사람의 실수가 사이버 보안 침해를 일으키는 7가지 방법

게시 됨: 2022-04-19

2021년 Verizon이 발표한 광범위한 사이버 보안 보고서에 따르면 "데이터 유출의 85%는 사람의 실수로 인해 발생합니다." 사이버 보안 및 데이터 보호에서 인적 오류는 가장 자주 데이터 유출로 이어지는 보안 침해를 일으킬 수 있는 직원의 의도하지 않은 행동으로 정의됩니다.

단일 오류는 회사에 치명적일 수 있으며 수백만 달러의 비용이 듭니다. 예를 들어, Target은 2013년에 회사에 9천만 달러의 손실을 입힌 대규모 데이터 유출 사고를 겪었습니다. 사건 이후 회사의 평판이 실추되었고 고객의 신뢰를 되찾는 데 오랜 시간이 걸렸습니다.

회사는 보안 위반이 발생할 수 있음을 예측하고 방지할 수 있습니까? 가장 일반적인 인적 오류와 이를 방지하는 방법에 대해 논의해 봅시다.

목차 보기
  • 사이버 보안 위반을 유발하는 7가지 중대한 인적 오류
    • 1. 비밀번호 위생
    • 2. 부적절한 데이터 액세스 제어
    • 3. 스파이웨어
    • 4. 사이버 보안에 대한 인식 부족
    • 5. 피싱 이메일
    • 6. 부적절한 소프트웨어 보안
    • 7. 지연된 패치
  • 인적 오류의 위험을 완화하고 사이버 보안 위반을 방지하는 방법
    • 1. 비밀번호 관리 개선
    • 2. 민감한 데이터에 대한 액세스 제어
    • 3. 바이러스 백신 및 스파이웨어 방지 소프트웨어 설치
    • 4. 사이버 보안에 대한 직원 교육
    • 5. 수신 이메일 필터링
    • 6. 보안 정책 업데이트
    • 7. 정기적으로 소프트웨어 업데이트

사이버 보안 위반을 유발하는 7가지 중대한 인적 오류

해커-익명-사이버 보안-범죄-불법-데이터-암호-보호

인적 오류의 의도하지 않은 특성이 피할 수 없다는 의미는 아닙니다. 그러나 회사는 보안 정책의 취약점을 식별하고 위험을 완화하기 위한 조치를 취할 수 있습니다. 다음은 보안 위반을 일으킬 수 있는 가장 일반적인 7가지 인적 오류입니다.

추천: 2022년 온라인에서 보호 상태를 유지하기 위한 17가지 최고의 사이버 보안 팁.

1. 비밀번호 위생

인적 오류-사이버 보안-침해-1

50개국에서 NordPass가 실시한 2021년 연구에 따르면 "123456" 조합은 1억 3천만 명이 로그인 목적으로 사용합니다. 2위와 3위는 각각 4600만명, 2230만명이 사용하는 '쿼티'와 '123456789'다. 숙련된 해커는 1초도 안 되어 이러한 취약한 암호를 해독할 수 있습니다.

잘못된 암호를 설정하는 것 외에도 대부분의 사람들은 개인 및 회사 이메일, 소셜 미디어 계정 및 기타 서비스에 동일한 조합을 사용합니다. 어떤 사람들은 몇 년 동안 암호를 변경하지 않고 동료들과 공유하거나 스티커 메모에 적어 모니터에 붙여 넣기도 합니다. Verizon은 암호에 대한 이러한 부주의한 태도가 보안 위반의 61%를 유발한다고 말합니다.

2. 부적절한 데이터 액세스 제어

인적 오류-사이버 보안-침해-2

누군가에게 부적절한 액세스 권한을 할당하는 것은 보안 위반을 일으킬 수 있는 또 다른 인적 오류입니다. 일부 조직에서는 무능한 사람이 중요한 데이터에 액세스할 권한이 있습니다. 그러나 대부분의 경우 이러한 광범위한 액세스 권한은 특별한 제한 요청이 없는 한 기본적으로 직원에게 부여됩니다.

부적절한 액세스 제어로 인해 발생하는 가장 일반적인 오류는 다음과 같습니다.

  • 중요한 데이터를 실수로 또는 의도적으로 삭제합니다.
  • 데이터 침해 및 데이터 유출을 일으킬 수 있는 시스템 구성을 만듭니다.
  • 시스템에서 무단 변경 수행.
  • 중요한 데이터가 포함된 이메일을 잘못된 수신자에게 보냅니다.

3. 스파이웨어

인적 오류-사이버 보안-침해-3

직원들이 당면한 작업을 수행하기 위한 정보를 온라인에서 찾는 동안 승인되지 않은 소스에서 파일을 다운로드하거나 알 수 없는 링크를 클릭하거나 임의의 팝업에서 "예"를 누를 수 있습니다. 이러한 작업은 사용자 모르게 장치에 스파이웨어를 가져올 수 있습니다. 일상 업무를 수행하는 동안 온라인 활동을 기록하고 로그인 자격 증명과 개인 정보를 얻는다는 사실조차 의심하지 않을 것입니다. 그런 다음 이 악성 멀웨어는 수집된 정보를 귀하의 동의 없이 이를 사용하는 제3자에게 전송합니다.

최악의 부분은 스파이웨어가 한 대의 컴퓨터에서 확산되어 회사의 전체 네트워크를 감염시킬 수 있다는 것입니다. 적시에 적발되지 않으면 기업에 수백만 달러의 피해를 입힐 수 있습니다.

ransomware-malware-security-virus-spyware-cybercrime-hacking-spam

4. 사이버 보안에 대한 인식 부족

인적 오류-사이버 보안-침해-4

대부분의 경우 보안 위반을 유발하는 인적 오류는 우발적이거나 지식 부족으로 인해 발생합니다. 불행히도 일부 조직은 결과를 얻는 데 너무 집중한 나머지 직원에게 사이버 보안에 대해 교육할 필요성을 무시합니다. 사람들이 지식 부족으로 인해 저지를 수 있는 몇 가지 일반적인 실수는 다음과 같습니다.

  • 의심스럽고 승인된 소스에서 소프트웨어를 다운로드합니다.
  • VPN 암호화 없이 식당이나 호텔에서 공용 Wi-Fi에 연결합니다.
  • 출처를 알 수 없는 USD 저장소와 같은 장치를 연결합니다.

5. 피싱 이메일

인적 오류-사이버 보안-침해-5

2020년 Verizon이 실시한 조사에 따르면 사이버 보안 위반의 20%가 피싱 이메일 때문에 발생합니다. 이러한 이메일에 포함된 악성 링크를 클릭하는 것은 가장 큰 피해를 입히는 인적 오류 중 하나입니다. 보고된 바에 따르면 단일 도난 기록의 평균 비용은 $133입니다. 최종 사용자 컴퓨터 외에 전체 네트워크가 감염되면 조직에 얼마나 많은 피해를 줄 수 있는지 상상해 보십시오!

6. 부적절한 소프트웨어 보안

인적 오류-사이버 보안-침해-6

직원들은 반복적인 일상 업무를 수행할 때 부주의해지고 시간이 지남에 따라 보안 절차를 무시합니다. 그들은 어제 작업이 순조로웠다면 오늘은 아무것도 그들을 위협할 수 없다고 생각합니다. 보안 절차에 대한 이러한 부주의한 태도는 때때로 회사 전체의 보안 시스템을 손상시킬 수 있습니다. 직원이 무시하는 보안 절차는 다음과 같습니다.

  • 소프트웨어 업데이트: 대부분의 직원은 소프트웨어 업데이트가 너무 오래 걸리거나 가장 불편한 시간에 나타나기 때문에 소프트웨어 업데이트를 건너뜁니다.
  • 때때로 직원들은 업무를 방해하기 때문에 바이러스 백신이나 보안 기능을 끌 수 있습니다. 인터넷을 적극적으로 사용하는 동안 1분이라도 컴퓨터를 보호하지 않고 그대로 두는 것은 위험합니다.

7. 지연된 패치

인적 오류-사이버 보안-침해-7

지연 패치는 이전 시점과 밀접하게 연결되어 있지만 소프트웨어 업데이트에 더 중점을 둡니다. 사이버 범죄자는 지속적으로 소프트웨어 보안의 취약점을 찾고 있지만 소프트웨어 개발자도 그렇게 합니다. 이러한 취약점을 발견하면 즉시 수정하고 소프트웨어 업데이트로 잘 알려진 패치를 보냅니다. 제 시간에 업데이트를 설치하는 사람들은 보안 위반으로부터 장치를 보호하는 반면 매 순간 지체가 손상될 위험이 높아집니다.

Equifax 신용 보고 기관의 사례는 소프트웨어 업데이트를 무시해서는 안 되는 이유를 보여주는 훌륭한 예입니다. 2017년에 그들의 소프트웨어에는 보안 취약점이 있었습니다. 회사는 이를 알고 있었지만 패치 프로세스를 지연시켰습니다. 그 결과 그들의 시스템이 해킹당했고 미국 고객 1억 4천만 명과 캐나다 고객 8천 명의 개인 정보가 유출되었습니다.

귀하는 다음을 좋아할 수 있습니다: 사이버 보안을 위해 귀하의 비즈니스에 필요한 문서 및 프로토콜.

인적 오류의 위험을 완화하고 사이버 보안 위반을 방지하는 방법

사이버 보안 보호 개인 정보 암호화 안전 암호 방화벽 액세스

기업이 보안 정책의 허점을 파악하면 예방 조치를 취할 수 있습니다. 실수를 저지르는 것은 인간입니다. 그렇기 때문에 위험을 완전히 제거하는 것은 불가능하지만 최소화하는 것은 가능합니다. 다음 7가지 조치를 확인하십시오.

1. 비밀번호 관리 개선

포인트 1

사이버 보안 침해의 가장 큰 부분은 잘못된 비밀번호 관리로 인해 발생하므로 기업은 비밀번호 관리에 특별한 주의를 기울여야 합니다. 조직은 단순한 암호를 사용하거나 모든 계정에 대해 하나의 조합을 설정하는 것에 대해 명확한 정책을 설정해야 합니다. 암호 생성 도구는 문자, 숫자 및 기호로 구성된 강력하고 신뢰할 수 있는 암호를 만드는 데 도움이 될 수 있습니다.

또한 모든 기업 계정에서 이중 인증을 활성화하는 것이 정책의 필수 부분이 되어야 합니다. 그것은 귀하의 계정 보호를 강화하고 해커가 해킹할 수 없도록 만듭니다.

2. 민감한 데이터에 대한 액세스 제어

포인트 2

모든 직원에게 중요한 데이터에 대한 무제한 액세스 권한을 부여하는 것은 회사의 큰 실수입니다. 기본적으로 모든 직원의 액세스는 거부되어야 합니다. 그런 다음 관리자는 직원이 작업을 수행하기 위해 데이터에 액세스해야 할 때마다 이동 중에 권한을 할당해야 합니다. 대부분의 시스템은 역할에 따라 사용자 권한 수준이 다릅니다. 예를 들어, 하급 전문가는 문서를 볼 수만 있고 관리자는 문서를 편집하거나 삭제할 수 있습니다. 이러한 사용자 권한 분할은 중요한 데이터가 수정되거나 실수로 삭제되지 않도록 보호합니다.

3. 바이러스 백신 및 스파이웨어 방지 소프트웨어 설치

포인트 3

바이러스 및 스파이웨어는 장치와 네트워크에 파괴적인 손상을 일으킬 수 있습니다. 따라서 파괴적인 결과에 맞서 싸우는 것보다 보호받는 것이 더 현명합니다. 바이러스 및 스파이웨어에 대한 최상의 보호는 바이러스 백신 및 스파이웨어 방지 소프트웨어입니다. McAfee Total Protection, Norton 360 및 Bitdefender Total Security는 사용할 가치가 있는 세 가지 스파이웨어 방지 솔루션입니다. 이 소프트웨어는 암호화된 인터넷 사용을 위한 VPN과 외부 위협으로부터 장치를 보호하는 방화벽을 제공합니다.

4. 사이버 보안에 대한 직원 교육

포인트 4

대부분의 인적 오류는 사이버 보안에 대한 지식 부족으로 인해 발생합니다. 이러한 오류의 위험을 완화하는 가장 좋은 방법은 정보 보안에 대한 직원의 인식을 교육하고 높이는 것입니다. 기업은 사이버 공격, 유형 및 보호 절차에 대해 직원들에게 자주 교육을 실시하고 교육해야 합니다. 그들은 피싱 이메일을 진짜 이메일과 구별하는 방법, 보고하는 방법, 보안 침해를 감지한 경우 해야 할 일을 알아야 합니다. 회사에 특정 보안 정책이 있는 경우 직원이 이에 대해 알고 있는지 확인하십시오.

사이버 안전 보안 직원

5. 수신 이메일 필터링

포인트 5

피싱 이메일로부터 자신을 보호하는 한 가지 방법은 회사 외부에서 받은 메시지에 플래그를 지정하는 것입니다. 그러나 일부 스팸 이메일은 회사의 이메일 도메인을 모방할 수 있으므로 100% 솔루션은 아닙니다. 따라서 의심스러운 이메일을 감지하는 보안 소프트웨어를 사용하는 것도 또 다른 옵션입니다.

피싱에 어떻게 대처하기로 결정했든 절대 파일을 다운로드하거나 의심스러운 이메일에 포함된 링크를 클릭하지 않는 경험 법칙을 만드세요.

6. 보안 정책 업데이트

포인트 6

회사는 사이버 보안 절차를 따르는 직원의 성실한 태도에 의존해서는 안 됩니다. 중요한 데이터를 처리하는 방법, 암호 및 기타 보안 규칙을 업데이트하는 방법과 시기를 설명하는 명확하게 설명된 회사 보안 정책이 있어야 합니다. 그러나이 가이드는 구식이어서는 안됩니다. 정기적으로 업데이트하고 직원들에게 새로운 보안 절차에 익숙해지도록 알리십시오.

당신은 또한 다음을 좋아할 수 있습니다: 사이버 보안에서 기계 학습은 어떻게 사용됩니까?

7. 정기적으로 소프트웨어 업데이트

포인트 7

소프트웨어 개발자는 취약점을 발견하고 취약점으로부터 사용자를 보호할 수 있기를 원하기 때문에 패치를 릴리스합니다. 따라서 소프트웨어 업데이트를 무시하고 건너뛰면 장치가 손상될 위험이 높아집니다. 따라서 패치가 제공되는 즉시 패치를 설치하는 것이 좋습니다.