공유 이메일 계정은 일반적으로 같은 가족이나 조직 내에서 여러 사람이 액세스하고 사용하는 계정입니다. 여러 사람이 업무량을 관리하고 이메일이 답장되지 않는 일이 없도록 할 수 있으므로 편리해 보일 수 있습니다. 그러나 공유 이메일을 사용하면 여러 가지 안전 위험이 발생하고 모든 사용자와 조직이 취약해집니다.
이메일 보안의 중요성
이메일 보안은 모든 비즈니스 보안의 중요한 부분입니다. 매년 수십만 명의 사람들이 피싱 공격의 희생자가 되어 상당한 데이터 손실과 말할 수 없는 재정적, 평판적 피해를 입힙니다. 직원을 모니터링하고 모범 사례를 따르도록 보장하면 디지털 방어를 강화할 수 있습니다. DMARC, SPF, DKIM과 같은 이메일 인증 프로토콜을 구현하면 이메일 발신자의 합법성을 확인하고 도메인의 무단 사용 위험을 줄여 피싱 및 스푸핑 공격으로부터 보호하는 데 도움이 됩니다.
이를 수행하는 한 가지 방법은 합법적인 스파이 소프트웨어를 사용하는 것입니다. 예를 들어, 기술 작가 노아 에디스의 Flexispy 리뷰 에 따르면, 이 소프트웨어는 회사 기기를 모니터링하여 모범 사례가 준수되고 있는지 확인하고 책임을 개선하는 데 사용할 수 있습니다. 일부 지역에서는 고용주가 직원에게 모니터링 조치나 도구에 대해 알려야 한다는 법적 요구 사항이 있습니다(예: EU의 GDPR). 하지만 글로벌 차원에서는 그렇지 않습니다.
공유 이메일 주소란?
공유 이메일 주소는 여러 사용자가 있는 단일 이메일 계정을 사용하는 단일 이메일 주소입니다. 모든 사용자는 동일한 로그인 자격 증명으로 계정에 로그인합니다. 공유 이메일은 가정, 가족, 심지어 기업에서도 사용할 수 있습니다. 예를 들어 여러 직원이 단일 주소로 전송된 이메일에 답변해야 하는 고객 서비스 부서에서 일반적으로 사용됩니다.
모든 팀원이 동일한 로그인 세부 정보를 사용하고 동일한 이메일에 액세스하고, 팀원이 부서를 옮기거나 회사를 떠나기 때문에 수십 명 이상의 사람이 계정에 액세스할 수 있게 됩니다. 이로 인해 비즈니스가 내부에서 공격받을 수 있고 외부 공격 위험도 증가합니다.
공유 이메일 주소를 피해야 하는 8가지 이유
공유 이메일 주소는 편리하고 어떤 경우에는 유용할 수 있지만, 특정 보안 위험을 초래합니다. 다음은 이를 사용하지 않아야 하는 몇 가지 일반적인 이유입니다.
1. 약한 비밀번호
안전한 비밀번호는 대문자와 소문자, 숫자, 특수 문자로 구성되어야 합니다. 시퀀스인 문자열, 잘 알려진 단어와 구문 또는 쉽게 추측할 수 있는 것은 포함해서는 안 됩니다. 10건 중 8건의 비즈니스 해킹 침해는 약하거나 도난당한 비밀번호를 사용하여 발생하므로 안전한 비밀번호를 선택하고 사용하는 것은 데이터 보안 의 필수적인 부분입니다.
공유 이메일 계정은 일반적으로 쉬운 비밀번호를 갖습니다. 여러 사용자가 계정에 액세스해야 하며 관리자가 간단한 비밀번호를 지정하는 것이 더 쉽습니다. 많은 사용자가 여러 다른 계정에 동일한 비밀번호를 사용하기 때문에 이메일에 액세스하기 위한 비밀번호를 받았다면 다른 곳에서 해당 비밀번호를 재사용할 가능성이 있습니다.
2. 책임감
여러 사람이 동일한 사용자 이름과 비밀번호를 사용하여 이메일 계정에 액세스할 수 있는 경우 누가 무엇을 했는지 파악하는 것이 사실상 불가능합니다. 의도적인 데이터 침해가 발생하고 민감한 이메일이 공유되는 경우 공유 이메일 계정을 사용할 때 누가 해당 정보를 공유했는지 파악하기가 매우 어렵습니다. 비즈니스 관점에서 볼 때 이메일 계정에서 누가 메시지를 보냈거나 응답했는지 파악하기도 어렵습니다.
책임감의 부족은 처벌을 내리는 것과는 다릅니다. 보안 침해나 위험이 있는 경우 직원과 이메일 사용자는 모범 사례에 대한 교육을 받아야 합니다. 이를 위해 교육이 필요한 사람을 파악해야 하거나 모범 사례를 준수하는 사용자를 소외시킬 수 있습니다. 책임감의 또 다른 요소는 누가 어떤 이메일에 응답해야 하는지 결정하는 것입니다. 팀원은 모든 이메일을 확인하여 적시에 응답을 받았는지 확인해야 합니다.
3. 고의적인 공격
고객의 이메일조차도 매우 민감한 데이터를 포함할 수 있습니다. 경쟁사나 외부 당사자가 입수하기를 원치 않는 정보입니다. 공유 이메일 계정에서는 누가 정확히 계정에 액세스할 수 있는지 추적하기 어려울 수 있습니다. 액세스가 필요한 현재 직원뿐만 아니라 직원은 조직을 떠납니다. 모든 데이터 침해와 공격이 회사 외부에서 발생하는 것은 아닙니다. 많은 경우 직원이나 전직 직원이 선동합니다.
내부 셔플이나 직원이 퇴사할 때마다 이메일 비밀번호가 변경될 가능성은 낮습니다. 대부분의 회사가 직원이 퇴사하면 다른 형태의 접근을 즉시 제한하지만요. 이로 인해 회사는 기존 직원이나 불만이 있는 전직 직원의 고의적인 공격에 노출됩니다.
4. 데이터 보존
대부분의 경우 직원은 Outlook과 같은 이메일 소프트웨어를 사용하여 공유 이메일에 액세스합니다. 이 소프트웨어는 컴퓨터에 설치되며 개인이 계정에 대한 전체 액세스 권한을 부여합니다. 이메일을 수신 및 발송하고, 첨부 파일을 다운로드하고, 계정에서 관리 기능을 수행할 수 있습니다.
사용자가 민감한 이메일을 삭제하더라도 이메일 내용이 다른 사용자의 이메일 소프트웨어에 있거나 첨부 파일을 다운로드한 경우 해당 데이터는 여전히 존재합니다 . 이는 민감한 비즈니스 데이터에서 문제가 될 수 있습니다. 또한 피싱 이메일 과 의심스러운 파일에 보안 위험을 초래할 수 있습니다. 한 사용자가 사기임을 알아차리고 이메일을 삭제할 수 있지만 해당 이메일이 이미 열리거나 다운로드된 경우 여전히 회사 전체에 위험을 초래합니다.
5. 불이행
의료와 같은 일부 산업은 이메일 보안 요구 사항을 포함하여 엄격한 데이터 보호 및 커뮤니케이션 정책을 가지고 있습니다 . 해당 산업 내의 조직은 이러한 정책을 따라야 하며, 그렇지 않으면 잠재적으로 징벌 조치를 받을 수 있습니다. 가장 심각한 경우, 회사는 운영 허가를 취소당할 수 있습니다.
대부분의 데이터 준수 정책은 사용자가 별도의 이메일 계정을 갖도록 요구합니다. 이를 통해 데이터 무결성을 보장하고 외부 공격을 어렵게 만들며 개인 데이터를 보호할 수 있기 때문입니다.
6. 복잡성 증가
이메일 로그인 자격 증명을 공유하는 것은 가장 간단한 해결책처럼 보일 수 있습니다. 액세스가 필요한 모든 사람에게 동일한 사용자 이름과 비밀번호가 제공되며 모든 사용자가 이메일에 응답할 수 있습니다. 그러나 기업이 우수한 데이터 보안을 보장하고자 하는 경우 실제로 여러 면에서 복잡성이 증가합니다.
모든 사용자에게 로그인 세부 정보가 제공되어야 합니다. 사용자가 부서를 떠날 때, 특히 회사를 떠날 때 해당 세부 정보를 변경해야 합니다. 즉, 모든 팀원에게 새로운 로그인 세부 정보를 제출해야 합니다. 불가피하게 누군가는 새로운 세부 정보를 잊어버릴 것입니다. 그리고 데이터 침해나 다른 보안 문제가 발생하면 IT는 침해 원인을 찾고 향후 공격에 대한 방어를 강화하기 위해 많은 노력을 기울여야 합니다. 그리고 일부 사용자는 이메일 계정 자체를 변경하기 위해 관리자 액세스 권한이 필요할 수 있지만 다른 사용자는 그렇지 않을 수 있으므로 공유 계정에 사용자 액세스 제한을 만들려고 시도해야 합니다.
7. 추가적인 사회 공학적 위험
소셜 엔지니어링 은 이메일 계정과 기타 미션 크리티컬 데이터에 액세스하는 데 가장 일반적으로 사용되는 전술 중 하나입니다. 피싱은 소셜 엔지니어링의 한 형태로, 이메일 수신자가 링크를 클릭하고 스푸핑 사이트에서 사용자 이름과 비밀번호 세부 정보를 입력하도록 설득합니다. 그러나 다른 소셜 엔지니어링 전술도 존재하며, 공유 계정에 액세스할 수 있는 사용자가 많을수록 이러한 전술을 사용하는 해커에게 잠재적인 진입점이 많아집니다.
이러한 구멍을 막는 가장 효과적인 방법은 모든 사용자에 대해 별도의 로그인 자격 증명이 있는 별도의 계정을 갖는 것입니다. 최소한 이메일 전달은 일부 보안 구멍을 막는 데 도움이 될 수 있습니다.
8. 접근 제한
모든 팀원이 동일한 수준의 계정 액세스가 필요한 것은 아니며, 다른 팀원은 특정 이메일에 액세스해야 할 수도 있습니다. 공유 이메일 계정에서는 이것이 불가능합니다. 계정에 액세스할 수 있는 모든 사람이 모든 이메일을 보고 답장할 수도 있습니다. 마찬가지로, 일부 사용자는 계정 세부 정보에 액세스하고 수정할 수 있어야 하지만, 다른 사용자는 이메일 액세스만 필요합니다.
일부 사용자에게는 이메일 소프트웨어를 제공하고 다른 사용자에게는 계정 자체에 대한 액세스 권한을 제공하면 이를 달성할 수 있지만, 이 경우 훨씬 더 복잡해집니다. 사용자가 계정의 사용자 이름과 비밀번호를 알게 된 후에도 온라인에 액세스하여 잠재적으로 변경 작업을 할 수 있습니다.
요약
공유 이메일은 사용자 이름과 비밀번호가 하나뿐이기 때문에 편리해 보입니다. 이는 사용자 간에 공유되며, 모든 사람이 계정의 이메일에 액세스하고 답장할 수 있습니다. 그러나 공유 이메일은 더 큰 보안 위험을 초래하며, 실제로 데이터 보안을 심각하게 여기는 기업의 복잡성 수준을 높일 수 있습니다.
PowerDMARC의 고급 이메일 보안 솔루션으로 도메인을 보호하고 이메일 보안을 강화하세요. 오늘 무료로 사용해 보세요 !
- 강화된 피싱 공격에서 구실 사기의 부상 - 2025년 1월 15일
- 2025년부터 결제 카드 업계에 DMARC가 의무화됩니다. - 2025년 1월 12일
- NCSC 메일 검사 변경 사항 및 영국 공공 부문 이메일 보안에 미치는 영향 - 2025년 1월 11일