온라인에서 소규모 비즈니스를 시작하거나 성장시키는 일은, 여기에 보안 위협까지 신경 써야 한다면 그 자체로도 충분히 어려울 수 있습니다. 안타깝게도 성장하는 비즈니스를 번창하게 하려면 보안을 소홀히 할 여유는 없습니다.
많은 신규 및 소규모 기업은 대기업에 비해 사이버 범죄자들에게 제공할 것이 적기 때문에 사이버 공격으로부터 비교적 안전하다고 잘못 생각합니다. 그러나 이는 사실이 아니며, 소규모 기업은 전체 사이버 침해의 43%를 차지합니다.
소규모 기업이 실제로 해커들에게 매력적인 표적이 될 수 있는 이유는 다음과 같습니다.
제한된 리소스:소규모 기업은 강력한 보안 조치와 전담 보안 인력에 투자하지 못할 수 있습니다.
보안 인식 부족:사이버 보안 모범 사례와 끊임없이 변화하는 위협 환경에 대한 지식이 부족할 수 있습니다.
덜 포괄적인 보안 인프라: 고급 보안 조치를 구현하는 데 필요한 인프라가 부족할 수 있습니다.
소규모 비즈니스를 운영 중이거나 시작할 계획이라면, 가장 흔한 사이버 공격과 그 대응 방법을 배워 사이버 범죄자의 쉬운 표적이 되는 일을 피하세요. 그리고 이 글에서 알게 되겠지만, 웹사이트 플랫폼은 생각보다 훨씬 더 중요한 역할을 할 수 있습니다.
주요 사이버 보안 위협과 대응 방법
비즈니스가 알아두어야 할 주요 사이버 보안 위협 유형 네 가지는 다음과 같습니다.
DDoS 공격
크리덴셜 스터핑
데이터 공격
이메일 피싱
이제 각각을 더 자세히 살펴보고, 소규모 비즈니스가 피해를 입지 않도록 예방하는 방법을 알아보겠습니다.
DDoS 공격
분산 서비스 거부의 약자인 DDoS 공격은 일반 사용자의 서비스 이용을 방해하기 위해 온라인 서비스, 네트워크 또는 서버에 인터넷 트래픽을 대량으로 유입시켜 과부하를 일으키는 공격입니다. 이로 인해 일정 기간 동안 웹사이트 전체가 오프라인 상태가 되어 비즈니스에 영향을 줄 수 있습니다.
이러한 공격은 일반적으로 봇, 상호 연결된 컴퓨터 또는 악성코드에 감염된 인터넷 기기로 이루어진 네트워크인 봇넷에 의해 수행됩니다. 공격자는 각 봇을 원격으로 제어할 수 있으며, 봇넷 트래픽은 정상 트래픽처럼 보일 수 있기 때문에 DDoS 트래픽을 일반 트래픽과 구별하기 어려울 수 있습니다.
대규모 또는 정교한 공격으로부터 웹사이트를 완전히 보호하려면 콘텐츠 전송 네트워크(CDN)와 같은 전문 기술이 필요합니다. CDN은 DDoS 공격 방지에 널리 사용되는 솔루션입니다. 이는 웹사이트 리소스를 저장하는 글로벌 서버 네트워크로, 비정상적인 트래픽이 원본 서버를 과부하시키지 못하도록 보호합니다.
도메인과 호스팅 보호하기
그 외에도 좋은 도메인 및 호스팅 제공업체는 DNS와 호스팅 수준 모두에서 서버를 보호하는 데 도움이 되는 특정 기본 제공 보호 기능을 갖추고 있습니다. 이를 통해 공격을 더 이른 단계에서 식별하고 필터링할 수 있습니다. DNS 수준의 보호에는 다음이 포함되어야 합니다.
DNSSEC: DNS 레코드에 암호화 서명을 추가해 보안을 한층 강화합니다.
DNS 쿼리 수준 보호: 대량의 DNS 쿼리로 인해 DNS 서버가 과부하되는 것을 방지합니다.
호스팅 제공업체를 선택할 때는 서비스 운영을 유지하고 가동 시간을 보호하는 데 도움이 되는 다음과 같은 서버 수준 보호 기능이 있는지 확인하세요.
속도 제한
블랙홀링
침입 탐지 및 방지 시스템
웹 애플리케이션 방화벽
HTTP 세션 패턴 분석
최악의 상황이 발생해 DDoS 공격이나 다른 이유로 사이트가 일시적으로 다운되더라도, 정기적인 사이트 백업을 수행하면 웹사이트를 빠르게 다시 복구할 수 있습니다. 더 편리하게 이용하려면 호스팅 서비스를 선택할 때 주기적으로 모든 작업을 자동으로 수행해 주는 서비스를 제공하는지 확인하세요. 그러면 수동으로 처리하는 번거로움을 겪지 않아도 됩니다.
크리덴셜 스터핑
크리덴셜 스터핑은 사기범이 한 웹사이트의 침해 사고에서 탈취한 사용자 이름과 비밀번호를 사용해 다른 사이트에 무단으로 접근하는 유형의 무차별 대입 공격입니다. 사용자 차원에서는 올바른 비밀번호 관리 습관을 실천하는 것이 피해를 예방하는 데 매우 중요합니다. 항상 강력한 비밀번호를 사용하고, 정기적으로 변경하며, 서로 다른 웹사이트에서 재사용하지 마세요.
그 외에도 도메인, 호스팅 또는 웹사이트를 위한 이상적인 플랫폼이라면 구현 가능한 이중 인증(2FA)을 제공해야 합니다. 2FA를 사용하면 계정에 액세스할 때마다 추가 보호 계층이 제공됩니다 — 예를 들어 비밀번호를 입력하고 휴대폰의 푸시 알림에 응답하는 방식입니다. 이렇게 하면 사기범이 비밀번호를 알아내더라도 두 번째 보호 계층을 통과할 수 없습니다.
더 좋은 것은 passkeys 사용을 지원하는 플랫폼입니다. Passkeys는 비밀번호 없는 인증에 사용되는 디지털 자격 증명입니다. 이는 암호화 기술을 사용해 생성되며 컴퓨터 또는 휴대폰에 연결됩니다. 따라서 복사하거나 도난당할 수 없으므로, 비밀번호와 달리 passkey를 사용한 계정 로그인은 본인 외에는 누구도 할 수 없습니다.
데이터 공격
지난 몇 년 동안 데이터 보호에 대한 우려가 커지고 있으며, 그럴 만한 이유가 있습니다. 민감한 데이터가 잘못된 사람의 손에 들어가면 사기, 도난, 평판 손상으로 이어질 수 있습니다. 데이터를 보호하는 방법에는 백신 및 안티멀웨어 소프트웨어, 강력한 비밀번호 보호, 이메일 보안 등이 있습니다. 그러나 데이터 공격으로부터 사이트를 보호하는 근본적인 방법은 SSL 인증서, 즉 웹사이트 보안 인증서를 사용하는 것입니다.
그렇다면 웹사이트 보안 인증서란 무엇일까요? 이는 사용자의 브라우저와 웹사이트 사이에서 전송되는 데이터를 암호화하기 위해 서버에 설치할 수 있는 디지털 인증서입니다. 즉, 전송되는 모든 데이터가 데이터 공격으로부터 보호된다는 뜻입니다. 여기에는 다음이 포함됩니다.
데이터 가로채기(중간자 공격): SSL 암호화는 로그인 자격 증명, 결제 정보 또는 개인 데이터와 같은 민감한 정보를 가로채려는 공격자의 도청으로부터 보호합니다.
데이터 변조:SSL 인증서는 전송 중인 데이터의 무단 수정이나 변조를 감지하고 방지하기 위해 암호화 메커니즘을 사용합니다. 따라서 공격자는 보안 연결을 통해 전송되는 어떤 데이터도 변경할 수 없습니다.
피싱: SSL 인증서는 사용자가 합법적인 웹사이트를 식별하는 데 도움을 주며, 이는 고객이 사이트와 상호작용할 때 피싱 공격의 피해자가 될 위험을 줄여 주므로 소규모 기업에 특히 중요합니다.
SSL 인증서는 웹사이트 보안의 핵심 요소이므로, 기본으로 무료 SSL이 제공되는 호스팅 플랜을 선택해 더 쉽고(그리고 더 저렴하게) 관리하세요. 그런 옵션은 실제로 있습니다.
이메일 피싱
피싱은 수십 년 전부터 존재해 온 보안 공격으로, 인터넷의 대중화와 함께 더욱 증가했습니다. 이는 공격자(종종 합법적인 회사나 기관을 사칭함)가 피해자에게 자격 증명이나 신용카드 정보 같은 민감한 정보를 공개하게 하거나, 기기에 악성코드를 다운로드하도록 유도하는 사회공학 사기의 한 유형입니다.
피싱 공격에는 보이스 피싱(vishing)부터 SMS 피싱(smishing)까지 셀 수 없이 많은 유형이 있지만, 이메일 피싱은 여전히 가장 두드러지는 유형 중 하나입니다. 철자 오류, 불일치, 비정상적인 요청 등 피싱 이메일의 징후를 아는 것은 매우 중요합니다. 하지만 이런 이메일이 아예 눈에 띄지 않도록, 근원에서부터 피싱 공격자를 차단하는 것이 더 좋습니다.
이를 위해서는 강력한 스팸 방지 서비스를 갖춘 이메일 서비스가 매우 중요합니다. 이는 이메일 보안이 작동하는 방식의 핵심 구성 요소입니다. 피싱을 포함한 다양한 위협으로부터 받은편지함을 보호하고, 시간이 지남에 따라 사용자의 선호를 학습하는 스마트 안티스팸 소프트웨어를 갖춘 전문 이메일 서비스를 선택하는 것이 좋습니다.
또한 무료 도메인 프라이버시를 이용하면 피싱 공격자가 연락처 정보를 아예 찾지 못하게 할 수도 있습니다(Spaceship에서 도메인을 등록하면 무료로 제공되는 서비스입니다). 일반적으로 도메인을 등록하면 연락처 정보가 도메인 소유자 디렉터리인 WHOIS에 추가됩니다.
당연히 모든 사람이 자신의 정보를 누구나 찾을 수 있도록 공개하는 것을 편하게 여기지는 않습니다. 도메인 프라이버시는 WHOIS 등록부에서 해당 정보를 숨겨 주므로, 특히 피싱 공격자를 포함해 누구도 이를 찾아 사용자를 표적으로 삼을 수 없습니다.
보안을 최우선으로 하는 플랫폼 선택하기
소규모 비즈니스 웹사이트를 위한 강력한 보안 기반을 구축하는 일은 복잡할 수 있습니다. 하지만 지금까지 살펴본 대부분의 서비스를 한곳에서 제공하는 플랫폼을 선택하면 훨씬 수월해집니다.
Spaceship에는 기본 제공 DDoS 보호, 강력한 계정 보안, 무료 도메인 프라이버시, 무료 SSL 인증서가 포함되어 있으며, Spacemail은 안티스팸 및 피싱 방지 기능을 갖춘 강력한 이메일 보안을 제공합니다. 모든 도구와 서비스를 호스팅에 최대한 간단하게 연결할 수 있으므로, 보안이 잘 관리되고 있다는 확신 속에서 디지털 미래를 성장시키는 데 온전히 집중할 수 있습니다. 자세한 내용은 보안 페이지를 확인하세요.


귀하의 의견을 공유하세요