이메일이 없는 삶을 상상할 수 있나요?
우리는 고객 및 거래처와 소통하고, 호텔을 예약하고, 구매한 제품이 파손되어 상점에 불만을 제기하는 등 모든 일에 이메일을 사용합니다. 하지만 이메일이 얼마나 안전한지 생각해 본 적이 있나요?
그리고 얼마나 많은 사람들이 다양한 연령대 커뮤니케이션을 위해 이메일에 의존합니다:
- 94%의 Z 세대
- 밀레니얼 세대의 98%
- 98%의 X세대
- 95%의 부머 세대
- 그리고 사일런트 제너레이션의 90%까지!
여기에 다음을 추가합니다. 이메일 마케팅이 가장 효과적인 채널로 선정되었습니다. 에서 마케터들이 설문조사한 결과를 보면, 수년 동안 이메일의 죽음을 예측하는 사람들이 많았음에도 불구하고 이메일 마케팅이 번창하고 있는 이유를 알 수 있습니다.
이메일 보안이 중요한 이유는 무엇인가요?
안타깝게도 이메일은 범죄자들이 회사를 공격하거나 일반 사용자의 개인 데이터를 훔치는 데 가장 유용한 방법 중 하나입니다. CISCO의 2021년 사이버 보안 위협 동향 보고서 에 따르면 이메일 피싱으로 인해 발생하는 데이터 유출 건수는 약 901조3천억 건에 달합니다.
걱정스러운 소식은 이것으로 끝이 아닙니다:
- 매일 34억 개의 피싱 이메일이 발송됩니다.
- 2022년, 악성 피싱 이메일이 5691건, 크리덴셜 피싱 관련 위협 보고서가 4781건 증가한 것으로 나타났습니다.
- 2022년 비즈니스 이메일 침해(BEC) 공격이 811% 증가했습니다.
- 적절한 보안 교육 없이, 직원 3명 중 1명이 피싱 사기에 당한 경험이 있습니다.
-
단 15%의 IT administrators enforce the use of two-factor authentication.
사이버 범죄자들은 또한 오늘날 사람들이 너무 많은 이메일을 수신하기 때문에 모든 메일을 주의 깊게 읽고 스팸 메시지를 확인할 시간이 부족하다는 점을 이용합니다. 특히 평균적으로 매일 100~120개의 이메일을 받는 직원들의 경우 더욱 그렇습니다. 업무용 이메일이든 개인 이메일이든 모든 이메일의 보안 요건을 확인할 시간이 있는 사람이 있을까요?
따라서 범죄자들은 약간의 소셜 엔지니어링을 통해 피싱 링크를 클릭하거나 악성 첨부파일을 다운로드하도록 유도할 수 있습니다. 해커는 다음과 같이 직원들이 사용하는 업무용 휴대폰을 노리는 경우도 있습니다. VOIP 시스템 .
다행히도 이메일 받은 편지함을 보호하고, 이를 통해 개인 또는 비즈니스 데이터를 보호하기 위해 할 수 있는 몇 가지 간단한 방법이 있습니다. 이제 사이버 범죄자들의 ‘작업’을 훨씬 더 어렵게 만드는 8가지 이메일 보안 모범 사례를 살펴보세요.
강력한 비밀번호 만들기
강력한 비밀번호를 사용하는 것은 해커로부터 이메일 계정과 그 안에 있는 개인 정보를 보호하는 가장 좋은 방법 중 하나입니다. 다음은 비밀번호와 관련하여 높은 보안 수준을 유지하는 몇 가지 방법입니다:
- 명백한 개인 정보 또는 일반적인 단어 사용 금지
- 문자, 숫자, 기호가 혼합되어 있습니다.
- 최소 10자 이상(전문가들은 14~16자 권장)
하지만 우리 모두가 사용하고 있는 온라인 계정(개인 및 업무 관련 계정 모두)의 수를 생각하면 20개 정도의 복잡한 비밀번호를 만들고 기억하는 것은 상당히 까다로운 일입니다.
위치는 다음과 같습니다. 비밀번호 관리자 도구 는 매우 유용할 수 있습니다. 이러한 도구는 각 애플리케이션에 대해 무차별 대입하기 매우 어려운 고유한 비밀번호를 생성한 다음 데이터베이스에 저장할 수 있으며, 사용자는 데이터베이스 잠금을 해제하기 위해 하나의 ‘마스터 비밀번호’만 기억하면 됩니다.
현재 인기 있는 또 다른 옵션은 임의의 문자가 아닌 일련의 단어로 구성된 비밀번호인 패스프레이즈입니다. 일반적으로 일반 비밀번호보다 길기 때문에 무차별 암호 대입으로 알아내기 어렵습니다. 또한, 비밀번호를 사용하면 기억하기 쉬우면서도 안전한 계정 비밀번호를 쉽게 만들 수 있습니다.
자신의 비밀번호가 얼마나 안전한지 확인하려면 다음을 사용하면 됩니다. Security.org의 내 비밀번호는 얼마나 안전한가요 도구. 트위터 계정 중 하나를 검색하는 방법은 다음과 같습니다:
여러 계정에서 비밀번호 재사용 금지
비밀번호 재사용은 널리 퍼져 있는 또 다른 보안 문제입니다. 예를 들어, First Contact 연구에 따르면 511TP3%의 사람들이 업무용 계정과 개인용 계정에 동일한 비밀번호를 사용합니다.
더 심각한 문제는 70%의 사용자가 유출된 비밀번호 여전히 사용하고 있었습니다!
이것이 나쁜 생각인 이유는 간단합니다. 사이버 범죄자들은 얼마나 많은 사람들이 비밀번호를 재사용하는지 잘 알고 있기 때문에 항상 하나의 비밀번호로 잠금 해제할 수 있는 계정 수를 확인합니다. 예를 들어, 5개의 개인 계정에 하나의 비밀번호를 사용하는 경우 비밀번호가 유출되면 5개의 계정이 모두 유출됩니다.
비즈니스 계정과 개인 계정에 동일한 비밀번호를 사용하면 해커가 업무용 이메일 받은 편지함과 그 안의 데이터에 빠르게 액세스할 수 있으므로 특히 위험합니다. 기업 이메일 보안은 개인적인 용도로 사용하는 이메일과 크게 다르며, 업무 관련 이메일의 악성 콘텐츠는 개인 이메일의 나이지리아 사기보다 훨씬 더 위험합니다.
다단계 인증 사용
계정 보안에 대해 이야기하는 중이지만, 추가 인증 수단을 추가하는 것만으로도 계정의 보안을 눈에 띄게 강화할 수 있습니다. 2단계 인증과 MFA를 사용하면 해커가 로그인과 비밀번호를 훔치더라도 추가 보안 검사를 통해 신원을 확인할 때까지 이메일 받은 편지함에 액세스할 수 없으며, 이 정도면 해커가 포기할 수도 있습니다.
2FA를 구현하고 사용자가 로그인할 때마다 이를 사용하도록 한 후, Google은 계정 유출이 50% 감소했다고 밝혔습니다.
예를 들어 Gmail 계정에 어떻게 추가할 수 있나요? 사실 아주 간단합니다. 2단계 인증으로 개인 계정을 보호하려면 다음과 같이 하세요:
- Google 계정을 엽니다.
- 탐색 패널에서 보안을 선택합니다.
- ‘Google에 로그인’에서 2단계 인증을 선택한 다음 시작하기를 선택합니다.
- 화면의 단계를 따릅니다.
한편 비즈니스 계정의 경우, 관리자 콘솔의 메뉴 →에서 2FA 옵션을 찾을 수 있습니다. 보안→ 인증→ 2단계 인증. 여기에서 모든 사용자에게 MFA를 필수로 설정할지, 특정 그룹에게만 필수로 설정할지, 어떤 인증 방법을 선택할지 설정할 수도 있습니다.
Gmail과 같은 이메일 시스템은 의심스러운 활동을 표시하고 이메일 콘텐츠를 볼 수 있도록 허용하기 전에 2단계 인증을 요청합니다. 실제 로그인을 시도하는 사람이라면 몇 초 만에 로그인할 수 있습니다. 이렇게 하면 많은 이메일 위협을 방지할 수 있습니다.
이메일 보안 모범 사례에 대한 직원 교육
하지만 직원들이 계정 보안이 왜 중요한지 모르거나 이해하지 못한다면 아무리 복잡한 비밀번호와 몇 가지 추가 보안 검사가 있어도 큰 도움이 되지 않습니다. 2023년 Verizon 데이터 유출 보고서(DBIR) 에 따르면 사용자의 부주의가 981TB에 달하는 데이터 유출의 원인이며, 사이버 범죄자들은 이를 악용하는 방법을 정확히 알고 있습니다.
정기적인 사이버 보안 교육 의 일부로 지속적인 성과 관리 는 직원들에게 데이터 유출의 결과와 이를 예방하기 위해 할 수 있는 일을 가르치는 훌륭한 방법입니다. 이를 통해 회사의 이메일 보안 정책, 직면할 수 있는 이메일 보안 위협, 계정 보안을 위한 권장 모범 사례에 대해 직원들과 이야기할 수 있습니다.
예를 들어, 이메일 암호화의 중요성, 의심스러운 이메일을 열지 말 것, 공용 Wi-Fi 네트워크를 통해 이메일에 액세스하지 말 것 등에 대해 가르칠 수 있습니다. 또한, 원치 않는 이메일을 열지 말고, 바이러스 백신 소프트웨어를 사용하며, 일반적으로 알 수 없는 발신자를 조심하도록 가르칠 수 있습니다.
사이버 보안 교육은 직원들에게 이미 침해가 발생한 것을 발견했을 때 어떻게 대응해야 하는지, 그리고 침해에 대해 누구에게 알려야 하는지에 대해 교육하는 좋은 방법이기도 합니다. 결과적으로 보안 침해를 더 빨리 억제할 수 있으며, 이로 인한 피해도 줄일 수 있습니다.
이메일 첨부 파일과 의심스러운 링크를 주의하세요.
94%의 멀웨어가 이메일을 통해 전달됩니다. – 진짜처럼 보이는 첨부파일이나 평판이 좋아 보이는 웹사이트로 연결되는 링크를 통해 감염될 수 있습니다. Gmail 알고리즘과 멀웨어 방지 소프트웨어는 대부분의 의심스러운 첨부파일이나 웹사이트를 발견하고 차단할 수 있지만, 일부 정교한 공격은 여전히 레이더를 통과할 수 있습니다.
그렇기 때문에 일반 사용자와 직원은 첨부 파일이 포함된 이메일을 받거나 포함된 링크를 클릭하도록 유도하는 이메일을 받을 때 주의를 기울여야 합니다. 첨부 파일이나 링크가 해커가 보낸 것일 수 있는 몇 가지 징후는 다음과 같습니다:
- 파일 확장자가 파일 유형과 일치하지 않는 경우(예: doc.exe와 같이 이중 확장자로 끝나거나 실행 파일 확장자만 있는 경우). 첨부파일 확장자가 exe, jar 또는 rar/zip으로 끝나는 경우 특히 의심해 보아야 합니다.)
- 발신자의 주소가 웹사이트나 이메일 목록에서 찾을 수 있는 주소와 약간 다르면 스팸 이메일의 확실한 신호입니다.
- 신뢰할 수 있는 출처(예: 은행)에서 보낸 것으로 보이는 이메일에 맞춤법, 문법, 서식 또는 상호 작용 오류가 있습니다.
- 이 메시지는 첨부 파일을 열거나 링크를 클릭하지 않으면 어떤 결과를 초래할 수 있으므로 가능한 한 빨리 첨부 파일을 열거나 링크를 클릭하라고 촉구합니다(악명 높은 “귀하의 신용 카드가 곧 차단됩니다”가 가장 좋은 예입니다).
안전을 유지하려면 의심스러운 이메일이 있으면 항상 발신자에게 전화하여 이메일에 대해 문의하고 모든 첨부파일에 바이러스나 멀웨어가 있는지 검사하는 것이 가장 좋습니다. 또는 발신자 이름, 링크 또는 메시지의 일부를 복사하여 검색 엔진에 입력하면 다른 사용자가 이미 위험하다고 표시했을 수 있습니다.
바이러스 백신 또는 안티멀웨어 프로그램을 정기적으로 업데이트하세요.
최신 안티멀웨어 솔루션은 바이러스, 트로이 목마, 멀웨어, 랜섬웨어, 의심스러운 웹사이트 등 다양한 위협으로부터 디바이스를 보호할 수 있습니다. 즉, 정기적으로 업데이트하기만 하면 됩니다. 사이버 범죄자들은 거의 매일, 그리고 매일 새로운 방법을 개발하여 디바이스를 공격하고 데이터를 훔칩니다, 560,000개의 새로운 멀웨어가 탐지되었습니다.
사용하는 바이러스 백신 프로그램이 정기적으로 업데이트되지 않으면 새로운 위협을 간과하여 이메일 계정과 디바이스 전체를 위험에 빠뜨릴 수 있습니다.
인기 있는 대부분의 사이버 보안 플랫폼 다음과 같은 크라우드 스트라이크 또는 대안 에는 이러한 업데이트를 자동으로 설치하는 옵션이 있으므로 플랫폼을 항상 최신 상태로 유지하려면 이 옵션을 선택해 두는 것이 좋습니다.
이메일 인증 프로토콜 사용
업무용 도메인에 인증 프로토콜을 구현하면 계정을 훨씬 더 안전하게 보호하고 다양한 형태의 신원 확인을 통해 악의적인 의도를 식별할 수 있습니다.
이메일 인증 프로토콜은 이메일이 합법적인 발신자가 보낸 것인지 확인하여 피싱 공격, 이메일 스푸핑 및 BEC 공격을 방지하기 위해 고안되었습니다. 간단히 말해, 이러한 프로토콜은 최신 마케팅 캠페인 이메일이 내가 보낸 것인지, 아니면 누군가가 내 브랜드를 사칭하고 있는지 확인합니다.
현재 트위터에서는 세 가지 인증 프로토콜을 사용하고 있습니다:
- SPF(발신자 정책 프레임워크) – – SPF(발신자 정책 프레임워크) -. 발신자의 IP 주소를 검사하여 각 이메일이 신뢰할 수 있는 IP 주소에서 발송되었는지 확인합니다.
- DKIM(도메인 키 식별 메일) – – 도메인 키 식별 메일 -. 공개/개인 키 암호화를 사용하여 이메일 메시지에 서명하고 메시지가 변경되지 않았음을 증명합니다.
- DMARC(도메인 기반 메시지 인증 보고 및 준수) – 도메인 기반 메시지 인증 보고 및 준수. 는 이메일이 전달되기 전에 SPF 및 DKIM을 충족하는지 확인합니다.
이러한 프로토콜을 사용하면 도메인이 이메일 스푸핑의 희생양이 되지 않으므로 고객과 구독자가 받는 이메일이 확실히 회원님이 보낸 것임을 안심시킬 수 있습니다. 이러한 프로토콜의 몇 가지 다른 이점에 대해서는 다른 글에서 언급했습니다. 인증 방법 를 읽어보시는 것도 좋습니다.
캠페인을 메일로 발송할 때 목록이 깨끗한지 확인하세요.
마지막 팁 – 정기적으로 이메일 목록을 정리하세요.
이메일 목록 스크러빙이 전달률을 높이고 도메인 평판을 개선하며 ROI를 향상시킬 수 있다고 들었는데, 이것이 보안과 어떤 관련이 있을까요? 사실 많은 관련이 있습니다! 이메일 목록에 있는 주소를 검사하면 비활성 및 오래된 이메일 주소뿐만 아니라 스패머 또는 ISP의 것일 수 있는 의심스러운 주소도 찾아낼 수 있습니다, 스패머를 찾아 처벌하는 것을 목표로 합니다.
이러한 도메인으로 이메일을 보내는 것이 발각되면 도메인 평판에 타격을 입을 가능성이 높으며 최악의 경우 블랙리스트에 오를 수도 있습니다.
하지만 수동으로 확인하는 데 며칠(또는 그 이상)을 소비하지 않고 목록에 있는 모든 유해한 이메일을 어떻게 찾아낼 수 있을까요? 바운서의 이메일 인증 도구가 도움이 될 수 있습니다.
앱에 이메일 목록(최대 25만 개의 주소)을 추가하기만 하면 바운서가 실제 사용자의 이메일과 해당 이메일이 반송될 가능성이 얼마나 되는지 표시해줍니다:
- 유출 또는 해킹된 이메일 주소
- 잘못된 주소 또는 도메인
- 스팸 트랩 등
또한 바운서는 이메일의 유해성 점수(1~5점)를 매겨서 어떤 주소를 삭제해야 하는지 바로 알 수 있도록 해줍니다.
유용하죠? 그렇다면 바운서 사용은 어떻습니까? 를 사용하고 싶으신가요? 이메일 목록을 깔끔하게 정리하면 이메일 도메인을 보호하면서 다음 캠페인을 성공으로 이끄는 것이 그 어느 때보다 쉬워집니다.
이메일 계정을 강화할 때입니다.
개인 및 비즈니스 이메일 계정과 그 안의 데이터를 사이버 범죄자로부터 보호하려면 가능한 모든 안전 예방 조치를 취하고 악성 활동, 잠재적 위협, 의심스러운 메시지에 대한 걱정을 떨쳐버려야 합니다.
강력하고 정기적으로 비밀번호를 변경하고, 다단계 인증을 추가하고, 바이러스 백신 도구를 정기적으로 업데이트하고, 피싱이나 감염 시도를 주의하는 것은 계정 보안에 있어 모두 중요합니다.
또한 계정 보안이 강화되어 피싱 공격이나 침해 시도를 쉽게 차단할 수 있습니다.
자주 묻는 질문: 이메일 보안 모범 사례
전문가용 이메일 계정을 보호하려면 어떻게 해야 하나요?
계정 보안을 강화하는 가장 좋은 방법은 사용 중인 각 계정에 강력하고 고유한 비밀번호를 사용하는 것이며, 이를 위해 비밀번호 관리자를 사용할 수 있습니다. 추가 보안을 위해 2단계(또는 그 이상) 인증을 사용하는 것도 현명한 방법입니다. Exchange Online 이메일을 사용하는 경우에는 신뢰할 수 있는 Microsoft 365용 데이터 백업 솔루션 잠재적인 데이터 손실 또는 손상으로부터 보호합니다.
피싱 공격을 식별하고 피하려면 어떻게 해야 하나요?
언뜻 보기에는 진짜 이메일과 똑같아 보이지만 피싱 메시지에는 몇 가지 특징이 있어 쉽게 알아볼 수 있습니다. 가장 큰 특징은 개인 정보나 금융 정보를 긴급하게 요구하며 이를 따르지 않을 경우 심각한 결과를 초래할 수 있다고 협박한다는 점입니다.
이러한 이메일(예: 은행에서 보낸 것이라고 주장하는 이메일)을 받으면 먼저 발신자의 이메일이 정확한지 확인해야 합니다. 범죄자들은 일반적으로 평판이 좋은 도메인과 비슷하지만 하나 이상의 차이점(예: 다른 도메인 이름)이 있는 이메일을 사용합니다.
이메일에 맞춤법이나 문법 오류가 있거나 로고가 잘못되어 있다면 의심해 보아야 합니다.
다단계 인증이란 무엇이며 이메일에 이 인증을 사용해야 하는 이유는 무엇인가요?
다단계 인증 (MFA)는 로그인 시 두 가지 이상의 서로 다른 유형의 인증 요소를 요구하여 이메일 계정에 보안 계층을 추가합니다. 예를 들어, 비밀번호와 일회용 인증 코드, 신뢰할 수 있는 장치의 확인 또는 지문 스캔이 있습니다.
MFA를 사용하면 비밀번호가 유출되더라도 누군가 이메일 받은 편지함에 액세스할 수 있는 위험을 크게 줄일 수 있습니다.
기업을 위한 특별한 이메일 보안 관행이 있나요?
비즈니스 이메일 계정에 대한 사이버 보안 정책을 만들고 직원을 대상으로 정기적인 보안 인식 교육을 실시하면 모든 직원이 사이버 위협으로부터 계정과 장치를 보호할 수 있는 방법을 알 수 있습니다.
정책 내에서 강력한 비밀번호를 만드는 방법, 업무용으로 개인 장치를 사용할 수 있는 시기 및 방법, 수신된 첨부파일을 여는 지침에 대해 간략하게 설명할 수 있습니다.
