📖 개요

셀메이트의 정보보호는 어떻게 진행되고 있을까요?
이번에는 셀메이트 개발자컨퍼런스 인프라/보안팀 두번째 세션으로,
사내에서 개인정보나 고객정보를 어떻게 보호하고 있는지에 대한
내용을 주제로 발표를 하게 되었습니다.

또한, 매년 진행하면서도 늘 쉽지 않은 해킹메일 모의훈련 사례를 통해 알 수 있듯이
아는 것만으로는 충분하지 않고, 매사 경각심과 보안의식이 필요하기 때문에
이런 부분에 대해서도 한번쯤 고민해보는 시간을 가져보려고 합니다.

모든 사람들이 볼 수 있는 블로그의 특성상, 사내 보안 현황을 자세히 소개할 수는 없지만
이 게시물이 정보보호에 대해 다시 한번 생각해보면서, 경각심을 가지는 데에
조금이나마 도움이 되었으면 좋겠습니다.

❓ QUIZ

security1.png

매년 해킹메일 모의훈련을 진행하고 있지만, 여전히 많은 모의 감염률이 발생하고 있는데
매사에 경각심을 가지고 신중하게 접근하는 자세가 필요합니다
아는 것만으로는 충분하지 않으니 다시 한번 리마인드하는 시간을 가져보시길 바랍니다

가급적 링크 클릭을 최소화하고, 링크 위에 마우스를 올려 어디로 이동하는지 확인 후,
해당 URL 경로가 신뢰할만한 주소라고 판단되면, 그 주소를 인터넷 주소창에 직접 입력하는 등 위험을 최소화할 수 있는 방안을 늘 고민해야하고, 실제로 적용해야합니다


  • 힌트
    • 발신자의 이름은 얼마든지 수정하여 발송할 수 있기 때문에, 이것을 근거로 신뢰하기는 어렵습니다
    • 발신자 메일 주소의 도메인이 사내 메일 도메인과 (뒷자리까지) 정확히 일치하지 않으면,
      어디서 쓰는 도메인인지 알 수 없습니다
    • 내부 직원의 서명은 쉽게 도용이 가능합니다

❗ 우리회사가 감염된다면?

security2.png

최근 모 기업이 랜섬웨어에 감염된 사례가 있었습니다.
공개된 정보보호공시 내용을 보면, 나름대로 정보보호를 위해
다양한 활동을 진행하며, 열심히 노력하는 기업이었음에도 불구하고 감염이 되었는데요.

만약 우리 회사에서 랜섬웨어 감염이 발생했다면 어떠했을지 한번쯤 생각해볼 필요가 있을거 같습니다.

⚡ 어떻게 정보보호를 하고 있을까?

우리회사는 소중한 개인정보를 보호하기위해 어떤 노력을 하고 있을까요?

security3.png

Security Image 1 Security Image 2

  • 의무대상은 아니지만 보다 안전한 정보보호 환경을 만들기위해 정보보호 관리체계를 구축하고,
    매년 인증심사를 통해 ISMS 인증을 취득하고 갱신해오고 있습니다.

  • 개인정보보호위원회와 OPA(개인정보보호협회)에서 주관하는 셀러툴 민관협력 자율규제 활동에 참여하여,
    개인정보보호에 관련된 지침 및 규약을 근거로, 개인정보 보호를 위한 예방 활동을 진행하고 있습니다.

  • OPA에서 주관하는 개인정보보호 관련 인증 심사를 거쳐, PRIVACY 인증을 취득하고 유지하며,
    개인정보보호를 위한 예방 활동을 진행하고 있습니다.

  • **매년 취약점 점검(웹 등) 및 침해사고 대응훈련(해킹메일 모의훈련 등)**을 통해,
    취약점을 찾아 보완하고, 내부 임직원에 대한 보안의식을 고취시키는 활동을 진행하고 있습니다.

  • 매년 사내 정보보호 교육을 통해, 우리가 어떻게 보안을 유지해 나가야 하는지
    같이 생각해보는 시간을 가지고 있습니다.

  • 그 밖에도 다양한 정보보호 활동들을 진행하고 있습니다.

🚀 앞으로의 셀메이트는 어떻게 해야할까?

security6.png

  • 바쁘게 격무에 시달리다보면, 빨리 빨리 하려다보니 나도 모르게 악성 링크를 클릭하는 경우가 있습니다.
    이런 부분들을 최소화하기위해, 어떤 링크든 마우스를 올려서 실제로 어디로 이동하는지 확인하고,
    그 링크를 직접 주소표시줄에 입력하여, 해당 경로에 접근한다거나하는 형태의 접근방식이 필요하며,
    급작스러운 불상사를 막기위해 이런 부분들을 습관화하는 것도 좋을거 같습니다.

  • 개인정보 유출은 때로는 자신의 의사와 상관없이 발생할 수도 있습니다.
    발생하지 않는 것이 가장 좋겠지만, 불가피하게 발생할 수 밖에 없다면
    목적 달성에 필요한 최소한의 개인정보만을 수집하고, 목적 달성 시 즉시 파기하여
    최소의 개인정보만 보관하는 것이 하나의 대안이 될 수 있습니다.

  • 개발할 때도 보안이 매우 중요하다는 것은 다들 익히 알고 있는 사실입니다.
    우리가 만든 프로그램이 해커의 놀이터가 되는 것은 누구도 원치 않을 것이고요.
    입력값 검증이나 권한 및 인증 관리, 에러에 대한 처리 등 시큐어코딩 방법에 대해 고민해보면서
    안전한 프로그램을 작성하기위한 노력이 필요합니다.

마치며 😄

글로 무언가를 전달하기보다는 실제 사례나 보안현황에 대한 사실적인 전달을 통해,
보안의식과 경각심을 고취시키는 발표였다보니, 무언가 지식을 전달하거나하는 데에는 조금 부족한거 같지만,
실제로 내가 다니는 회사에서 감염 사고가 발생한다면 과연 어떤 상황이 발생할지,
나는 이런 사고를 사전에 예방하기위한 충분한 준비가 되어있는지 등에 대해서
한번쯤 고민해보는 시간이 되었으면 좋겠습니다. 😄