정보보호의 달 7월에 되새겨보는 다양한 보안수칙들

상반기 랜섬웨어 등 악성코드 기승...모바일·IoT 보안도 제고해야
꼭 기억해야할 각종 보안수칙들, 한데 ‘모아모아’

[보안뉴스 김태형] 7월은 상반기를 정리하고, 하반기를 본격 시작하는 달이다. 또한, 정보보호와 관련해서 7월은 올해로 5회째를 맞는 ‘정보보호의 달’이기도 하며, 둘째주 수요일인 7월 13일은 ‘정보보호의 날’이다.

정부는 지난 2012년, 매년 7월을 ‘정보보호의 달’로, 7월 둘째주 수요일을 ‘정보보호의 날’로 지정했다. 7월이 정보보호의 달로 제정된 것은 지난 2009년 7.7 디도스 사고의 경각심을 제고하기 위한 것이다. 당시 좀비PC를 통한 해커의 공격으로 22개 인터넷 사이트가 마비됐던 이 사건은 우리나라 정보보호 역사상 가장 의미 있는 사건 중 하나가 됐다.

이에 정부는 매년 정보보호의 날·달 기간 동안 다양한 범국민 정보보호 행사, 기념식·세미나·취업박람회·유공자 표창 등을 개최하고 국민들의 정보보호 인식 제고를 위한 교육과 홍보에 적극 나서고 있다. 올해에도 정보보호와 관련된 다양한 행사가 열릴 예정이다.

이러한 노력에도 불구하고 이용자들의 보안의식은 아직도 미흡하다. 특히, 스마트폰 사용자의 폭증과 IoT 시대를 맞아 정보보호 인식 제고와 수준 강화는 더욱 중요해졌다. 올해 상반기에는 랜섬웨어 등 악성코드가 기승을 부렸다. 또한 모바일 및 IoT 보안 위협도 점점 증가하고 있어 이용자들의 각별한 주의가 필요하다.

랜섬웨어의 경우 최근 이스트소프트가 발표한 ‘2016년 상반기 랜섬웨어 동향’에 따르면, 올 1월부터 현재까지 알약 PC버전의 행위기반 탐지 기능을 통해 차단된 랜섬웨어 공격은 총 2,470,094건이며, 일 평균 약 13,723건, 매월 약 411,682건 이상의 랜섬웨어 공격을 차단한 것으로 조사됐다. 알약이 탐지하지 않는 부분까지 감안한다면 랜섬웨어는 매우 심각한 수준으로 추정할 수 있다.

더욱이 올해 상반기에는 Lechiffre, Locky, PETYA, CryptXXX 등 매월 새로운 형태의 랜섬웨어와 변종이 꾸준히 출현했고 이는 △웹사이트 배너 광고 △이메일 첨부파일 △불법 TV다시보기 무료 사이트 등이 주요 유포 경로로 활용된 것으로 나타났다.

모바일과 IoT 기기는 편리함을 내세우며 우리 생활 깊숙히 들어와 있다. 특히 핀테크 시대를 맞아 모바일 하나면 모든 금융거래와 전자상거래가 가능한 시대가 됐으며 언제 어디서나 회사 업무도 볼 수 있다.

하지만 이를 악용한 공격은 기업과 개인에게 커다란 피해를 줄 수 있을 뿐만 아니라, 사람의 생명까지 위협할 수 있어 모바일과 IoT 기기를 안전하게 사용할 수 있는 환경 조성은 매우 중요한 과제가 됐다.

특히, IoT 보안위협은 스마트 홈과 의료 분야를 비롯해 커넥티드 카, 스마트가전, 공장자동화, 드론 등 광범위한 분야에서 발생할 수 있어 신속하고 체계적인 대응이 시급하다. 이러한 보안위협은 기본적인 안전수칙만 잘 지키면 안전하게 사용할 수 있다.

<랜섬웨어 피해 예방 사용자 보안수칙>
① 사용 중인 운영체제(OS)와 SW는 항상 최신버전으로 업그레이드
② 중요한 문서와 자료는 별도 매체를 이용해 저장 또는 반드시 백업
③ 신뢰할 수 있는 백신을 사용하고 실시간 감시 및 자동 DB업데이트 기능 활성화
④ 메신저 및 문자 링크 클릭 및 토렌트 등을 통한 파일 다운로드 시 주의
⑤ 출처를 알 수 없는 이메일에 첨부된 파일 실행은 자제(아는 사람 메일은 확인 후 실행)

<스마트폰 이용자 보안수칙>
① 의심스러운 애플리케이션 다운로드하지 않기
② 신뢰할 수 없는 사이트 방문하지 않기
③ 발신인이 불명확하거나 의심스러운 메시지나 메일은 삭제하기
④ 비밀번호 설정 기능을 이용하고 정기적으로 비밀번호 변경하기
⑤ 블루투스, Wifi 기능 등 무선 인터페이스는 사용 시에만 켜놓기
⑥ 이상증상이 지속될 경우 악성코드 감염여부 확인하기
⑦ 다운로드한 파일은 바이러스 유무를 검사한 후 사용하기
⑧ 보호되지 않은 WiFi는 사용금지
⑨ 스마트폰 플랫폼의 구조나 사용자 권한을 임의로 변경하지 않기
⑩ 운영체제 및 백신프로그램을 항상 최신 버전으로 업데이트

<파밍 예방수칙>
① 사이트 주소가 정상인지 확인하고, 보안카드번호 전부는 절대 입력하지 않는다.
② 공인인증서, 보안카드 사진 등을 컴퓨터나 이메일에 저장하지 않는다.
③ OTP(일회성 비밀번호생성기), 보안토큰(비밀번호 복사방지)등을 사용하며, 공인인증서 PC지정 등 전자금융 사기 예방서비스에 가입한다.
④ 스마트폰 문자 메시지에 포함된 인터넷주소를 클릭하지 않는다.
⑤ 무료 다운로드 사이트의 이용을 자제하고 출처가 정확하지 않은 파일이나 이메일은 즉시 삭제한다.
⑥ 윈도우, 백신프로그램 등을 최신 상태로 유지한다.
⑦ 파밍 등이 의심될 때에는 신속히 경찰청 112센터가 금융기관 콜센터를 통해 지급정지를 요청한다.

<악성프로그램 예방수칙>
① 음란물 등 불법 콘텐츠 검색을 자제하고 기타 불법 사이트에 접속하지 않는다.
② 다양한 감염경로를 막기 위해 백신과 방화벽을 동시에 사용한다.
③ 불법 소프트웨어를 설치·복사하지 않으며, 정품 소프트웨어 사용을 생활화한다.
④ 무료 다운로드가 가능한 프로그램도 신뢰할 수 있는 사이트에서 다운받도록 한다.
⑤ 중요한 데이터는 반드시 정기적으로 백업한다.

<계정도용 예방수칙>
① 자신의 아이디와 비밀번호는 다른 사람에게 알려주지 않는다.
② 인터넷 사이트에의 무분별한 회원가입은 자제한다.
③ 회원 가입 시 구체적인 개인정보를 요구할 경우 가입여부를 다시 한번 생각한다.
④ 인터넷 회원 가입 시 서비스 약관에 제3자에게 정보를 제공할 수 있다는 조항이 있는지 확인한다.
⑤ 탈퇴가 어렵거나, 탈퇴 절차에 대한 설명이 없는 곳은 가입하지 않는다.
⑥ 탈퇴 신청을 한 뒤 개인정보를 파기했는지 확인한다.
⑦ 비밀번호를 주기적으로 변경하고 전화번호나 생일, 연속된 숫자 등을 사용하지 말아야 한다.
⑧ 함께 사용하는 PC는 아이디, 비밀번호 등 개인정보 입력 시 자동완성 기능을 사용하지 않는다.
[김태형 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)