E4NET

체리와 보안 본문

E4.Tech/IT Technology

체리와 보안

E4. 2020. 11. 30. 16:36

안녕하세요. 
현재 체리에 오픈뱅킹서비스를 도입중인 IT서비스사업본부의 최형수 수석입니다. 오픈뱅킹은 금융결제원이 운영하는API서비스로 사용 허가를 받은 핀테크기업이 사용자의 계좌에서 이체서비스를 활용할 수 있도록 하고 있습니다. 사용 허가는 당연히 사고치지 않을 믿을 만한 기업에 주겠지요. 
그래서 기업이 서비스를 운용할 수 있을 만큼 규모가 되는지, 서비스의 보안취약점이 없는지, 서비스를 운영하는 기업의 보안 체계가 문제가 없는지를 확인합니다.

보안은 서비스를 개발하는 개발팀과 운영팀에서만 지켜야 하는 사항은 아닙니다. 회사가 아무리 철저한 시스템 보안을 구축한다고 하여도 개인이 보안 사항을 준수하지 않으면 개인이 사용하는 PC또는 휴대폰을 통해 무용지물이 될 수 있습니다. 
이번 지면을 통해서 임직원 개인이 준수해야 할 보안 사항을 확인하고 어느 정도 수준인지 점검하는 시간이 되었으면 합니다.

개인 보안 체크리스트

1.   중요정보를 책상 위에 방치하지 않고 서랍에 보관하고 열쇠를 잠그는 등 중요 정보가 함부로 취급되지 않도록 하고 있는가?

2.   중요정보를 회사 밖으로 반출할 때에는 패스워드를 거는 등 도난 분실 대책을 알고 있으며 실천하고 있는가?

3.   사무실에서 잘 모르는 사람을 만나면 누구인지 물어보는 등 허가 없이 출입하는 사람이 없도록 하고 있는가?

4.   노트북 이용자는 퇴실 시 책상 위의 노트북을 서랍 속에 정리하는 등 도난 방지 대책을 하고 있는가?

5.   최종 퇴실자는 사무실을 잠그고 퇴실 기록을 남기는 등 사무실의 시건장치를 관리하고 있는가?

6.   Windows Update를 최신으로 유지하여 안전한 상태로 하고 있는가?

7.   파일 교환 프로그램이 들어오지 않게 하는 등 파일이 유출될 위험이 높은 소프트웨어의 사용을 금지하고 있는가?

8.   사내외에서 개인 컴퓨터의 업무 사용을 허가제로 하는 등 업무에서 개인 컴퓨터의 사용을 명확히 하고 있는가?

9.   퇴실 시 컴퓨터의 전원을 끄는 등 다른 사람이 사용하지 않도록 하고 있는가?

10. 패스워드로 보호되는 화면보호기 사용과 화면 잠금을 사용하고 있는가?

11. 패스워드는 자신의 이름을 피하는 등 다른 사람들이 추측하기 어려운 것을 사용하고 있는가?

12. 안티바이러스 소프트웨어의 바이러스 정의 파일을 자동업데이트하고 실시간 보호를 유지하고 있는가?

13. 승인되지 않는 소프트웨어를 불법적으로 설치 및 사용하지 않는가?

14. 의심스러운 웹사이트나 이메일을 통한 바이러스로부터 컴퓨터를 지키기 위한 대책을 행하고 있는가?

15. 상호간에 메일 주소를 알지 못하는 많은 사람들에게 메일을 보내는 경우 숨은참조 기능을 활용하는 등 메일 주소를 잘못해서 다른 사람들에게 전하지 않도록 하고 있는가?

16. 중요정보를 이메일로 보내는 경우 보안메일을 사용하거나 중요정보를 첨부파일로 첨부하고 패스워드로 보호하는 등 중요정보에 대한 보호조치를 하고 있는가?

17. 이메일을 보내기 전에 수신주소를 확인하는 등 잘못된 수신처로 발송 실수를 방지하는 방법을 실천하고 있는가?

 

원격근무를 위한 보안 체크

A)   근무자

1.    개방된 장소(카페등)가 아닌 보안성이 확보된 공간에서 원격근무 실시

2.    회사에서 지정한 단말기만을 사용해 사내네트워크 접속

3.    허가된 프로그램만을 사용, 임의로 추가 프로그램을 설치하지 않기

4.    USB는 가급적 사용하지 않고 어쩔수 없는 경우는 반드시 바이러스 검사

5.    불분명한 Wi-Fi는 사용하지 않고 보안성이 확보된 인터넷망 사용

6.    비밀번호는 8자 이상, 대소문자, 숫자,특수문자중 2종류 이상 조합해 사용

7.    출처 불분명한 이메일 주의

B)   운영자/관리자

1.    사내 네트워크에 접속하는 경우 이중인증등 강력한 인증방안사용

2.    허가된 사용자와 단말기만 업무망에 접근할수 있도록 전용 접속 환경구축(VPN이용)

3.    VPN 접속시 이중인증을 사용하도록 환경구축

4.    내부망 로그를 상시모니터링해 이상징후를 탐지하는 등 보안 강화

5.    원격 근무용 단말기의 분실 및 도난, 또는 시스템 이상징후 탐지시 즉시 대응하는 보안 절차 운영

<출처: KISA> 

위 체크사항들이 많은데 다 기억못하시면 딱 4가지만 기억하고 지켜주세요.

1.   출처가 불분명한 이메일의 링크를 클릭하거나 첨부파일을 다운받지 않는다. 제목이나 내용을 내가 아는 이메일로 가장할 수 있으니 송신자 이메일주소를 유심히 확인합니다. 최근 보안회사의 보고에 의하면 해킹사고의 92%가 이메일을 통한 공격에 의해 이루어집니다.

2.   업무와 관련되지 않은 인터넷 사이트에 접속하지 않는다. 가능한 알려진 사이트만 이용한다. 불법파일 다운로드 사이트나 야동사이트는 바이러스의 온상입니다.

3.   Windows Update는 필수. 2020 COVID-19확산으로 인해 비대면 원격근무 기업이 늘어나자 취약성 공격이 증가하고 있습니다. 특히 Windows의 취약성이 지속해서 보고되고 업데이트되고 있습니다. 최근 또 다른 SMB취약성이 보고 되어 패치 되었습니다. 업데이트하지 않는 PC는 랜섬웨어 침투 경로가 될 수도 있습니다. 보안(취약성) 업데이트 꼭 해주세요.

4.   외부에서 가져온 파일은 항상 바이러스 검사 실시! 

체리는 대국민 서비스로 보안사고가 발생할 경우 집단소송으로 이어질 가능성이 있고 이는 회사가 감당하기 어려울 만큼 큰 손실을 입을 수 있으니 개발자, 운영자, 그 외 모두가 보안에 각별이 신경을 써 주시기 바랍니다.

마지막으로 재미있는 그림으로 마무리 합니다.

'E4.Tech > IT Technology' 카테고리의 다른 글

마이 데이터, 마이 데이터 사업이 뭐지  (0) 2021.03.04
공정하다는 착각  (0) 2021.02.04
체리와 보안  (0) 2020.11.30
프롭테크란?  (0) 2020.10.22
숏폼 콘텐츠와 플랫폼  (0) 2020.10.22
TypeScript란?  (0) 2020.10.22
0 Comments
댓글쓰기 폼