Skip to main content

보안 위험 이해하기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

  • 사이버 범죄가 회사에 어떤 해를 가하는지 설명합니다.
  • 침입자가 악용하는 주요 인간 행동을 열거합니다.
  • 범죄자가 정보에 접근하기 위해 가장 일반적으로 사용하는 방법을 설명합니다.

보안 기술만큼 중요한 직원 행동 보호

우리가 일상 생활과 업무에서 기술을 하루 종일 사용한다는 점을 고려하면 사이버 범죄가 모두의 관심사라는 것은 자연스러운 일입니다. 2021 Verizon 데이터 침해 조사 보고서에 따르면 이 카테고리에서 멀웨어부터 해킹, 사회 공학적 공격, 랜섬웨어에 이르기까지 총 157,525건의 인시던트가 보고됐습니다. 사이버 범죄는 계속 발전합니다. 최근 발생한 성공적인 주요 공격 벡터들의 경우 피싱처럼 기술이 아닌 사람을 겨냥합니다. 2022년 보고서에 따르면 피싱 및 사용자 자격 증명 탈취는 2021년의 주요 위협 벡터였습니다. 

위협 환경은 그 어느 때보다 복잡하며 보안 팀이 위협을 방지, 탐지, 분석하고 이에 대응하기가 갈수록 어려워집니다. 사이버 범죄는 기술적 공격에서 직원을 겨냥하여 인간의 기본적인 행동을 악용하는 방식으로 전술을 바꿨습니다. 보안 기술이 갈수록 발전함에 따라 해커는 네트워크에서 가장 취약한 지점에 접근하려고 시도하며, 이는 인적 오류인 경우가 많습니다. 이 뱃지처럼 교육 기회를 보호하는 것이 그 어느 때보다 중요해졌습니다. 직원은 해커들의 가장 쉬운 목표물이므로 모두가 자기 자신과 회사를 보호하는 방법을 배우는 것이 필수적입니다. 직무나 직위와 관계없이 그 어느 때보다 모든 사람이 보안에 영향을 미치고 있습니다.

직원 단 한 명만 피싱 이메일을 열어도 연쇄적으로 이벤트가 발생하여 회사 데이터가 침해될 수 있습니다. 이는 보안이 모든 사람의 업무에 포함되어 있음을 뜻합니다. 이 모듈에서는 모든 직원이 회사를 보다 안전하게 만들기 위해 채택해야 하는 기본 행동을 살펴봅니다.

침입자가 악용하는 인간 행동

인간의 본성이 사이버 범죄에서 어떻게 악용되는지 알아보겠습니다. 범죄자는 호기심이나 사람을 즐겁게 하고자 하는 욕구 등 일반적인 인간의 감정을 악용하여 자격 증명을 훔치거나 네트워크에 침투할 수 있다는 사실을 알아냈습니다. 감정 반응을 유도하는 몇 가지 메시지를 살펴보겠습니다. 

  • 공포: "정보를 주지 않으면 관리자에게 보고하겠습니다."
  • 신뢰: "은행 계좌가 차단되었습니다. 여기를 클릭하여 다시 활성화하세요."
  • 도덕: "사무실 문을 좀 잡아 주시겠어요? 팔이 부러졌는데 이 소포가 좀 무거워서요."
  • 보상: "당사는 귀사 제품에 투자를 고려하고 있습니다. 귀사에 대한 몇 가지 질문에 답해 주시겠어요?"
  • 순응: "재무 팀의 Bill Stevens가 항상 저한테 2분기 실적에 대한 최신 정보를 알려주곤 했는데, 이번에는 받지 못했습니다. 저한테 그 보고서를 주시겠어요?”
  • 호기심: "와우, 큰 뱀이 사육사를 잡아먹는 이 영상 좀 보세요!"

신뢰할 수 있는 사람으로 가장한 해커와 온라인 채팅 중인 사람.

기본 공격 방법 파악하기

해커는 다양한 방법으로 목표물에 접근합니다. 아래의 접근 방법 목록은 해커들이 인간 행동을 악용하여 민감한 정보 또는 네트워크에 액세스하는 일반적인 기술입니다.

  • 피싱: 신뢰할 수 있는 대상을 가장하여 사용자 이름, 암호(사용자 자격 증명), 신용 카드 정보, 은행 정보 등 민감한 정보를 획득하려고 시도합니다. 피싱에는 몇 가지 유형이 있습니다. 가장 일반적으로 사용되는 방법은 이메일 피싱, 전화 피싱(비싱이라고도 함), 문자 메시지 또는 SMS를 통한 피싱(스미싱), 높은 액세스 수준에 있는 사람을 겨냥한 피싱(스피어 피싱) 등입니다.
  • 멀웨어: 기기 또는 네트워크에 액세스하거나 이를 손상시키거나 또는 통제하기 위해 사용자가 악성 소프트웨어(멀웨어)를 다운로드하도록 속입니다. 멀웨어는 종종 피싱 이메일을 통해 링크 또는 첨부 파일로 전달됩니다.
  • 사회 공학적 공격: 특정 행동을 취하거나 기밀 정보를 노출하도록 유도합니다.
  • 공개 정보 악용: 인터넷(예: 소셜 미디어 플랫폼)에서 공개적으로 사용 가능한 정보를 사용하여 사회 공학적 공격, 암호 크래킹, 특정 대상에 대한 피싱 이메일 생성을 통한 방법입니다.
  • 테일게이팅: 적법한 뱃지 소유자의 뒤를 따라가거나 다른 사람에게 들여보내 달라고 설득하여 보안 영역에 접근합니다.
  • 도청: 비공개 대화를 몰래 듣습니다.
  • 덤스터 다이빙: 재활용함 또는 쓰레기통에서 파쇄되지 않은 민감한 정보를 수집합니다.
  • 악성 기기 설치: 악성 소프트웨어가 담긴 무선 라우터 또는 USB 드라이브를 설치하여 보안 네트워크에 액세스합니다.

리소스

Salesforce 도움말에서 Trailhead 피드백을 공유하세요.

Trailhead에 관한 여러분의 의견에 귀 기울이겠습니다. 이제 Salesforce 도움말 사이트에서 언제든지 새로운 피드백 양식을 작성할 수 있습니다.

자세히 알아보기 의견 공유하기