Zendesk는 비공개 정보를 안전하게 보호하기 위해 사용할 수 있는 다양한 보안 옵션을 제공합니다. 이 문서에서는 시작하는 데 도움이 되는 일반 보안 성공 사례에 대해 다룹니다. 안전한 환경을 보장하기 위해 성공 사례를 따르도록 상담사와 관리자를 교육하는 것이 좋습니다.
사용 중인 인스턴스에 구현할 것을 권장하는 자세한 보안 성공 사례 목록은 Zendesk Suite 실행 가능 보안 가이드를 참조하세요.
Zendesk 인스턴스의 보안에 대해 궁금한 점이 있으면 Zendesk에 직접 문의하세요. 보안 위반이 의심되는 경우에는 제목줄에 “보안”이라고 적고 자세한 내용과 함께 티켓을 제출하세요. 또는 security@zendesk.com으로 이메일을 보낼 수 있습니다.
상담사에 대한 비밀번호 보안 강화
Zendesk는 다음의 4가지 비밀번호 보안 수준인 권장, 높음, 중간, 낮음을 제공합니다. 사용자 지정 보안 수준을 지정할 수도 있습니다. 관리자는 최종 사용자에 대한 비밀번호 보안 수준과 상담사 및 관리자에 대한 비밀번호 보안 수준을 다르게 설정할 수 있습니다.
Zendesk는 팀원과 최종 사용자 모두에게 권장 비밀번호 보안 수준을 설정하여 계정을 보호할 것을 강력히 권합니다. 이 보안 수준은 엄격한 비밀번호 요구 사항으로 구성되어 있고, 알려진 유출 비밀번호인지 검사하며, 보안 성공 사례와 업계 표준을 기반으로 합니다.
상담사에 대한 비밀번호 요구 사항을 강화하면 권한이 없는 사용자가 상담사의 비밀번호를 추측하는 것을 방지하는 데 도움이 됩니다. 또한 관리자와 상담사가 Zendesk 계정에만 사용하는 고유한 비밀번호를 선택하고 그 비밀번호를 외부 시스템에 재사용하지 않도록 해야 합니다.
상담사들이 자신의 계정을 모니터링하도록 권장하세요. Zendesk는 비밀번호가 변경되면 상담사에게 이메일 알림을 보냅니다. 상담사는 새 기기에서 로그인할 때 이메일 알림을 사용 설정하여 자신의 계정을 편리하게 모니터링할 수도 있습니다. 의심되는 기기에서 새 로그인이 발견되는 경우에는 이 기기를 제거하여 사용자의 세션을 종료한 다음 새 비밀번호를 선택하세요.
보안을 한층 더 강화하기 위해 상담사와 관리자가 2단계 인증을 사용하도록 요구하세요. 지원팀에게 2단계 인증 사용하기 문서 링크가 담긴 메시지를 보내는 것이 좋습니다.
1Password 또는 LastPass와 같은 비밀번호 관리 프로그램을 사용하는 것도 좋습니다. 비밀번호 관리 프로그램을 통해 강력한 단일 비밀번호를 생성하여 다른 모든 사이트에서 사용할 수 있습니다.
사용자 이름, 이메일 주소 또는 비밀번호를 절대 공개하지 말것
Zendesk 상담사와 관리자는 사용자 이름, 이메일 주소 또는 비밀번호를 절대 공개해서는 안 됩니다.
표준 Zendesk 로그인 인증을 사용 중인 경우 비밀번호를 안전하게 재설정하는 유일한 방법은 사용자가 Zendesk 로그인 화면에서 비밀번호 잊음 링크를 클릭하는 것입니다. 그러면 사용자에게 올바른 이메일 주소(이미 계정에서 올바른 사용자로 확인된 이메일 주소)를 입력하라는 메시지가 표시됩니다. 제출한 후 비밀번호를 재설정할 수 있는 링크가 포함된 이메일을 받게 됩니다.
Active Directory, Open Directory, LDAP 또는 SAML과 같은 타사 통합 인증 시스템을 사용 중인 경우에는 그러한 서비스를 통해 비슷한 방법으로 비밀번호를 재설정할 수 있습니다.
해커들은 종종 소셜 엔지니어링 기법을 사용하여 계정 비밀번호를 알아내려 합니다. 어떤 해커는 이메일 주소를 스푸핑하는 도구를 사용하여 올바른 이메일 도메인의 사용자로 위장합니다. 따라서 사용자로부터 온 올바른 이메일 요청인 것처럼 보이지만 실제 그 주소에서 온 것이 아닐 수도 있습니다.
사용자나 관리자라고 주장하는 사람이 연락하는 경우 티켓의 이벤트 보기에 표시되는 IP 주소를 확인하고 사용자 프로필에 있는 전화번호로 전화를 거는 등 별도로 그 사람의 신원을 확인해야 합니다. 의심스러운 경우에는 절대 민감한 정보를 제공하거나 다른 사람을 대신하여 계정에 변경 작업을 하지 말아야 합니다. 올바른 사용자는 자신의 계정 설정을 변경할 수 있습니다.
이러한 보안 위험 유형에 대해 상담사들을 교육하세요. 또한 이러한 인시던트가 발생했을 때 모든 사람이 알고 참조할 수 있는 보안 정책을 만드세요.
관리자 액세스 권한이 있는 상담사 수 제한
관리자는 Zendesk 계정에서 일반 상담사가 액세스할 수 없는 부분에 액세스할 수 있습니다. 관리자 액세스 권한이 있는 상담사 수를 제한함으로써 보안 위험을 줄일 수 있습니다. 상담사 역할은 일반 상담사들이 티켓을 관리하고 해결하는 데 필요한 액세스 권한을 제공합니다.
상담사에게 추가 권한을 부여하는 사전 정의된 상담사 역할을 선택할 수 있습니다. Enterprise 플랜에서는 자체 사용자 지정 상담사 역할을 만들고 그 상담사 역할에서 액세스하고 관리할 수 있는 부분을 결정할 수도 있습니다. 이러한 권한은 제한적입니다. 예를 들어 계정 소유자와 관리자만 보안 설정에 액세스할 수 있습니다.
상담사가 최종 사용자에 대한 정보에 액세스하는 것이 우려되는 경우에는 최종 사용자 프로필을 편집하거나 모든 최종 사용자 목록을 볼 수 없는 역할을 만들 수 있습니다.
티켓의 비공개 정보에 대한 액세스 제한
Enterprise 플랜에서는 관리자가 그룹을 비공개로 지정할 수 있습니다. 관리자와 팀 리더는 기본적으로 액세스 권한이 있으며 상담사는 비공개 티켓을 볼 수 있는 권한을 부여받을 수 있을지라도 이는 일반적으로 그룹 내 상담사에 대한 액세스를 제한합니다. 비공개 티켓에서 작업 중인 상담사는 비공개 그룹 외부의 팀원들과 @멘션을 하거나 사이드 대화를 열 수 없습니다. 비공개 티켓 그룹을 사용하면 티켓의 콘텐츠에 대한 가시성이 현저히 떨어집니다.
상담사가 티켓의 민감한 정보에 액세스하는 것이 우려되는 경우 비공개 그룹을 만들고 적절한 상담사를 배정하여 그러한 티켓을 처리하도록 할 수 있습니다.
통합 인증을 통해 사용자 원격 인증
Zendesk에서 제공하는 사용자 인증 외에도 Zendesk 외부에서 사용자를 인증하는 통합 인증을 사용할 수도 있습니다. 소셜 미디어 통합 인증과 엔터프라이즈 통합 인증의 두 가지 SSO 옵션이 있습니다.
소셜 미디어 통합 인증을 사용하면 고객이 Zendesk 계정이나 Google 또는 Microsoft 등 소셜 미디어 계정 중 하나로 로그인할 수 있습니다. 이러한 옵션이 편리하기는 하지만 불필요한 소셜 로그인은 비활성화하는 것이 좋습니다.
엔터프라이즈 통합 인증은 Zendesk를 우회하여 외부에서 사용자를 인증합니다. 사용자가 Zendesk 로그인 페이지로 이동하거나 링크를 클릭하여 Zendesk 계정에 액세스할 때 회사 서버나 OneLogin 또는 Okta 등의 타사 ID 제공업체에 로그인하여 인증할 수 있습니다.
엔터프라이즈 통합 인증 또는 소셜 미디어 통합 인증을 제공할 때에는 이러한 서비스가 제공하는 다단계 인증이라고도 알려진 2단계 인증을 이용할 것을 권장합니다. 이렇게 하면 추가 신원 확인 절차가 필요하므로 보안 수준이 더욱 강화됩니다. JWT 또는 SAML을 사용하는 경우에는 Zendesk 계정에서 이를 설정해야 합니다. 소셜 미디어 통합 인증의 경우에는 사용자들이 직접 설정해야 합니다. 이러한 모든 서비스에서 설정에 필요한 문서를 제공합니다.
상담사와 최종 사용자는 서로 다른 방법으로 자신들을 인증할 수 있습니다. 고객과 최종 사용자에게는 쉬운 액세스를 제공하면서 상담사에 대해서는 더 엄격한 인증 정책을 만들어 Zendesk Support를 안전하게 보호할 수 있습니다.
계정 감사 로그 모니터링
감사 로그는 계정의 중요한 변경 내용을 추적합니다. 감사 로그를 사용하여 사용자 일시 중단, 비밀번호 정책 변경, 고객 데이터 내보내기, 사용자 지정 역할 정의 변경 등 다양한 보안 이벤트를 모니터링할 수 있습니다.
액세스를 제한하거나 REST API를 사용하는 경우 안전한 코딩 성공 사례 따르기
Zendesk REST API 및 Zendesk Apps framework를 사용하여 Zendesk Support 인스턴스의 기능을 확장할 수 있습니다.
Zendesk 인스턴스를 확장하려면 안전한 코딩 성공 사례를 따르는 것이 좋습니다. 이에 대한 좋은 참고자료는 여기에서 찾을 수 있는 OWASP(Open Web Application Security Project)입니다.
보안 알림을 위한 이메일 주소 제공
보안 인시던트가 서비스 데이터에 영향을 미치는 경우 필요한 시간 내에 고객에게 알리는 것은 Zendesk가 최우선으로 취해야 하는 법적 의무입니다. 조직의 보안 연락처나 보안 인시던트 알림을 받아야 하는 그룹의 이메일 주소를 추가하세요. 필수 보안 알림을 받을 이메일 주소 지정하기를 참조하세요.