[데일리시큐][박나룡 보안칼럼] 정보보호 투자, 왜 인력이 최우선인가

뉴스 요약

국내 통신사 SK텔레콤과 일본 증권회사에서 발생한 대규모 보안 사고는 보안 통제 미흡, 대응 체계 부족, 낮은 기술적 대응 수준, 보안 인식 부족, 보안 인력 부족 등 여러 가지 보안 문제점을 드러냈습니다.

핵심 포인트

• SK텔레콤: 수천만 명의 휴대폰 정보와 개인정보 유출, 내부 보안 통제 및 대응 체계 부족
• 일본 증권회사: 수조 원 규모의 증권 계좌 유출 및 주가조작 악용, 낮은 기술적 대응 수준(ID+PW 방식의 인증), 스미싱에 대한 보안 인식 부족, 보안 인력 부족
• 전반적으로 보안 투자 및 인력 확충의 필요성 대두

기술 세부 내용

1️⃣ ID+PW 방식의 인증 (ID and Password Authentication)

• 설명: 사용자를 식별하기 위해 ID와 비밀번호를 입력하는 가장 기본적인 인증 방식.
• 장점: 간편하고 구현이 쉬움.
• 단점: 비밀번호 유출 및 추측, 무차별 대입 공격(Brute-Force Attack), 키로깅(Keylogging) 등에 취약.
• 개선 방안:
  • 다중 인증(MFA: Multi-Factor Authentication) 도입: OTP(One-Time Password), 생체 인증, 이메일 인증 등 추가 인증 요소를 사용.
  • 강력한 비밀번호 정책 시행: 최소 길이, 특수문자 포함, 주기적인 변경 등.
  • 비밀번호 관리 솔루션 도입: 안전한 비밀번호 저장 및 관리.

2️⃣ 스미싱 (Smishing)

• 설명: SMS(Short Message Service)를 이용한 피싱(Phishing) 공격. 악성 링크가 포함된 문자 메시지를 보내 사용자를 속여 개인정보를 탈취하는 수법.
• 유형:
  • 금융기관 사칭: 계좌 정보, 비밀번호 등을 입력하도록 유도.
  • 택배 사칭: 배송 조회를 위장하여 악성 앱 설치 유도.
  • 지인 사칭: 긴급한 상황을 가장하여 금전 요구. ‍‍‍
• 예방법:
  • 출처가 불분명한 문자 메시지의 링크 클릭 금지.
  • 금융기관이나 택배 회사는 개인정보를 문자로 요구하지 않음을 인지.
  • 스미싱 탐지 앱 설치. ️

3️⃣ 보안 통제 (Security Control)

• 설명: 정보 시스템의 보안을 유지하기 위한 정책, 절차, 기술적 조치 등을 포괄하는 개념.
• 유형:
  • 관리적 통제: 보안 정책 수립, 교육, 감사 등.
  • 기술적 통제: 방화벽, 침입 탐지 시스템, 접근 제어 시스템 등.
  • 물리적 통제: 출입 통제, CCTV, 보안 경비 등.
• 목적: 기밀성(Confidentiality), 무결성(Integrity), 가용성(Availability) 확보.

4️⃣ 사고 대응 체계 (Incident Response System)

• 설명: 보안 사고 발생 시 피해를 최소화하고 신속하게 복구하기 위한 일련의 절차.
• 단계:
  • 준비(Preparation): 사고 대응 계획 수립, 훈련.
  • 식별(Identification): 사고 발생 여부 확인.
  • 억제(Containment): 피해 확산 방지.
  • 근절(Eradication): 원인 제거.
  • 복구(Recovery): 정상 상태 복원.
  • 교훈(Lessons Learned): 사고 분석 및 개선.

 

출처: https://www.dailysecu.com/news/articleView.html?idxno=166440