사무실에서 키보드를 사용하는 사람. 여러 개의 이메일 로고와 방패/자물쇠 로고가 겹쳐져 있습니다.

이메일로 전송되는 비밀번호로 보호된 문서: 새롭고 조용한 침해

우리는 이메일에 많이 의존합니다

개인용이든 업무용이든 이메일은 현대인의 생활 방식에서 어디에나 존재합니다. 코로나19 팬데믹 이후, 기업에서는 개인 방문보다는 원격 회의에 점점 더 많이 의존하고 있습니다. 그 결과, 회사 직원들은 동료, 클라이언트, 고객 또는 기타 제3자(예: 서비스 제공업체, 계약업체, 금융, 법률 및 엔지니어링 파트너 등)와 더 많은 파일을 공유하고 있습니다. 이메일에 민감한 정보가 포함된 파일을 첨부할 때 엔드투엔드 암호화를 제대로 수행하는 이메일 제공업체를 통해 민감한 데이터를 안전하게 보호할 수 있다는 믿음을 갖는 것이 그 어느 때보다 중요해졌습니다.

많은 사람들이 한 발 더 나아갑니다. Word®, Excel®, Adobe® Acrobat® 등의 애플리케이션에서는 사용자가 파일을 비밀번호로 보호할 수 있습니다. 이 기본 제공 암호화는 데이터가 안전하게 유지되고 올바른 비밀번호를 가진 수신자만 액세스할 수 있다는 확신을 심어주기 위한 것입니다.

하지만 이러한 신뢰는 잘못될 수 있습니다. IT 부서는 법률 및 규정에서 요구하는 대로 자체 또는 클라우드 서버에 있는 데이터로서 발신 이메일에서 보호 대상 데이터의 잠재적 침해 여부를 정기적으로 확인하지 않습니다. 대부분의 경우, 이메일 유출이 발생한 계약업체는 파트너에게 이를 보고하지 않을 수도 있습니다.

그렇다면 이메일로 전송되는 첨부 파일은 얼마나 안전할까요?

이메일 서버, 인터넷 제공업체, 고객/파트너 서버가 적절하게 보안이 유지되고 있다고 가정해야 합니다. 클라우드 또는 회사 데이터 유출에 대한 이야기는 끊이지 않지만 이메일 유출에 대한 보고는 거의 없습니다.

하지만 2023년 7월, 해커들이 미국 정부 이메일 계정에 침입한 사건이 발생했습니다. 2024년 1월, Microsoft®는 경영진의 내부 메시지와 첨부 파일이 도난당하는 두 달간의 이메일 침해 사고를 당했다고 밝혔습니다.

민감한 데이터를 안전하게 보호할 수 있을까요? 변호사, 재정 고문, 세무사, 보험회사 등과 같이 중요한 데이터를 다루는 직업을 생각해 보십시오. 파일을 암호화할 수 있도록 비밀번호로 보호하는 것은 많은 사람들에게 안도감을 주지만, 더 이상 보안을 보장한다고 볼 수는 없습니다.

소프트웨어 암호화를 사용하여 비밀번호로 보호된 파일

책상에 앉아 키보드와 마우스를 사용하는 사람. 비밀번호로 보호된 문서를 나타내는 중첩된 그래픽.

암호로 보호된 고객 정보의 Microsoft Excel 스프레드시트나 암호화된 법적 증거의 Acrobat PDF는 안심할 수 있지만 해커가 이러한 문서를 입수하면 어떻게 할 수 있을까요?

이러한 파일은 컴퓨터에서 소프트웨어로 암호화되며 데이터에 액세스하기 위해 암호 게이트가 추가됩니다. 잘못된 비밀번호를 입력하면 파일에 대한 액세스가 허용되지 않고 액세스할 수 없는 상태가 유지됩니다.

안타깝게도 이러한 파일은 무차별 대입 공격(비밀번호를 구성할 수 있는 모든 문자 조합을 추측하는 공격으로 사전 공격이라고도 함)에 대한 보호 기능이 없습니다.

예를 들어 대문자, 소문자, 숫자, 특수 문자로 구성된 4자 중 3자를 사용하여 안전하고 복잡한 비밀번호를 만든다고 가정해 보겠습니다. 이는 IT 보안 정책에서 모범 사례로 요구하는 일반적인 비밀번호 유형입니다. 가장 일반적으로 복잡한 비밀번호는 8자 길이입니다.

원칙적으로 이러한 복잡한 비밀번호는 컴퓨터가 추측하는 데 수년이 걸립니다. 비밀번호로 보호된 파일은 선택한 비밀번호의 무작위성(또는 엔트로피)을 제외하고는 비밀번호 추측에 대한 방어 수단이 없습니다.

최신 컴퓨터와 도구

오늘날의 컴퓨터는 초당 10억 개 이상의 비밀번호를 추측할 수 있습니다. 비밀번호로 보호된 파일이 처음 만들어졌을 때와 비교하면 엄청난 발전입니다.

사이버 범죄자들은 비밀번호로 보호된 파일을 어떻게 뚫을까요?

인터넷에는 Excel이나 Acrobat 파일에서 비밀번호를 제거하는 무료 도구가 많이 있습니다. 특수 보안 암호화가 적용된 파일은 한 대의 컴퓨터로 암호로 보호된 파일을 공격하거나 네트워크에 연결된 천 대 이상의 컴퓨터로 확장하여 공격하는 유료 도구의 표적이 될 수 있습니다(고가의 데이터를 원하는 단호한 공격자의 경우). 이러한 강력한 도구 중 일부는 법 집행 기관을 위한 포렌식 도구로 판매되지만 신용카드로 구매하고 다운로드할 수 있을 정도로 접근성이 높습니다.

Home Security Heroes 에 따르면 AI 기반 비밀번호 크래킹 도구는 일반적인 8자 복합 비밀번호를 몇 분 안에 해킹하거나 최대 7시간이 걸릴 수 있다고 합니다. 네트워크에 연결된 컴퓨터에서는 비밀번호로 보호된 단일 파일에 대한 무차별 암호 대입 공격이 더 짧은 시간 내에 완료될 수 있습니다.

모바일 데이터를 보호하는 방법

책상 위의 멀티 포트 허브에 Kingston IronKey Vault Privacy 50 USB를 꽂아 사무실 컴퓨터에 연결합니다.

이 시점에서 파일을 가로채거나 파일이 첨부된 서버 또는 파일이 포함된 서버가 침해될 경우 전자적 수단을 통한 모든 민감한 데이터 전송이 침해될 수 있다는 것은 분명합니다. 소프트웨어 암호화에 의존해야 하는 클라우드에 저장된 암호화된 파일도 마찬가지입니다. 누군가 비밀번호로 보호된 파일을 입수하면 파일 유형에 맞게 사용자 정의된 소프트웨어를 사용하여 무차별 암호 대입 공격을 받을 수 있습니다.

이러한 위험을 완화하는 해결책은 해당 데이터를 "오프 더 그리드" 또는 에어 갭으로 보관하는 것입니다. 인터넷에 연결되지 않은 컴퓨터에 저장하거나, 무차별 암호 대입 공격에 대해 강화된 매체를 통해 데이터를 전송할 수 있습니다. 이는 번거로울 수 있지만 데이터의 가치와 관련된 완화 조치이며, 일부 유형의 침해는 손실된 데이터에 따라 수백만 달러의 비용과 높은 법적 비용 및 합의금이 발생할 수 있습니다. 예를 들어, 세부 정보가 담긴 고객 계정 스프레드시트는 분실 시 기업에 큰 피해를 줄 수 있습니다. 법적 소송에 사용된 고객의 IP 세부 정보가 분실되어 다크웹에서 판매될 경우 기업에 심각한 영향을 미칠 수 있습니다.

모바일 데이터를 위한 저렴한 솔루션으로 하드웨어 암호화 USB 드라이브 또는 SSD가 있습니다. 이러한 저장 장치는 자체적인 하드웨어 기반 보안 생태계를 갖추고 있어 비밀번호 공격을 방지하고 상시 작동하는 AES-256비트 암호화를 사용하며, 그 자체로는 유출된 적이 없는 것으로 알려져 있습니다. 온라인에서 판매되는 저렴한 드라이브는 비밀번호 보안이나 암호화가 제대로 구현되지 않을 수 있으므로 신뢰할 수 있는 제조업체의 저장 장치를 구입하는 것이 중요합니다.

하드웨어 암호화 USB 드라이브 또는 외장 SSD(예: Kingston IronKey 드라이브)는 일반적인 USB 또는 SSD가 아닙니다. 이 드라이브는 처음부터 데이터 보호 장치로 설계되었으며, 보안을 주요 설계 목표로 하는 특수 컨트롤러를 사용합니다. 이러한 드라이브는 엔터프라이즈급 보안 및 군사 등급 보안을 제공할 수 있습니다(AES-256비트 암호화를 생성하고 미국 정부 기관의 표준을 설정하는 미국 정부 기관인 NIST의 FIPS 140-3 레벨 3 인증 추가). Kingston은 또한 전 세계 기업 및 정부를 위해 20년 이상 하드웨어 암호화 드라이브를 설계 및 제조해 왔습니다.

효과적인 무차별 대입 공격 보호

IronKey 드라이브에 대한 모든 액세스는 보안 마이크로프로세서를 통해 라우팅됩니다. 데이터 액세스를 허용하려면 보안 마이크로프로세서에 유효한 비밀번호 또는 키패드 드라이브용 PIN이 필요합니다. 보안 마이크로프로세서는 유효하지 않은 비밀번호 재시도 횟수를 기록합니다(휴대폰을 초기화해 본 적이 있다면 어떻게 작동하는지 잘 알 것입니다). IronKey 드라이브는 관리자, 사용자, 일회용 재설정 등 여러 개의 비밀번호를 사용할 수 있습니다. 일회용 재설정 또는 사용자 비밀번호를 10회 연속으로 잘못 입력하면 드라이브가 비밀번호를 잠급니다. 기본 관리자 비밀번호를 10회 연속 잘못 입력하면 보안 마이크로프로세서가 데이터 자체 파괴 모드로 전환되어 모든 암호화 매개변수의 암호화 지우기를 실행하고 데이터 스토리지를 포맷하며 드라이브를 공장 출하 상태로 재설정합니다. 이 시점에서 이전에 드라이브에 저장된 데이터는 영원히 손실됩니다. 이것이 민감한 데이터에 대한 대부분의 공격에 대한 방어책입니다.

중요한 데이터 보안을 위한 모범 사례

안타깝게도 비밀번호로 보호된 파일을 이메일로 전자 전송하거나 클라우드 서버에 게시하면 파일 자체를 오늘날의 AI 및 컴퓨터 기술로 보호할 수 없기 때문에 데이터 유출로 이어질 수 있습니다. 최상의 보안을 위해서는 모바일 데이터를 주머니나 가방 등 물리적으로 소유하고 있는 상태로 전송해야 합니다. 그런 다음 상대방과 공유할 수 있습니다. 또는 고객/파트너에게 드라이브를 배송하고 데이터에 액세스하는 방법을 알려줄 수도 있습니다. 드라이브를 가지고 다니면서 데이터를 안전하게 보호할 수 있습니다. 최대 8TB 용량의 IronKey 외장 SSD는 로펌부터 의료 또는 금융 서비스 제공업체에 이르기까지 다양한 전문가에게 강력한 보안을 제공할 수 있습니다.

많은 제조업체는 더 이상 주요 지적 재산권 문서와 세부 정보를 이메일로 보내지 않고, 대신 다른 국가에 있는 다른 사람에게 IronKey 드라이브를 배송하고 데이터 액세스에 대한 지침을 후속 조치로 제공합니다. IronKey 드라이브를 사용하면 관리자 역할이 글로벌 읽기 전용 모드를 설정할 수 있어 사용자 비밀번호로 파일에 액세스할 때 파일이 변경되는 것을 방지할 수 있습니다.

IronKey 드라이브는 CIA 트라이어드의 모범 사례를 따르며, 민감한 데이터를 상업적으로 가능한 한 최대한 안전하게 보호할 수 있는 저렴한 보험입니다. 결국 중요한 것은 정보의 가치에 대한 인식입니다.

회로 기판 칩셋에 Kingston의 전문가에게 묻기 아이콘

전문가에게 묻기

올바른 솔루션을 계획하려면 프로젝트의 보안 목표를 이해해야 합니다. Kingston의 전문가들이 안내해 드리겠습니다.

전문가에게 묻기

관련 기사