본문 바로가기
AhnLab News

2008.02.04 안철수연구소가 권하는 설날 연휴 보안 관리 법

by 보안세상 2020. 3. 21.

안철수연구소는 설 연휴 기간에 개인 사용자가 유의해야 할 ‘보안 수칙’을 발표했습니다. 메신저나 UCC, 블로그 등 악성코드 유포 경로가 다양해지고 피싱, 온라인 게임 계정 탈취 등 돈을 노리고 개인 정보를 빼내가는 공격이 점차 지능화하고 있어 기본적인 수칙 외에 온라인 금융/게임 사용 시 안전 수칙, 피싱 사이트와 정상 사이트의 차이 등 유용한 정보입니다. 또한 최근 들어 삭제한 이메일, 파일이 얼마든지 복구될 수 있다는 우려가 높아짐에 따라 정보를 완전히 삭제할 수 있는 방법도 포함했습니다.

 

<안철수연구소가 권하는 보안 수칙>-----------------------------------------

 

 I. 개인 사용자

 

 * PC 보안 10계명
1. 윈도 운영체계는 최신 보안 패치를 모두 적용한다.
2. 인터넷 로그인 계정의 패스워드를 자주 변경하고, 영문/숫자/특수문자 조합으로 6자리 이상으로 설정한다. 로그인 ID와 패스워드를 동일하게 설정하지 않는다.
3. 해킹, 바이러스, 스파이웨어 등을 종합적으로 막아주는 V3나 ‘빛자루’ 같은 통합보안 제품을 하나 정도는 설치해둔다. 설치 후 항상 최신 버전의 엔진으로 유지하고 부팅 후 보안 제품이 자동 업데이트되도록 하고 시스템 감시 기능이 항상 작동하도록 설정한다.
4. 웹사이트에 접속했을 때 악성코드나 스파이웨어가 다운로드되는 경우가 있으니 안철수연구소가 무료로 제공하는 ‘사이트보안’(http://secuon.vitzaru.com/blu2/home/home.do) 서비스를 이용해 예방한다.
5. 웹 서핑 때 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의하는 '예'를 클릭한다. 잘 모르는 프로그램을 설치하겠다는 경고가 나오면 ‘예’ ‘아니오’ 중 어느 것도 선택하지 말고 창을 닫는다.
6. 이메일 확인 시 발신인이 불분명하거나 수상한 첨부 파일이 있는 것은 모두 삭제한다.
7. 메신저 프로그램 사용 시 메시지를 통해 URL이나 파일이 첨부되어 올 경우 함부로 클릭하거나 실행하지 않는다. 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인해본다.
8. PtoP 프로그램 사용 시 파일을 다운로드할 때는 반드시 보안 제품으로 검사한 후 사용한다. 또한 트로이목마 등에 의해 지정하지 않은 폴더가 오픈되지 않도록 주의한다.
9. 정품 소프트웨어를 사용한다. 인터넷을 통해 불법 소프트웨어를 다운로드해 설치하는 경우 이를 통해 악성코드가 설치될 가능성이 높기 때문이다.
10. 중요한 자료를 주기적으로 백업해 만일의 상황에 정보를 잃는 일에 대비한다.

 

* 인터넷 금융/게임 사용 시 안전 수칙
1. 온라인 게임 계정 정보를 외부에 공개하지 않는다. 특히 게임 관리자 또는 업체를 사칭하는 사람에게 게임 계정을 알려주지 말아야 한다. 게임 운영자는 사용자에게 계정 정보 등의 개인 정보를 요구하지 않는다.
2. 온라인 게임에 접속할 때는 일정한 장소에서 한다. 게임방 등과 같이 불특정 다수가 컴퓨터를 사용하는 장소에서 계정 정보 유출 등의 문제가 많이 발생하므로 가능한 한 일정한 장소에서 게임을 하는 것이 좋다.
3. 온라인 게임 해킹 툴을 사용하지 않는다. 인터넷에서 구할 수 있는 온라인 게임 해킹 툴을 통해 악성코드에 감염될 수 있으며 이를 통해 계정 정보 등이 외부로 유출될 수 있다.
4. 의심스런 웹사이트에 정보를 입력하지 않는다. 온라인 게임 관련 홈페이지로 위장한 가짜 홈페이지를 통해 계정 정보 등이 유출되는 사고가 발생하고 있다. 의심스런 웹사이트에는 정보를 입력하지 말고 해당 게임 업체로 문의해 확인한다.

 

* 피싱 사이트와 정상 사이트의 차이
. 정상적인 인터넷 뱅킹 사이트는 공인인증서 비밀번호, 계좌비밀번호, 보안카드 비밀번호 등 개인 정보를 여러 창에 걸쳐 입력하게 돼 있지만, 피싱 사이트는 한 화면에서 동시에 입력하도록 돼 있다.
. 이체 거래 때 정상 사이트는 화면 상에 자신의 출금계좌번호를 선택하게 돼 있지만, 피싱 사이트는 이용자가 직접 입력하도록 돼 있다.
. 정상 사이트는 로그인 절차(ID, 패스워드 또는 공인인증서 입력)를 거쳐야 인터넷 뱅킹 화면이 나타나는 반면, 피싱 사이트는 화면 상의 주소 창에 은행 주소만 치면 바로 화면이 나타난다.
. 정상 사이트는 보안카드 비밀번호 2자리를 2회만 입력하도록 요구하나, 피싱 사이트는 그 이상의 자릿수 및 횟수를 입력하도록 요구한다.
. 정상 사이트는 공인인증서 비밀번호 입력 시 별도의 인증서 선택 창이 뜨지만, 피싱 사이트는 화면에서 직접 입력하게 돼 있다.

 

II. 기업 보안 관리자

 

* 기업 보안 수칙 10계명
1. 운영체제(OS)의 최신 보안 패치를 적용한다.
2. 안티바이러스 대비 상황을 점검한다.
3. 방화벽 설정을 통해 불필요한 포트를 차단한다.
4. 서버에서 불필요한 사용자 계정 및 서비스를 제거한다.
5. 사용 중인 애플리케이션의 로깅 가동, 중요 파일에 대한 무결성 점검, 감사 기능 등을 설정해두고, 중요 서버의 보안 상태를 사전 점검한다.
6. 사용하지 않는 서버의 네트워크를 분리하고 침입차단시스템, 침입탐지시스템 등의 보안 솔루션의 감시 기능을 설정한다.
7. 개인 사용자의 아이디와 패스워드를 점검한다.
8. 신뢰할 수 있는 보안 관련 사이트를 방문해 최신 보안 정보를 수시로 확인한다.
9 중요 시스템의 데이터에 대한 사전 백업 시스템을 구축하고 사이버 테러 발생 시 대응 지침을 공유한다.
10. 보안 문제 발생 시에 대비해 비상 연락 체계를 구축한다. 보안관제 서비스를 받고 있는 경우는 해당 보안관제 업체의 24시간 상황실 연락망을 공유하고 자체 보안관제 시스템을 운영하는 경우 자체 비상 연락망을 공유한다.



안철수연구소 시큐리티대응연구소 조시행 상무는


최근 금전적 이익을 노리고 특정 시스템을 노리는 국지적 공격이 대세이기 때문에 사용자 스스로 정보 보호를 위해 적극적인 관심을 가져야 한다. 믿을 수 있는 보안 소프트웨어를 하나 이상 설치하고, 항상 최신 버전으로 유지하는 한편 실시간 감시 기능을 켜두는 습관이 필수이다. 또한 윈도의 보안 취약점 패치를 철저히 해야 한다.”라고 권고하고 있습니다. 아울러 “기업이나 공공기관의 경우 해킹뿐 아니라 개인 정보 침해 사례가 발생하지 않도록 대비해야 한다.”


라고 주의를 당부했습니다.