안전한 온라인 생활을 위한 최신 안내서
OSS
게시글 작성 시각 2017-06-05 06:11:34
2017년 6월 2일 (금)
ⓒ ITWorld, Fahmida Y. Rashid, Serdar Yegulalp | CSO
인터넷은 무서운 장소다. 각종 위협이 곳곳에 도사리고 있다. 더욱 무서운 것은 한 때는 통했던 온라인 안전 유지 방법들(예: 수상한 웹사이트 피하기, 장물 또는 불법물 밀거래 하지 않기, 아는 사람하고만 연락 주고받기)이 더 이상 통하지 않는다는 점이다.
Credit: Pixabay
가족 메일 주소로부터 온 피싱(phishing) 이메일, 합법적인 앱을 타고 들어 온 스파이웨어(spyware), 악성코드로 납치된 유명 사이트 등 오늘날 진화하는 각종 디지털 위협으로부터 안전을 유지하려면 새로운 규칙이 필요한 것은 자명하다.
디지털 생활 가운데 상당 부분을 차지하는 커뮤니케이션, 금융거래, 오락, 업무, 교육 등이 온라인으로 이루어진다는 점을 감안하면, 몇 가지 안전한 인터넷 사용 습관만으로도 큰 효과를 볼 수 있다. 이메일 메시지 관리도 마찬가지다. 이메일은 악용 키트와 악성코드를 사용한 온라인 공격 전달 수단으로 많이 이용되기 때문이다.
이 기사는 안전한 온라인을 위한 생활 안내서다. 웹 상에서 생산성을 유지하면서 데이터 및 개인 정보를 보호할 수 있는 방법을 소개한다.
각자 대비하고자 하는 위협 종류 파악하기
워낙 많은 종류의 위협들이 출현하고 있기 때문에, 모든 것을 걸어 잠그는 극단적인 방법을 취하고 싶은 유혹이 들게 마련이다. 단, 조심성이 지나치면 생산성이 저하되는 것이 문제다. 가령, 악성 자바스크립트(JavaScript)를 피하려면 브라우저 환경설정에서 자바스크립트를 끄면 되지만 인터넷 중 태반을 거의 사용할 수 없게 된다.
자바스크립트를 끈 상태로 지메일(Gmail)을 사용해 보면 얼마나 불편한지 알 수 있다.
사람마다 웹 사용 방식이 다르다. 위험 요소 역시 어디에서 무엇을 하고 있는 지에 따라, 심지어 무슨 요일이냐에 따라서도 크게 달라진다.
보안 연구원의 온라인 안전 유지 방법은 이메일과 페이스북(Facebook)을 사용하고 넷플릭스(Netflix)를 시청하는 일반 소비자와는 딴판이다. 새로운 도구를 다운로드한 후 도움을 얻기 위해 포럼에 자주 드나드는 개발자와도 다르다.
기본적으로 운영체제뿐만 아니라 모든 애플리케이션, 특히 웹브라우저를 주기적으로 업데이트해야 한다. 플래시(Flash)에 대해 클릭 후 재생 기능이 이미 설정되어 있지 않는 브라우저에서는 환경설정을 그렇게 바꿔야 한다.
또한, 액티브X(ActiveX)를 비활성화하고 시스템에 설치된 자바 클라이언트를 제거해야 한다. 게임이나 일부 교육 프로그램처럼 자바가 많이 필요한 클라이언트 애플리케이션을 사용하지 않는다면 자바를 쓸 일은 더 이상 없다. 주요 화상회의 프로그램들조차도 HTML5만 사용하는 방향으로 가고 있다.
또한, '장소'와 '활동'을 모두 신경써야 한다. 예컨대 공용 무선망에서 민감한 거래를 실행하면 문제가 생길 수 있다. 즐겨 찾는 커피숍에서 제공되는 공용 와이파이(Wi-Fi)를 통해 인터넷 뱅킹을 하는 것은 금물이다. SSL 연결을 사용하는 경우라도 마찬가지다. SSL을 통한 중간자(man-in-the-middle) 공격이 여전히 가능하기 때문이다.
이와 같은 기본 조치를 취한 후에는 가장 걱정되는 위험이 어떤 것인지, 보호하고자 하는 자산은 무엇인지, 누구와 주기적으로 연락을 주고받는지, 데이터 저장 장소는 어디인지 등을 고민해야 한다.
자, 위협 종류를 파악했다면 이제 이런 고민들을 세분화해 살펴보자. 각자의 위험 용인 수준(온라인 상에서 감당할 용의가 있는 위협 단계)에 맞는 안전한 인터넷 사용 습관 선택에 도움이 될 것이다.
1단계 위협: 악성코드 사절
대부분의 사람들, 특히 기업에서는 무슨 일이 있어도 악성코드를 피하고 싶어한다. 가장 흔한 매개체 두 가지는 악성코드를 다운로드하는 링크와 드라이브 바이 다운로드(drive-by-download)다.
드라이브 바이 다운로드에서는 웹 페이지를 불러오는 것만으로도 자동으로 악성코드가 다운로드 된다. 위험한 링크는 웹페이지와 이메일 또는 인스턴트 메시지에서 발견된다. 범죄자들은 SNS와 URL 단축 기능을 이용해 변장한 악성 링크를 전파하는 경우가 많다. 누군가 클릭하기를 노리는 것이다.
- 초동 조치: 링크 클릭을 하지 않는다. 이는 사회 생활 중 연습이 필요하다. 업무적으로나 사적으로 링크를 계속 받을 수 밖에 없기 때문에 특히 지키기 힘들 수 있다. 주기적으로 연락을 주고 받는 사람들에게 만일 링크를 보내려면 경고문을 먼저 보내고 확인을 받기 전까지는 링크를 보내지 말아달라고 부탁한다. 아니면, 정말로 링크를 보냈는지 여부를 다른 채널을 통해 확인해 달라고 부탁한다.
예를 들어 형이 링크를 보냈다면 정말 형 계정에서 온 것인지 문자를 보내 확인한다. 지나치게 예민한 행동이라고 생각할 지 모르지만 최근 가짜 구글 문서(Google Docs) 사기가 성공한 이유는 사람들이 악성 파일을 믿을 수 있는 사람한테 온 것이라고 생각하고 확인하지 않았기 때문이다. 링크는 항상 직접 입력하도록 한다. 백서같은 것으로 연결되는 링크를 받으면 출처로 직접 가서 웹사이트 상의 백서를 직접 찾아보도록 한다.
- 전문가 팁: 브라우저에 문서 저장 장소를 묻게 하는 설정을 한다. 그래야만 무언가가 다운로드되고 있을 때마다 인지할 수 있기 때문이다. 드라이브 바이 다운로드의 경우 무슨 일이 일어나고 있는지 사용자가 눈치채지 못하도록 몰래 움직인다. 다운로드되는 파일을 모두 검사하도록 보안 소프트웨어를 구성해야 한다.
2단계 위협: 스파이웨어 출입 금지!
브라우저가 공격 당하면 각종 정보가 유출될 수 있다. 이런 점에서 브라우저 애드온(add-on)이 반드시 유익하다고 할 수 없다. 보이지 않는 악성코드 전달 수단이 될 수 있으므로 사용을 자제하는 것이 좋다.
브라우저 확장 프로그램 목록(크롬은 chrome://extensions, 파이어폭스는 about:addons)에서 잘 모르는 것이나 확실하지 않은 것이 없는지 주기적으로 확인하도록 한다. 수상해 보이는 것은 사용 중지시키는 것이 상책이다. 또한, 확장 프로그램을 설치하도록 유도하는 웹 페이지에 주의해야 한다. 예를 들면, "이 웹사이트의 속도를 늘리려면 '추가', '클릭' 등과 같은 메시지가 뜨면 속기 쉬우므로 조심한다.
- 초동 조치: 개인이 만든 브라우저 애드온은 특히 더 주의를 요한다. HTTPS 없는 사이트에 접근할 수 있기 때문이다. 전문가들조차 어려움을 겪는다. 널리 사용되는 비밀번호 관리자를 만든 라스트패스(LastPass)는 최근 브라우저 확장 프로그램의 심각한 취약점을 다수 수정해야 했다. 애드온으로 인한 편리함이 잠재적 위험보다 큰지 스스로 판단해야 한다. 한 달 내에 별로 가치를 느끼지 못하는 것이라면 더욱 그렇다.
- 전문가 팁: 항상 출처를 확인하도록 한다. 플래시나 어도비 리더(Adobe Reader)가 필요하면 어도비 웹사이트에서 다운로드 받는다. 무관한 웹사이트에서 받으면 안 된다. 스파이웨어, 애드웨어(adware) 등 악성 파일들이 함께 다운로드 되기 쉽기 때문이다.
예를 들어, "무료 PDF 변환기"를 검색해 제일 먼저 나타나는 것을 다운로드해서는 안 된다. PDF 변환기가 필요하다면 크롬에 자동으로 페이지를 PDF로 변환해 주는 기능이 있다. 요즘은 오피스(Office)의 PDF 지원 기능도 좋다. 포터블앱닷컴(PortableApps.com)과 니나이트(Ninite)와 같은 프로젝트에서는 믿을 수 있는 출처로부터 흔한 오픈소스와 무료 애플리케이션을 자동으로 구해서 업데이트하는 편리한 방법을 제공한다.
3단계 위협: 추적 당하는 것은 싫다!
이런 일은 누구나 한번씩 겪었을 것이다. 홈디포닷컴(HomeDepot.com)에서 바닥 타일을 구경하고 났더니 인터넷 어디를 가든 집 단장 관련 광고가 뜨는 현상 말이다. 광고업체들은 쿠키를 이용해 사용자의 온라인 행적을 추적하고 맞춤 광고를 내놓는다.
비단 광고뿐만이 아니다. 웹사이트 또한 쿠키를 이용해 사용자의 계정과 암호, 인터넷 방문기록 등을 기억해 두고 해당 사이트 상 사용자의 활동을 추적한다. 쿠키를 사용 중지하고 삭제하면 사이버 범죄자들에게 유출될 수 있는 개인 정보가 줄어드는 셈이다.
- 초동 조치: 온라인 상에서는 개인 인터넷 또는 익명 모드를 사용하도록 한다. 그러면 세션이 끝날 때 쿠키와 인터넷 방문기록이 보관되지 않는다. 익명 모드를 작동시킨 후 (악성코드가 없는 것이 확실한) URL을 붙여 넣고 해당 페이지로 이동하면 추적될 염려가 없다. 크롬 상에서 항상 익명을 유지하려면 크롬 속성의 대상 명령 끝에 —incognito를 추가한다. 그러면 크롬을 실행할 때마다 익명 모드가 된다. 파이어폭스에서도 about:config를 통해 똑같이 할 수 있다.
- 전문가 팁: 페이스북이나 트위터(Twitter) 등 SNS 계정을 사용하고 싶은데 해당 로그인이 계속 따라다니는 것은 싫다면 크롬, 파이어폭스, 사파리 등의 웹브라우저에 해당 SNS 전용 사용자 프로필을 따로 만들면 된다. 그 곳에서만 로그인하고 그 곳에서만 사용하도록 한다. 그러면 해당 로그인이 꼭 필요한 것들에만 관련 데이터가 사용된다. 이 기술은 SNS 계정을 통합 인증에 사용하는 스포티파이(Spotify)와 같은 사이트의 추적을 최소화하는 데에도 유용하다.
추적이 염려된다면, 사용하는 모든 브라우저에 추적 금지 기능을 설정해야 한다. 실제 추적 금지가 실행된다기 보다는 추적 금지를 요청했다는 사실을 웹사이트에 알려주는 것에 불과하다. 양심적이지 않은 웹사이트가 많아서 사용자의 요청대로 되리라는 보장은 없다. 그래도 적어도 원하는 바를 확실히 해 둔다면 나쁠 것은 없다.
4단계 위협: 내 정보에 손대지 마!
쿠키는 사이버범죄자들이 주로 노리는 먹잇감이다. 특히 이메일, 계정명, 비밀번호 등의 중요 정보가 포함되어 있기 때문이다. 정보가 감춰져 있다하더라도 불법적인 용도로 사용될 수 있다.
사이트 간 스크립팅(cross-site scripting, XSS) 공격은 웹페이지의 자바스크립트를 사용해 쿠키로부터 사용자 상세정보와 세션 정보를 빼낸 후 온라인에서 그 사람 행세를 한다. 사이트 간 요청 위조 공격은 세션 쿠키를 사용해 다른 사이트에 대한 요청을 위조한다.
- 초동 조치: 가능하면 쿠키를 항상 차단하도록 한다. 방문 사이트 쿠키와 타 사이트 쿠키를 모두 차단하고 세션 쿠키 사용을 중지하면 좋겠지만 그렇게 하면 이메일이나 SNS와 같은 기본적인 인터넷 사용이 거의 불가능해진다. 최소한 타 사이트 쿠키는 차단해야 하며 인터넷 방문기록을 주기적으로 삭제하는 것이 좋다. 또한, 브라우저에 비밀번호를 저장해 두면 안 된다. 편리하기는 하지만 저장된 비밀번호에 대한 안전을 보장하기 어렵다. 원패스워드(1Password) 또는 키패스(KeePass)와 같은 별도의 비밀번호 관리자를 사용하도록 한다.
- 전문가 팁: 검색할 때는 덕덕고(DuckDuckGo)와 같은 안전한 검색 엔진을 이용하도록 한다. 덕덕고는 컴퓨터에서 자동으로 전송되는 IP 주소 등의 디지털 신상정보를 저장하지 않는다. 따라서 이전 검색 내용이나 사용 장소에 따른 검색어 자동 완성 기능을 사용할 수 없다. 그 정도는 감수해야 된다. 검색 기록을 사용자와 연관짓지 못한다는 뜻이기 때문이다.
자신의 정보를 남에게 알리기 싫다면 개인 인터넷을 사용하도록 한다. 저장되는 쿠키가 없으면 훔쳐갈 것도 없다. 인터넷 사용 후에는 항상 모든 쿠키를 삭제하는 것이 좋다. 로그인 정보가 삭제되므로 나중에 새로 창을 열 때마다 다시 로그인해야 한다. 이 역시 별도의 사용자 세션을 구축하는 경우에 해당된다. 특정 로그인 세션을 만든 후 해당 로그인에 대한 쿠키를 해당 사용자 세션에만 한정시키는 것이다.
애드온은 위험하지만 유용한 것들도 있다. 예를 들어 디스커넥트(Disconnect)는 타 사이트 추적 쿠키를 차단해 준다. SNS 계정이 인터넷 사용기록을 추적하지 못하게 막아주고 사용자가 사이트 상의 스크립트를 제어할 수 있게 해 준다. 또다른 유용한 확장 프로그램으로는 고스터리(Ghostery)가 있다. 흔한 추적 스크립트를 차단해 주지만 추적 스크립트가 필요한 사이트는 추적 허용 목록에 올릴 수 있게 해준다.
5단계 위협: 피싱에 당하지 말자
피싱 사이트란 개인정보를 훔쳐낼 목적으로 제작된 사기성 웹사이트다. 이메일이나 인터넷 뱅킹의 로그인 정보만 노리는 것이 아니다. 각종 대회 사이트로 위장해 주민등록번호를 요구하기도 한다. 피싱 공격의 피해자는 가짜 사이트로 연결된다. 그 결과, 악성코드가 다운로드 되고 민감한 정보를 빼 간다. 피싱 공격은 도처에 잠재하고 있다. 따라서 아무 링크나 클릭하는 일은 자제하는 것이 좋다.
- 초동 조치: 이메일로 받은 링크를 클릭하거나 첨부파일을 열면 안된다. 이메일로 받은 양식에 민감한 정보를 입력하는 일은 말할 것도 없다. 페덱스(FedEx) 상환 청구서처럼 보이는 것은 가짜일 가능성이 높다.
페덱스에 전화를 걸어 무슨 일인지 확인하도록 한다. 휴가가 며칠 남았는지 알려주는 인사부 양식처럼 생긴 것이 이메일로 오더라도 링크를 클릭하면 안 된다. 인사부 웹사이트에 직접 가서 뭐가 잘못됐는지 확인하도록 한다. URL을 직접 입력해 보면 속임수를 잡아낼 수 있다.
예컨대 영어 문자 O 대신 숫자 0을 쓴다든지 m 대신 nn을 쓴다든지, paypal.com.다른사이트이름.com 같은 주소를 쓰는 경우가 있다. 이메일이나 인스턴트 메시지의 링크를 누르지 말고 특정 회사 사이트의 믿을 수 있는 URL을 브라우저 주소 창에 직접 입력하도록 한다.
- 전문가 팁: HTTPS를 사용하는 사이트에만 개인 정보를 제공하도록 한다. 렛츠 인크립트(Let's Encrypt) 등 기타 무료 SSL 인증 소스의 경우 자물쇠 아이콘만으로는 부족하다는 것을 유념해야 한다.
이제 EV 인증이 필요하다. 브라우저 막대에 개체명이 표시되어야 한다. 전자 프론티어 재단(Electronic Frontier Foundation)의 HTTPS 에브리웨어(HTTPS Everywhere) 확장 프로그램을 사용하면 좋다. 사이트 트래픽이 HTTPS를 통해 강제 전송되기 때문이다.
업체들로부터 특별 행사나 할인 정보가 담긴 이메일이 오면 HTML 대신 텍스트로 이메일을 보낼 수 있는 옵션이 있는지 살펴본다. 주어진 링크의 내용을 쉽게 알아볼 수 있기 때문이다.
피싱 시도 중에는 아주 교묘한 것도 있기 때문에 이를 모두 탐지해 내는 것은 어렵다. 계정마다 모두 같은 비밀번호를 사용하지 않도록 한다. 그래야만 하나를 도난 당하더라도 다른 것은 지킬 수 있기 때문이다. 각 사이트 계정마다 다른 비밀번호를 생성해주는 비밀번호 관리자를 사용하도록 한다.
가능하면 개인용 인터넷과 업무용 인터넷을 따로 사용하도록 한다. 사이트 가입 시 직장 주소는 절대 사용해서는 안된다. 해당 계정이 뚫리면 직장 주소로 피싱 공격이 이어질 수 있기 때문이다. 이중 인증이 지원되는 사이트에서는 항상 이중 인증을 설정해 두도록 한다. 그러면 훔친 정보를 이용하기가 더 어려워지기 때문이다. 특히 금융기관 사이트라면 더욱 그렇다.
6단계 위협: 핵심은 별도로 보호하라
최대한의 보호를 원한다면 복수의 브라우저 및 운영체제 시스템을 설정해 활동별 장소를 따로 마련해야 한다. 일련의 가상 머신을 통해 위협을 격리시키는 것도 한 방법이다.
- 초동 조치: 인터넷 활동 종류별로 다른 웹 브라우저를 사용하도록 한다. 금융 거래용 브라우저, 커뮤니케이션용 브라우저, 웹 서핑용 브라이저 등을 따로 두는 것이다. 이렇게 하면, 만일 자주 가는 웹 포럼이 공격 대상이 되었을 때 사이트 간 스크립팅을 통해 온라인 뱅킹에 접근하는 일 등을 막을 수 있다. 브라우저가 다르면 공격이 불가능하기 때문이다. 가령, 페이스북 사기 수법이 아마존(Amazon)에 접근하지는 못한다.
가장 중요한 계정이 있는 매우 민감한 웹사이트의 경우에는 해당 사이트 전용 웹 브라우저를 두고 해당 구성만 한정해 사용하도록 한다. 예를 들면, 아마존 웹 서비스(AWS) 제어판 접근 전용 브라우저를 사용하면서 AWS만 허용하고 나머지는 차단하는 방식이다. 그러면 '무심코' 다른 사이트에 접근하는 일이 불가능하기 때문에 해당 조직의 클라우드 인프라 전체가 노출될 염려가 없다. 보안 옵션을 빠짐없이 설정해 브라우저를 걸어 잠그도록 한다.
- 전문가 팁: 아주 위험성이 크거나 지극히 민감한 사이트라면 복수의 가상 머신으로 활동을 분산시키는 것이 좋다. 인터넷 뱅킹은 전용 가상 머신에서 최신 상태의 브라우저로 처리한다. 그러면 인터넷 뱅킹을 노리는 공격 일체를 막을 수 있다. 뱅킹 정보를 빼 내기가 더욱 힘들어지기 때문이다.
가상 머신 대신 리눅스 라이브(Linux Live) CD를 실행하는 것도 좋은 방법이다. 보안 수준을 최대로 높이려면 가상 머신에서 라이브 CD를 실행할 수도 있다. 테일즈(Tails)는 뼈대만 남긴 리눅스 변형 버전으로서 USB 드라이브에서 실행된다. 어떤 것도 지속시키지 않기 때문에 디지털 발자국을 숨기는 데 사용할 수 있다.
수상쩍은 이메일 첨부파일은 가상 머신에서 열도록 한다. 만일 악성코드라면 텅 빈 가상 머신만 감염시킬 뿐이다. 물론 가상 머신에서 아무런 일이 일어나지 않는다고 해서 안심해서는 안된다. 가상 머신 내에서는 실행하지 않도록 설계되어 있는 악성코드도 있기 때문이다. 해당 파일은 가상 머신 내에만 두고 주로 사용하는 데스크톱에는 얼씬도 못하게 해야 한다.
안전 유지의 생활화
온라인 상 활동을 숨기고 싶다면 토르(Tor) 브라우저를 사용하는 것이 좋다. 암호화를 사용해 데이터 전송 내용을 변환시킴으로써 사용자 신상을 감춰주고 복수의 토르 노드 간 트래픽을 라우팅 시킴으로써 내력을 알 수 없게 해 주기 때문이다. 토르는 임의의 서버를 통해 트래픽을 통과시키기 때문에 데이터가 더 이상 개인 IP 주소와 연계되지 않는다.
노스크립트(NoScript)를 사용해 자바, 자바스크립트, 플래시 등의 역동적 콘텐츠를 사용 중지하도록 한다. 그러면 깨져 나오는 웹사이트가 많아지지만 사용자가 직접 콘텐츠를 허용할 수 있게 해준다. 따라서, 악성코드가 실수로 승인되지 않도록 주의를 요한다.
애드블록 플러스(Adblock Plus)는 팝업 창 등 잘 알려진 광고 및 스파이웨어 사이트로부터의 컨텐츠를 차단한다. 애드블록 플러스의 차단 목록 생성 방식에 대한 우려의 목소리가 있다. 광고업체들이 돈을 내고 플랫폼 상의 차단 허용 목록에 오르는 경우가 있기 때문이다. 하지만 팝업 광고 창을 닫고 잠재적 공격을 차단하는 것이 목적이라면 큰 문제는 없다.
브라우저 자체에서 자바스크립트를 사용 중지하고 팝업을 차단하는 방법도 있다. 대부분의 브라우저는 기본적으로 팝업 차단이 설정되어 있지만 자바스크립트는 널리 사용되고 있기 때문에 기본적으로 사용 설정이 되어 있다.
안전한 온라인 생활을 위해서는 기술과 문제인식, 그리고 수고를 마다하지 않는 마음자세가 삼위일체를 이뤄야 한다. 오늘날의 브라우저에는 플러그인(plugin) 사용 중지 기능과 피싱 방지 기능을 비롯한 여러 가지 보호 기능이 제공되고 있다. 이런 기능을 설정해 두고 소프트웨어 일체를 업데이트하는 등의 기본 보안 수칙을 지키는 것만으로도 간단한 문제들은 대부분 해결된다.
그러나 지금은 그 어느 때보다도 악성코드 감염 및 피싱 공격에 쉽게 노출되어 있다. 단지 재수가 없어서 피해를 입는 경우도 있다. 그러나 자신이 가장 걱정되는 부분을 인지하고 위험에 대한 성향을 파악한다면 본인의 필요에 맞는 합리적인 보안 방법을 설정함으로써 온라인 상에서 안전과 생산성을 유지할 수 있다.
Credit: Pixabay
가족 메일 주소로부터 온 피싱(phishing) 이메일, 합법적인 앱을 타고 들어 온 스파이웨어(spyware), 악성코드로 납치된 유명 사이트 등 오늘날 진화하는 각종 디지털 위협으로부터 안전을 유지하려면 새로운 규칙이 필요한 것은 자명하다.
디지털 생활 가운데 상당 부분을 차지하는 커뮤니케이션, 금융거래, 오락, 업무, 교육 등이 온라인으로 이루어진다는 점을 감안하면, 몇 가지 안전한 인터넷 사용 습관만으로도 큰 효과를 볼 수 있다. 이메일 메시지 관리도 마찬가지다. 이메일은 악용 키트와 악성코드를 사용한 온라인 공격 전달 수단으로 많이 이용되기 때문이다.
이 기사는 안전한 온라인을 위한 생활 안내서다. 웹 상에서 생산성을 유지하면서 데이터 및 개인 정보를 보호할 수 있는 방법을 소개한다.
각자 대비하고자 하는 위협 종류 파악하기
워낙 많은 종류의 위협들이 출현하고 있기 때문에, 모든 것을 걸어 잠그는 극단적인 방법을 취하고 싶은 유혹이 들게 마련이다. 단, 조심성이 지나치면 생산성이 저하되는 것이 문제다. 가령, 악성 자바스크립트(JavaScript)를 피하려면 브라우저 환경설정에서 자바스크립트를 끄면 되지만 인터넷 중 태반을 거의 사용할 수 없게 된다.
자바스크립트를 끈 상태로 지메일(Gmail)을 사용해 보면 얼마나 불편한지 알 수 있다.
사람마다 웹 사용 방식이 다르다. 위험 요소 역시 어디에서 무엇을 하고 있는 지에 따라, 심지어 무슨 요일이냐에 따라서도 크게 달라진다.
보안 연구원의 온라인 안전 유지 방법은 이메일과 페이스북(Facebook)을 사용하고 넷플릭스(Netflix)를 시청하는 일반 소비자와는 딴판이다. 새로운 도구를 다운로드한 후 도움을 얻기 위해 포럼에 자주 드나드는 개발자와도 다르다.
기본적으로 운영체제뿐만 아니라 모든 애플리케이션, 특히 웹브라우저를 주기적으로 업데이트해야 한다. 플래시(Flash)에 대해 클릭 후 재생 기능이 이미 설정되어 있지 않는 브라우저에서는 환경설정을 그렇게 바꿔야 한다.
또한, 액티브X(ActiveX)를 비활성화하고 시스템에 설치된 자바 클라이언트를 제거해야 한다. 게임이나 일부 교육 프로그램처럼 자바가 많이 필요한 클라이언트 애플리케이션을 사용하지 않는다면 자바를 쓸 일은 더 이상 없다. 주요 화상회의 프로그램들조차도 HTML5만 사용하는 방향으로 가고 있다.
또한, '장소'와 '활동'을 모두 신경써야 한다. 예컨대 공용 무선망에서 민감한 거래를 실행하면 문제가 생길 수 있다. 즐겨 찾는 커피숍에서 제공되는 공용 와이파이(Wi-Fi)를 통해 인터넷 뱅킹을 하는 것은 금물이다. SSL 연결을 사용하는 경우라도 마찬가지다. SSL을 통한 중간자(man-in-the-middle) 공격이 여전히 가능하기 때문이다.
이와 같은 기본 조치를 취한 후에는 가장 걱정되는 위험이 어떤 것인지, 보호하고자 하는 자산은 무엇인지, 누구와 주기적으로 연락을 주고받는지, 데이터 저장 장소는 어디인지 등을 고민해야 한다.
자, 위협 종류를 파악했다면 이제 이런 고민들을 세분화해 살펴보자. 각자의 위험 용인 수준(온라인 상에서 감당할 용의가 있는 위협 단계)에 맞는 안전한 인터넷 사용 습관 선택에 도움이 될 것이다.
1단계 위협: 악성코드 사절
대부분의 사람들, 특히 기업에서는 무슨 일이 있어도 악성코드를 피하고 싶어한다. 가장 흔한 매개체 두 가지는 악성코드를 다운로드하는 링크와 드라이브 바이 다운로드(drive-by-download)다.
드라이브 바이 다운로드에서는 웹 페이지를 불러오는 것만으로도 자동으로 악성코드가 다운로드 된다. 위험한 링크는 웹페이지와 이메일 또는 인스턴트 메시지에서 발견된다. 범죄자들은 SNS와 URL 단축 기능을 이용해 변장한 악성 링크를 전파하는 경우가 많다. 누군가 클릭하기를 노리는 것이다.
- 초동 조치: 링크 클릭을 하지 않는다. 이는 사회 생활 중 연습이 필요하다. 업무적으로나 사적으로 링크를 계속 받을 수 밖에 없기 때문에 특히 지키기 힘들 수 있다. 주기적으로 연락을 주고 받는 사람들에게 만일 링크를 보내려면 경고문을 먼저 보내고 확인을 받기 전까지는 링크를 보내지 말아달라고 부탁한다. 아니면, 정말로 링크를 보냈는지 여부를 다른 채널을 통해 확인해 달라고 부탁한다.
예를 들어 형이 링크를 보냈다면 정말 형 계정에서 온 것인지 문자를 보내 확인한다. 지나치게 예민한 행동이라고 생각할 지 모르지만 최근 가짜 구글 문서(Google Docs) 사기가 성공한 이유는 사람들이 악성 파일을 믿을 수 있는 사람한테 온 것이라고 생각하고 확인하지 않았기 때문이다. 링크는 항상 직접 입력하도록 한다. 백서같은 것으로 연결되는 링크를 받으면 출처로 직접 가서 웹사이트 상의 백서를 직접 찾아보도록 한다.
- 전문가 팁: 브라우저에 문서 저장 장소를 묻게 하는 설정을 한다. 그래야만 무언가가 다운로드되고 있을 때마다 인지할 수 있기 때문이다. 드라이브 바이 다운로드의 경우 무슨 일이 일어나고 있는지 사용자가 눈치채지 못하도록 몰래 움직인다. 다운로드되는 파일을 모두 검사하도록 보안 소프트웨어를 구성해야 한다.
2단계 위협: 스파이웨어 출입 금지!
브라우저가 공격 당하면 각종 정보가 유출될 수 있다. 이런 점에서 브라우저 애드온(add-on)이 반드시 유익하다고 할 수 없다. 보이지 않는 악성코드 전달 수단이 될 수 있으므로 사용을 자제하는 것이 좋다.
브라우저 확장 프로그램 목록(크롬은 chrome://extensions, 파이어폭스는 about:addons)에서 잘 모르는 것이나 확실하지 않은 것이 없는지 주기적으로 확인하도록 한다. 수상해 보이는 것은 사용 중지시키는 것이 상책이다. 또한, 확장 프로그램을 설치하도록 유도하는 웹 페이지에 주의해야 한다. 예를 들면, "이 웹사이트의 속도를 늘리려면 '추가', '클릭' 등과 같은 메시지가 뜨면 속기 쉬우므로 조심한다.
- 초동 조치: 개인이 만든 브라우저 애드온은 특히 더 주의를 요한다. HTTPS 없는 사이트에 접근할 수 있기 때문이다. 전문가들조차 어려움을 겪는다. 널리 사용되는 비밀번호 관리자를 만든 라스트패스(LastPass)는 최근 브라우저 확장 프로그램의 심각한 취약점을 다수 수정해야 했다. 애드온으로 인한 편리함이 잠재적 위험보다 큰지 스스로 판단해야 한다. 한 달 내에 별로 가치를 느끼지 못하는 것이라면 더욱 그렇다.
- 전문가 팁: 항상 출처를 확인하도록 한다. 플래시나 어도비 리더(Adobe Reader)가 필요하면 어도비 웹사이트에서 다운로드 받는다. 무관한 웹사이트에서 받으면 안 된다. 스파이웨어, 애드웨어(adware) 등 악성 파일들이 함께 다운로드 되기 쉽기 때문이다.
예를 들어, "무료 PDF 변환기"를 검색해 제일 먼저 나타나는 것을 다운로드해서는 안 된다. PDF 변환기가 필요하다면 크롬에 자동으로 페이지를 PDF로 변환해 주는 기능이 있다. 요즘은 오피스(Office)의 PDF 지원 기능도 좋다. 포터블앱닷컴(PortableApps.com)과 니나이트(Ninite)와 같은 프로젝트에서는 믿을 수 있는 출처로부터 흔한 오픈소스와 무료 애플리케이션을 자동으로 구해서 업데이트하는 편리한 방법을 제공한다.
3단계 위협: 추적 당하는 것은 싫다!
이런 일은 누구나 한번씩 겪었을 것이다. 홈디포닷컴(HomeDepot.com)에서 바닥 타일을 구경하고 났더니 인터넷 어디를 가든 집 단장 관련 광고가 뜨는 현상 말이다. 광고업체들은 쿠키를 이용해 사용자의 온라인 행적을 추적하고 맞춤 광고를 내놓는다.
비단 광고뿐만이 아니다. 웹사이트 또한 쿠키를 이용해 사용자의 계정과 암호, 인터넷 방문기록 등을 기억해 두고 해당 사이트 상 사용자의 활동을 추적한다. 쿠키를 사용 중지하고 삭제하면 사이버 범죄자들에게 유출될 수 있는 개인 정보가 줄어드는 셈이다.
- 초동 조치: 온라인 상에서는 개인 인터넷 또는 익명 모드를 사용하도록 한다. 그러면 세션이 끝날 때 쿠키와 인터넷 방문기록이 보관되지 않는다. 익명 모드를 작동시킨 후 (악성코드가 없는 것이 확실한) URL을 붙여 넣고 해당 페이지로 이동하면 추적될 염려가 없다. 크롬 상에서 항상 익명을 유지하려면 크롬 속성의 대상 명령 끝에 —incognito를 추가한다. 그러면 크롬을 실행할 때마다 익명 모드가 된다. 파이어폭스에서도 about:config를 통해 똑같이 할 수 있다.
- 전문가 팁: 페이스북이나 트위터(Twitter) 등 SNS 계정을 사용하고 싶은데 해당 로그인이 계속 따라다니는 것은 싫다면 크롬, 파이어폭스, 사파리 등의 웹브라우저에 해당 SNS 전용 사용자 프로필을 따로 만들면 된다. 그 곳에서만 로그인하고 그 곳에서만 사용하도록 한다. 그러면 해당 로그인이 꼭 필요한 것들에만 관련 데이터가 사용된다. 이 기술은 SNS 계정을 통합 인증에 사용하는 스포티파이(Spotify)와 같은 사이트의 추적을 최소화하는 데에도 유용하다.
추적이 염려된다면, 사용하는 모든 브라우저에 추적 금지 기능을 설정해야 한다. 실제 추적 금지가 실행된다기 보다는 추적 금지를 요청했다는 사실을 웹사이트에 알려주는 것에 불과하다. 양심적이지 않은 웹사이트가 많아서 사용자의 요청대로 되리라는 보장은 없다. 그래도 적어도 원하는 바를 확실히 해 둔다면 나쁠 것은 없다.
4단계 위협: 내 정보에 손대지 마!
쿠키는 사이버범죄자들이 주로 노리는 먹잇감이다. 특히 이메일, 계정명, 비밀번호 등의 중요 정보가 포함되어 있기 때문이다. 정보가 감춰져 있다하더라도 불법적인 용도로 사용될 수 있다.
사이트 간 스크립팅(cross-site scripting, XSS) 공격은 웹페이지의 자바스크립트를 사용해 쿠키로부터 사용자 상세정보와 세션 정보를 빼낸 후 온라인에서 그 사람 행세를 한다. 사이트 간 요청 위조 공격은 세션 쿠키를 사용해 다른 사이트에 대한 요청을 위조한다.
- 초동 조치: 가능하면 쿠키를 항상 차단하도록 한다. 방문 사이트 쿠키와 타 사이트 쿠키를 모두 차단하고 세션 쿠키 사용을 중지하면 좋겠지만 그렇게 하면 이메일이나 SNS와 같은 기본적인 인터넷 사용이 거의 불가능해진다. 최소한 타 사이트 쿠키는 차단해야 하며 인터넷 방문기록을 주기적으로 삭제하는 것이 좋다. 또한, 브라우저에 비밀번호를 저장해 두면 안 된다. 편리하기는 하지만 저장된 비밀번호에 대한 안전을 보장하기 어렵다. 원패스워드(1Password) 또는 키패스(KeePass)와 같은 별도의 비밀번호 관리자를 사용하도록 한다.
- 전문가 팁: 검색할 때는 덕덕고(DuckDuckGo)와 같은 안전한 검색 엔진을 이용하도록 한다. 덕덕고는 컴퓨터에서 자동으로 전송되는 IP 주소 등의 디지털 신상정보를 저장하지 않는다. 따라서 이전 검색 내용이나 사용 장소에 따른 검색어 자동 완성 기능을 사용할 수 없다. 그 정도는 감수해야 된다. 검색 기록을 사용자와 연관짓지 못한다는 뜻이기 때문이다.
자신의 정보를 남에게 알리기 싫다면 개인 인터넷을 사용하도록 한다. 저장되는 쿠키가 없으면 훔쳐갈 것도 없다. 인터넷 사용 후에는 항상 모든 쿠키를 삭제하는 것이 좋다. 로그인 정보가 삭제되므로 나중에 새로 창을 열 때마다 다시 로그인해야 한다. 이 역시 별도의 사용자 세션을 구축하는 경우에 해당된다. 특정 로그인 세션을 만든 후 해당 로그인에 대한 쿠키를 해당 사용자 세션에만 한정시키는 것이다.
애드온은 위험하지만 유용한 것들도 있다. 예를 들어 디스커넥트(Disconnect)는 타 사이트 추적 쿠키를 차단해 준다. SNS 계정이 인터넷 사용기록을 추적하지 못하게 막아주고 사용자가 사이트 상의 스크립트를 제어할 수 있게 해 준다. 또다른 유용한 확장 프로그램으로는 고스터리(Ghostery)가 있다. 흔한 추적 스크립트를 차단해 주지만 추적 스크립트가 필요한 사이트는 추적 허용 목록에 올릴 수 있게 해준다.
5단계 위협: 피싱에 당하지 말자
피싱 사이트란 개인정보를 훔쳐낼 목적으로 제작된 사기성 웹사이트다. 이메일이나 인터넷 뱅킹의 로그인 정보만 노리는 것이 아니다. 각종 대회 사이트로 위장해 주민등록번호를 요구하기도 한다. 피싱 공격의 피해자는 가짜 사이트로 연결된다. 그 결과, 악성코드가 다운로드 되고 민감한 정보를 빼 간다. 피싱 공격은 도처에 잠재하고 있다. 따라서 아무 링크나 클릭하는 일은 자제하는 것이 좋다.
- 초동 조치: 이메일로 받은 링크를 클릭하거나 첨부파일을 열면 안된다. 이메일로 받은 양식에 민감한 정보를 입력하는 일은 말할 것도 없다. 페덱스(FedEx) 상환 청구서처럼 보이는 것은 가짜일 가능성이 높다.
페덱스에 전화를 걸어 무슨 일인지 확인하도록 한다. 휴가가 며칠 남았는지 알려주는 인사부 양식처럼 생긴 것이 이메일로 오더라도 링크를 클릭하면 안 된다. 인사부 웹사이트에 직접 가서 뭐가 잘못됐는지 확인하도록 한다. URL을 직접 입력해 보면 속임수를 잡아낼 수 있다.
예컨대 영어 문자 O 대신 숫자 0을 쓴다든지 m 대신 nn을 쓴다든지, paypal.com.다른사이트이름.com 같은 주소를 쓰는 경우가 있다. 이메일이나 인스턴트 메시지의 링크를 누르지 말고 특정 회사 사이트의 믿을 수 있는 URL을 브라우저 주소 창에 직접 입력하도록 한다.
- 전문가 팁: HTTPS를 사용하는 사이트에만 개인 정보를 제공하도록 한다. 렛츠 인크립트(Let's Encrypt) 등 기타 무료 SSL 인증 소스의 경우 자물쇠 아이콘만으로는 부족하다는 것을 유념해야 한다.
이제 EV 인증이 필요하다. 브라우저 막대에 개체명이 표시되어야 한다. 전자 프론티어 재단(Electronic Frontier Foundation)의 HTTPS 에브리웨어(HTTPS Everywhere) 확장 프로그램을 사용하면 좋다. 사이트 트래픽이 HTTPS를 통해 강제 전송되기 때문이다.
업체들로부터 특별 행사나 할인 정보가 담긴 이메일이 오면 HTML 대신 텍스트로 이메일을 보낼 수 있는 옵션이 있는지 살펴본다. 주어진 링크의 내용을 쉽게 알아볼 수 있기 때문이다.
피싱 시도 중에는 아주 교묘한 것도 있기 때문에 이를 모두 탐지해 내는 것은 어렵다. 계정마다 모두 같은 비밀번호를 사용하지 않도록 한다. 그래야만 하나를 도난 당하더라도 다른 것은 지킬 수 있기 때문이다. 각 사이트 계정마다 다른 비밀번호를 생성해주는 비밀번호 관리자를 사용하도록 한다.
가능하면 개인용 인터넷과 업무용 인터넷을 따로 사용하도록 한다. 사이트 가입 시 직장 주소는 절대 사용해서는 안된다. 해당 계정이 뚫리면 직장 주소로 피싱 공격이 이어질 수 있기 때문이다. 이중 인증이 지원되는 사이트에서는 항상 이중 인증을 설정해 두도록 한다. 그러면 훔친 정보를 이용하기가 더 어려워지기 때문이다. 특히 금융기관 사이트라면 더욱 그렇다.
6단계 위협: 핵심은 별도로 보호하라
최대한의 보호를 원한다면 복수의 브라우저 및 운영체제 시스템을 설정해 활동별 장소를 따로 마련해야 한다. 일련의 가상 머신을 통해 위협을 격리시키는 것도 한 방법이다.
- 초동 조치: 인터넷 활동 종류별로 다른 웹 브라우저를 사용하도록 한다. 금융 거래용 브라우저, 커뮤니케이션용 브라우저, 웹 서핑용 브라이저 등을 따로 두는 것이다. 이렇게 하면, 만일 자주 가는 웹 포럼이 공격 대상이 되었을 때 사이트 간 스크립팅을 통해 온라인 뱅킹에 접근하는 일 등을 막을 수 있다. 브라우저가 다르면 공격이 불가능하기 때문이다. 가령, 페이스북 사기 수법이 아마존(Amazon)에 접근하지는 못한다.
가장 중요한 계정이 있는 매우 민감한 웹사이트의 경우에는 해당 사이트 전용 웹 브라우저를 두고 해당 구성만 한정해 사용하도록 한다. 예를 들면, 아마존 웹 서비스(AWS) 제어판 접근 전용 브라우저를 사용하면서 AWS만 허용하고 나머지는 차단하는 방식이다. 그러면 '무심코' 다른 사이트에 접근하는 일이 불가능하기 때문에 해당 조직의 클라우드 인프라 전체가 노출될 염려가 없다. 보안 옵션을 빠짐없이 설정해 브라우저를 걸어 잠그도록 한다.
- 전문가 팁: 아주 위험성이 크거나 지극히 민감한 사이트라면 복수의 가상 머신으로 활동을 분산시키는 것이 좋다. 인터넷 뱅킹은 전용 가상 머신에서 최신 상태의 브라우저로 처리한다. 그러면 인터넷 뱅킹을 노리는 공격 일체를 막을 수 있다. 뱅킹 정보를 빼 내기가 더욱 힘들어지기 때문이다.
가상 머신 대신 리눅스 라이브(Linux Live) CD를 실행하는 것도 좋은 방법이다. 보안 수준을 최대로 높이려면 가상 머신에서 라이브 CD를 실행할 수도 있다. 테일즈(Tails)는 뼈대만 남긴 리눅스 변형 버전으로서 USB 드라이브에서 실행된다. 어떤 것도 지속시키지 않기 때문에 디지털 발자국을 숨기는 데 사용할 수 있다.
수상쩍은 이메일 첨부파일은 가상 머신에서 열도록 한다. 만일 악성코드라면 텅 빈 가상 머신만 감염시킬 뿐이다. 물론 가상 머신에서 아무런 일이 일어나지 않는다고 해서 안심해서는 안된다. 가상 머신 내에서는 실행하지 않도록 설계되어 있는 악성코드도 있기 때문이다. 해당 파일은 가상 머신 내에만 두고 주로 사용하는 데스크톱에는 얼씬도 못하게 해야 한다.
안전 유지의 생활화
온라인 상 활동을 숨기고 싶다면 토르(Tor) 브라우저를 사용하는 것이 좋다. 암호화를 사용해 데이터 전송 내용을 변환시킴으로써 사용자 신상을 감춰주고 복수의 토르 노드 간 트래픽을 라우팅 시킴으로써 내력을 알 수 없게 해 주기 때문이다. 토르는 임의의 서버를 통해 트래픽을 통과시키기 때문에 데이터가 더 이상 개인 IP 주소와 연계되지 않는다.
노스크립트(NoScript)를 사용해 자바, 자바스크립트, 플래시 등의 역동적 콘텐츠를 사용 중지하도록 한다. 그러면 깨져 나오는 웹사이트가 많아지지만 사용자가 직접 콘텐츠를 허용할 수 있게 해준다. 따라서, 악성코드가 실수로 승인되지 않도록 주의를 요한다.
애드블록 플러스(Adblock Plus)는 팝업 창 등 잘 알려진 광고 및 스파이웨어 사이트로부터의 컨텐츠를 차단한다. 애드블록 플러스의 차단 목록 생성 방식에 대한 우려의 목소리가 있다. 광고업체들이 돈을 내고 플랫폼 상의 차단 허용 목록에 오르는 경우가 있기 때문이다. 하지만 팝업 광고 창을 닫고 잠재적 공격을 차단하는 것이 목적이라면 큰 문제는 없다.
브라우저 자체에서 자바스크립트를 사용 중지하고 팝업을 차단하는 방법도 있다. 대부분의 브라우저는 기본적으로 팝업 차단이 설정되어 있지만 자바스크립트는 널리 사용되고 있기 때문에 기본적으로 사용 설정이 되어 있다.
안전한 온라인 생활을 위해서는 기술과 문제인식, 그리고 수고를 마다하지 않는 마음자세가 삼위일체를 이뤄야 한다. 오늘날의 브라우저에는 플러그인(plugin) 사용 중지 기능과 피싱 방지 기능을 비롯한 여러 가지 보호 기능이 제공되고 있다. 이런 기능을 설정해 두고 소프트웨어 일체를 업데이트하는 등의 기본 보안 수칙을 지키는 것만으로도 간단한 문제들은 대부분 해결된다.
그러나 지금은 그 어느 때보다도 악성코드 감염 및 피싱 공격에 쉽게 노출되어 있다. 단지 재수가 없어서 피해를 입는 경우도 있다. 그러나 자신이 가장 걱정되는 부분을 인지하고 위험에 대한 성향을 파악한다면 본인의 필요에 맞는 합리적인 보안 방법을 설정함으로써 온라인 상에서 안전과 생산성을 유지할 수 있다.
※ 본 내용은 한국IDG(주)(http://www.itworld.co.kr)의 저작권 동의에 의해 공유되고 있습니다.
Copyright ⓒITWORLD. 무단전재 및 재배포 금지
[원문출처 : http://www.itworld.co.kr/news/105049]
| 번호 | 제목 | 조회수 | 작성 |
|---|---|---|---|
| 공지 | [Open UP 활용가이드] 공개SW 활용 및 개발, 창업, 교육 "Open UP을 활용하세요" | 316137 | 2020-10-27 |
| 공지 | [Open UP 소개] 공개SW 개발·공유·활용 원스톱 지원 Open UP이 함께합니다 | 305736 | 2020-10-27 |
| 6881 | '대기업-공공' 클라우드 전장(戰場) 확대 | 4958 | 2017-06-05 |
| 6880 | 애플 스위프트 플레이그라운드 1.5, 로봇 및 드론 제어 포함 | 4980 | 2017-06-05 |
| 6879 | 안드로이드의 아버지 앤디 루빈, 모듈 기능 강조한 신제품 ‘에센셜 폰’ 공개 | 5353 | 2017-06-05 |
| 6878 | '자바 9' 발표 9월로 연기··· "모듈 기능 추가 논의 필요" | 4696 | 2017-06-05 |
| 6877 | MS, 딥러닝 툴킷 새버전 오픈소스로 공개 | 5542 | 2017-06-05 |
| 6876 | 안전한 온라인 생활을 위한 최신 안내서 | 5664 | 2017-06-05 |
| 6875 | 오픈소스 프로젝트 최대의 적? "엉터리 문서" | 4988 | 2017-06-05 |
| 6874 | 미래부, SW산업 진흥법 전면 개정한다 | 5490 | 2017-06-05 |
| 6873 | 구글 웨이모, 자율주행 트럭 준비 중 | 5122 | 2017-06-05 |
| 6872 | [주간 클라우드 동향] 국내 공공 클라우드 시장 바라보는 글로벌 기업의 시선은? | 4657 | 2017-06-05 |
0개 댓글