1) 맬웨어 공격

맬웨어 공격은 악성 소프트웨어를 시스템에 설치하여 데이터를 훔치거나 파괴하는 공격입니다. 이러한 공격은 시스템 성능 저하와 데이터 손상을 초래할 수 있으며, 시스템의 취약점을 악용하거나 보안 패치를 우회하여 감염됩니다.

• 바이러스: 합법적인 소프트웨어나 파일에 첨부되어 실행되면 스스로 복제되어 다른 파일이나 시스템을 감염시키는 악성 코드입니다. 파일이나 프로그램을 통해 확산됩니다.
• 웜: 사용자 개입 없이 스스로 복제하고 확산되는 맬웨어로, 네트워크를 통해 여러 시스템에 전파됩니다. 시스템 간의 전파가 빠르고 자동화되어 있습니다.
• 트로이 목마: 합법적인 소프트웨어로 위장하여 설치되며, 시스템에 침입한 후 데이터를 훔치거나 원격으로 접근할 수 있는 기능을 수행합니다. 사용자가 인식하지 못한 채 시스템 내에서 악의적인 작업을 진행합니다.
• 스파이웨어: 사용자의 동의 없이 활동을 모니터링하고 민감한 정보를 수집하는 맬웨어입니다. 로그인 정보, 신용 카드 번호 등 개인 정보를 몰래 수집하여 공격자에게 전달합니다.

2) 랜섬웨어 공격

랜섬웨어 공격은 시스템의 데이터를 암호화하고 복호화 키를 대가로 금전을 요구하는 공격입니다. 파일이 암호화되어 접근이 불가능하게 되고, 금액을 지불해도 복호화가 보장되지 않을 수 있으며, 기업이나 개인에게 막대한 금전적 손실을 초래할 수 있습니다.

3) DDoS 공격

DDoS 공격(Distributed Denial of Service)은 다수의 감염된 장비를 이용하여 서버나 네트워크 등 시스템에 대량의 트래픽을 발생시켜 과부하 상태를 만드는 공격입니다. 이로 인해 정상적인 서비스가 방해받아 가용성이 저하되며, 운영 중단을 초래할 수 있습니다. DDoS 공격은 기업의 신뢰도와 경제적 손실을 유발할 수 있는 심각한 위협입니다. DoS 공격(Denial of Service)은 단일 출처에서 트래픽을 발생시켜 서비스에 방해를 주는 방식으로, DDoS보다 규모는 작지만 유사한 영향을 미칠 수 있습니다.

4) 악성 웹사이트

악성 웹사이트는 사용자로 하여금 악성 코드를 다운로드하게 하거나 개인정보를 입력하도록 유도하는 웹사이트입니다. 이들 웹사이트는 종종 합법적인 사이트처럼 보이거나, 의심스러운 링크, 클릭 유도형 광고 등을 통해 사용자에게 접근합니다. 사용자가 악성 웹사이트에 접속하면, 자동으로 악성 소프트웨어가 설치되어 시스템을 감염시키거나 개인정보를 탈취할 수 있습니다. 악성 웹사이트는 성능 저하, 데이터 유출 등 심각한 문제를 일으킬 수 있으며, 피싱 이메일이나 악성 광고를 통해 퍼질 수 있습니다.

5) 웹 애플리케이션 공격

웹 애플리케이션 공격은 웹 애플리케이션의 취약점을 이용하여 시스템에 침입하거나 데이터를 훔치는 공격입니다. SQL 인젝션, XSS, CSRF 등 다양한 방식으로 민감한 정보를 유출하거나 시스템 기능을 악용할 수 있습니다.

6) 중간자 공격

중간자 공격은 통신 과정 중에 공격자가 중간에서 데이터를 가로채거나 조작하는 공격입니다. 암호화되지 않은 네트워크를 통해 개인 정보나 민감한 데이터가 탈취될 수 있으며, 정보의 무결성이 위협받을 수 있습니다.

7) 사람의 실수나 행동을 악용한 사이버 공격

사람의 실수나 행동의 취약점을 악용한 사이버 공격은 심리적 조작, 내부 권한의 악용, 인증 정보의 도용 등을 통해 심각한 피해를 초래할 수 있습니다. 이러한 공격 유형으로는 피싱공격, 소셜 엔지니어링 공격, 내부자 위협, 그리고 자격 증명 도용이 있습니다.

• 피싱공격: 신뢰할 수 있는 기관이나 인물로 가장하여 개인 정보를 탈취하는 공격입니다. 이메일, 문자 메시지, 가짜 웹사이트를 통해 피해자가 링크를 클릭하거나 정보를 입력하도록 유도하여 민감한 정보를 탈취합니다.
• 소셜 엔지니어링 공격: 사람의 심리적 취약점을 이용하여 민감한 정보를 유출시키거나 시스템에 무단으로 접근하는 공격입니다. 공격자는 피해자의 신뢰를 얻거나 심리적 압박을 가하여 정보를 얻으며, 피싱, 스피어 피싱, 프리텍스팅, 베이팅 등의 기법이 사용됩니다.
• 내부자 위협: 조직 내부의 직원이나 계약자가 의도적이거나 실수로 시스템이나 데이터를 위협하는 공격입니다. 내부자는 시스템에 대한 접근 권한이 있어 보안 위협을 초래할 수 있으며, 고의적인 악의적 행위와 비의도적인 실수 모두 포함됩니다.
• 자격 증명 도용: 사용자의 로그인 정보나 인증 정보를 불법적으로 취득하여 시스템에 접근하는 공격입니다. 도용된 자격 증명으로 시스템이나 애플리케이션에 접근하여 민감한 정보를 훔치거나 권한을 상승시킬 수 있습니다.

1) 데이터 암호화

데이터 암호화는 슈프리마의 사이버 보안 전략의 핵심입니다. 데이터는 전송 중 및 저장 시 모두 암호화되어 무단 접근으로부터 보호됩니다. 신뢰성 검증된 암호화 알고리즘을 사용하여 데이터의 기밀성과 무결성을 보장하며, 암호화 키 관리 시스템을 활용하여 암호화 키를 안전하게 저장 및 관리하고 있습니다.

2) 접근 통제

슈프리마는 엄격한 접근 통제 정책을 시행하여 모든 시스템과 데이터에 대한 무단 접근을 방지합니다. 슈프리마는 사용자 인증 및 권한 부여 절차를 강화하고, 필요 최소한의 권한만을 부여하는 등 잠재적인 보안 위협을 최소화하며, 주기적인 권한 검토와 접근 로그 모니터링을 통해 보안 상태를 지속적으로 점검하고 있습니다.

3) 네트워크 보안

슈프리마는 회사의 내부 및 서비스 네트워크에 방화벽, 웹 방화벽 등 최신 보안장비를 운영하고 보안전문업체의 24/365 모니터링을 활용하여 네트워크를 보호합니다. 이를 통해 네트워크 트래픽을 실시간으로 감시하고, 비정상적인 활동을 조기에 탐지하여 이슈가 발생하는 경우 신속하게 대응합니다.

4) 클라우드 보안

슈프리마는 시스템 인프라의 성능, 가용성, 보안성, 최신 기술 적용 등을 고려하여 신뢰성 있는 클라우드 서비스를 사용합니다. 클라우드 서비스 사업자는 물리적인 인프라 관리 외 슈프리마의 시스템 및 데이터에는 접근하지 않으며 클라우드 서비스 인프라의 기술적.관리적 보호조치는 클라우드 서비스 사업자의 정책을 따릅니다. 슈프리마는 클라우드 서비스에서 사용하는 애플리케이션 및 데이터를 보호하기 위해 클라우드 보안 정책을 강화하고 있습니다. 클라우드 서비스 사업자와 협력하여 데이터 암호화, 접근 제어, 위협 탐지를 위한 기술적 조치를 구현하고 클라우드 보안 사고 대응 절차 수립, 정기적인 보안 점검 활동을 수행하는 등 클라우드 인프라의 안전성을 유지합니다.

5) 개발 보안 절차 및 애플리케이션 보안

슈프리마는 SDLC(Software Development Life Cycle) 전반에 걸쳐 보안성 검토를 수행하기 위한 개발보안 절차를 수립하여 운영하고 있습니다. 취약점 진단, 정적 및 동적 분석(SAST/DAST), Penetration Test를 수행하여 애플리케이션의 기획단계부터 릴리스 단계까지 단계별로 수행하여 취약점을 사전에 발견하고 조치합니다. 절차는 모든 개발자에게 주기적으로 교육되고, 개발자는 보안 코딩을 포함한 안전한 방식으로 코드를 작성합니다.

6) 엔드포인트 보안

슈프리마는 내부에서 사용되는 업무용 PC와 Laptop 등 단말기의 운영체제와 소프트웨어의 보안 패치를 정기적으로 업데이트하여 최신 버전으로 운영합니다. 또한 엔드포인트 보안 솔루션을 설치하고 최신 버전으로 자동 업데이트하여 바이러스 및 악성코드가 설치, 유포되지 않도록 조치하는 등 사이버 공격과 잠재적인 위협으로부터 보호하고 있습니다.

7) 물리 보안

슈프리마는 데이터센터, 서버실 등 통제 구역과 외부인이 출입할수 없는 업무 공간 등 제한 구역을 설정하여 인가된 직원만 출입할 수 있도록 권한을 부여하고 있습니다. 특별히 보호되어야 하는 통제 구역에는 출입 인증 시스템, 감시카메라 등을 설치하고 출입 관리 대장을 작성하고 내부 제한 구역은 출입 관제 모니터링을 수행하여 위험을 관리하고 있습니다.

8) 위험 관리 및 규정 준수

슈프리마는 사이버 보안 위험을 관리하고, 관련 법규 및 규정을 준수하기 위한 체계적인 위험 관리 프로세스를 운영합니다. 주요 시설, 시스템 인프라 및 서비스, 이외 주요 자산에 대한 위험을 정기적으로 평가하여 조치하고 있으며 정보보호 내부관리 규정, 보안 정책 및 절차를 정기적으로 평가함으로서 최신 컴플라이언스를 준수할 수 있도록 관리합니다.

9) 재해 복구 및 비즈니스 연속성

슈프리마는 매년 재해 복구 계획과 비즈니스 연속성 계획을 수립하고 검증하여 주요 시스템 및 서비스의 가용성을 유지합니다. 사업에 중요한 데이터를 정의하여 정기적으로 백업을 수행하고, 복구 검증을 수행하여 장애 및 재해 발생 시 신속하게 복구할 수 있도록 준비합니다.

10) 사이버 사고 대응

슈프리마는 사이버 사고 발생 시 신속하게 대응할 수 있는 사이버 사고 대응 절차를 수립하고 대응팀을 운영하고 있습니다. 사이버 공격 및 사고 발생 여부는 실시간으로 모니터링되며 특히 중요 시스템 및 서비스는 24시간 보안 전문 조직이 모니터링합니다. 사고 발생 시에는 관계 당국 및 피해 주체에게 규정된 기간 내에 알리는 등 피해를 최소화하기 위한 조치를 취합니다. 사고 후에는 철저한 분석을 통해 개선점을 도출하고, 대응 프로세스를 지속적으로 개선합니다.

11) 보안정책 평가 및 업데이트

슈프리마는 사업장이 위치하는 대한민국 및 사업을 수행하는 글로벌의 컴플라이언스 규정을 준수합니다. 보안 조직은 글로벌 컴플라이언스 규정과 새로운 보안 위협 및 기술의 내용을 매 년 검토한 후 정보보호 정책을 개정합니다. 정보보호 정책을 개정할 때에는 정보보호위원회 승인 후 전사 공지합니다.

12) 보안 교육 및 인식

슈프리마는 모든 직원을 대상으로 정보보안 교육을, 개인정보취급자를 대상으로 개인정보보호 교육을 매 년 시행합니다. 교육은 오프라인 및 온라인 방식으로 조합하여 수행하며 이를 통해 최신 보안 위협에 대한 인식과 대응 방법에 대한 역량을 높이고 있습니다.