제 생각엔 당신이 구글 워크스페이스로 옮긴 이유는 업무가 더 쉬워질 거라는 기대 때문이었을 겁니다. 어쩌면 놀랍게도 실제로 그랬을지도 모르죠! 구글이 한 수 위네요! 하지만 어느 날, 누군가가 퇴사하는 마지막 날에 고객 이메일 3,000통을 개인 이메일로 전달하는 바람에 그 편리함이 완전히 망가졌을 수도 있습니다. 아, 정말 끔찍한 일이죠!
문제는 이겁니다. 구글 워크스페이스는 강력한 보안 기능을 갖추고 있습니다. 하지만, 여러분의 구글 워크스페이스는... 아마도 누락되었을 것입니다. 대부분의 핵심 보안 기능이 포함되어 있습니다. 차이점은 설정 시간 약 20분 정도에 있습니다. 거의 아무도 하지 않는 일자, 이제 바꿔봅시다. 다행히도 방법은 간단하고 쉽습니다. 이 글의 나머지 부분에서는 가장 흔한 Google Workspace 보안 취약점과 이를 해결하는 방법을 설명합니다.
많은 조직에서 다단계 인증(MFA)을 활성화하고 안전하다고 생각합니다. 그러나 자세히 살펴보면 종종 허점이 발견됩니다. 일부 사용자가 MFA에서 제외되거나, 기존 계정이 여전히 활성화되어 있거나, 관리자가 편의상 예외를 설정하는 경우가 있습니다(예를 들어, 휴대폰을 분실한 최고 경영진의 주말 전화 통화를 기억하시나요? 그 임원은 MFA가 설정되어 있지 않아서 비활성화해 버렸죠).
왜이 문제
다단계 인증(MFA)이 없는 단일 계정은 이메일, 파일 및 내부 신뢰 사용자 계정에 대한 접근 권한을 제공하여 피싱 공격(가장 성공적인 피싱 공격 유형)에 노출될 수 있습니다. 이는 실제 사례에서 가장 흔하게 관찰되는 문제 중 하나입니다.
그것을 고치는 방법
모든 사용자에게 MFA(다단계 인증)를 요구합니다. 예외 없이기존 인증 방식을 완전히 비활성화하십시오. 관리자 계정에 대해 더욱 강력한 다단계 인증(MFA) 요구 사항을 적용하십시오. MFA가 선택 사항인 곳이 있다면 공격자는 반드시 찾아낼 것입니다.
OAuth를 사용하면 타사 애플리케이션을 Google Workspace에 연결할 수 있습니다. 편리하긴 하지만, 이 기능에는 위험이 따릅니다. "허용"을 한 번만 클릭하면 애플리케이션이 암호 입력이나 다단계 인증(MFA) 없이 이메일, 파일, 연락처 및 캘린더에 액세스할 수 있게 됩니다.
왜이 문제
악성 OAuth 애플리케이션은 탐지되지 않고 수개월 동안 민감한 데이터에 은밀하게 접근할 수 있습니다. 이는 관리자가 침해 사고 발생 전이 아니라 사고 후 복구 작업에 나서야 비로소 대비할 수 있게 되는 위험입니다.
그것을 고치는 방법
기본적으로 타사 애플리케이션 차단. 알려지고 신뢰할 수 있으며 승인된 애플리케이션만 허용하십시오. 분기별로 애플리케이션 권한을 검토하고 새로 연결되는 앱에 대한 알림을 구성하십시오.
OAuth 접근 권한이 검토 대상이 아닌 경우, 팀원들이 2023년 팀워크 강화 활동에서 한 번 사용했던 앱에 대해 이메일 접근 권한을 모두 부여할 수도 있습니다.
최고 관리자 권한(정확히는 슈퍼 관리자라고 하지만, 말 그대로 신과 같은 권한)은 Google Workspace에 대한 광범위하고 강력한 제어 권한을 제공합니다. 하지만 많은 환경에서 지나치게 많은 사용자에게 관리자 권한을 부여하는 경우가 많습니다. 관리자 권한이 추가될 때마다 공격 표면이 넓어지고 감사 작업에 더 많은 시간이 소요된다는 점을 명심하십시오.
왜이 문제
관리자 계정이 해킹당하면 공격자는 비밀번호를 재설정하고, 추가 관리자 권한을 부여하고, 보안 기능을 비활성화하고, 모든 데이터에 접근할 수 있습니다. 이 시점부터는 공격을 차단하기가 극도로 어려워집니다.
그것을 고치는 방법
최고 관리자 권한을 소수의 신뢰할 수 있는 계정으로 제한하세요. 가능한 한 역할 기반 관리자 권한을 사용하십시오. 관리자 계정과 일반 사용자의 이메일 계정을 분리하고 관리자 활동 로그를 정기적으로 검토하십시오. 최소 특권 원칙은 흥미롭지는 않지만 매우 효과적입니다.
Gmail은 강력한 기본 보안 기능을 제공하지만, 공격자들은 끊임없이 진화하고 있습니다. DMARC 정책이 모니터링 전용으로 설정되어 있거나, 외부 발신자 경고가 누락되었거나, 사용자 교육이 한 번만 이루어지고 그 효과가 뒷받침되지 않는 경우 등 일반적인 구성상의 허점이 여전히 만연해 있습니다.
왜이 문제
이메일은 여전히 중소기업을 대상으로 하는 대부분의 공격에 대한 주요 진입 경로입니다. 이러한 상황은 20년 넘게 변하지 않았습니다.
그것을 고치는 방법
SPF, DKIM, DMARC를 적용하고 차단 정책을 시행하십시오. 외부 발신자에 대해 명확하고 간결하지만 주목할 만한 라벨을 추가하십시오. 일회성 교육이 아닌 매월 보안 인식 교육(동영상 및 HootPhish 활용)을 제공하십시오.
기술은 도움이 되지만, 훈련된 사용자가 가장 효과적인 방어 수단인 경우가 많습니다. 1년에 한 번뿐인 마라톤 훈련은 팀원들을 근육통에 시달리게 하고 혼란스럽게 만들 뿐, 이전보다 더 안전하게 만들지도 못합니다. 월별 교육을 통해 사용자가 확인/생각/검증 없이 클릭하는 것을 방지하는 습관이 몸에 배게 됩니다.
Google Workspace는 상세한 감사 로그를 생성하지만, 많은 조직에서 이를 검토하지 않습니다. 이로 인해 가시성 격차가 발생합니다.
왜이 문제
의심스러운 활동은 종종 눈에 띄지 않게 이루어지는데, 여기에는 불가능한 위치에서의 로그인, 대용량 파일 다운로드, 숨겨진 받은 편지함 전달 규칙 등이 포함됩니다. 이러한 활동이 발견될 때쯤이면 이미 상당한 피해가 발생한 경우가 많습니다.
그것을 고치는 방법
상세 감사 로깅을 활성화합니다. 로그인 이상 징후를 모니터링합니다. 사서함 규칙 변경 사항을 검토하고 위험도가 높은 행위에 대한 알림을 구성합니다.
만약 아무도 로그를 보고 있지 않다면, 공격자들은 집이 비어 있고 집주인이 2주간 휴가를 떠났다는 사실을 알고 있는 강도처럼 행동합니다. 그들은 서두르지 않고 있어요. 스스로 알아서 하고 있는 거예요.
Google Workspace는 파일 공유를 간단하고 쉽게 만들어줍니다. 외부인에게 이메일을 보내기 전에 액세스 권한을 요청하는 메시지를 표시하지만, 경고 메시지가 너무 사소하거나 무시되는 경우가 많아 민감한 파일이 후속 조치나 감독 없이 외부로 공유되는 문제가 발생합니다.
왜이 문제
데이터는 아무런 경고 없이 조용히 조직 밖으로 유출될 수 있습니다. 이러한 유출은 악의적인 의도 없이 발생하는 경우가 많지만, 그 영향은 동일합니다.
그것을 고치는 방법
기본적으로 외부 파일 공유를 제한합니다. 외부 접근 시 승인을 요구합니다. 공유 링크를 정기적으로 검토하고 공개 링크에 만료일을 설정합니다.
편의성이 통제력을 압도해서는 안 됩니다. '링크만 있으면 누구나' 파일에 접근할 수 있도록 공개하는 것은 마치 집 열쇠를 현관 매트 아래에 두고 제대로 아는 사람만 찾기를 바라는 것과 같습니다.
이것이 가장 중요한 격차일지도 모릅니다. 많은 조직이 문서화된 보안 표준, 정기적인 액세스 검토 또는 명확한 보안 책임자 지정 없이 Google Workspace를 사용하고 있습니다.
관리 체계가 없으면 보안 구성은 점차 저하됩니다. 이것이 바로 카오스 이론의 핵심입니다.
왜이 문제
보안 설정은 유지 관리 및 검토를 담당하는 사람이 없으면 시간이 지남에 따라 자연스럽게 변경됩니다. 공격자들은 이러한 변경 사항을 악용합니다.
그것을 고치는 방법
Google Workspace의 기본 보안 표준을 정의합니다. 분기별로 액세스 검토를 실시합니다. 공인된 보안 기준에 맞춰 구성을 조정하고 유지 관리를 위한 명확한 책임자를 지정합니다.
모든 사람이 보안을 실천해야 하지만, 누군가는 그에 대한 책임을 져야 합니다. 공격자들은 도둑들이 보는 것과 같은 단서를 찾습니다. 즉, 보안등이 없는지, 경보 회사 스티커가 없는지, 경비견이 없는지 등을 살핍니다. 이는 아무도 감시하지 않는 집의 특징입니다.
대부분의 Google Workspace 침해 사고는 최신 제로데이 취약점을 이용한 정교한 국가 차원의 공격이 아닙니다. 기본 설정, 잊어버린 구성, 잘못된 신뢰 등으로 인해 발생하는 단순한 침해입니다.
공격자들은 강도처럼 생각합니다. 그들은 불가능한 강도 행각을 노리는 것이 아닙니다. 그들은 경보 표시도 없고, 타이머가 달린 조명도 없고, 문 앞에 우편물이 쌓여 있는 집을 노립니다.
이러한 부족한 부분을 보완하세요. 당신의 목표는 완벽함이 아닙니다. 당신의 목표는 옆 회사보다 더 어려워 보이는 것입니다.
최신 사이버 보안 동향, 팁, 모범 사례를 알아보고 공유하세요. 또한 주의해야 할 새로운 위협도 알려드립니다.
vCISO를 위한 실무 브리핑: 우리가 무시했거나 이해하지 못했던 경고 수년간 가장 신뢰할 만한...
더보기
인공지능(AI)은 피싱 이메일을 더욱 교묘하게 만들고, 악성 소프트웨어를 더욱 은밀하게 침투시키며, 개인정보 탈취를 더욱 쉽게 만들고 있습니다.
더보기
