모바일

여행 중 모바일 기기를 안전하게 지키는 9가지 방법

Logan Kugler | PCWorld 2011.03.04

가깝게는 카페에서 멀게는 비행기, 기차, 크루즈 여행까지, 우리는 이제 언제 어디서든 인터넷을 사용할 수 있다는 사실에 익숙하다. 그런데 문제는 그런 익숙함 때문에 보안의 취약성에 무감각해 진다는 데 있다.

 

필자는 최근 도시를 네 개나 거쳐야 하는 산호세(San Jose)에서 탬파(Tampa)로의 여행길에서 아주 비싼 값을 치르고서야 그 사실을 깨달았다. 누가 내 전자기기를 해킹할 수도 있다는 걸 알고는 있었지만, 한 번도 문제가 없었기에 걱정하지 않았다. 그런데 ‘설마’가 사람 잡는다더니, 집에 돌아와보니 페이스북이 이상했다. 악성코드 “파이어쉽(Firesheep)”에 당한 것이다!

 

시카고에 사는 (그리고 파이어폭스와 윈도우를 사용하는) 누군가가 파이어쉽을 통해 필자의 페이스 북 계정에 로그인 한 것이다. 파이어쉽은 파이어폭스의 확장 프로그램으로 와이파이 네트워크 상의 웹사이트에서 암호화되지 않은 쿠키들을 가로채 페이스 북이나 트위터, 심지어는 이메일과 같은 곳에서 로그인 정보를 알아낸다.

 

자신에게는 이런 일이 없을 것 같은가? 천만에 말씀이다. 다행히도, 상식적인 보안 규칙을 지키고 약간의 기술만 있으면 꽤 쉽고 간편하게 휴대기기를 지켜낼 수 있다.

 

어떤 점들을 주의해야 하는가

AP218F.JPG회계 법인 프라이스 워터하우스 쿠퍼스(PricewaterhouseCoopers)의 대표이자 정보 보안 전문가인 조 노세라는, 지니고 여행하는 것이 노트북이든, 넷북이든, 스마트폰이든, 아이패드이든 위험 요소나 방어 가능성은 비슷비슷 하다고 얘기한다. 대부분 사람들이 PC의 보안과 관련해 걱정하는 문제들은 사실 휴대 기기에도 얼마든지 일어날 수 있다. 휴대기기들이 점점 더 복잡해져 감에 따라서, 과거에는 PC를 통해 해왔던 이메일이나 비밀번호, 보안 정보에의 접근을 이제는 모바일 기기를 통해 하게 된 것이다.

 

NCP 엔지니어링의 보안을 담당하고 있는 마틴 핵은 오늘날 전자기기들은 과거 어느 때보다 더 많은 정보를 수용할 수 있기 때문에 위험도 더 증가했다고 말했다. 핵은 또 개인적인 정보와 사업상의 정보를 한 전자기기에 담아서 가지고 다니는 사람들의 습관 역시 해커들을 유혹하는 원인이 된다고 전했다.

 

몇몇 휴대기기들의 인기가 높아질수록, 해커들 역시 그 기기들을 노린다. 노세라는 “5년 전만 해도, 그들의 주요 목표는 마이크로소프트였고 주로 PC를 공략했다. 당시만해도 애플은 그들의 관심사가 아니었다. 하지만 지난 1년 반 동안 큰 변화가 있었다. 2014년 전까지 휴대 기기들의 인기가 높아짐에 따라 해커들의 목표가 될 가능성도 커졌다”라고 말했다.

 

불행 중 다행인 것은, 휴대 기기와 그 안의 정보를 보호하는 것은 어렵거나 돈이 많이 드는 일이 아니란 것이다. 규칙은 간단하다. 문제는 포고 만화(Pogo comic strip)에도 나오듯 “우리를 가장 방해하는 것은 우리들 자신”이라는 데 있다.

 

휴대 기기 안전하게 지키기 위한 십계명

1. 소프트웨어를 꾸준히 업데이트 시켜라.

노세라의 말에 따르면, 가장 중요한 것은 소프트웨어를 항상 업데이트 시키는 것이다. 소프트웨어가 업데이트 될 때마다 기존의 보안 문제를 조금씩 커버해 줄 요소를 함께 갖고 나오는 것이 사실이다. 여행을 떠날 때 마다, 혹은 최소한 몇 주 마다 라도, 소프트웨어 제작자의 웹사이트에 방문해서(혹은 구글을 검색해서) 소프트웨어나 펌웨어가 업데이트 돼 있는지를 확인하라. 만일 돼 있다면, 업데이트에 대한 다른 사람들의 사용 후기가 엄청나게 나쁘지 않은 이상은 다운받는 것이 좋다.

 

2. 안전한 비밀번호를 사용하라.

크롤 프라우드 솔루션즈(Kroll Fraud Solutions)의 최고운영책임자인 제레미 밀러는, “최소한 8글자 이상의 글자, 숫자, 특수문자가 조합된 비밀번호를 사용하라”고 충고한다. 사전에 나오는 제대로 된 단어 말고, 좋아하는 노래나 식당, 혹은 다른 무엇의 머리글자를 딴 단어를 사용하는 것도 한 방법이다. 그리고 비밀번호를 자주-최소한 반 년에 한 번씩은- 바꿔야 한다. 만약 좋은 비밀번호를 생각해내기가 힘들다면, 로보폼(RoboForm)같은 프로그램을 이용할 수도 있다.

 

3. 보안 설정은 건드리지 마라.

안드로이드나 아이폰, 블랙베리 폰 등에 있는 대부분의 초기 브라우저 설정들은 꽤 안전하다. 노세라는, “따라서 브라우저 보안 설정을 괜히 바꾸거나 하는 것은 추천할 만하지 않다. 이미 보안 설정이 꽤 잘 돼 있기 때문이다"라고 말했다.

 

4. 암호화 되지 않은 공용 무선 네트워크 사용을 피해라.

이런 종류의 와이파이 네트워크의 경우 비밀번호나 본인 인증 없이 로그인 할 수 있으므로 나쁜 마음을 먹은 사람이 사용해도 알 수 없다. 심지어는 뭘 모르는 사람들을 꾀기 위해 일부러 무선 네트워크를 개설하는 사람들까지 있다. 반대로 암호가 걸린 네트워크들의 경우 ID와 비밀번호가 있어야 사용할 수 있다. 주로 와이파이 서비스가 되는 호텔이나 커피숍이 이런 경우들이다. 이 네트워크들은 두 종류의 보안 방법을 가지고 있는데, WEP(wired equivalent privacy)와 WPA(Wi-Fi protected access)이다. 두 번째가 더 안전하다. 하지만 암호화 된 네트워크라도 여전히 위험은 남아있다. 마음만 먹으면 호텔이나 카페에서도 암호화 된 네트워크에 접근할 수 있으므로, 그런 장소에서 네트워크를 사용할 때에는 중요한 작업은 하지 않아야 한다. 이 외에도, 사용하지 않을 때에는 와이파이를 꺼 둬서 자동으로 네트워크에 접속되는 것을 막아야 한다(그래야 배터리도 더 오래 쓸 수 있다).

 

5. 유료 와이파이 네트워크라 해서 꼭 안전한 것은 아니다.

접속료는 보안과는 상관이 없다. 와이파이 네트워크가 유료라고 해서 그 네트워크를 완전히 믿어서는 안 된다.

 

6. ‘https’로 시작하는 URL이 더 안전하긴 하지만, 안심해선 안 된다.

개인 신상 정보를 밝혀야 하는 웹사이트(예를 들면 은행 사이트)에 접속할 경우, 특별히 더 보안에 주의를 기울이기 바란다. https에 붙는 s는 보안소켓계층(Secure Socket Layer, SSL)을 통해 그 사이트에 접속하고 있다는 의미이다. 쉽게 말해, 그 웹사이트에서 주고받는 모든 정보는 암호화 돼 있다는 뜻이다.

 

하지만 SSL도 완벽하게 안전한 건 아니다. 만약 암호화 되지 않은 네트워크 연결을 사용하고 있다면, 중간자 공격(MITM, man-in-the-middle)에 당할 수 있기 때문이다. 중간자 공격이란 두 네트워크와 각각 따로따로 연결한 뒤 그 둘 ‘사이에 끼어들어’ 오가는 정보를 훔쳐 듣는 방식으로, 양쪽 네트워크는 서로 상대방에게 이야기하고 있다고 생각하게 된다.

 

이러한 종류의 공격들은 드물긴 하지만, 미리 예방하기 위해서는 양쪽 다 안전한 네트워크에 접속해 있음을 확인하고, 중요한 정보를 다룰 때에는 반드시 https 사이트에 접속해 있음을 확인해야 한다. 노세라는 또, 대부분의 이메일 서비스 제공자들은 텍스트 옵션(암호화 되지 않은 정보를 보내는 것)과 암호화 하는 것(SSL)을 확실하게 구분하므로, “SSL옵션이 제대로 작동하나를 꼭 확인해야 한다”고 말했다.

 

7. VPN을 사용하라.

만일 가상 사설 통신망(VPN, virtual private network)가 있다면 꼭 사용하라. VPN은 네트워크에 안전한 접근을 할 수 있게 해주고 온라인 접속 시 정보를 보호해준다.

 

8. 쿠키와 자동완성기능을 사용하지 마라.

만약 자신의 모바일 기기가 자주 방문하는 웹사이트의 비밀번호와 로그인 정보를 자동으로 완성해주는 기능을 가지고 있다면, 그 기능을 사용해선 안 된다. 편리하긴 하지만, 개인 정보를 위협하는 무기가 될 수도 있다. 정 불편하다면, 대부분의 플랫폼에서 구매 가능한 서드파티 앱을 사용해 좀 더 안전하게 비밀번호를 저장할 수 있다. 맥 OS X의 경우를 예로 들면, 키 체인(Keychain)이라는 비밀번호 관리 기능이 내장돼 있다. 키패스(KeePass) 는 몇몇 윈도우 버전을 위한 무료 개방 비밀번호 관리 프로그램이다. IOS와 안드로이드 스마트폰을 사용할 경우, 라스트패스(LastPass), 1패스워드(1Password), 그리고 스플래쉬ID(SplashID) 등이 있다. 자동완성기능을 아예 꺼버리는 것 보다야 덜 안전하지만, 아무것도 안 하는 것 보다야 낫다. 잠깐 편리 하려고 보안을 포기할 경우 결국 그 대가를 치르게 될 것이다.

 

9. 앱을 주의하라!

수많은 신기한 앱들이 공짜이기 때문에 다운받고 싶어지는 것은 당연하다, 하지만 앱을 다운받을 때는, 특히 안드로이드 마켓에서 다운받을 경우는 더더욱, 주의 깊게 앱을 골라야 한다고 노세라는 경고한다. 안드로이드 앱 마켓은 다른 곳 보다 더 개방된 탓에 애플의 앱스토어처럼 철저한 규제 방침이 없기 때문이다. 앱을 다운받기 전에 조금만 고생을 하면 된다. 앱 개발자가 믿을만한 사람인지 잘 알아보고, 사용 후기도 읽어 봐야 한다. 테인트드로이드(TaintDroid)는 개인 정보를 유출시키는 앱을 잡아내고 서드파티가 그 정보를 요구할 경우 이를 사용자에게 알리는 도구이다. 그러나 안드로이드 시장을 통해 제공되는 것은 앱이 아니다. 사용자들은 직접 앱 분석 회사에서 제공하는 프레임워크를 사용해 앱을 만들어야 한다.

 

그럼에도 불구하고 해킹을 당했다면…

이러한 조치들에도 불구하고 해킹을 당한다면 어떻게 해야 할까? 대부분의 경우 간단히 비밀번호를 (훨씬 안전한 것으로) 바꾸거나, 해킹 당한 네트워크를 통해 메시지를 보내 해킹 당한 사실을 알리는 것으로도 충분하다. 만일 전자 기기를 도둑맞는다면? 그럴 때를 대비해 자동 삭제 기능이나 원격 지움 기능을 갖추어 놓는 것이 좋다. 애플의 아이폰과 아이패드의 경우, 모바일미(MobileMe) 서비스를 제공한다. 구글 앱에서는 안드로이드 솔루션을 제공하고 있다. 만일 기기를 잃어버렸거나 해킹을 당한다면, 인터넷이 연결 된 어느 컴퓨터에서든 원격 리셋을 해 기기 안의 모든 정보를 지워버림과 동시에 영구적으로 기기를 잠궈 버릴 수도 있다. editor@idg.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.