Zendesk는 비공개 정보를 안전하게 보호하기 위해 사용할 수 있는 다양한 보안 옵션을 제공합니다.
이 문서의 성공 사례를 따름으로써 Zendesk의 보안을 강화하고 보안 침해의 위험을 줄일 수 있습니다. 하지만 아무리 훌륭한 보안 정책이더라도 제대로 따르지 않는다면 소용이 없다는 사실을 명심하시기 바랍니다. Zendesk는 상담원과 관리자가 성공 사례를 따르고 안전한 환경을 보장할 수 있도록 교육을 받을 것을 적극 권합니다.
Zendesk 시스템의 보안에 대해 확신이 서지 않는다면 Zendesk에 직접 문의하세요. 보안 위반이 의심되는 경우에는 제목줄에 “보안”이라고 적고 자세한 내용과 함께 티켓을 제출하셔야 합니다. 또는 security@zendesk.com으로 이메일을 보낼 수 있습니다.
상담원에 대한 비밀번호 보안 강화
Zendesk 비밀번호 보안 수준에는 낮음, 중간, 높음이 있습니다. 자체 사용자 지정 비밀번호 보안 수준을 지정할 수 있습니다. 관리자는 최종 사용자에 대한 비밀번호 보안 수준과 상담원 및 관리자에 대한 비밀번호 보안 수준을 다르게 설정할 수 있습니다.
상담원에 대한 비밀번호 요건을 강화하면 권한이 없는 사용자가 상담원의 비밀번호를 추측하는 것을 방지할 수 있습니다. 가장 높은 보안 수준을 사용하는 경우 상담원이 90일마다 새 비밀번호를 선택해야 합니다. 자세한 내용은 비밀번호 보안 수준 설정하기를 참조하세요.
또한 관리자와 상담원이 Zendesk 계정에만 사용하는 고유한 비밀번호를 선택하도록 해야 합니다. 즉 Salesforce, GoodData 등 외부 시스템에 사용하는 것과 다른 비밀번호를 사용하도록 해야 합니다. 이로써 한 계정이 해킹을 당해 비밀번호가 노출되더라도 해커가 그 계정에만 액세스하고 Zendesk 계정에는 액세스할 수 없습니다.
마지막으로 상담원과 관리자가 2단계 인증을 필수로 사용하도록 할 수 있습니다. 2단계 인증 관리하기를 참조하세요. 지원팀에게 상담원 가이드의 2단계 인증 사용하기 문서 링크가 담긴 메시지를 보내시기 바랍니다.
사용자 이름, 이메일 주소 또는 비밀번호를 절대 공개하지 말것
사용자의 필요를 충족시키는 것과 보안을 유지하는 것 사이에는 차이가 있지만 최선의 방안은 Zendesk 상담원과 관리자가 사용자 이름, 이메일 주소 또는 비밀번호를 절대 공개하지 않는 것입니다.
표준 Zendesk 로그인 인증을 사용 중인 경우 비밀번호를 안전하게 재설정하는 유일한 방법은 사용자가 Zendesk 로그인 화면에서 비밀번호 잊음 링크를 클릭하는 것입니다. 그러면 사용자에게 올바른 이메일 주소(이미 계정에서 올바른 사용자로 확인된 이메일 주소)를 입력하라는 메시지가 표시되고, 비밀번호를 재설정할 수 있는 링크가 포함된 이메일을 보냅니다.
Active Directory, Open Directory, LDAP 또는 SAML과 같은 타사 통합 인증 시스템을 사용 중인 경우에는 그러한 서비스를 통해 비슷한 방법으로 비밀번호를 재설정할 수 있습니다.
해커들이 종종 소셜 엔지니어링 기법을 사용하여 계정 비밀번호를 알아내려 한다는 점을 유념하세요. 어떠 경우에는 근무 중인 고참 직원이 거의 없다고 생각하는 저녁 시간이나 주말에 고객서비스팀에 연락합니다. 심지어 보안 위반이 있었고 이들이 제공하는 새 텍스트로 비밀번호를 즉시 재설정해야 한다고 주장할 수도 있습니다.
어떤 해커는 이메일 주소를 스푸핑하여 올바른 이메일 도메인의 사용자로 위장할 수 있는 툴을 가지고 있습니다. 따라서 사용자로부터 온 올바른 이메일 요청인 것처럼 보이지만 실제 그 주소에서 온 것이 아닐 수도 있습니다. 계정의 관리자나 사용자라고 주장하는 사람이 연락하는 경우 티켓의 이벤트 및 알림 보기에 표시되는 IP 주소를 확인하고 사용자 프로필에 있는 전화번호로 전화를 거는 등 별도로 그 사람의 신원을 확인해야 합니다. 의심스러운 경우에는 민감한 정보를 제공하거나 다른 사람을 대신하여 계정을 절대 변경해서는 안됩니다. 올바른 사용자라면 위에 설명된 방법을 사용하여 직접 계정 설정을 변경할 수 있어야 합니다.
이러한 유형의 보안 위험에 대해 상담원을 교육시키고 이러한 사건 발생 시 모든 사람이 알고 참조할 수 있는 보안 정책을 만드는 것이 좋습니다.
관리자 액세스 권한이 있는 상담원 수 제한
관리자는 Zendesk에서 일반 상담원이 액세스할 수 없는 부분에 액세스합니다. 예를 들어 이 문서에서 설명한 모든 보안 기능은 관리자만 사용할 수 있습니다. 관리자 액세스 권한이 있는 상담원 수를 제한함으로써 보안 위험을 줄이게 됩니다. 상담원 역할은 일반 상담원들이 티켓을 관리하고 해결하는 데 필요한 액세스 권한을 제공합니다.
상담원에게 추가 권한을 부여하는 사전 정의된 상담원 역할을 선택할 수 있습니다. 자체 사용자 지정 상담원 역할을 만들고 그 상담원 역할이 Zendesk Support의 어느 부분에 액세스할 수 있는지 정할 수도 있습니다. 단, 이러한 권한은 Zendesk Support의 사용자, 티켓, 포럼 및 워크플로우 관리 부분으로 제한됩니다. 예를 들어 계정 소유자와 관리자만 보안 설정에 액세스할 수 있습니다.
상담원이 최종 사용자에 대한 정보에 액세스하는 것이 우려되는 경우에는 최종 사용자 프로필을 편집하거나 모든 최종 사용자 목록을 볼 수 없는 역할을 만들 수 있습니다. 그러한 액세스를 방지하려면 다음 두 가지 권한을 설정하세요.
- 이 상담원은 최종 사용자의 프로필에 어떤 액세스 권한을 갖고 있습니까? 읽기 전용으로 설정하세요.
- 이 사용자가 사용자 프로필 목록을 볼 수 있습니까? 사용자 찾아보기 또는 검색 불가능으로 설정하세요.
자세한 내용은 사용자 지정 역할 만들기 및 상담원 배정하기를 참조하세요.
정기적으로 Zendesk 계정 감사
- 팀원 페이지에서 상담원 액세스 권한과 역할을 검토하여 알 수 없는 상담원, 관리자, 또는 회사 도메인에 없는 특이한 이메일 주소를 찾아봅니다.
- 이메일 보관 기능을 사용하는 경우에는 해당 이메일 주소가 올바른지 확인하세요. 티켓 이메일 알림 보관하기를 참조하세요.참고: 이메일 보관 기능은 Enterprise 플랜 이상에서 사용할 수 있습니다.
- 브랜딩 페이지에서 로고의 URL이 올바르고 변경되지 않았는지 확인하세요.
- 사용하는 모든 대상이 올바르고 알려진 정확한 주소를 가리키는지 확인하세요. 외부 대상에 알리기를 참조하세요.
- 알림을 보내는 모든 대상과 자동화를 살펴보면서 이들이 올바른 사람들에게 알리고 있는지 확인하세요.
Zendesk는 이러한 대부분의 이벤트 발생 시 모든 관리자에게 자동으로 알리지만 이러한 알림이 반드시 적절한 사람들에게 전달되도록 해야 합니다. Zendesk에서 이러한 알림을 받는 그룹을 만들 수 있습니다.
계정 감사 로그 모니터링
감사 로그를 사용하여 사용자 일시 중단, 비밀번호 정책 변경, 사용자 가정 로그인, 고객 데이터 내보내기, 고객 역할 정의 변경 등 다양한 보안 이벤트를 모니터링할 수 있습니다. 이를 통해 계정의 많은 중요한 변경 내용을 추적할 수 있습니다. 자세한 내용은 감사 로그에서 변경 내용 보기를 참조하세요.
상담원들이 자신의 사용자 계정을 모니터링하도록 권장
상담원은 더 많은 권한을 가지고 있기 때문에 해커가 Zendesk에 대한 무단 액세스 권한을 얻었을 때 이를 먼저 알리는 역할을 할 수 있습니다. 침입자는 나중에도 계속 액세스할 수 있도록 관리자 프로필에 새 이메일 주소를 추가하고 비밀번호 재설정 절차를 시작할 수 있습니다.
Zendesk는 비밀번호가 변경되면 상담원에게 이메일 알림을 보냅니다. 또한 상담원은 새 장치에서 로그인 시 이메일 알림을 받도록 설정하여 자신의 사용자 계정을 편리하게 모니터링할 수 있습니다(Zendesk 상담원 가이드에서 계정에 액세스한 장치 및 애플리케이션 확인하기 참조). 의심되는 위치에서 새 로그인이 발견되는 경우에는 이 장치를 제거하여 사용자의 세션을 종료한 다음 새 비밀번호를 선택하세요.
통합 인증을 통해 사용자 원격 인증
Zendesk에서 제공하는 사용자 인증 외에도 Zendesk 외부에서 사용자를 인증하는 통합 인증을 사용할 수도 있습니다. 소셜 미디어 통합 인증과 엔터프라이즈 통합 인증의 두 가지 유형이 있습니다.
소셜 미디어 통합 인증은 고객의 편의를 위해 제공할 수 있는 추가 로그인 옵션입니다. 예를 들어 헬프 센터 로그인 페이지에서 Facebook, Google 및 트위터 로그인을 사용하도록 설정할 수 있습니다. 그러면 고객이 Zendesk 계정이나 자신의 소셜 미디어 계정 중 하나로 로그인할 수 있습니다.
엔터프라이즈 통합 인증은 소셜 미디어 통합 인증과 다릅니다. 선택 사항으로서 Zendesk 계정 로그인 이외에 추가로 사용되는 것이 아니라 엔터프라이즈 통합 인증은 모든 다른 로그인 옵션을 대체합니다. Zendesk 계정에 대해 사용 설정된 후에는 고객이 헬프 센터 로그인 페이지를 보거나 사용할 수 없습니다. 대신 회사 네트워크에 로그인한 다음 링크를 클릭하기만 하면 Zendesk Support에 액세스하고 자동으로 로그인됩니다. 모든 사용자 관리 및 인증이 Zendesk 밖에서 이루어집니다. Zendesk는 SAML(Secure Assertion Markup Language) 및 JWT(JSON 웹 토큰)를 사용한 통합 인증을 지원합니다.
JWT 또는 SAML 기반 SSO를 사용하는 경우에는 사용자의 이메일 주소 확인을 비롯한 사용자의 ID를 확인하는 책임을 져야 합니다. 사용자와 사용자의 이메일 주소를 확인하지 않으면 계정에 무단 액세스 위험이 있으므로 Zendesk는 계정의 보안을 보장하거나 보증할 수 없습니다.
엔터프라이즈 통합 인증이나 소셜 미디어 통합 인증을 통해 사용자에게 통합 인증을 제공하는 두 경우 모두에 대해 상담원과 사용자들이 이러한 서비스가 제공하는 2단계 인증(다단계 인증이라고도 함)을 활용하는 것이 좋습니다. 이렇게 하면 추가 신원 확인 절차가 필요하므로 보안 수준이 더욱 강화됩니다. JWT 또는 SAML을 사용하는 경우에는 Zendesk에서 이를 설정해야 합니다. 소셜 미디어 통합 인증의 경우에는 사용자들이 직접 설정해야 합니다. 이러한 모든 서비스에서 설정에 필요한 문제를 제공합니다.
통합 인증에 대한 자세한 내용은 다음을 참조하세요.
IP 제한으로 Zendesk Support에 대한 액세스 제한
관리자는 특정 IP 주소에 대한 액세스를 제한할 수 있습니다. 즉 계정에 직접 추가한 해당 IP 주소의 사용자들만 Zendesk Support에 로그인할 수 있습니다.
이러한 제한은 모든 사용자에게 적용되거나 상담원에게만 적용될 수 있습니다. 상담원에게만 적용되도록 선택하면 상담원 액세스는 제한되지만 최종 사용자 액세스는 제한되지 않습니다.
이 기능에 대한 자세한 내용은 IP 제한을 사용하여 Zendesk 액세스 제한하기를 참조하세요.
액세스를 제한하거나 REST API를 사용하는 경우 안전한 코딩 성공 사례 따르기
Zendesk REST API 및 Zendesk Apps framework를 사용하여 Zendesk Support 인스턴스의 기능을 확장할 수 있습니다.
이러한 툴을 사용하여 Zendesk Support를 확장할 것이 아니라면 API를 사용 중지된 상태로 놔두세요. 관리자 > 채널 > API에서 토큰 액세스 및 비밀번호 액세스 옵션을 선택 취소합니다.
Zendesk를 확장하려는 경우에는 반드시 안전한 코딩 성공 사례를 따르도록 하세요. 이에 대한 좋은 참고자료는 여기에서 찾을 수 있는 OWASP(Open Web Application Security Project)입니다.
또한 Zendesk API에 액세스하는 애플리케이션은 절대 사용자 이름과 비밀번호를 사용해서는 안 되며, 대신 OAuth 토큰을 사용해야 합니다(애플리케이션에 OAuth 인증 사용하기 참조). 이로써 이 애플리케이션이 하는 작업을 격리하여 손상 또는 유출되었다고 의심되는 경우 토큰을 취소할 수 있습니다.
티켓에서 신용카드 번호 삭제
최종 사용자는 종종 지원 요청에 신용카드 번호를 포함합니다. 티켓에 액세스할 수 있는 사람 누구에게나 그 신용카드 번호가 보이는 것은 물론 티켓 나머지 내용과 함께 자동으로 데이터베이스에 저장됩니다. 신용카드 번호를 더 이상 이용할 수 없도록 숫자가 보이지 않도록 하거나 제거할 수 있습니다. 티켓에서 신용카드 번호 자동으로 삭제하기를 참조하세요.
비공개 첨부 파일 사용 설정
Zendesk Support에서는 링크를 사용해서 첨부 파일을 표시합니다. 첨부 파일을 비공개로 설정하지 않으면 링크를 클릭하는 모든 사람들이 Zendesk의 인증 절차를 거치지 않고도 첨부 파일에 액세스할 수 있습니다. 업무상 첨부 파일을 공개 상태로 두어야 할 매우 중요한 이유가 없는 한, 비공개로 설정하세요. 티켓 첨부 파일 사용 설정하기를 참조하세요.
포럼 스팸 방지
스팸인 것으로 보이는 최종 사용자 게시물이 게시되지 않도록 헬프 센터의 필터를 설정할 수 있습니다. 의심스러운 게시물은 스팸 대기열로 보내지므로 관리자가 검토하여 관리할 수 있습니다. 자세한 내용은 스팸 필터를 사용하여 헬프 센터에서 스팸 방지하기를 참조하세요.
0 댓글
댓글을 남기려면 로그인하세요.