보안 / 프라이버시

안전한 온라인 생활을 위한 최신 안내서

Fahmida Y. Rashid, Serdar Yegulalp  | CSO 2017.06.02

인터넷은 무서운 장소다. 각종 위협이 곳곳에 도사리고 있다. 더욱 무서운 것은 한 때는 통했던 온라인 안전 유지 방법들(예: 수상한 웹사이트 피하기, 장물 또는 불법물 밀거래 하지 않기, 아는 사람하고만 연락 주고받기)이 더 이상 통하지 않는다는 점이다.


Credit: Pixabay

가족 메일 주소로부터 온 피싱(phishing) 이메일, 합법적인 앱을 타고 들어 온 스파이웨어(spyware), 악성코드로 납치된 유명 사이트 등 오늘날 진화하는 각종 디지털 위협으로부터 안전을 유지하려면 새로운 규칙이 필요한 것은 자명하다.

디지털 생활 가운데 상당 부분을 차지하는 커뮤니케이션, 금융거래, 오락, 업무, 교육 등이 온라인으로 이루어진다는 점을 감안하면, 몇 가지 안전한 인터넷 사용 습관만으로도 큰 효과를 볼 수 있다. 이메일 메시지 관리도 마찬가지다. 이메일은 악용 키트와 악성코드를 사용한 온라인 공격 전달 수단으로 많이 이용되기 때문이다. 

이 기사는 안전한 온라인을 위한 생활 안내서다. 웹 상에서 생산성을 유지하면서 데이터 및 개인 정보를 보호할 수 있는 방법을 소개한다.

각자 대비하고자 하는 위협 종류 파악하기
워낙 많은 종류의 위협들이 출현하고 있기 때문에, 모든 것을 걸어 잠그는 극단적인 방법을 취하고 싶은 유혹이 들게 마련이다. 단, 조심성이 지나치면 생산성이 저하되는 것이 문제다. 가령, 악성 자바스크립트(JavaScript)를 피하려면 브라우저 환경설정에서 자바스크립트를 끄면 되지만 인터넷 중 태반을 거의 사용할 수 없게 된다.

자바스크립트를 끈 상태로 지메일(Gmail)을 사용해 보면 얼마나 불편한지 알 수 있다.
사람마다 웹 사용 방식이 다르다. 위험 요소 역시 어디에서 무엇을 하고 있는 지에 따라, 심지어 무슨 요일이냐에 따라서도 크게 달라진다.

보안 연구원의 온라인 안전 유지 방법은 이메일과 페이스북(Facebook)을 사용하고 넷플릭스(Netflix)를 시청하는 일반 소비자와는 딴판이다. 새로운 도구를 다운로드한 후 도움을 얻기 위해 포럼에 자주 드나드는 개발자와도 다르다.

기본적으로 운영체제뿐만 아니라 모든 애플리케이션, 특히 웹브라우저를 주기적으로 업데이트해야 한다. 플래시(Flash)에 대해 클릭 후 재생 기능이 이미 설정되어 있지 않는 브라우저에서는 환경설정을 그렇게 바꿔야 한다.

또한, 액티브X(ActiveX)를 비활성화하고 시스템에 설치된 자바 클라이언트를 제거해야 한다. 게임이나 일부 교육 프로그램처럼 자바가 많이 필요한 클라이언트 애플리케이션을 사용하지 않는다면 자바를 쓸 일은 더 이상 없다. 주요 화상회의 프로그램들조차도 HTML5만 사용하는 방향으로 가고 있다.

또한, '장소'와 '활동'을 모두 신경써야 한다. 예컨대 공용 무선망에서 민감한 거래를 실행하면 문제가 생길 수 있다. 즐겨 찾는 커피숍에서 제공되는 공용 와이파이(Wi-Fi)를 통해 인터넷 뱅킹을 하는 것은 금물이다. SSL 연결을 사용하는 경우라도 마찬가지다. SSL을 통한 중간자(man-in-the-middle) 공격이 여전히 가능하기 때문이다.

이와 같은 기본 조치를 취한 후에는 가장 걱정되는 위험이 어떤 것인지, 보호하고자 하는 자산은 무엇인지, 누구와 주기적으로 연락을 주고받는지, 데이터 저장 장소는 어디인지 등을 고민해야 한다.

자, 위협 종류를 파악했다면 이제 이런 고민들을 세분화해 살펴보자. 각자의 위험 용인 수준(온라인 상에서 감당할 용의가 있는 위협 단계)에 맞는 안전한 인터넷 사용 습관 선택에 도움이 될 것이다.

1단계 위협: 악성코드 사절
대부분의 사람들, 특히 기업에서는 무슨 일이 있어도 악성코드를 피하고 싶어한다. 가장 흔한 매개체 두 가지는 악성코드를 다운로드하는 링크와 드라이브 바이 다운로드(drive-by-download)다.

드라이브 바이 다운로드에서는 웹 페이지를 불러오는 것만으로도 자동으로 악성코드가 다운로드 된다. 위험한 링크는 웹페이지와 이메일 또는 인스턴트 메시지에서 발견된다. 범죄자들은 SNS와 URL 단축 기능을 이용해 변장한 악성 링크를 전파하는 경우가 많다. 누군가 클릭하기를 노리는 것이다.

- 초동 조치: 링크 클릭을 하지 않는다. 이는 사회 생활 중 연습이 필요하다. 업무적으로나 사적으로 링크를 계속 받을 수 밖에 없기 때문에 특히 지키기 힘들 수 있다. 주기적으로 연락을 주고 받는 사람들에게 만일 링크를 보내려면 경고문을 먼저 보내고 확인을 받기 전까지는 링크를 보내지 말아달라고 부탁한다. 아니면, 정말로 링크를 보냈는지 여부를 다른 채널을 통해 확인해 달라고 부탁한다.
예를 들어 형이 링크를 보냈다면 정말 형 계정에서 온 것인지 문자를 보내 확인한다. 지나치게 예민한 행동이라고 생각할 지 모르지만 최근 가짜 구글 문서(Google Docs) 사기가 성공한 이유는 사람들이 악성 파일을 믿을 수 있는 사람한테 온 것이라고 생각하고 확인하지 않았기 때문이다. 링크는 항상 직접 입력하도록 한다. 백서같은 것으로 연결되는 링크를 받으면 출처로 직접 가서 웹사이트 상의 백서를 직접 찾아보도록 한다.

- 전문가 팁: 브라우저에 문서 저장 장소를 묻게 하는 설정을 한다. 그래야만 무언가가 다운로드되고 있을 때마다 인지할 수 있기 때문이다. 드라이브 바이 다운로드의 경우 무슨 일이 일어나고 있는지 사용자가 눈치채지 못하도록 몰래 움직인다. 다운로드되는 파일을 모두 검사하도록 보안 소프트웨어를 구성해야 한다.

2단계 위협: 스파이웨어 출입 금지!
브라우저가 공격 당하면 각종 정보가 유출될 수 있다. 이런 점에서 브라우저 애드온(add-on)이 반드시 유익하다고 할 수 없다. 보이지 않는 악성코드 전달 수단이 될 수 있으므로 사용을 자제하는 것이 좋다.

브라우저 확장 프로그램 목록(크롬은 chrome://extensions, 파이어폭스는 about:addons)에서 잘 모르는 것이나 확실하지 않은 것이 없는지 주기적으로 확인하도록 한다. 수상해 보이는 것은 사용 중지시키는 것이 상책이다. 또한, 확장 프로그램을 설치하도록 유도하는 웹 페이지에 주의해야 한다. 예를 들면, "이 웹사이트의 속도를 늘리려면 '추가', '클릭' 등과 같은 메시지가 뜨면 속기 쉬우므로 조심한다.

- 초동 조치: 개인이 만든 브라우저 애드온은 특히 더 주의를 요한다. HTTPS 없는 사이트에 접근할 수 있기 때문이다. 전문가들조차 어려움을 겪는다. 널리 사용되는 비밀번호 관리자를 만든 라스트패스(LastPass)는 최근 브라우저 확장 프로그램의 심각한 취약점을 다수 수정해야 했다. 애드온으로 인한 편리함이 잠재적 위험보다 큰지 스스로 판단해야 한다. 한 달 내에 별로 가치를 느끼지 못하는 것이라면 더욱 그렇다.

- 전문가 팁: 항상 출처를 확인하도록 한다. 플래시나 어도비 리더(Adobe Reader)가 필요하면 어도비 웹사이트에서 다운로드 받는다. 무관한 웹사이트에서 받으면 안 된다. 스파이웨어, 애드웨어(adware) 등 악성 파일들이 함께 다운로드 되기 쉽기 때문이다.
예를 들어, "무료 PDF 변환기"를 검색해 제일 먼저 나타나는 것을 다운로드해서는 안 된다. PDF 변환기가 필요하다면 크롬에 자동으로 페이지를 PDF로 변환해 주는 기능이 있다. 요즘은 오피스(Office)의 PDF 지원 기능도 좋다. 포터블앱닷컴(PortableApps.com)과 니나이트(Ninite)와 같은 프로젝트에서는 믿을 수 있는 출처로부터 흔한 오픈소스와 무료 애플리케이션을 자동으로 구해서 업데이트하는 편리한 방법을 제공한다.

3단계 위협: 추적 당하는 것은 싫다!
이런 일은 누구나 한번씩 겪었을 것이다. 홈디포닷컴(HomeDepot.com)에서 바닥 타일을 구경하고 났더니 인터넷 어디를 가든 집 단장 관련 광고가 뜨는 현상 말이다. 광고업체들은 쿠키를 이용해 사용자의 온라인 행적을 추적하고 맞춤 광고를 내놓는다.

비단 광고뿐만이 아니다. 웹사이트 또한 쿠키를 이용해 사용자의 계정과 암호, 인터넷 방문기록 등을 기억해 두고 해당 사이트 상 사용자의 활동을 추적한다. 쿠키를 사용 중지하고 삭제하면 사이버 범죄자들에게 유출될 수 있는 개인 정보가 줄어드는 셈이다.

- 초동 조치: 온라인 상에서는 개인 인터넷 또는 익명 모드를 사용하도록 한다. 그러면 세션이 끝날 때 쿠키와 인터넷 방문기록이 보관되지 않는다. 익명 모드를 작동시킨 후 (악성코드가 없는 것이 확실한) URL을 붙여 넣고 해당 페이지로 이동하면 추적될 염려가 없다. 크롬 상에서 항상 익명을 유지하려면 크롬 속성의 대상 명령 끝에 —incognito를 추가한다. 그러면 크롬을 실행할 때마다 익명 모드가 된다. 파이어폭스에서도 about:config를 통해 똑같이 할 수 있다.

- 전문가 팁: 페이스북이나 트위터(Twitter) 등 SNS 계정을 사용하고 싶은데 해당 로그인이 계속 따라다니는 것은 싫다면 크롬, 파이어폭스, 사파리 등의 웹브라우저에 해당 SNS 전용 사용자 프로필을 따로 만들면 된다. 그 곳에서만 로그인하고 그 곳에서만 사용하도록 한다. 그러면 해당 로그인이 꼭 필요한 것들에만 관련 데이터가 사용된다. 이 기술은 SNS 계정을 통합 인증에 사용하는 스포티파이(Spotify)와 같은 사이트의 추적을 최소화하는 데에도 유용하다.
추적이 염려된다면, 사용하는 모든 브라우저에 추적 금지 기능을 설정해야 한다. 실제 추적 금지가 실행된다기 보다는 추적 금지를 요청했다는 사실을 웹사이트에 알려주는 것에 불과하다. 양심적이지 않은 웹사이트가 많아서 사용자의 요청대로 되리라는 보장은 없다. 그래도 적어도 원하는 바를 확실히 해 둔다면 나쁠 것은 없다.

4단계 위협: 내 정보에 손대지 마!
쿠키는 사이버범죄자들이 주로 노리는 먹잇감이다. 특히 이메일, 계정명, 비밀번호 등의 중요 정보가 포함되어 있기 때문이다. 정보가 감춰져 있다하더라도 불법적인 용도로 사용될 수 있다.

사이트 간 스크립팅(cross-site scripting, XSS) 공격은 웹페이지의 자바스크립트를 사용해 쿠키로부터 사용자 상세정보와 세션 정보를 빼낸 후 온라인에서 그 사람 행세를 한다. 사이트 간 요청 위조 공격은 세션 쿠키를 사용해 다른 사이트에 대한 요청을 위조한다.

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.