조직 보호를 돕도록 사용자 교육하기
학습 목표
이 유닛을 완료하면 다음을 수행할 수 있습니다.
- 강력한 암호 정책을 설명합니다.
- 피싱 이메일에 당하지 않는 방법을 설명합니다.
- 사용자 권한에 대한 최소 권한 접근법을 정의합니다.
주요 데이터에 액세스 가능한 사용자
이전 유닛에서 다뤘듯이 오늘날의 사이버 범죄는 직원을 겨냥하는 경우가 많습니다. 금융 기록이나 의료 데이터 등 민감한 데이터에 액세스 가능한 직원은 해커들의 주요 목표물입니다. 따라서 Salesforce 사용자에게 안전한 행동에 대해 교육하면 구현을 보호하고 고객의 데이터를 안전하게 지키는 데 장기적으로 효과를 발휘할 수 있습니다.
개별 사용자는 데이터 보호에 중요한 역할을 수행합니다. 사용자에게 Salesforce 데이터를 안전하게 보호하기 위한 역할에 관한 교육 기회를 제공하면 장기적으로 그 혜택을 볼 수 있습니다. 회사가 소유할 수 있는 가장 귀중한 자산은 고객의 신뢰입니다. 그리고 고객의 신뢰를 얻기 위해 매일 고객 데이터를 안전하게 지키는 것은 여러분의 책임입니다.
동료 또는 다른 Salesforce 관리자와 함께 사용자의 데이터 보호 인식을 고취하고 사용자가 데이터 보호를 위해 자신의 역할을 다하도록 사용했던 창의적 방법에 관한 이야기를 나누세요. 다단계 인증(MFA)을 활성화할 수 있는 사람을 가장 신속하게 찾기 대회 또는 게임 등 고객에게 보안을 교육할 재미있는 방법을 찾으면 사용자가 더욱 열린 마음으로 보안 행동을 수용하게 됩니다. 보다 체계적인 접근법을 취하고 IT 또는 사이버 보안 팀과 협력하여 정기적인 피싱 테스트를 통해 해커의 피싱 이메일을 보다 경계하도록 사용자를 교육할 수 있습니다.
암호 주의 깊게 관리하기
암호는 Salesforce 구현에 대한 무단 액세스를 차단하는 1차 방어선입니다. 사용자 계정에 대한 보호를 강화하기 위해 Salesforce는 고객에게 Salesforce 액세스 시 MFA를 사용할 것을 요청합니다. MFA는 액세스를 위해 다양한 형식의 인증을 거쳐야 한다는 뜻입니다. 이는 보통 암호 등 이미 알고 있는 것과 모바일 인증 앱의 코드 등 이미 가지고 있는 것을 포함합니다. 그러나 모든 플랫폼이 이처럼 안전한 사용자 액세스 방법을 제공하는 것은 아닙니다. 암호 내역, 길이, 복잡도 요구 사항을 기본적으로 설정하여 암호 보안을 강화하고 사용자가 암호를 잊었을 때 어떻게 해야 하는지 지정하세요.
미국 국립표준기술원(NIST)은 디지털 ID 인증 및 수명주기 관리에 대한 지침을 매년 발행합니다. 이 간단한 모범 사례는 추가 보호를 위해 MFA 및 single sign-on(싱글사인온) 같은 기술을 사용하든, 사용하지 않든 암호 위협을 줄이는 데 도움이 됩니다.
고유 암호 사용
누구나 여러 웹 사이트에 동일한 암호를 사용해 보셨을 것입니다(숫자 123을 암호에 사용한 적이 있나요?). 이렇게 하면 암호를 외우기 쉽지만 기본 틀은 동일하므로 공격자가 암호 크래킹을 시도할 때 가장 먼저 시도하는 것이 약간의 변형을 추가하는 것입니다. 이와 같이 안전하지 않은 암호를 사용하는 것은 웹 사이트 또는 플랫폼이 침해(해킹)당했을 때 공격자가 정보에 액세스하는 일반적인 방식입니다. 이 경우 사용자 자격 증명은 공개적으로 사용되거나 온라인으로 판매됩니다. 침해된 웹 사이트에 사용된 암호가 온라인 뱅킹이나 기업 데이터베이스 액세스 등 다른 주요한 곳에서도 사용되고 있다면 심각한 문제를 야기할 수 있습니다. 약간의 변형을 가했더라도 동일한 암호를 사용하면 공격자는 변형을 시도하는 것만으로 여러 사이트에 액세스할 수 있습니다.
복잡한 암호 사용
암호를 최소 10자 이상으로 구성해야 하며 암호의 길이는 길수록 좋습니다. 사용자에게 기억하기 쉽도록 최소 숫자 하나와 글자 하나를 결합하고 실제 단어 여러 개를 하나로 묶은 세트를 설정하도록 권장합니다. 강력한 암호의 예시는 다음과 같습니다. "CouchEagle$Window9783Fan."
매년 암호 변경하기
사용자에게 매년 암호를 변경하도록 의무화합니다.
암호 알려주지 않기
사용자에게 Salesforce 암호를 포함한 암호를 온라인이나 유선상으로 누구하고도 공유하지 않도록 주의시킵니다.
암호 관리자 사용
LastPass 또는 1Password와 같은 암호 관리자를 사용하는 것은 암호를 강력하고 안전하게 유지하는 좋은 방법 중 하나입니다. 조직에서 암호 관리자를 제공할 수 있지만, 그러지 않더라도 암호 관리자를 직접 선택할 수 있습니다. 암호 관리자를 사용하면 사용하는 모든 서비스에 각각 사용되는 복잡하고 강력한 암호를 기억할 필요 없이 모든 웹 사이트의 로그인 정보를 저장하고, 안전한 암호를 생성하고, 이를 안전한 데이터베이스에 보관할 수 있습니다. 보안을 한층 강화하기 위해 암호 관리자에 대한 MFA를 활성화할 것을 권장합니다.
Salesforce는 절대 여러분이나 사용자에게 이메일 또는 전화를 통해 암호에 대해 묻지 않습니다. 누군가가 Salesforce를 사칭하며 암호나 기타 민감한 정보(예: 주민등록번호)를 묻는다면 security@salesforce.com에 즉시 사고를 보고하세요.
피싱에 속지 않기
대부분의 피싱 공격은 멀웨어(악성 소프트웨어)를 사용하여 암호 또는 데이터를 훔치거나 전체 컴퓨터 또는 네트워크를 훼손하기 위해 설계된 코드로 컴퓨터를 감염시킵니다. 다행히 여러분과 사용자는 보안 전문가가 아니어도 피싱 이메일을 간파할 수 있습니다.
검색 엔진 통해 제목 또는 발신자 이메일 검색
피싱 이메일은 일반적인 인간 행동을 악용하여 악성 링크를 클릭하거나 첨부 파일을 다운로드하도록 유도하기 위해 설계된다는 사실을 유념하세요. 택배가 배송 중이거나 급여가 준비됐다는 등 그럴 듯해 보이고 합당한 근거가 있는 것처럼 생각될 수 있습니다. 발신자의 이메일은 종종 발신자 회사 이름과 일치하지 않으므로 주의 대상입니다. 이메일에 문제가 없는지 확실하지 않다면 이메일 제목이나 발신자의 이메일 주소를 검색 엔진에서 검색하여 이를 피싱으로 보고한 사례가 있는지 확인합니다.
클릭 전 소스 및 링크 확인
수상해 보이는 이메일이나 발신자를 알 수 없는 이메일의 링크를 클릭하거나 첨부 파일을 열어서는 안 됩니다. 사용자에게 알 수 없는 발신자가 보낸 이메일을 클릭하기에 앞서 잠시 멈추고 주의 깊게 평가하도록 안내합니다. 이메일 안의 링크를 클릭해도 되는지 확인하는 또다른 방법은 링크 위로 마우스 커서를 가져가 해당 링크가 어디로 이어지는지 확인하는 것입니다. 예를 들어 해당 이메일에서 Salesforce 마케팅 백서로 이어지는 링크를 클릭하도록 요청하는 경우, 링크 위로 커서를 가져가서 URL이 salesforce.com으로 끝나는지 확인합니다.
Salesforce를 통한 확인
이메일이 Salesforce에서 온 것인지 확실하지 않다면 회사의 IT 또는 사이버 보안 팀에 알립니다. 보안 팀은 이메일 헤더를 필요로 할 것이므로 수상한 이메일의 사본을 첨부 파일로 만들어서 security@salesforce.com으로 전달하는 것이 중요합니다. 제목에 '피싱' 또는 '멀웨어' 등의 단어를 포함해 해당 이메일이 피싱 이메일로 의심된다는 사실을 알리세요.
회사 보안 팀은 Salesforce 보안 팀과 긴밀하게 협력하여 악성 이메일을 가려낼 것입니다. security.salesforce.com에서 Salesforce 보안 팀이 알고 있는 최신 이메일 위협의 목록을 확인할 수도 있습니다.
사용자의 보안에 관여하기
사용자 행동에 작은 변화만 주어도 큰 영향이 미칠 수 있습니다. Salesforce 보안 팀이 직원에게 피싱 이메일을 전송했을 때, 보안 교육을 받은 사람이 그렇지 않은 사람에 비해 절반 정도만 피싱 링크를 클릭했으며 피싱 이메일을 신고한 비율은 두 배에 달했습니다. 회사에서 피싱 테스트를 진행해 보고 정기적으로 사용자에게 보안 모범 사례를 따르도록 알리세요.
제한적으로 권한 배포하기
중요한 보안 관행은 사용자에게 업무에 필요한 최소한의 액세스를 제공하는 것입니다. 이를 최소 권한의 원칙이라고 합니다.
예를 들어 비즈니스 분석가는 고객의 청구 정보를 볼 필요가 없습니다. 관리자 권한을 보유한 사용자 수를 제한(5명 이하 권장)하고 그 사람들이 계속 관리자 권한을 가져야 하는지 주기적으로 확인하는 것이 모범 사례입니다. 필드 수준에서 가시성과 권한을 제한할 수도 있습니다. 시간이 지남에 따라 누구에게 어떤 액세스가 필요한지가 변경될 수 있으므로 주기적으로 액세스 권한을 재차 확인하는 메커니즘을 갖추는 것이 중요합니다.
