본문 바로가기

보안 Information

이메일 해킹으로부터 보호하기 위한 9가지 팁 - 위드네트웍스

 

 이메일은 비즈니스에서 가장 많이 사용하는 커뮤니케이션을 위한 도구 중 하나며, 또한 가장 취약한 도구 중 하나입니다. 특히, 정교한 이메일 피싱 공격은 전체 사이버 보안을 크게 위협하고 있습니다. 예를 들어 악성 공격자는 자신의 정체를 숨긴 채로 이메일을 받은 사람이 악성 코드 다운로드 링크를 클릭하도록 유도하여 사용자가 스스로 공격 행위에 가담하도록 합니다.

 

피싱 공격 Phishing Attack = Privacy (개인정보) + Fishing(낚시)
공격자가 기관을 사칭해 유저의 데이터를 탈취하려는 이메일, 문자를 포함한 모든 형태의 전자 의사소통 방식

 

 

 한 연구에 따르면 피싱 공격은 사이버 보안 사고의 80% 이상을 차지하며, 매분 17,700달러의 손실을 초래할 정도로 많은 피해와 손실을 초래한다고 합니다. 악성 공격자는 코로나 19 팬데믹과 관련된 내용을 사용하여 피싱 공격을 하는데 ,예를 들어 CDC(질병 통제 예방 센터) WHO(세계보건기구)가 보낸 것처럼 이메일을 가장하여 가짜 링크를 클릭하도록 유도하기도 합니다.

 

 

 

 

 이메일은 개인 또는 기업의 중요 정보의 보물창고이기 때문에 이러한 악성 공격은 계속적으로 이어질 것입니다. 물론 이메일 보안의 범위는 피싱 공격만 있는게 아니라 훨씬 더 다양합니다. 강력한 이메일 보안을 통해서 스팸, 바이러스, 랜섬웨어, 암호 도난과 관련된 메일 유출, 첨부 파일 및 중요한 정보 등을 보호할 수 있습니다.

 

 

 

 오늘은 이메일을 안전하게 보호하기 위한 몇 가지 팁과 전략을 소개해드리겠습니다. 여러분의 네트워크 환경에 맞게 적용하시면 소중한 개인과 기업의 정보를 보호하는데 큰 도움이 될 수 있습니다.

 

 

1. 이메일 피싱 공격을 주의하라!

 

 

피싱 공격은 끊임없이 이어지고 있습니다. 이메일 위협은 수십 년 동안 존재해 왔지만 위협은 계속 발전하고 점점 더 정교해지고 있습니다. 다양한 유형의 피싱 공격은 다음과 같습니다.

 

  • 스피어 피싱(Spear phishing)
    수천 명의 사용자에게 전자 메일을 보내는 대신 특정 개인만 대상으로 지정
  • 보이스 피싱(Voice phishing) 
    이메일 대신 전화로 유사한 전략을 사용하는 사람들을 대상으로 합니다.
  • 스미싱(Smishing) SMS + Phishing
    SMS, 문자 메시지를 사용하여 의심치 않는 사람을 속임
  • 웨일링(Whaling, 고래잡이)
    "고래"를 목표로 함 – 회사 CEO와 같은 정보 자산에 더 많이 접근할 수 있는 중요한 사람

 비즈니스 이메일 공격 상황을 살펴보겠습니다. 공격자는 자주 함께 일하는 공급업체, 동료 또는 감독자와 같은 합법적인 소스로부터 합법적인 요청을 받은 것처럼 보이는 이메일을 보냅니다. 또한 이메일을 받은 사람이 진짜라고 생각하게끔 속이기 위해 약간 변형된 이메일 계정이나 웹사이트를 비슷하게 만들어낼 수도 있습니다. 예를 들어 무료 쿠폰 제공을 미끼로 개인정보 확인 및 입력을 요구하는 것입니다. FBI는 비즈니스 이메일 공격을 "가장 금전적으로 피해를 주는 온라인 범죄 중 하나"라고 부릅니다.

 

 

2.  이메일에서 찾아야 할 의심스러운 항목 파악

 

다행히도, 사이버 범죄자들은 종종 자신들의 속임수에 대한 단서를 남깁니다. 사용자가 자신의 은행 계좌번호와 비밀번호를 주면 돈을 주겠다! 하는 정도로 노골적이지는 않지만, 확실히 이러한 단서들을 남깁니다.

 

 

  • 오타, 어색한 문장|
    같은 언어를 사용하는 공격자라면 우리말 구사 능력이 뛰어나지만, 해외에서 시작된 공격들은 종종 오타를 포함하고 있습니다. 또한 해외 공격을 그대로 번역을 돌린 듯한 어색한 문장이 있다면 공격을 의심하고 메일이 요구하는 행위를 해서는 안됩니다.
  • 비정상적인 URL
    공격자들은 때때로 가짜 URL을 입력하여 마치 특정 기관에서 정보를 제공하는 것처럼 보이도록 합니다. 그러나 링크 위에 마우스를 놓으면 일반적으로 링크가 합법적인지 확인할 수 있습니다.
  • 추가 단서
    다음은 가짜 전자 메일을 탐지하는 데 유용한 몇 가지 팁입니다.
  • 보낸 사람의 전자 메일 주소가 회사와 일치하지 않는 경우
  • 전자 메일에 링크를 클릭하라는 여러 요청이 포함되어 있는 경우.
  • 바닥글에 약간 다른 회사 이름이 있는 경우
  • 잘못된 레이아웃/형식
  • 개인정보 요청

여러분은 피싱 이메일을 잘 구별할 자신이 있으신가요? 아래의 영상을 통해 여러분의 피싱 공격 구별 능력을 확인해보시길 바랍니다!

 

 

3. 주의하여 다운로드

 

 

이메일의 첨부 파일은 컴퓨터 바이러스 및 기타 유형의 악성 프로그램을 숨기는 사기꾼에게 인기 있는 장소입니다. 첨부 파일이 포함된 원치 않는 이메일은 해커의 냄새가 난다고 의심해보아야 합니다. 일반적으로 인증 기관에서는 첨부 파일이 포함된 이메일을 임의로 보내지 않고 자신의 웹 사이트에서 문서나 파일을 다운로드하도록 지시합니다.

 

따라서, 첨부 파일이 합법적인지 확실하지 않은 경우에는 다운로드를 받거나 여는 것을 피하는 것이 가장 좋습니다.

 

 

 

4. 모르는 회사나 사람이 보낸 링크 클릭하지 않기

 

 

두말할 필요도 없지만, 이메일의 보낸 사람 또는 그들이 공유하려고 하는 링크가 확실하지 않으면 클릭하지 마십시오. 보낸 사람 또는 이메일이 합법적인 것처럼 보이는 것을 알고 있더라도 항상 주의를 기울이는 것이 중요합니다.

 

5. 강력한 암호 설정

 

 

대부분의 사람들은 강력한 암호를 사용해야 한다는 것을 알고 있습니다. 그럼에도 불구하고, 여전히 많은 사람들이 잘못된 암호를 사용하고 있습니다. 전 세계 3,250명을 대상으로 한 최근 여론조사에서 91%가 여러 계정에 동일한 암호를 사용하는 것이 보안 위험을 초래한다는 사실을 알고 있다고 답했지만, 그 중 66%는 "대부분" 또는 "항상" 동일한 암호를 사용하고 있다고 대답했습니다.

 

강력한 암호를 위해서는 분명한 단어나 구를 멀리해야 합니다. 무작위로 배열된 문자일수록 더 좋습니다. 또한, 숫자와 문자를 사용해야 합니다. FBI는 한 단어 대신 최소 15자의 문자열을 가진 긴 "비밀번호"를 사용할 것을 권고합니다.

또한 계정이 해킹당하거나 데이터 침해로 인해 암호가 노출된 경우 비밀번호를 꼭 변경해야 합니다.

 

 

6. 과도한 공유 지양하기

 

 

 강아지나 고양이의 이름, 학교, 생일, 가족 등의 모든 종류의 개인 정보가 여러분에게 불리하게 사용될 수 있다는게 믿겨 지시나요? 대부분의 사람들은 소셜 미디어에서 이러한 개인 정보를 공유하는 것에 전혀 생각하지 않습니다. 어떤 해커들은 이러한 데이터를 사용하여 암호를 추측하거나 가짜 이메일의 내용을 구성한다고 합니다.

 

 

7. 확실하지 않으면 전화를 걸어 확인하기

 

 

 

 만약 합법처럼 보이는 이메일이 내용에 포함된 링크를 클릭하여 개인 정보를 요청한다면 이것을 명심하시길 바랍니다. 대부분의 회사는 이메일을 통해 개인정보를 요청하지 않습니다!

 따라서 잘 모르겠으면 전자에 있는 개인 또는 회사에 전화하기만 하면 됩니다. 가짜인것이 확인된다면, 정부 기관에 가짜 이메일을 보고혀 현재 진행 중인 이메일 공격 패턴을 추적하도록 하여 해당 이메일 공격을 못하도록 막을 수 있습니다.

 

8. 보안 소프트웨어 업데이트 또는 설치

 

 

 보안 솔루션이 있다면 항상 업데이트하여 최신의 상태를 유지하기 바라며, 1인 사업자, 학생 등 스스로 보안 환경을 구축해야 할 경우 바이러스, 스파이웨어, 맬웨어, 피싱 공격, 스팸 공격 및 기타 온라인 위협으로부터 보호하는 데 도움이 되는 백신 소프트웨어와 같은 무료 보안 솔루션을 설치하는 것도 도움이 될 수 있습니다.

 또한 기업은 보관된 이메일에 대한 즉각적이고 검색 가능한 접근을 제공하는 이메일 솔루션을 사용하는데 이는 잠재적인 이메일 보안 문제를 추적하는 데 도움이 될 수 있습니다. 예를 들어, 이메일 솔루션을 사용하면 지정된 시간 내에 모든 회사 이메일에서 "암호"라는 단어를 검색할 수 있고 이러한 종류의 중요한 정보를 얼마나 많이 공유했는지 확인할 수 있습니다. 이렇게 하면 직원들이 이메일 보안에 대해 어떤 입장을 취하고 있는지, 사이버 인식 교육이 필요한지 여부를 잘 알 수 있습니다.

 또한 이러한 솔루션은 모든 이메일 통신에 대한 자동 백업을 생성하기 때문에 이메일을 안전하게보관할 수 있습니다.

 

9. 보안 운영 센터 구현

 

 

 이메일 보호는 광범위한 사이버 보안 환경의 일부에 불과합니다. 대규모 조직에서는 사용자 환경을 모니터링하고 잠재적 위협을 식별하며 이를 제거하기 위한 행동 계획을 개발하는 사이버 보안 전문가 팀을 지칭하는 SOC(Security Operations Center)을 운영하고 있습니다.

 

 

모든 사이버 공격으로부터 안전하기 위해서 이메일을 안전하게 보호하는 것이 항상 최우선 순위가 될 수는 없겠지만 강력한 이메일 보안 프로토콜을 구현하는 것은 사이버 보안을 위한 필수적인 예방 조치가 될 수 있습니다.

 또한 기업 전체에 이메일 보안을 위해 FortiMAIL과 같은 이메일 보안 솔루션을 도입하는 것도 좋은 방법입니다.

 

이메일 보안에 대한 추가적인 궁금한 사항이나 제품에 대한 문의가 있다면 아래의 연락처로 연락 부탁드립니다! 감사합니다!

 

 

FortiMAIL

 

계속적으로 증가하는 원치 않는 스팸, 사회 공학 기법을 이용한 피싱 및 비즈니스 이메일 손상, 랜섬웨어 및 기타 멀웨어 변종의 가속화, 다양한 공격자의 심화된 표적 공격 등이 포함됩니다. FortiMAIL은 모든 유형의 민감한 데이터를 보호하고 우발적인 손실 및 HIPAA, PCI, GDPR 등의 규제 미준수 위험을 감소시킵니다.

 

 

 

 

 

Copyright(c) 2021. (주)위드네트웍스 All Right  reserved

 

내용 참조: tripwire