글로벌 칼럼 | 온라인 익명성을 완벽하게 지키는 9가지 방법

3,700만여 명의 개인 정보를 유출시킨 애슐리매디슨 해킹 사건은 아직도 충격적이다. 물론 개인적으로 필자의 이메일 주소나 이름이 유출된 것은 아니었다. 불특정 다수의 사람들에게 거짓말을 해 이득을 취하거나, 혹은 그런 자들과 결탁한 이들에 대한 분노를 표출하려는 것도 아니다.

필자가 정말 충격 받았던 것은, 온라인 상에서 프라이버시가 완전하게, 반영구적으로 보호될 수 있다고 믿었던 사람이 3,700만 명이나 된다는 사실이다. 대체 이들은 어떤 생각을 하고 있었던 것일까?

하루가 멀다 하고 보도되는 해킹 피해 웹사이트, 비즈니스나 개인정보 유출 사례를 그냥 강 건너 불구경 하듯 한 것일까? 아니면, 애슐리 매디슨의 보안 팀에는 뭔가 특별한 것이 있어서 다른 기업들은 막지 못한 해커들을 막을 수 있다고 생각한 것일까?

유명 연예인들의 누드 사진도 유출되곤 한다는 이야기를 못 들어본 것일까? 아니면, 일반인들의 신용카드 정보가 위험하다는 이야기는? 모래 속에 머리를 박고 눈만 감으면 문제가 해결된다고 믿는 타조도 아니고, 불륜을 비롯한 온라인 상의 행동이 영원히 비밀로 간직될 수 있다고 믿다니 말이다. 하긴 아직도 많은 이들이 나이지리아 스팸 메일에 속아 넘어가고, 인터넷을 하다가 모르는 프로그램을 설치하라는 창이 뜨면 생각 없이 ‘예’를 누르고 있으니 놀라운 일은 아닐지도 모른다.

그렇지만 이번 애슐리 매디슨 사건 이후 필자는 진지하게 고민하게 되었다. 인터넷 상에서 안정적이고 지속적인 보안을 유지하는 것이 과연 정말 가능한 일인가 하고 말이다. 그래서 필자가 생각하는, 온라인 상에서 최대한 오래도록 개인의 익명성을 보장하고 신상 정보를 지킬 수 있는 최고의 방법을 소개해본다.

1. 안전한 국가를 선택한다
무엇보다 먼저, 사용자를 적극적으로 감시하려 들지 않는 정부를 찾아야 한다. 인터넷이 깔려 있는 지구상 거의 모든 국가들은 국민들을 보호한다는 미명 하에 자국 국민들을 감시 대상으로 삼고 있다. 때문에 최선의 방법은 인터넷 망이 연결되어 있으면서도 국민들을 완벽하게 감시할 만한 역량이 없는 정부를 찾는 것이다.

2. 익명성이 보장되는 운영체제를 사용한다
둘째로, 안전한 포터블 미디어를 사용하고, 리셋 가능한 가상 머신에서 작동하는 익명성 보장 운영체제를 사용해야 한다. 포터블 미디어 기기는 하드웨어 기반 암호화 프로그램을 사용하는 안전한 제품이어야 한다. 아이언키 워크스테이션(Ironkey Workstation)같은 제품들이 대표적이다. 아이언키 워크스테이션은 훌륭한 암호화 기능을 갖추고 있으며 비밀번호를 자주 틀리는 사용자의 접속을 차단하고, 다양한 USB 키 모델에 대해 마이크로소프트의 포터블 OS인 윈도우 투 고(Windows to Go)도 함께 제공한다.

프라이버시를 중시하는 이들 가운데 상당수는 테일즈(Tails)나 제우스가드 (ZeusGuard)같은 리눅스 라이브 배포판을 더 선호하기도 한다. 라이브 운영체제의 경우 각 세션마다 미디어에서 부팅 될 수 있도록 제작되었으며 특히 프라이버시 보호와 보안에 중점을 두고 제작된 테일즈는 개인 정보 보호 면에서 최고라 할 수 있다. NSA가 내부 프레젠테이션에서 테일즈나 여타 비슷한 OS들이 NSA의 감시 활동에 큰 방해가 된다고 지적한 사실은 이미 널리 알려져 있다. 이보다 확실한 품질 보증이 또 있을까?

라이브 운영체제 사용 여부는 둘째 치고라도, 현재 사용중인 운영체제에 나에게 불리한 정보가 저장되지 않도록 조치를 취해 두어야 한다. 읽기 전용의 부팅 가능한 미디어를 사용하는 게 아니라면. 사용시 매번 리셋 되는 VM 솔루션을 쓰는 것도 고려해 볼 만 하다. 물론 최선은 VM에 저장된 라이브 운영체제를 사용하는 것이겠지만 말이다. VM이 랜덤으로 DHCP와 ARP 주소를 배정해 주므로 안전하다.

3. 익명으로 접속하라
인터넷 접속도 익명으로 할 수 있는 방법이 필요하다. 최선의 방법은 가능한 한 공용 와이파이나 공개된 무선 네트워크를 사용해 매번 다른 접속 포인트에서 랜덤으로 접속을 하는 것이다. 이것이 어렵다면, 적어도 프록시갬빗(ProxyGambit)처럼 익명 무선 접속을 염두에 두고 제작된 기기를 사용하는 것이 좋다.

프록시갬빗은 간단한 익명화 기기로 장거리 통신 링크나 역 터널(reverse tunneled) GSM 브릿지를 통해 인터넷/IP 트래픽을 균열시켜 전 세계 어디에서든 자신의 위치나 IP를 노출시키지 않은 채 인터넷에 접속할 수 있게 해준다. 점대점(point to point) 링크 방식도 가능하지만 역 GSM 브릿지 방식을 이용하면 사용중인 기기와의 직접 연결 없이도 컴퓨터와 인터넷 만으로 수천 마일 밖에서 프록시가 가능해진다.

4. 토르(Tor)를 사용하라
라이브 운영체제와 인터넷 접속 방법뿐 아니라 브라우저도 익명성이 보장되어야 한다. 토르 기능이 활성화 된 브라우저가 그 예다. 토르는 사실 브라우저뿐 아니라 툴, 브라우저, API, 네트워크를 통틀어 지칭하는 하나의 시스템이다. 개인의 인터넷 접속 익명성을 보장하기 위해 만들어졌다.
토르 네트워크 패스에 접속하면 개인 기기를 드나드는 트래픽은 모두 랜덤으로 설정된 ‘토르 노드’를 통해 루트 된다. 토르 역시 완벽한 익명성을 보장해주지는 못하지만, 위에 언급한 다른 방법들과 함께 사용하면 익명성을 보장하는 꽤 안전한 방법이 된다. 아노나박스(Anonabox)같은 하드웨어 기반 토르 솔루션을 구매할 수도 있다.

5. 플러그인을 사용하지 마라
브라우저의 플러그인, 특히 많이 사용하는 인기 있는 플러그인 일수록 사용자의 신원과 위치 정보를 남길 확률이 높음을 기억하라. 익명성을 보장 받고 싶다면 피해야 할 기능 중 하나다.

6. HTTP/S만 사용하라
HTTP, HTTPS외의 다른 프로토콜은 사용하지 말자. 둘 외의 다른 프로토콜들은 대개 신원과 위치 정보를 쉽게 드러낸다. HTTPS를 사용시 ‘가짜’ 인증서를 발급하지 않는, 신뢰할 수 있는 인증서 발행 기관을 직접 선택하여 사용하기 바란다.

7. 늘 사용하는 어플리케이션들도 주의하자
워드프로세서나 스프레드시트 같은 생산성 소프트웨어를 설치하거나 사용하지 않아야 한다. 이런 소프트웨어들 역시 사용할 때마다 개인 정보를 유출할 수 있다.

8. 온라인 웹사이트에 각기 다른 신원 정보를 입력하라
온라인 웹사이트에 가입할 경우 각 사이트마다 서로 다른 이메일 주소, 비밀번호, 비밀번호 확인 질문, 신원 정보를 입력할 필요가 있다. 프라이버시에 예민한 일부만이 할 법한 극성맞은 방법이 아니다. 이미 모든 사람이 하고 있어야 하는 최소한의 안전 조치일 뿐이다.

9. 신용 카드 사용은 금물이다
인터넷에서 물건을 살 때 일반 신용 카드를 사용하는 건 금물이다. 페이팔 같은 온라인 송금 서비스도 대부분 귀중한 개인 정보를 담고 있다. 비트코인이나 그와 비슷한 가상 화폐를 사용하는 것이 더 낫다. 은행 등을 통해 실제 화폐를 가상 화폐로 전환하는 과정이 필요하지만(그 반대의 경우도 마찬가지다), 가상 화폐를 사용하는 편이 익명성을 지키기엔 훨씬 더 낫다.

프라이버시 보호, 쉬운 길은 없다
위에 소개한 방법 중 어떤 것도 그 하나만으로 완벽하게 프라이버시를 지켜주지는 못한다. 그렇지만 더 많은 방법을 함께 적용할수록 사용자의 개인 정보를 캐내기는 쉽지 않아질 것이다. 실제로 수십 만, 어쩌면 수백 만 명의 사람들이 이미 이들 중 한두 가지를 실제로 실천해 프라이버시 보호에 힘쓰고 있다.

그렇지만 사생활 보호를 위해 최선을 다 하지 않는 사람들이 더 많다. 사생활 보호를 위해 뭔가 제약을 건다는 것은 그만큼 스스로 불편을 감수해야 하는 일이기 때문이다. 사생활 보호를 중요시 하는 이들에게 그 정도의 불편은 당연히 감수해야 하는 것으로 여겨지지만, 대부분의 이들은 운영체제 설정이나 소셜 미디어 웹사이트의 설정을 변경하는 단순한 작업 조차도 귀찮게 여긴다. 그래서 대부분 디폴트 설정을 그대로 이용하는데, 이러한 설정은 사생활을 거의 보호해주지 못한다.

사용자의 개인 정보를 해킹하고 감시해 돈을 버는 이들 입장에서는 해킹이나 개인정보 유출에 대한 사람들의 안일한 태도가 반갑기 그지 없을 것이다. 애슐리 매디슨 해킹으로 피해를 본 3,700만 명의 사람들처럼 말이다. editor@itworld.co.kr