한을 부여하기 전에 두 번째 인증 요소(비밀번호 이외)를 제공하도록 요구하여 비즈니스 데이터를 보호할 수 있습니다. 추가 신원 확인 정보는 다음과 같습니다.

• 로그인할 때마다 전화번호로 전송되는 6자리 일회용 비밀번호
• 생체 인식(예: 지문, 망막 스캔 또는 안면 인식 스캔)
• 직원의 목소리

이중 인증을 효과적으로 만드는 품질은 이것이 제공하는 추가 보안 계층입니다.

구현 전에는 사용자 이름과 비밀번호가 모두 기업 데이터에 접근하는 데 필요한 악의적인 행위자였습니다. 이제 해커가 직원의 사용자 이름과 비밀번호를 알아내더라도 휴대폰이나 생체 인식 데이터 없이는 계정에 액세스할 수 없습니다.

하지만 그게 다가 아닙니다. 2단계 인증은 실시간으로 발생하는 의심스러운 활동에 대해 경고할 수도 있습니다. 경우에 따라 승인되지 않은 사용자가 인식할 수 없는 장치에서 자격 증명을 사용하여 로그인을 시도하면 직원이 이메일을 받게 됩니다. 이메일에는 로그인 시도를 인식하는지 확인하라는 메시지가 표시될 수 있습니다. 로그인을 확인하려면 Google에서 보낸 다음 샘플 이메일을 참조하세요.

인력이 분산되어 있고 직원이 회사 네트워크 외부 장치에서 로그인하는 경우 다단계 인증 사용을 고려하세요. 이 사이버 보안 조치는 구현이 간단하며 사이버 보안 예산에 부담을 주지 않습니다.

2. 강력한 비밀번호 정책 시행

사이버 범죄자는 직원 계정을 손상시킬 때 사회 공학 및 무차별 대입 공격과 같은 여러 기술을 사용합니다. 취약한 비밀번호는 성공 확률을 높이고 귀하와 같은 사업주가 보안 위반을 경험할 가능성을 높입니다.

따라서 사이버 보안 위협으로부터 데이터를 안전하게 유지하는 또 다른 방법은 직장에서 강력한 비밀번호 정책을 시행하는 것입니다.

강력한 비밀번호 정책을 시행하려면 직원이 계정 비밀번호를 설정할 때 따라야 할 일련의 기본 규칙을 만드는 것이 포함됩니다. 일반적인 규칙에는 각 계정에 대해 별도의 비밀번호를 사용하고 문자(대소문자), 숫자 및 기호의 조합을 포함하는 강력하고 긴 비밀번호를 만드는 것이 포함될 수 있습니다.

또한, 직원들에게 비밀번호가 강력한 것으로 간주되기 위해 충족해야 하는 기준에 대해 교육해야 합니다. 거대 검색 엔진인 Google은 강력한 비밀번호를 설정하는 방법에 대한 팁을 제공합니다. 다음을 수행해야 한다고 나와 있습니다.

• 고유해야 합니다(직원의 개인 계정에 재사용되지 않음).
• 기억에 남을
• 일반적인 패턴 제외(예: '1234')
• 개인 정보 제외(예: 중요한 지인의 생일)

위 기준을 충족하는 비밀번호는 귀하의 비즈니스 지적 재산에 대한 무단 액세스에 대한 첫 번째 방어선 역할을 해야 합니다. 암호가 해독하기 어렵다는 것을 절대적으로 확신하려면 다음을 선택할 때 이 표를 지침으로 사용하도록 요청하십시오.

출처: CDN

이 사이버 보안 전략의 단점과 사용 가능한 해결 방법을 알고 있어야 합니다.

직원이 복잡한 비밀번호를 사용하게 할 때의 가장 큰 단점은 비밀번호를 적어 작업 공간 근처에 보관할 수 있다는 것입니다. 비밀번호를 저장하고 기억하는 데 도움이 되는 비밀번호 관리자를 배포하면 이러한 관행을 막을 수 있습니다. 이러한 도구는 직원이 3~6개월마다 비밀번호를 변경하도록 요구하는 경우에도 유용합니다.

3. 데이터 백업 생성

정기적으로 데이터를 백업하는 것은 비즈니스 관점에서 현명한 방법이지만 가장 현명한 사이버 보안 모범 사례 중 하나이기도 합니다. 그 이유는 랜섬웨어 공격이 발생할 경우 데이터 백업을 다시 수행할 수 있기 때문입니다.

랜섬웨어 공격은 보안 침해 시 범죄자가 실행하는 가장 일반적인 사이버 공격 중 하나입니다. 여기에는 악성 소프트웨어(랜섬웨어)를 사용하여 업무용 컴퓨터의 파일을 하이재킹하고 몸값을 요구하는 행위가 포함됩니다. 2022년에는 전 세계적으로 기록된 모든 사이버 공격 중 약 68%에 랜섬웨어가 사용되었습니다.

사이버 보안 정책을 통해 직원이 랜섬웨어에 빠지는 것을 방지할 수 있기를 바라지만, 악의적인 링크를 한 번만 클릭하면 보안 사고로 이어질 수 있습니다. 시간 관리 통계에 따르면 직원들은 평균적으로 1시간 40분마다 이메일을 확인합니다. 이메일 피싱은 랜섬웨어의 가장 일반적인 전달 방법으로 밝혀졌고, 전송된 이메일은 언뜻 보기에 합법적인 이메일처럼 보이므로 공격이 발생할 가능성이 높아집니다.

직원에게 전송된 피싱 이메일의 예를 확인하세요.

출처: 저렴한 SSL 보안

피싱 이메일이라고 결론을 내릴 수 있는 유일한 방법은 철저하게 조사하는 것입니다. 이메일 발신자는 캄보디아에 본사를 둔 Damco로 되어 있습니다. 그런데 발신자의 이메일 주소 도메인 등록이 중국(.cn)에서 이루어졌습니다. 그런 다음 Maersk Line 로고를 사용합니다. 해당 회사는 합법적이지만 덴마크에 본사를 두고 있습니다.

또한 고객 서비스 담당자가 수출 문서가 포함된 것으로 추정되는 이메일을 보내는 이유가 무엇인지 자문해 보세요.

의심하지 않는 직원이 위와 같은 피싱 이메일을 클릭한 후 승인되지 않은 사용자가 귀하의 데이터에 액세스할 수 있게 되었다고 가정해 보겠습니다. 이 경우 정기적인 백업을 통해 비즈니스를 정상적으로 운영할 수 있습니다.

비즈니스 데이터를 백업하는 방법에 관해서는 3-2-1 규칙을 사용하는 것을 고려해보세요. 항상 3개의 데이터 사본을 보유하십시오. 두 가지 버전을 별도의 저장 장치에 백업하고 최종 버전은 오프사이트에 백업하세요.

다양한 물리적 백업 장치를 선택할 수 있습니다. 외장 하드 드라이브(솔리드 스테이트 드라이브든 하드 디스크 드라이브든)와 USB 플래시 드라이브가 작동할 수 있습니다. 저장 용량은 500GB에서 2TB 이상까지 다양합니다. 또한 DVD나 CD와 같은 광학 미디어는 소규모 파일 백업을 저장하는 데 유용합니다.

오프사이트 솔루션의 경우 클라우드 스토리지가 타의 추종을 불허합니다. 귀하의 비즈니스 파일을 원격 서버에 저장하고 월별 비용으로 인터넷 연결을 통해 액세스할 수 있습니다. Google Drive, OneDrive, Dropbox와 같은 서비스가 가장 인기가 있습니다.

4. 사이버 보안에 대해 직원 교육

직원들에게 네트워크 보안에 대해 교육하여 보안 취약성에 대처할 수도 있습니다.

초보자를 위한 보안 인증을 제공하는 프로그램 및 과정은 직원의 학습에 도움이 될 수 있습니다. 최소한 직원은 피싱 이메일, 피싱 사기 및 사이버 범죄자가 중요한 시스템을 손상시키는 데 사용하는 기타 수법에 대해 배우게 됩니다. 또한 이러한 사이버 보안 위반이 직장에서 어떻게 발생하는지, 악의적인 행위자가 보안 격차를 어떻게 이용하는지 배우게 됩니다.

더 중요한 것은 직원들이 자신의 행동이 어떻게 자신도 모르게 악의적인 활동에 도움이 될 수 있는지 알아야 한다는 것입니다. 예를 들어, 사이버 보안 교육에서는 개인 네트워크를 통해 회사 데이터에 액세스하고 공용 네트워크(예: 커피숍의 공용 Wi-Fi 네트워크) 사용을 피하는 것의 중요성을 강조할 수 있습니다.
사이버 보안 교육을 비즈니스 운영에 접목시키는 것이 중요합니다.

가끔씩 이메일을 보내고 홀수 해마다 교육 세션을 조직하는 대신 사이버 보안 전문가를 초대하여 정기적으로 직원과 대화하는 것을 고려해보세요.

사이버 보안 교육 과정을 직원의 지속적인 개발의 일부로 만들어 참여를 장려할 수도 있습니다. 직원이 자신의 사이버 보안 인식이 경력 전망에 도움이 되고 취업 준비 기술로 전환될 것이라고 확신하면 배운 내용을 내면화하고 실용화하려는 경향이 더 커질 수 있습니다.

기술 회사를 운영하는 경우 인공 지능이 AI 기반 사이버 공격을 방어하는 데 어떻게 도움이 되는지 직원에게 가르치는 것을 고려해보세요.

5. 정기적인 사이버 보안 감사 수행

정기적인 사이버 보안 감사를 수행하면 비즈니스에 대한 보안 취약성과 사이버 보안 위험을 식별하는 데 도움이 됩니다.

사이버 보안 감사에는 위협이나 개선 영역을 발견하는 동시에 비즈니스의 보안 정책을 평가하는 작업이 포함됩니다.

감사 중에는 귀하의 비즈니스가 사이버 보안 규정을 준수하는지 여부를 확인하고 무엇보다도 보안 상태를 평가하게 됩니다. 더 자주 감사를 통해 바이러스 백신 소프트웨어의 유효성(즉, 최신 상태인지 여부)을 조사하게 됩니다. 그 과정에서 사이버 보안 파트너를 변경하는 것은 드문 일이 아닙니다.

수행할 수 있는 사이버 보안 감사에는 두 가지 유형이 있습니다.

• 내부 감사 : 내부 감사를 실시하면 회사의 사이버 보안 담당자가 점검을 처리합니다. 이러한 유형의 감사는 소규모 기업에서 일반적입니다.
• 외부 감사 : 외부 감사는 회사와 관련이 없는 감사인을 초빙하여 점검을 수행합니다. 규모가 큰 회사에서는 일반적으로 이러한 감사 유형을 선택합니다.

감사를 수행하는 빈도는 귀하의 비즈니스에 따라 다릅니다.

예를 들어, 컴퓨터 시스템에 중요한 정보를 저장하는 경우 해당 정보의 안전을 보장하기 위해 자주 감사를 받아야 합니다. 감사가 비즈니스에 지장을 줄지 여부도 마음먹을 수 있습니다.

감사를 수행할 때 고려해야 할 추가 요소는 다음과 같습니다.

• 범위 : 감사가 얼마나 포괄적이기를 원하시나요? 비즈니스의 사이버 보안 상태에 대한 전체 그림을 제공해야 합니까, 아니면 비즈니스의 특정 측면에 중점을 두어야 합니까?
• 위협 및 대응: 비즈니스에 대한 위협을 발견하면 어떻게 대응하시겠습니까?

감사를 마치면 귀하의 비즈니스가 사이버 위협으로부터 얼마나 안전한지(또는 그렇지 않은지) 더 명확하게 파악할 수 있습니다. 그리고 위협을 발견하면 이를 무력화하기 위한 조치를 취할 수 있습니다.

사이버 보안 팁을 따라 비즈니스 데이터를 보호하세요

비즈니스 데이터를 안전하게 유지하려면 기사에서 설명한 사이버 보안 모범 사례 중 두 가지 이상을 구현해야 합니다. 통계에 따르면 사이버 범죄가 앞으로 급증할 것이라는 점은 분명합니다. 이는 기업이 이에 대비해야 함을 의미합니다.

요약하자면, 2단계 인증을 활성화하고 강력한 비밀번호 정책을 시행하는 것을 고려해 보세요. 데이터를 정기적으로 백업하고 직원들에게 사이버 보안에 대해 교육하여 사람의 실수로 인한 위험을 줄이세요. 마지막으로 정기적인 사이버 보안 감사를 실시하여 사이버 위협으로부터 비즈니스 보안에 대한 최신 정보를 얻으세요.

공격자로부터 비즈니스 데이터를 보호할 수 있는 사이버 보안 전문가를 찾아보세요. The Manifest에서 사이버 보안 회사 에 연결하세요 .