오늘이 세계 프라이버시의 날이라고 합니다. 지난 81년 유럽에서 개인정보보호 협약이 탄생한 날을 기념해서 국제 민간단체들이 이날은 기념해 프라이버시의 날이라고 제정하고, 다양한 활동을 펼쳐왔다고 합니다.

프라이버시 단체들의 공식웹사이트 : http://thepublicvoice.org/default.html

사용자 삽입 이미지



지난해 우리나라는 개인정보 유출 사건으로 많은 이슈가 있었습니다. X션에서 해킹을 당했고, XX칼텍스는 내부 사람이 돈을 위해 내부 정보를 빼돌렸고, (구)XXX텔레콤에서는 개인정보를 팔아 넘기기도 했습니다.

관련기사 : "프라이버시의 날, 한국 미래는 어두워" <아이뉴스24>

내가 아무리 조심한다고 해도, 나의 정보를 다루고 있는 곳에서 개인정보가 새 나가버리면, 개인 사용자 입장에서는 이러한 사태에 대해서 정말 어쩔수 없는것 같습니다. 그래서 하루빨리 개인 정보보호법이 마련되어야 하고, 웹사이트를 제공하는 업체들은 주민등록번호나 나이, 주소, 전화번호 등 개인정보를 요구하지 말아야 겠습니다.  해외의 인터넷 사이트들처럼 이름이나 닉네임, 이메일 정도까지만 입력하고 웹사이트를 이용할 수 있었으면 좋겠습니다.

프라이버시의 날을 맞아 안철수연구소에서 권하는 '인터넷 생활에서 개인 정보를 보호하기 위한 ‘10가지 생활의 지혜’
를 통해 소중한나의 정보를 스스로 지켜야 하겠습니다.  

출처 : 안철수연구소 블로그

 사회적 파장이 큰 보안 사고가 나면, 방송이나 신문에서 기자들은 사용자가 해야 할 일에 대해 가장 많이 묻는다. 하지만 짧은 뉴스에 잠깐 나오기 때문에 길게 얘기해 봤자 소용이 없고, 결국은 백신 프로그램을 사용하고, 최신 엔진을 자동 업데이트할 수 있도록 설정해야 한다, 는 원론적인 수준의 얘기가 나가게 된다. 하지만 가끔 회사에서 운영하는 보안 커뮤니티를 들여다 보면, 이런 원론적 말이 사용자들에게 의미가 없겠다는 생각이 들 때가 있다. 인터넷을 쓰면서도 컴맹인 사용자들이 가끔 보이기 때문이다.  

그래서 개인정보보호를 위해 네티즌들이 할 수 있는 일들을 자세하게 써 봐야겠다고 생각했다. 처음부터 완전히 새로 쓰는 것보다는 개인정보유출이 사회적 현안이 되었던 지난 2월에 안철수연구소에서 발표한 개인정보유출 방지 10계명을 중심으로 실제 개인들이 할 수 있는 일들을 정리해 보겠다. 사실 개인정보유출 방지라는 말보다는 개인정보보호라는 말이 좀더 알맞은 표현이다. - 이것은 완벽한 기술적 대안이 아니라 인터넷에서 개인정보를 보호할 수 있는 생활의 지혜 수준으로 이해하는 것이 좋겠고, 십계명도 조금씩 보완해야 할 것 같다.

 1.      굳이 회원 가입을 하지 않아도 되거나, 자주 사용하지 않는 웹사이트에는 회원 가입을 자제한다. 온라인 이벤트 응모에 무분별하게 참여하면 개인 정보 노출이 많아지므로 유의한다.

사실 이벤트뿐 아니라 좀더 싸게 사려고 여기 저기 쇼핑몰에 등록하기도 하고, 일시적인 필요에 따라 e메일 계정을 여기 저기 만들기도 한다. 포털이나 언론사에 댓글을 쓰기 위해 아이디를 만드는 경우도 많다. 필자도 지난 2월에 찾아 봤을 때 약 30개의 사이트에 주민번호가 등록되어 있었다. 심지어는 9년 전에 한 쇼핑몰에 등록해서 그 관계사를 나온 뒤로 한번도 써 먹지 않은 아이디도 있었다. 이것을 해결하려면 단골을 만들어야 한다. 쇼핑몰도 2개 정도의 단골을 만들고, 일시적으로 싼 게 있는 쇼핑몰은 비회원 자격으로 구입하는 게 좋다. 특히 e메일은 한두 개 정도만 쓰고, 모두 지우는 게 상책이다. 예를 들어 지난 1달을 돌아 봐서 한번도 들어가 보지 않은 사이트가 있다면, 거기에 있는 아이디는 과감하게 지우는 게 좋다. 가입한 곳을 북마크에 따로 관리하는 것도 한 방법이다.

 2. 피싱(Phishing) 사기 e메일을 조심한다. 개인정보, 계좌정보 등을 요구하는 수상한 e메일의 경우 신종 금융사기 수법인 피싱(Phishing)을 먼저 의심해 각별한 주의를 해야 한다. 금융기관으로부터 개인정보, 계좌정보 등의 업데이트나 정보 변경을 요구하는 e메일을 받으면 클릭하지 말고 해당 금융기관 사이트에 가서 직접 확인해야 한다.

피싱(Phishing) Privacy fishing의 합성어인데, 우리 말로 개인정보 낚기 정도로 번역할 수 있다. 포털 게시판에서 낚는다는 것과 비슷한 개념인데, 포털에서는 조회 수를 늘리기 위한 방법이지만, 피싱은 개인정보를 수집해 악용하기 위한 것이다. 아직 피싱에 관해서는 두드러져 보이는 제품이 없어서 계속 개인이 조심하라, 는 기사가 나가고 있는데, 올해에는 피싱 방지 기능이 포함된 제품이 좀 나올 것 같다.

일단 금융기관에서 개인정보를 갱신하라는 메일을 받는다면, 무조건 의심해 보는 게 좋다. 실제로 금융기관이 그런 방식으로 개인정보를 갱신시키는 경우는 아직 한번도 보지 못했고, 앞으로도 그렇지 않을 가능성이 매우 높다. 필자도 가끔 피싱 메일로 의심되는 메일을 받는데, 이것이 피싱 메일인지 확인하기 위해 그 안에서 표기된 사이트를 클릭하고 들어 가서 그것의 실제 도메인과 검색엔진에서 알려 준 해당 사이트의 인터넷 주소(도메인 이름)를 비교한다. 실제 IE에서는 속성에서, firefox에서는 #####    에서 알 수 있다. 도메인으로 구별하기 어려운 경우에는 정보를 변경하라고 알려 준 링크를 도메인 이름만 변경하여 검증해 보거나, 도메인의 소유주를 찾아 보기, 검색엔진에서 찾은 사이트와 비교해 보는 방식으로 판단한다. 물론 그 어느 경우에도 내 정보를 입력하지는 않는다.

 3. 인터넷에서 아무 자료나 프로그램을 함부로 다운로드하지 않는다. 정품이 아닌 복제 프로그램에는 트로이목마 등의 바이러스가, 공개 프로그램에는 스파이웨어가 포함되어 있을 수 있으므로 설치하지 않는 것이 좋다.

사실 인터넷을 찾는 가장 큰 목적 중의 하나가 자료나 프로그램을 다운로드하기 위한 것이다. 함부로 다운로드하지 않는다는 것은 무슨 뜻인가? 이것 역시 한 마디로 단골을 만들라는 것이다. 필자도 가끔 공개 소스를 찾기 위해 인터넷을 찾는데, 프로그램은 GNU, W3C, sysinternals 등의 잘 알려진 해외 사이트나 보물섬 등지에서만 프로그램을 다운로드하면 악성코드를 함께 다운로드할 확률은 크게 줄어 든다. 각 사이트에서 잘 관리하기 때문이다. 물론 프로그램을 다운로드한 이후에 필수적으로 백신으로 해당 파일의 악성코드 감염 여부를 검사해야 한다.

 4. 웹사이트 방문 시 '보안경고' 창이 뜰 경우에는 신뢰할 수 있는 기관의 서명이 있는 경우에만 프로그램 설치에 동의한다. 무심코 설치에 동의하면 스파이웨어나 악성 코드가 설치될 수 있다.

스파이웨어의 일상적인 설치 경로는 2년 전이나 지금이나 역시 인터넷 카페들이다. 특히 성인 사이트들은 스파이웨어의 천국이다. 아마도 스파이웨어를 배포하면, 해당 스파이웨어 업체에서 그 사이트에 돈을 주기 때문인 것 같다. 이게 스파이웨어 비즈니스의 일반적인 방식이다. 특히 요즘에는 압축 파일 하나에 대여섯 개의 서로 다른 프로그램들이 들어 있어서 한번 잘못 클릭하면 여러 개의 프로그램들이 자동 설치된다. 스파이웨어가 점점 더 독해지는 추세다.

인터넷 익스플로러(IE)보안 경고창은 프로그램을 설치해도 되는지를 묻는 설치 확인창이 아니다. 컴퓨터 외부에서 프로그램을 다운로드하여 설치하는 것이 보안에 매우 위험하기 때문에 액티브 엑스(Active/X)를 설치하는 데 고객에게 조심하라고 경고하는 창이다. 사실 사용자가 그 프로그램의 위험을 판단할 만한 근거가 거의 없기 때문에 실질적인 도움은 되지 않지만 말이다. 사실 보안 측면에서만 본다면 액티브 엑스는 IE의 치명적인 결함이다.

사용자들은 여기 저기 돌아 다니다 들어 간 사이트에서는 IE보안 경고창이 뜨면서 프로그램을 설치하겠느냐고 물어 보면 절대로 를 눌러서는 안된다. 나도 가족에게 신신당부하는 것이 아빠가 없을 때 그런 창에서 를 누르지 말라는 점이다. 필요하면 아빠 있을 때에 하라고 한다. 물론 윈도 XP SP2가 설치된 컴퓨터에서는 액티브 엑스가 기본으로 차단되기 때문에 모르고 설치하는 위험은 줄어 들긴 했지만, 설치 여부를 판단하기 위한 근거는 여전히 없다. 해당 서비스를 이용하기 위해 그것이 필요한지를 확인하려면, 일단 아니오를 선택한 뒤에 해당 서비스를 써 보고, 그래도 안 되면, 설치하는 것도 한 가지 생활의 지혜다.

5. PC방 등 누구에게나 개방된 컴퓨터에서는 가급적 온라인 쇼핑이나 인터넷 금융 거래를 하지 않는다. ID와 패스워드를 가로채는 트로이목마가 설치되어 있는 경우 내 정보가 유출되어 금융 사고가 발생할 수 있다. 불가피하게 사용할 경우 백신 및 PC방화벽이 설치 실행되는 곳에서만 이용한다.

이것은 더 이상 말할 필요가 없다. PC방에서 개인정보나 금융정보를 입력하는 일은 절대로 하지 않는다.

 6. 백신, 안티스파이웨어 제품, PC 방화벽, 키보드 보안 제품 등을 설치해 자동 업데이트 기능을 이용해 항상 최신 버전을 유지한다. 실시간 감시 기능을 설정해두고 최소 일주일에 한 번 이상 최신 버전의 보안 제품으로 PC를 검사한다.

자동 업데이트 기능을 이용하는 것이 매우 중요하다. 대부분의 백신 제품군들이 자동 업데이트 설정 기능을 두고 있고, 대다수의 사용자들이 이 기능을 이용하고 있는데, 가끔 이 기능을 사용하지 않는 사용자들이 있다. 매우 위험한 일이다. 백신 제품의 경우 요즘은 하루에도 여러 번씩 새로운 엔진이 나오므로, 최소한 하루에 한번은 새 엔진을 받도록 설정하는 것이 좋다. 실시간 감시 기능을 설정하는 것, 1주일에 한번은 수동 검사를 직접 하거나 수동 검사가 실행될 수 있도록 예약 설정해 두는 것이 필요하다. 여러 가지 이유로 내가 해 놓은 프로그램 설정이 바뀐 경우가 종종 생긴다. 필자 역시 가끔 자동 업데이트 설정을 확인하고, 엔진 버전이 최신인지 오늘 날짜와 비교해 보곤 한다.

7. 최신 윈도 보안 패치를 적용해 최신 윈도 보안 패치를 모두 설치한다.

이걸 보면서 이게 가능할까, 하는 생각을 하게 된다. 최신 윈도 보안 패치를 모두 설치하는 것은 사실 매우 어려운 일이다. 그리고 가끔 보안 패치 자체에도 버그가 있어서 악성코드가 이미 나와 있는 취약점에 관한 긴급 패치가 아니라면, 최신 패치가 나오자마자 적용하는 것은 개인 사용자들로서 별로 바람직한 일도 아니다. 이것 역시 주기적으로 하는 게 좋다.

 

8. 로그인 계정의 비밀번호는 영문/숫자 조합으로 8자리 이상으로 설정하며 주기적으로 변경한다. 타인이 쉽게 추정할 수 있거나 영문으로 유추하기 간단한 단어는 사용해서는 안 된다. (타인이 쉽게 추정할 수 있는 비밀번호 사용 금지. )주민등록번호, 전화번호, 생일날짜, 차량번호 등 개인 정보)

좀 오래 된 통계이긴 한데, 패스워드 중 가장 많이 쓰는 것은 password라고 한다. 사람들의 무신경을 알려 주는 지표이다. 국내에서는 생일을 워낙 많이 써서 비밀번호를 유추하기가 쉽다. - 비밀번호라고 부르니까, 사용자들이 전화번호나 주민번호, 생일 등을 이용하게 된다. 암호라고 바꾸는 게 좋겠다. - 암호를 알아 내는 공격 방법 중 사전 기반 공격(dictionary attack)이 있다. 패스워드로 많이 쓰는 단어 사전을 만들어 놓고, 그것을 한번씩 넣어 보는 방법이다. 웬만큼 쉬운 영어 단어로 암호를 설정하면 다 공격에 뚫리게 된다. 아직 한국어용 사전이 제대로 없기 때문에 한국어 기반으로 암호를 설정하는 게  더 안전하다고 볼 수 있다.

9. e메일에 첨부된 파일이나 메신저로 전달되는 파일, P2P 프로그램을 통한 자료 다운로드 시 유의한다. 메신저로 URL이나 파일이 첨부되어 올 경우에는 반드시 메시지를 보낸 이가 직접 보낸 것이 맞는지를 먼저 확인하고 실행한다. P2P 프로그램을 이용해 파일을 다운로드할 때는 반드시 악성 코드에 감염되어 있는지 보안 제품으로 검사한 후에 사용한다.

이메일을 통해 퍼지는 웜은 거의 대부분 사용자가 첨부 파일을 실행시킬 때만 전파된다. 즉 이메일을 본다 하더라도 첨부 파일을 실행시키지 않는다면, 대부분의 e메일 웜은 전파되지 않는다는 것이다. 그럼에도 불구하고 아직도 이메일 웜이 매달 고객 피해신고 통계의 상위를 차지하는 것은, 호기심을 자극하는 첨부 파일을 열어 보는 사용자가 많다는 것을 말한다. 이발신자 이름을 모르겠거나 발신자 아이디가 의미없는 알파벳의 마구잡이 조합으로 이뤄져 있는 이메일에 첨부 파일이 있다면, 쓸데없는 스팸이나 이메일 웜일 가능성이 매우 높다. 나는 그러한 메일은 그냥 지운다. 2005년부터 P2P나 메신저로 퍼지는 웜의 피해가 약 5%를 차지하면서 웜의 한 경로로 확실하게 자리 잡았다. 위에서 제시한 것과 같이 발신자를 확인하거나 백신 제품으로 검사한 뒤에 사용하는 것이 위험을 줄일 수 있다.

10. 중요한 문서 파일의 암호를 설정하고 백업을 생활화한다.

문서 파일의 암호화는 최악의 경우에 해당 파일이 유출되더라도 다른 사람이 그것을 열어 보지 못하도록 하기 위한 것이다. 요즘 웬만한 프로그램에서는 그것을 통해 만들어진 문서를 암호화해서 저장하는 방식을 제공하고 있고, 일반적으로 문서를 암호화하는 툴이 있기도 하다. 문서를 암호화하는 것이 보안 측면에서 좋기는 하지만, 암호를 잊어 버렸을 때에 그 파일을 열어 보지 못하는 위험이 있기도 하다. 이를 보완하기 위해 이를 연상할 수 있도록 질문과 응답을 미리 적게 하기도 하고, 인증서 기반으로 암호화를 시키는 툴이 있기도 하다. 암호화 툴에 대한 정답은 아직 없다. 암호 설정시 암호를 잊어 버리지 않도록 하는 나름대로의 노하우를 쌓는 게 중요하겠다.

악성코드 때문에, 응용 프로그램을 깔다가, 윈도 운영체제의 문제 등등 여러 가지 문제로 하드디스크를 포맷할 필요가 생긴다. 이 때 미리 백업 받아 놓지 않은 걸 뼈저리게 후회하게 된다. 중요한 파일은 기가바이트 이상 제공하는 이메일이나, 웹 하드, USB 메모리, 외장 하드디스크 등 다양한 저장 매체에 저장해 놓는 게 필요하다.

보안업체에서 좋은 보안 제품을 만들고, 인터넷 사용자들은 보안제품을 구매하고 최신 엔진으로 늘 관리하면서 조심하고, 보안업체들도 네티즌들이 잘 사용할 수 있는 제품이나 서비스를 제공하고, 정부는 보안 시장을 바로 잡고, 제도를 보완하는 데 힘을 쓰고, 인터넷 서비스 제공업체들이 보안에 좀더 관심을 기울이고, 언론은 인터넷의 편리함과 함께 보안을 중시하는 사회적 분위기를 만들어 간다면, 좀더 우리 인터넷 세상은 지금보다 좀더 안전한 세상으로 발전할 수 있으리라 믿는다.




Posted by 멋나미

댓글을 달아 주세요

연말이라 그런지 동네 슈퍼에서 3000원 이상 구매고객을 대상으로 경품 이벤트를 하고 있습니다.

1등이 순금돼지 30돈, 2등은 지펠냉장고, 3등은 삼성센스 노트북 등 솔깃솔깃한 경품들이 가득합니다. 보안의식이 투철한 멋나미, 이런 이벤트들은 개인정보를 획득해서 스팸문자나 DM 발송에 사용되는 것을 잘 알기 때문에 그냥 흘겼습니다.

그런데 집에 도착해서 책상위에보니 '삼성센스 노트북'이라는 것이 눈에 들어옵니다. 원래 저는 이런 이벤트 당첨확률 제로이기 때문에 기대는 하지 않고 이들이 어떻게 개인정보를 수집하고 있는지 확인해 보고 싶어 사이트를 들어가 보게 되었습니다.

오오.... 응모사이트도 선물조아닷컴이네요.. 이런건 분명히, 수상한 사이트일 것 같다는 직감이 들죠..

그러나,

사용자 삽입 이미지

신한생명에서 하는 이벤트입니다.
대기업에서 하는 것이라 설마~~ 개인정보를 요구할까 하며 행운번호를 입력해 보았습니다.

역시나 이름, 주민등록번호, 전화번호, 집주소, 이메일을 입력하라는 페이지가 뜹니다.

사용자 삽입 이미지

위 페이지를 자세히 살펴보니, 개인정보 입력 이외에 아래와 같은 글이 함께 게시되어 있습니다.  응모한 정보는 전화, 이메일, SMS를 이용한 신한생명 보험상품 안내 및 메리츠화재보험상품 안내 등의 마케팅 자료로 무려 5년간 ... 뜨아... 활용될 수 있습니다 라고 친절하게 안내되어 있습니다.


사용자 삽입 이미지

그리고 개인정보보호는 정책에 의거해 철저하게 보호된다고 해서, 지침을 살펴보았습니다.
내용이 길어서, 보실 분들은 아래를 클릭하시고..,.  대략 내용은 위에 써 있는 내용과 비슷하지만 헷갈리는 것은
신한생명에서 이것을 활용하는데 위에는 5년이라고 되어있지만, "개인정보 제공 및 활용에 동의한 날로부터 1년간"이라도 명시되어 있습니다.




이벤트에 응모하게되면 무조건 동의 하던지 동의하지 않던지 5년간 신한생명이나 메리츠화재의 상품안내 메일, SMS를 받게 되는것인지, 아님 동의를 하지 않으면 이런 광고성 메일을 수신하지 않는지.... 암튼, 동의하지 않기로 해서 응모를 했습니다. 물론, 당첨되지도 않았습니다.

올해 대기업 등지에서 개인정보 유출 사고에 대해 그 어느때보다 이슈가 많았던 게 사실입니다. 개인정보가 유출된 사람들은 집단소송 등을 통해 피해보상을 받으려고 한다는 뉴스도 자주 접하게 됩니다. 비단 개인정보 유출은 웹사이트를 운영하는 기업들의 잘못으로 유출될 수도 있지만, 이렇게 우리가 무심결에 아무 생각없이, 경품에 현혹되어 주민번호, 주소, 이메일, 휴대폰 번호를 고스란히 넘겨준다는 것입니다. 특히나 슈퍼마켓에서 하는 이러한 이벤트는 개인정보 보호에 대한 의식이 아주 약한 사람들이 대부분이기 때문에 더욱 위험한것 같습니다.

몇억짜리 아파트를 주는 경품에서 사소한 포인트 경품에 까지 우리를 현혹하는 경품 이벤트가 너무 많습니다. 로또와 같이 수십억원의 벼락을 맞을 수 있는 경품에서도 개인정보 입력하는 것이 없는데, 기업 등에서 하는 이벤트는 너무나도 뻔뻔하게 개인정보를 요구하고 있습니다.

이벤트에 응모하기 전, 나의 소중한 개인 정보를 입력하는 곳이 있는지 없는지 다시한번 살펴보고, 어차피 1등 대박 날 확률은 정말 적으니깐 이러한 정보를 요구하는 이벤트는 과감히 쳐다보지도 맙시다!!

저는 테스트를 위해 동의안함으로 해서 응모를 했는데, SMS나 스팸메일이 오는지 안오는지 끝까지 확인해 보도록 하겠습니다.



Posted by 멋나미

댓글을 달아 주세요