[리눅스][초보][보안][재택근무 시 지켜야 하는 10가지 보안수칙]

재택근무&보안수칙 ©behance

최근 코로나 바이러스로 많은 기업들에서 출퇴근 또는 회사 내 접촉으로 인한 바이러스 감염을 방지하기 위해 재택근무를 시행하고 있다.
근무자가 재택근무 시 근무 환경이 회사와 다르기 때문에 보안에 각별한 주의가 필요하다. 
국내기업 중에서 네이버 같은 회사는 자체 미디어솔루션 및 미디어 채널을 통해 PC의 안전한 보안 환경을 위한 콘텐츠를 제공하고 있으며, 해외 유수한 기업들도 비슷한 형태로 재택근무자의 안전한 업무 환경을 위한 지침을 제공하고 있다. 
오늘은 재택 근무 시 중요한 PC 보안을 위해 점검이 필요한 10가지 보안수칙에 대해 알아보도록 하자.  

 

[1. 안전한 PC사용을 위한 소프트웨어 업데이트]

재택근무 시 개인 PC를 사용하는 경우, 해당 PC 소프트웨어가 최신버전이 아닐 수 있다.
해당 경우 소프트웨어를 업데이트를 하지 않으면 취약점에 의해 해킹이 발생할 수 있으니, 정기적으로 업데이트하여 소프트웨어를 최신의 상태를 유지해야 한다.

 

[2. 백신 사용] 

백신은 가장 기본적인 보안 소프트웨어이다.
개인 PC를 사용하는 경우 백신이 설치되어 있지 않다면, 백신 공식 사이트를 통해 설치하기 바란다. 설치할 때에도 공인된 사이트 또는 공인된 경로를 통해서 입수된 백신을 설치해야 한다. 국내의 경우 안랩과 알약 등의 백신 솔루션을 제공하고 있다. 또한 설치 후 주기적으로 검사하여 PC를 보다 안전하게 관리해야 하므로 검사일정을 예약 설정하는 것도 좋은 방법이다. 

참조)    네이버 백신 다운로드 > https://software.naver.com/software/summary.nhn?softwareId=MFS_105028

 

[3. 이메일을 통한 피싱 주의]

재택근무&보안수칙

이메일을 통해 가짜 메일을 보내어 비밀번호를 탈취하거나 악성앱 다운로드를 유도하는 경우가 있다.
해당 공격기법을 피싱 또는 스니핑이라고 하는데, 모르는 사람이 보낸 메일 또는 정부 공식 기관을 사칭한 메일의 본문 링크는 클릭에 반드시 주의해야 한다. 또한 이메일을 통해 앱 다운로드를 유도할 시, 해당 앱은 가짜앱일 수 있으니 주의가 상당히 필요하다. 
다시 한번 강조하는데 앱 다운로드는 반드시 공식적인 경로로만 다운로드 하기 바란다. 

 

[4. 출처가 의심스러운 파일 다운로드 주의] 

메일, 인터넷을 통해 문서 또는 소프트웨어를 다운로드 받을 시 주의가 필요하다. 
온라인을 통해 다운로드 받은 파일은 악성코드일 가능성이 있다. 만약 다운로드가 필요하면 실행전에 반드시 확인이 필요하며, 최근에는 압축된 파일을 압축해제 시 보안폴더에 1차 압축해제하여 해당 파일이 악성코드인지 여부를 확인받을 수 있기도 하다. 

 

[5. 안전한 공유기 사용을 위한 업데이트 및 설정] 

집에서 공유기 사용 시, 관리자 계정을 초기 그대로 사용하면 해킹의 위험이 있다.
공유기 관리자 계정과 비밀번호는 관심을 가지고 확인하여 반드시 변경을 해야 하며, 공유기 소프트웨어도 정기적으로 업데이트가 필요하다. 그렇지 않으면 옆집 사람의 즐거운 인터넷생활을 내가 돈을 내고 도와주는 경우가 생길지도 모른다. 

 

 

 

 

 

 

[6. 랜섬웨어 감염에 주의] 

메일 또는 인터넷을 통해 파일을 다운로드 받을 시 랜섬웨어에 감염될 수 있다.
또한 웹브라우저를 통해 취약한 사이트에 접근하는것 만으로도 랜섬웨어에 감염될 수 있다. 랜섬웨어에 감염되면 파일 복구가 어려우니, 중요 파일들은 USB, 외장하드 등에 안전하게 보관하고 반드시 연결을 해제하시기 바란다.

참조)   '랜섬웨어'란 '몸값(ransome)'과 '제품(ware)'의 합성어로 컴퓨터 또는 스마트폰 사용자의 개인적인 문서를 인질로 잡고 돈을 요구하는 악성 프로그램의 일종이다.

 

[7. 문자메세지를 통한 악성앱 설치 주의] 

재택근무&보안수칙

문자 메세지를 통해 앱 다운로드를 유도할 시, 가짜앱일 수 있으니 주의하시기 바란다.
잘못된 선택으로 가짜앱을 다운로드 받아 설치할 경우, 개인의 신상 정보 및 업무상 비밀까지 노출되어 금전적 사회적 피해를 입을 수 있으므로 앱 다운로드는 반드시 공식적인 경로로만 다운로드해야 한다. 

 

[8. 안전한 비밀번호 설정 필요] 

재택근무&보안수칙

비밀번호는 각 사이트마다 다르게 설정하는 것이 안전하다.
각 사이트마다 다른 비밀번호를 설정하여, 비밀번호 유출 시 피해가 커지지 않도록 주의해야 한다.
또한 해당 서비스에서 2차 인증을 지원하고 있다면 사용을 하는 것이 안전하다. 

각 사이트마다 같은 비밀번호를 사용할 경우 '크리덴셜 스터핑'공격의 피해를 입을 수도 있다. 

참조)  최근 연예인 핸드폰 해킹 사건, 모바일 금융 서비스 부정 결제 사건 등 해킹 공격으로 인한 피해 사례가 연달아 보도되고 있다. 대상을 불문하고 다양한 피해 사례를 낳는 이 공격은 바로 ‘크리덴셜 스터핑’ 이라고 불리운다. 편의를 위하여 한 가지 비밀번호를 여러 계정에 사용하는 사용자의 특성을 악용한 공격이다.    크리덴셜 스터핑(Credential Stuffing)이란 공격자가 사용자의 계정, 비밀번호, 기타 여러 가지 암호화된 개인 정보(Credential)를 여러 방식으로 획득하여 사용자가 이용할 만한 시스템 및 사이트에 방문 후 무작위로 대입(Stuffing)하는 공격 방식을 말한다.  따라서 사용자가 하나의 시스템 혹은 사이트만 이용하지 않고, 다중의 시스템과 사이트를 이용하는 경우 해당 시스템과 사이트의 사용자 인증 수단은 주로 아이디와 비밀번호를 입력하여 로그인하는 방식을 사용하고 있고, 이 경우 대부분의 사람들이 계정과 비밀번호를 모두 다르게 설정하면 기억하기 힘들기 때문에 여러 서비스에 같은 계정 정보를 이용하는 보안취약점으로 발생되는 공격인 것이다.

 

 

[9. 공용 와이파이 사용 주의]

재택근무&보안수칙

카페나 공공 장소의 공용 와이파이는 많은 사람들이 같이 사용하기 때문에 해킹에 취약할 수 있다.
공용 와이파이 사용은 되도록 자제해야 하며, 만약 사용해야 할 경우 간단한 웹서핑만 하고 로그인, 결제 등 중요한 업무는 자제해야 한다. 
최근 스마트폰 요금제를 무제한으로 사용하는 사용자가 많아지면서 집 밖에서도 와이파이를 쓰지 않고, LTE 또는 5G를 사용하는 경우가 있는데, 이때 해당 스마트폰을 핫스팟으로 사용하면 보다 안전한 인터넷을 이용할 수 있다. 

참조) 로그 AP (Rouge AP) 출처 : 단체표준 TTAK.KO-12.0253 보안 관제를 위한 무선 탐지 정보 전달 포맷 회사 내의 보안 정책을 따르지 않으며 인가받지 않은 불법적으로 설치한 액세스 포인트(AP). MAC이나 SSID 등을 불법 복제하거나 정책에서 허용하지 않는 경우의 테더링 AP 등도 포함될 수 있다. 특히 기업의 무선 랜 환경에서는 일반 사용자가 개인적으로 설치한 무선 AP를 통해 외부나 불법 침입자가 들어와 내부 직원과 같은 자격으로 모든 자원에 접촉할 수 있기 때문에 불법 정보 유출 및 해킹의 통로가 될 수 있는 위협이 존재한다.

 

[10. 공용 컴퓨터 사용 주의] 

카페나 도서관 등 공공 장소에 있는 공용 컴퓨터에는 다양한 소프트웨어가 설치되어 있다.
이 중 악성 프로그램이 설치되어 있을 가능성도 있기 때문에 공용 컴퓨터 사용은 자제해야 하며, 만약 사용해야 할 경우 간단한 웹서핑만 하고 로그인, 결제 등 중요한 업무는 자제해야 한다.

또한 USB를 사용하여 파일을 공용 컴퓨터에서 다운로드 받았을 경우 백신으로 해당 USB와 해당 파일을 크로스체크로 백신검사하는 것도 필요하며, 재택근무 시 개인 PC를 통해 중요한 자료를 다운받고, 전송할 수 있기 때문에 PC 보안에 주의를 기울여야 하는 것이다. 

혹시라도 업무를 위해 개인 PC에 개인정보를 다운로드 받는 경우 유출이 발생하지 않도록 더 각별한 주의가 필요한데, 개인정보를 PC에 저장하는 경우, 반드시 SW 암호화 기능 등을 이용하여 암호화하여 저장하고, 이용 목적이 달성되면 잊지 않고 반드시 파기해야 한다. 

​위와 같이 소개한 10가지 수칙을 준수하여 모두 안전하게 재택 근무하시기 바라며, 
모두 건강 조심하시고, 하루 빨리 코로나로부터 자유로워지길 소원해 본다. 

 

 

- 다음 안전한PW를 위한 구글 진단 -

 

[리눅스][초보][보안][구글 비밀번호 진단기능 활용하기]