안녕하세요 선배님들
요새 이메일 계정 탈취를 통한 피싱,스팸 사례가 많은거 같습니다.
제가 우려하는건 저희 메일 계정을 탈취해서 메일을 고객사에게 보낼까봐 ... 걱정입니다(현재 망분리 X)
그래서 로그인 시 OTP 계정을 사용하도록 연동, 세션 타임아웃을 통한 로그아웃 방안등을 생각하고 있는데 과연... 안하던걸 하니 사용자 분들의 반발이 걱정되네요
선배님들은 어떤식으로 관리하시는지 궁금하네요
많은 조언 부탁드립니다.
이메일 탈취에 따른 보안 정책 수립 건
5개의 답변이 있습니다.
문제가 생겨 내부 시스템, 메일서버 등 문제가 발생되는 것보다
사전에 문제가 발생되는걸 차단하는게 가장 적절하죠
보안 발생 후 내부 사용자가 메일을 못 받거나
내부 시스템 문제가 발생하여 마비가 된것보다
보안 강화를 해서 안정적인 서비스를 하는게
비지니스의 목적이 아닐까 생각합니다
사내 smtp서버를 사용하실 경우 윗분 말대로 smtp서버의 보안 강화가 필요합니다.
최근 공격 트랜드는 사회공학기법을 통한 내부 침해로 부터 발생하는 경우 가 많은데, 내부 AD환경을 운영 중이시라면 AD정보를 수집하는건 매우 쉬움(단순 정보만) 저희도 이때문에 내무 입직원 이메일 정보가 유출된 것으로 판된다는 이슈가 있긴 했었습니다;; - AD특성상 이를 방어하기 쉽지 않음.
이메일 스푸핑을 막기 위한 방법으론 dmarc 인증 도입도 옸고, - 인증되지 못한 smtp서버와 메일 수신 불가.
저희 같은 경우는 gsuit을 사용하고 있고, 사내 모든 시스템은 ad+ okta로 mfa 적용되어 있습니다.
계정정보 보안을 위해선 mfa 적용 추천드립니다. 많은 위협에 대하여 완화가 가능합니다.
최근 서비스 개발수 프레임웤 사용하고 거기서 어느정도의 위협을 완화해주기에 최근 공격읕 내부 임직원으로 부터 시작하게 됩니다.. (최근 삼성,lg,okta 침해)
임직원에 대한 보안교육을 진행해 보시고 훈련 해보시면, 임직원 pc 보안이 중요하지만 임직원들을 믿을 수 없습니다.
러거시 백신 말고, 내부 분석할 리소스 및 예산 있다면 edr도입도 좋습니다, 최신 악성코드나, fileless 공격도 잘 잡네요.
날이좋아서 | 2년 이하 전
답변 감사드립니다. 여쭤보고 싶은게 있습니다.
1) 최근 공격 트랜드는 사회공학기법을 통한 내부 침해로 부터 발생하는 경우 가 많은데, 내부 AD환경을 운영 중이시라면 AD정보를 수집하는건 매우 쉬움(단순 정보만)
--> 공격자가 AD를 통해 임직원 정보를 쉽게 조회한다는 말씀이신가요?
날이좋아서 | 2년 이하 전
okta 는 옥타인가요??
옥타 솔루션 말씀하시는걸까요?
안하던 것을 하게 되면 처음에는 불편합니다.
이런 저런 내부 저항도 있구요.
하지만 이런건 곧 익숙해지고 자연스럽게 사용하게 됩니다.
꼭 필요한 부분이라면 보안 부분 강조해서 사용자를 이끌고 나가세요~
날이좋아서 | 2년 이하 전
답변 감사드립니다 ㅎㅎ
혹시 어떤 기능을 추가하면 좋을지 추천 부탁드리겠습니다.
내부에 반발을 무서워 한다면 정말 아무것도 하기 어려워 지죠 ^^
귀찮은거는 정말 잠깐 입니다. 사람들이 익숙해 지는데도 오랜 시간이 걸리지 않죠.
도입을 안함으로 인해 발생할 수 있는 위험성을 인지 시키고,
반드시 해야 한다는 관리자의 의지만 있다면 도입하는데 어렵지 않을꺼라 생각되네요.
날이좋아서 | 2년 이하 전
답변 감사드립니다.
어떤걸 도입하면 좋을까요?
메일 계정 탈취를 해당 계정에 반드시 로긴해서 보내지만은 않은 것 같고요.
메일 발송할때 메일 발신자 주소를 임의 변경해서 보내는건 어렵지 않게 할 수 있겠고요.
단지, 수신자 메일 서버에서 발신자 주소와 발신자의 IP 주소를 점검해서 해당 메일 서버에서 발신한것이 맞는지 아닌지를 확인해서 맞지 않을 경우에 스팸 처리한다거나 메일에 경고 문구를 포함 시키게 할 수도 있겠고요.
메일을 발송하는 SMTP 서버를 임의의 위치에서 아무나 송신하지 못하도록 허용된 위치의 허용된 사용자만이 인증을 받고 메일 발송 처리할 수 있게 처리하는게 필요할 것 같고요... ( 요즘 메일 서버들이 기본적으로 차단 설정되어 있을 것 같긴 하지만... )
메일 해킹이나 랜섬웨어 등의 대부분 악성 공격들이 수신된 메일을 통해서 진행되는 경우가 많기 때문에 악성 메일이 수신되지 못하게 스팸 처리를 잘하고, 사용자 교육을 잘 시키는게 중요할 것 같고요.
악성 메일을 통해서 포털 메일 주소의 계정정보와 암호가 해커에게 넘어가는 일반적인 과정을 간략하게 설명해 보면...
1.악성 문서가 첨부된 메일이 수신됨. ( 이력서, 택배 송장, 견적서, 발주서, 범칙금, 등등 )
2.메일 사용자가 해당 문서를 열어 보려고 첨부 파일을 무심코 클릭함
3.문서가 다운로드 된 후에 메일이 로그 아웃되었다며 로긴 창이 표시됨.
4.별 생각없이 표시된 창에 계정 ID와 암호를 입력하고 로긴하면 문서 내용이 표시됨
5.자신이 입력한 계정 ID와 암호가 문서가 열리기 직전에 이미 해커에게 전달된 상태이나 사용자는 아무 생각없이 문서 내용을 확인하고 창을 닫음
3.번 과정에서 표시된 창이 해커가 만들어 둔 가짜 창이기 때문에... 여기에 계정 ID와 암호를 아무렇게나 입력해도 로그인된 것처럼 창이 전환되면서 첨부된 문서가 표시되고, 입력한 내용이 그대로 해커에게 전달되게 되는데... 해당 사실을 모르는 일반 사용자는 자기 때문에 계정 정보가 유출되었다는 사실 자체를 인지 못하고 있는 경우가 대부분일 거고요.
날이좋아서 | 2년 이하 전
친절한 답변 감사드립니다.
혹시 아래 내용은 어떤 의미일까요?
메일을 발송하는 SMTP 서버를 임의의 위치에서 아무나 송신하지 못하도록 허용된 위치의 허용된 사용자만이 인증을 받고 메일 발송 처리할 수 있게 처리하는게 필요할 것 같고요... ( 요즘 메일 서버들이 기본적으로 차단 설정되어 있을 것 같긴 하지만... )
--> 회사 공인 IP만 넣는다는 말씀이신가요? 만약 맞다면 모바일 접근은 어떻게 봐야할까요?