'강은성'에 해당되는 글 1건

  1. 2007.03.07 개인정보 유출 방지를 10계명
사회적 파장이 큰 보안 사고가 나면, 방송이나 신문에서 기자들은 사용자가 해야 할 일에 대해 가장 많이 묻는다. 하지만 짧은 뉴스에 잠깐 나오기 때문에 길게 얘기해 봤자 소용이 없고, 결국은 백신 프로그램을 사용하고, 최신 엔진을 자동 업데이트할 수 있도록 설정해야 한다, 는 원론적인 수준의 얘기가 나가게 된다. 하지만 가끔 회사에서 운영하는 보안 커뮤니티를 들여다 보면, 이런 원론적 말이 사용자들에게 의미가 없겠다는 생각이 들 때가 있다. 인터넷을 쓰면서도 컴맹인 사용자들이 가끔 보이기 때문이다.

그래서 개인정보보호를 위해 네티즌들이 할 수 있는 일들을 자세하게 써 봐야겠다고 생각했다. 처음부터 완전히 새로 쓰는 것보다는 개인정보유출이 사회적 현안이 되었던 지난 2월에 안철수연구소에서 발표한 ‘개인정보유출 방지 10계명’을 중심으로 실제 개인들이 할 수 있는 일들을 정리해 보겠다. – 사실 ‘개인정보유출 방지’라는 말보다는 ‘개인정보보호’라는 말이 좀더 알맞은 표현이다. - 이것은 완벽한 기술적 대안이 아니라 인터넷에서 개인정보를 보호할 수 있는 ‘생활의 지혜’ 수준으로 이해하는 것이 좋겠고, 이 ‘십계명’도 조금씩 보완해야 할 것 같다.

1. 굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제한다. 온라인 이벤트 응모에 무분별하게 참여하면 개인 정보 노출이 많아지므로 유의한다.

사실 이벤트뿐 아니라 좀더 싸게 사려고 여기 저기 쇼핑몰에 등록하기도 하고, 일시적인 필요에 따라 e메일 계정을 여기 저기 만들기도 한다. 포털이나 언론사에 댓글을 쓰기 위해 아이디를 만드는 경우도 많다. 필자도 지난 2월에 찾아 봤을 때 약 30개의 사이트에 주민번호가 등록되어 있었다. 심지어는 9년 전에 한 쇼핑몰에 등록해서 그 관계사를 나온 뒤로 한번도 써 먹지 않은 아이디도 있었다. 이것을 해결하려면 단골을 만들어야 한다. 쇼핑몰도 2개 정도의 단골을 만들고, 일시적으로 싼 게 있는 쇼핑몰은 비회원 자격으로 구입하는 게 좋다. 특히 e메일은 한두 개 정도만 쓰고, 모두 지우는 게 상책이다. 예를 들어 지난 1달을 돌아 봐서 한번도 들어가 보지 않은 사이트가 있다면, 거기에 있는 아이디는 과감하게 지우는 게 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다.

2. 피싱(Phishing) 사기 e메일을 조심한다. 개인정보, 계좌정보 등을 요구하는 수상한 e메일의 경우 신종 금융사기 수법인 피싱(Phishing)을 먼저 의심해 각별한 주의를 해야 한다. 금융기관으로부터 개인정보, 계좌정보 등의 업데이트나 정보 변경을 요구하는 e메일을 받으면 클릭하지 말고 해당 금융기관 사이트에 가서 직접 확인해야 한다.

피싱(Phishing)은 Privacy fishing의 합성어인데, 우리 말로 ‘개인정보 낚기’ 정도로 번역할 수 있다. 포털 게시판에서 ‘낚는다’는 것과 비슷한 개념인데, 포털에서는 조회 수를 늘리기 위한 방법이지만, 피싱은 개인정보를 수집해 악용하기 위한 것이다. 아직 피싱에 관해서는 두드러져 보이는 제품이 없어서 계속 개인이 조심하라, 는 기사가 나가고 있는데, 올해에는 피싱 방지 기능이 포함된 제품이 좀 나올 것 같다.

일단 금융기관에서 개인정보를 갱신하라는 메일을 받는다면, 무조건 의심해 보는 게 좋다. 실제로 금융기관이 그런 방식으로 개인정보를 갱신시키는 경우는 아직 한번도 보지 못했고, 앞으로도 그렇지 않을 가능성이 매우 높다. 필자도 가끔 피싱 메일로 의심되는 메일을 받는데, 이것이 피싱 메일인지 확인하기 위해 그 안에서 표기된 사이트를 클릭하고 들어 가서 그것의 실제 도메인과 검색엔진에서 알려 준 해당 사이트의 인터넷 주소(도메인 이름)를 비교한다. 실제 IE에서는 ‘속성’에서, firefox에서는 ‘#####    ‘에서 알 수 있다. 도메인으로 구별하기 어려운 경우에는 정보를 변경하라고 알려 준 링크를 도메인 이름만 변경하여 검증해 보거나, 도메인의 소유주를 찾아 보기, 검색엔진에서 찾은 사이트와 비교해 보는 방식으로 판단한다. 물론 그 어느 경우에도 내 정보를 입력하지는 않는다.

3. 인터넷에서 아무 자료나 프로그램을 함부로 다운로드하지 않는다. 정품이 아닌 복제 프로그램에는 트로이목마 등의 바이러스가, 공개 프로그램에는 스파이웨어가 포함되어 있을 수 있으므로 설치하지 않는 것이 좋다.

사실 인터넷을 찾는 가장 큰 목적 중의 하나가 자료나 프로그램을 다운로드하기 위한 것이다. ‘함부로’ 다운로드하지 않는다는 것은 무슨 뜻인가? 이것 역시 한 마디로 단골을 만들라는 것이다. 필자도 가끔 공개 소스를 찾기 위해 인터넷을 찾는데, 프로그램은 GNU, W3C, sysinternals 등의 잘 알려진 해외 사이트나 보물섬 등지에서 프로그램을 다운로드하면 악성코드를 함께 다운로드할 확률은 크게 줄어 든다. 각 사이트에서 잘 관리하기 때문이다. 물론 프로그램을 다운로드한 이후에 필수적으로 백신으로 해당 파일의 악성코드 감염 여부를 검사해야 한다.

4. 웹사이트 방문 시 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의한다. 무심코 설치에 동의하면 스파이웨어나 악성 코드가 설치될 수 있다.

스파이웨어의 일상적인 설치 경로는 2년 전이나 지금이나 역시 인터넷 카페들이다. 특히 성인 사이트들은 스파이웨어의 천국이다. 아마도 스파이웨어를 배포하면, 해당 스파이웨어 업체에서 그 사이트에 돈을 주기 때문인 것 같다. 이게 스파이웨어 비즈니스의 일반적인 방식이다. 특히 요즘에는 압축 파일 하나에 대여섯 개의 서로 다른 프로그램들이 들어 있어서 한번 잘못 클릭하면 여러 개의 프로그램들이 자동 설치된다. 스파이웨어가 점점 더 독해지는 추세다.

인터넷 익스플로러(IE)의 ‘보안 경고창’은 프로그램을 설치해도 되는지를 묻는 ‘설치 확인창’이 아니다. 컴퓨터 외부에서 프로그램을 다운로드하여 설치하는 것이 보안에 매우 위험하기 때문에 액티브 엑스(Active/X)를 설치하는 데 고객에게 조심하라고 경고하는 창이다. 사실 사용자가 그 프로그램의 위험을 판단할 만한 근거가 거의 없기 때문에 실질적인 도움은 되지 않지만 말이다. 사실 보안 측면에서만 본다면 액티브 엑스는 IE의 치명적인 결함이다.

사용자들은 여기 저기 돌아 다니다 들어 간 사이트에서는 IE의 ‘보안 경고창’이 뜨면서 프로그램을 설치하겠느냐고 물어 보면 절대로 ‘예’를 눌러서는 안된다. 나도 가족에게 신신당부하는 것이 아빠가 없을 때 그런 창에서 ‘예’를 누르지 말라는 점이다. 필요하면 아빠 있을 때에 하라고 한다. 물론 윈도 XP SP2가 설치된 컴퓨터에서는 액티브 엑스가 기본으로 차단되기 때문에 모르고 설치하는 위험은 줄어 들긴 했지만, 설치 여부를 판단하기 위한 근거는 여전히 없다. 해당 서비스를 이용하기 위해 그것이 필요한지를 확인하려면, 일단 ‘아니오’를 선택한 뒤에 해당 서비스를 써 보고, 그래도 안 되면, 설치하는 것도 한 가지 생활의 지혜다.

5. PC방 등 누구에게나 개방된 컴퓨터에서는 가급적 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. ID와 패스워드를 가로채는 트로이목마가 설치되어 있는 경우 내 정보가 유출되어 금융 사고가 발생할 수 있다. 불가피하게 사용할 경우 백신 및 PC방화벽이 설치 실행되는 곳에서만 이용한다.

이것은 더 이상 말할 필요가 없다. PC방에서 개인정보나 금융정보를 입력하는 일은 절대로 하지 않는다.

6. 백신, 안티스파이웨어 제품, PC 방화벽, 키보드 보안 제품 등을 설치해 자동 업데이트 기능을 이용해 항상 최신 버전을 유지한다. 실시간 감시 기능을 설정해두고 최소 일주일에 한 번 이상 최신 버전의 보안 제품으로 PC를 검사한다.

'자동 업데이트' 기능을 이용하는 것이 매우 중요하다. 대부분의 백신 제품군들이 자동 업데이트 설정 기능을 두고 있고, 대다수의 사용자들이 이 기능을 이용하고 있는데, 가끔 이 기능을 사용하지 않는 사용자들이 있다. 매우 위험한 일이다. 백신 제품의 경우 요즘은 하루에도 여러 번씩 새로운 엔진이 나오므로, 최소한 하루에 한번은 새 엔진을 받도록 설정하는 것이 좋다. 실시간 감시 기능을 설정하는 것, 1주일에 한번은 수동 검사를 직접 하거나 수동 검사가 실행될 수 있도록 예약 설정해 두는 것이 필요하다. 여러 가지 이유로 내가 해 놓은 프로그램 설정이 바뀐 경우가 종종 생긴다. 필자 역시 가끔 자동 업데이트 설정을 확인하고, 엔진 버전이 최신인지 오늘 날짜와 비교해 보곤 한다.

7. 최신 윈도 보안 패치를 적용해 최신 윈도 보안 패치를 모두 설치한다.

이걸 보면서 이게 가능할까, 하는 생각을 하게 된다. ‘최신’ 윈도 보안 패치를 ‘모두’ 설치하는 것은 사실 매우 어려운 일이다. 그리고 가끔 보안 패치 자체에도 버그가 있어서 악성코드가 이미 나와 있는 취약점에 관한 긴급 패치가 아니라면, 최신 패치가 나오자마자 적용하는 것은 개인 사용자들로서 별로 바람직한 일도 아니다. 이것 역시 주기적으로 하는 게 좋다.

8. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다. (타인이 쉽게 추정할 수 있는 비밀번호 사용 금지. 예)주민등록번호, 전화번호, 생일날짜, 차량번호 등 개인 정보)

좀 오래 된 통계이긴 한데, 패스워드 중 가장 많이 쓰는 것은 ‘password’라고 한다. 사람들의 무신경을 알려 주는 지표이다. 국내에서는 생일을 워낙 많이 써서 비밀번호를 유추하기가 쉽다. - 비밀‘번호’라고 부르니까, 사용자들이 전화번호나 주민번호, 생일 등을 이용하게 된다. ‘암호’라고 바꾸는 게 좋겠다. - 암호를 알아 내는 공격 방법 중 사전 기반 공격(dictionary attack)이 있다. 패스워드로 많이 쓰는 단어 사전을 만들어 놓고, 그것을 한번씩 넣어 보는 방법이다. 웬만큼 쉬운 영어 단어로 암호를 설정하면 다 공격에 뚫리게 된다. 아직 한국어용 사전이 제대로 없기 때문에 한국어 기반으로 암호를 설정하는 게  더 안전하다고 볼 수 있다.

9. e메일에 첨부된 파일이나 메신저로 전달되는 파일, P2P 프로그램을 통한 자료 다운로드 시 유의한다. 메신저로 URL이나 파일이 첨부되어 올 경우에는 반드시 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다. P2P 프로그램을 이용해 파일을 다운로드할 때는 반드시 악성 코드에 감염되어 있는지 보안 제품으로 검사한 후에 사용한다.

이메일을 통해 퍼지는 웜은 거의 대부분 사용자가 첨부 파일을 실행시킬 때만 전파된다. 즉 이메일을 본다 하더라도 첨부 파일을 실행시키지 않는다면, 대부분의 e메일 웜은 전파되지 않는다는 것이다. 그럼에도 불구하고 아직도 이메일 웜이 매달 고객 피해신고 통계의 상위를 차지하는 것은, 호기심을 자극하는 첨부 파일을 열어 보는 사용자가 많다는 것을 말한다. 이발신자 이름을 모르겠거나 발신자 아이디가 의미없는 알파벳의 마구잡이 조합으로 이뤄져 있는 이메일에 첨부 파일이 있다면, 쓸데없는 스팸이나 이메일 웜일 가능성이 매우 높다. 나는 그러한 메일은 그냥 지운다. 2005년부터 P2P나 메신저로 퍼지는 웜의 피해가 약 5%를 차지하면서 웜의 한 경로로 확실하게 자리 잡았다. 위에서 제시한 것과 같이 발신자를 확인하거나 백신 제품으로 검사한 뒤에 사용하는 것이 위험을 줄일 수 있다.

10. 중요한 문서 파일의 암호를 설정하고 백업을 생활화한다.

문서 파일의 암호화는 최악의 경우에 해당 파일이 유출되더라도 다른 사람이 그것을 열어 보지 못하도록 하기 위한 것이다. 요즘 웬만한 프로그램에서는 그것을 통해 만들어진 문서를 암호화해서 저장하는 방식을 제공하고 있고, 일반적으로 문서를 암호화하는 툴이 있기도 하다. 문서를 암호화하는 것이 보안 측면에서 좋기는 하지만, 암호를 잊어 버렸을 때에 그 파일을 열어 보지 못하는 위험이 있기도 하다. 이를 보완하기 위해 이를 연상할 수 있도록 질문과 응답을 미리 적게 하기도 하고, 인증서 기반으로 암호화를 시키는 툴이 있기도 하다. 암호화 툴에 대한 정답은 아직 없다. 암호 설정시 암호를 잊어 버리지 않도록 하는 나름대로의 노하우를 쌓는 게 중요하겠다.

악성코드 때문에, 응용 프로그램을 깔다가, 윈도 운영체제의 문제 등등 여러 가지 문제로 하드디스크를 포맷할 필요가 생긴다. 이 때 미리 백업 받아 놓지 않은 걸 뼈저리게 후회하게 된다. 중요한 파일은 기가바이트 이상 제공하는 이메일이나, 웹 하드, USB 메모리, 외장 하드디스크 등 다양한 저장 매체에 저장해 놓는 게 필요하다.

보안업체에서 좋은 보안 제품을 만들고, 인터넷 사용자들은 보안제품을 구매하고 최신 엔진으로 늘 관리하면서 조심하고, 보안업체들도 네티즌들이 잘 사용할 수 있는 제품이나 서비스를 제공하고, 정부는 보안 시장을 바로 잡고, 제도를 보완하는 데 힘을 쓰고, 인터넷 서비스 제공업체들이 보안에 좀더 관심을 기울이고, 언론은 인터넷의 편리함과 함께 보안을 중시하는 사회적 분위기를 만들어 간다면, 좀더 우리 인터넷 세상은 지금보다 좀더 안전한 세상으로 발전할 수 있으리라 믿는다.

[이 글은 매경인터넷에 게제된 칼럼입니다.]

글쓴이: 강은성 상무(시큐리티대응센터장)
안철수연구소에서 사용자의 IT 자산을 지키는 보람과 즐거움으로 일하고 있는 강은성 상무는, 어린이들도 즐겁게 뛰놀 수 있는 안전하고 편안한 인터넷 세상을 만드는 꿈을 갖고 있다.
Posted by 멋나미

댓글을 달아 주세요