또한 인터넷 서비스 제공업체, 소극적인(또는 적극적인) 정부 데이터 수집, 그리고 온갖 종류의 다른 침입자들이 뒤에서 무슨 일을 하는지 누가 알겠는가? 요지는, 온라인에서 약간의 익명성이나마 확보하려면 적절한 조치를 취해야 한다는 것이다.
회사 동료 또는 집의 다른 가족이 모르는 익명 이메일 계정만으로 충분하다면 그다지 어렵지 않다. 그러나 연결을 보호하기 전에 이메일 계정에 로그인한다든지, 좋지 않은 타이밍에 익명이 아닌 ID에 액세스하는 등 단 한 번의 실수로 신원이 노출될 수 있다.
이 기사에서는 익명 활동에 필요한 단계를 안내한다. 얼마나 철저히 익명성을 유지하고 싶은지에 따라 여기 나온 조언을 모두 사용할 수도 있고, 필요한 부분만 취할 수도 있다. 결정에 도움이 되도록 각 단계가 필요한 이유도 설명한다.
1단계: 익명 활동 공간 확보
제대로 된 익명성을 원한다면 최선은 비밀 ID 용도로만 사용되는 별도의 디지털 작업 공간을 마련하는 것이다. 그러면 일상 업무에 사용하는 회사 신원과 Mr. Robot이라는 익명 ID가 교차될 위험 자체가 없다.일상 업무용 컴퓨터에서 일반 브라우저를 사용해 계정을 만들 경우 누군가 PC 주변을 어슬렁거리며 엿보는 것만으로 익명성을 잃게 된다.
선택 가능한 옵션은 다음과 같다.
레벨 1: USB 스틱 드라이브에 토르(TOR) 브라우저를 설치한다. 위험 부담이 낮다면(즉, 계정이 발견되더라도 세상이 끝나는 것이 아니라면) USB 드라이브에서 실행하는 토르로 충분할 것이다. 토르 브라우저는 어니언 라우터(The Onion Router, 줄여서 TOR) 네트워크로 연결되는 파이어폭스의 한 버전이다. 이 시스템은 사용자를 개방된 인터넷에 노출하기 전에 연결이 여러 노드(컴퓨터)를 경유하도록 한다. 토르를 사용하면 실제 IP 주소를 찾기 어렵게 된다. 또한 토르 브라우저는 기본적으로 브라우징 기록을 저장하지 않으므로 활동이 비밀로 유지된다. 토르의 보안을 최대화하고자 하는 사람을 위한 토르 프로젝트 팁은 온라인에서 최대한 비밀과 사생활을 지키는 방법을 알려준다.
또한, <토르 브라우저의 이해 : 브라우저가 프라이버시를 보호하는 방법> 에서도 추가 정보를 볼 수 있다.
레벨 2: 좀더 고급 사용자라면 개인정보 보호를 중시하는 리눅스 배포판인 테일스(Tails)와 같은 운영체제 전체를 스틱 드라이브에서 실행하는 방법이 있다. 물리적인 디바이스 없이 완전히 별도의 컴퓨터를 하나 더 두는 것과 같다. 이 방법의 핵심 역시 실제 ID와 익명 계정 사이에 방벽을 설치하는 데 있다.
레벨 3: 익명성에 편집증적으로 집착하고 신원이 노출될 경우 생명에는 위협을 받지 않더라도 재앙에 가까운 결과를 초래한다면, 비밀 ID 전용으로 아예 별도의 노트북을 사용하는 방법이 있다. 이 정도라면 디바이스도 현금 또는 기프트 카드로 구매해서 노트북 구매 기록 역추적 가능성을 차단할 것을 권한다. 이 노트북에서는 암호화된 리눅스 변형을 실행해야 하지만 윈도우 10을 꼭 사용해야 한다면 로컬 계정으로 활성화하고, 설정 과정에서 가능한 모든 추적 방법을 끄고 코타나도 사용하지 말아야 한다. 또한 이 디바이스에는 불필요한 소프트웨어를 설치하지 말고, 일상적으로 사용하는 계정에는 절대 로그인해서는 안 된다. 핵심은 이 노트북에 남는 부가적인 정보를 가능한 최소화하는 것이다. 부가적인 애플리케이션을 설치하고 익명 활동을 다른 일상 활동과 혼합하는 것은 반드시 피해야 한다. 아울러 테이프나 종이로 웹캠을 가리는 것도 잊지 말아야 한다. 그렇게까지 해야 하나 싶겠지만 마크 주커버그도 한다.
2단계: 위치, 위치, 위치
집이나 회사에서는 비밀 ID에 액세스하지 않는 것이 철칙이다. 사용자 역추적이 가능한 인터넷 프로토콜(IP) 주소가 노출될 가능성이 있기 때문이다. 물론 역추적에는 꽤 고난도의 작업이 필요하긴 하지만 익명성을 위해서는 자신의 위치를 아무도 모르게 하는 것도 중요하다. 익명 활동은 동네 커피숍, 도서관, 기타 공용 와이파이를 제공하는 장소에서만 하라. 그래도 걱정된다면 일상적인 생활권과 어느 정도 떨어진 지점을 선택하는 것이 좋다.극도로 예민한 사람을 위한 방법: 또 다른 중요한 점은 사용 중인 다른 디바이스를 통해서도 신원이 노출될 수 있다는 것이다. 최대한의 분리를 위해 전화기는 집에 두고 나오거나, 최소한 전원을 끄고 가능하다면 배터리를 분리하라.
3단계: 토르 또는 VPN 사용(단, 조건이 있음)
집이나 직장이 아니면서 비밀 이메일을 보내고 받을 만한 장소를 찾았다면 이제 인터넷에 연결할 차례다. 단, 연결하기 전에 토르 네트워크 또는 고품질의 VPN을 이용해야 한다.이미 USB 스틱 드라이브를 통해 토르 브라우저를 사용 중이라면 이 부분을 건너뛰어도 된다. 그 외의 모든 사람들을 위해 말하자면 VPN이 아닌 토르를 사용할 것을 권장한다. 토르 네트워크의 장점은 누구도 믿을 필요가 없다는 것이다. 토르를 사용하면 암호화된 연결이 여러 서버를 경유한 다음에 개방된 인터넷에 도달하게 된다. 따라서 TOR 사용자의 실제 위치를 역추적하기가 훨씬 더 어렵고, 실제 위치를 찾을 수 있는 단서는 웹에 들어서는 데 사용된 최종 서버에만 존재한다(예상치 못한 익스플로잇을 배제한다면).
그래도 VPN을 사용해야 하는 상황이라면 현금 결제가 가능하고 오랜 기간 사용자 권리 보호를 위해 노력해온 검증된 VPN을 선택하라. 그리고 VPN을 사용하더라도 TOR를 사용하라.
비밀 이메일 계정을 사용하기 위한 용도로 익명성을 유지하는 최선의 방법은 토르다. VPN 비용을 신용카드로 결제하면 추적이 가능해진다. VPN 측이 어쩔 수 없이 여러분을 추적해야 하는 경우에도 노출될 위험에 처하게 된다. 모두 최악의 시나리오지만 중요한 원칙이다. 최대한 익명성을 유지하고, 토르를 사용하라.
그러나 토르 단독으로는 만능 해결책이 될 수 없다. 토르 브라우저는 기본적으로 전자 프론티어 재단(Electronic Frontier Foundation)의 브라우저 확장인 HTTPS 에브리웨어(HTTPS everywhere)를 사용한다. 이 확장은 기존 노드와 방문하고자 하는 웹사이트 간에 SSL/TLS를 통해 연결을 보호하는데, 이것으로 염탐 가능성은 충분히 차단된다.
토르 브라우저를 사용할 때는 이 브라우저만 토르 네트워크에 연결된다는 점을 유의해야 한다. 즉, 토르 브라우저를 사용하면서 동시에 음악을 스트리밍하기 위해 스포티파이 데스크톱 앱을 사용한다면 이 앱은 토르를 통해 작동하지 않는다.
4단계: 이메일 계정 만들기
게릴라 메일(Guerrilla Mail), Secure-Email.org를 비롯해 익명 이메일 옵션은 상당히 많다. 잠시 후에 살펴보겠지만 지금은 일단 받은 편지함과 보낸 편지함을 비롯한 모든 기능을 갖춘, 표준적인 이메일 주소가 필요하다고 전제하자.추천하는 메일은 프로톤메일(ProtonMail)이다. 잘 알려진 이메일 서비스 중에서 전화번호나 예비 이메일 주소와 같은 부가적인 신원 정보를 제공하지 않고도 사용할 수 있는 극소수 서비스 중 하나다. 또한 프로톤메일은 기본적으로 암호화되며, 사이트에 토르 액세스 버전이 따로 있다는 것도(https://protonirockerxow.onion/) 큰 장점이다.
5단계: 팁을 기억하고, 이제 사용할 차례
별도의 작업 공간에서 토르를 통해 연결했고 이메일도 준비했으니 이제 메시지를 주고받을 차례다. 이메일을 쓸 때는 실제 ID를 노출할 수 있는 내용이 포함되지 않도록 주의를 기울여야 한다. 또한 특별히 마련한 익명 환경을 사용할 때는 자신의 실생활과 연결된 어떠한 언급도 해서는 안 된다.익명 이메일 계정의 사용자 이름과 비밀번호는 따로 기억해 두는 것이 좋다. 일상적으로 사용하는 비밀번호 관리자 프로그램에 입력하지 말고, 포스트잇에 적어 노트북에 붙여 놓지도 말고, 프로톤메일의 사용자 이름과 비밀번호를 다른 곳에서는 절대로 사용하지 말아야 한다.
이 원칙이 왜 중요한지 궁금하다면 경찰 당국이 실크로드를 만든 로스 울브리히트를 붙잡은 방법에 대한 글을 읽어 보길 권한다. 울브리히트가 몇 년 전에 실제 신원과 연결해 사용했던 한 모호한 사용자 이름이 결정적인 단서가 됐다. 단 한 번의 실수로 개인정보 보호를 위해 여러분이 쏟아 부은 온갖 노력이 무력화된다는 것을 명심하라. 또한 마약과 무기를 판매하기 위한 디지털 블랙 마켓을 열 생각은 하지 않는 것이 좋다. 골치 아픈 상황을 자처하는 격이다.
보너스: 익명 이메일 서비스
그냥 익명 이메일 하나를 보내는 것이 목적이라면 조건이 다르다. 일단 전용 노트북을 굳이 구할 필요는 없다. USB 스틱 드라이브에서 토르 브라우저를 사용 중이며, 집이나 사무실에서는 연결하지 않는다고 전제하자.어떤 방법이 있을까? GuerillaMail.com을 방문하면 영구적으로 유지되는 임시 이메일 주소를 받을 수 있다. 누구나 이 주소로 이메일 메시지를 보낼 수 있지만 메시지는 한 시간 동안만 편지함에 보관된다. 이메일을 보내고 회신을 받지 않거나 한 통의 회신을 받는 것으로 충분하다면 유용한 서비스지만 여러 번 회신을 주고받기에는 적합하지 않다.
문제는 사용자 이름과 비밀번호가 필요 없기 때문에, 사용 중인 게릴라메일 주소만 알면 누구나 편지함을 들여다볼 수 있다는 것이다. 게릴라메일 측은 이 문제를 해결하기 위해 두 개의 이메일 주소를 제공한다. 편지함으로 연결되는 실제 이메일 주소, 그리고 다른 사람들에게 알려주는 “가짜” 주소다. 그럴듯한 방법이지만 별로 어려울 필요가 없는 일에 괜한 복잡성만 더한다. 차라리 표준적인 이메일 서비스를 사용하되 비밀 ID를 유지하는 편이 낫다. 사실 게릴라 메일의 주 목적도 비밀 이메일 계정을 유지하기보다는 받은 편지함에 넘쳐나는 스팸을 줄이는 데 있다. editor@itworld.co.kr