세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
[추석특집] 세수하고 양치하듯, 깨끗하고 건강한 보안 습관
  |  입력 : 2017-10-06 15:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
비밀번호, 공공 와이파이, 소프트웨어 관리, 백업 등등
눈에 보이는 발전이 없기 때문에 간과되기 쉬운 보안 습관


[보안뉴스 문가용 기자] 지금도 그런지 모르겠지만 기자가 어렸을 때는 학교에서 손 씻는 법과 양치하는 법을 자세히, 반복적으로 가르쳐줬다. 특별 외부 강사까지도 초청됐고, 어린이 신문에도 간간이 손 씻고 양치하는 방법이 소개됐다. 마치 신문물인 것처럼 한 반에 70명 가까웠던 새마을운동 시대의 우리는 옹기종기 모여 그렇게 씻는 습관을 익혀갔다.

[이미지 = iclickart]


제3 세계로 의료봉사를 간 전문 의료인들의 이야기를 들어보면 대부분 손 씻고 양치하는 습관을 들이기 위해 운동을 벌인다고 한다. 그것이 보건의 첫 걸음이기 때문이란다. 현장의 사진을 보면, 그곳 주민들도 옛날의 기자 또래들처럼 수두룩하게 둘러 앉아 그 당연한 문화를 신문물 배우듯 귀담아 듣고 있다. 보건은 그렇게 당연하고 작게 시작된다.

지금은 새로운 ‘보건의 습관’이 개개인별로 시작되어야 할 때다. 바로 ‘사이버 보건’이다. PC의 시대를 지나고 모바일 시대의 한복판에서, 사물인터넷 시대가 다가오는 것이 보이는 시기에 깨끗한 사이버 공간 활동 습관을 들이는 건 개인적으로도 중요하고 공중 보건의 차원에서도 필수적이다. 사이버 사고가 매일 터지고, 누군가 매일처럼 피해를 입고 사기를 당하고 회사 문을 닫는 이 때, 우리는 우리 자신과 가족을 어떻게 지킬 수 있을까?

비밀번호
비밀번호는 가장 널리 활용되는 보안 장치다. 지금 당신의 기기로 침투하려는 해커들을 앞장서서 막아주는 게 비밀번호라는 것이다. 그러나 이 비밀번호도 늙어버렸다. 아니, 시대가 너무 빠르게 발전해서 비밀번호가 예전처럼 강력함을 발휘하지 못하고 있다. 그래서 비밀번호 폐지 운동도 벌어지고 있고, 새로운 대안이 발명되고 있기도 하다. 그럼에도 비밀번호가 개인 사이버 위생의 가장 첫 선에 등장하는 건 1) 아직 비밀번호 폐지가 완전히 정착되려면 한참 남았고, 2) 그때까지는 가장 친근하고 보편화된 보안 장치로 남아있을 것이기 때문이다.

가장 강력한 비밀번호는 무작위로 길게 배열된 문자와 숫자의 조합이다. 불과 90개의 문자와 숫자로부터 64개를 무작위로 선택해 무작위로 배열시킨 비밀번호는 크래킹이 불가능하다고 알려져 있다. 해커들의 가장 큰 적은 비밀번호의 ‘길이’다. 무작위 문자열이든 단어든 긴 것이 짧은 것보다 항상 강력하다. 그것만 기억해도 비밀번호가 강력하게 설정된다. 그밖에 기억해야 할 원칙은 다음과 같다.

1) 규칙성이 낮을수록, 즉 무작위성이 높을수록 강력하다.
2) 비밀번호의 길이가 길수록 강력하다. 12개 문자는 기본으로 넘는 게 좋다. 가장 좋은 건 20개다.
3) 길고 기억하기 좋은 문장 역시 강력하다.
4) 정말 중요한 서비스 계정의 비밀번호는 재사용하지 않아야 한다.
5) 유출 사고가 발생했다면 비밀번호를 변경해야 안전하다.

비밀번호를 주기적으로 바꾸는 것이 좋다는 것도 6)번 정도에 들어가는 것이 최근 몇 년까지의 상식이었는데, 최근 NIST는 이를 뒤집는 권고안을 내놓았다. 비밀번호를 바꾸면 바꿀수록 사람들이 쉬운 것으로 대체하려는 경향을 보인다는 연구 결과가 있었기 때문이다. 최초의 그 안전한 비밀번호를 그대로 유지하는 게 차라리 낫다는 것인데, 계속해서 강력함을 유지할 수 있다면 비밀번호는 자주 바꾸는 게 좋다.

이렇게 비밀번호를 자주 바꾸다보면 ‘기억력’에 한계가 온다는 걸 자주 느끼게 된다. 가장 안전한 수칙이야 ‘모든 비밀번호를 암기하라’는 것인데, 이것만큼 비현실적인 조언도 없다. 이 비현실성 때문에 애초에 비밀번호 설정 습관이 약화되는 것이기도 하다. 비밀번호 관리 프로그램을 사용하는 것도 좋은 방법이고, 종이에 적어두는 것도 나쁘지 않은 방법이다. 물론 포스트잇에 비밀번호를 적어 모니터에 누구나 보라고 붙여두는 건 예외다. 그래도 디지털 형식으로 비밀번호를 저장해두는 것보다 종이에 적어서 간직하는 게 나은 것은 ‘물리적 접근’을 강제하기 때문이다. 비밀번호를 적어둔 종이를 ‘현금’처럼 여긴다면 보관이 더 수월해진다.

백업
백업을 통해 사이버 공격을 우습게 넘겨버리는 사람보다 백업이 없어 사소한 공격에도 불필요한 피해를 입는 사람이 세상엔 훨씬 많다고 한다. 그런데 이걸 그냥 ‘사람들의 게으름’으로 치부할 수만은 없다. 제대로 된 백업 시스템을 설정하는 건 생각보다 어렵고, 백업을 한두 번 무시하는 건 생각보다 쉽기 때문이다.

백업의 비극은 수년 동안 꾸준히 잘 해오건 안 해오건 사건이 실제로 발생하기 전까지는 백업의 중요성이 부각되지 않는다는 것이다. 그러다보니 하드드라이브라는 걸 영구기관처럼 여겨버리게 된다. 그리고 수년 동안 아무 일이 없으면 사이버 사건 사고가 전혀 남의 일처럼 여겨진다. 이건 화재나 홍수 없이 수년을 살아온 것을 이유로 각종 사고에 대해 부주의해지는 것과 같다.

백업 장치는 컴퓨터로부터 최대한 멀리 떨어져 있어야 한다. 그래야 어떤 일이 있어도 데이터는 안전해질 가능성이 높아지기 때문이다. 과거에는 테이프, CD, 휴대용 하드드라이브 등이 인기 높은 백업 장치였다. 중요한 데이터를 주기적으로 이러한 장치들에 복사하고, 그것을 또 외딴 곳에 보관하는 방법을 자주 활용했다. 비밀 기관이나 출판사 등에서야 이렇게 자료를 보관하는 건 이해하지만, 개인이 이렇게 한다는 건 ‘극성스러운’ 일처럼 보였다. 그러나 요즘의 사이버 공격은 분명히 개개인 단위로 들어온다.

백업에 관한 주요 규칙은 다음과 같다.
1) 자동화하라. 백업을 꾸준히 직접 하고자 한다면, 1년도 제대로 할 수 없다. 컴퓨터가 특정 데이터를 주기적으로 복사해둘 수 있도록 정해두라.
2) 백업의 주기는 새로운 데이터가 생성되는 주기와 일치해야 한다.
3) 인색하지 말라. IT 기기들 중 스토리지 관련 기기들은 싼 편이다. 하지만 당신의 데이터는 돈으로 환산하기 힘들 정도로 가치가 있다.
4) 필요한 파일들일 백업되고 있다는 걸 주기적으로 확인하라.
5) 4)번을 주기적으로 확인하면서 백업된 파일이 제대로 작동하는지도 확인하라. 시간이 된다면 백업 시스템만을 가지고 PC 구동이 되는지도 점검하는 게 좋다.

살아오면서 중요한 컴퓨터 파일 한 번 잃어버리지 않은 사람은 없을 것이다. 그럴 때마다 갑자기 주기적인 저장 습관이 생기고, 휴대용 하드드라이브를 꺼내 백업도 자주 하곤 하지만, 이 갑작스런 습관은 길어봐야 몇 주 지속되는 게 고작이다. 하드드라이브는 다시 구석에 처박혀 잊히곤 한다. 백업 클라우드를 마련하는 게 현대에선 가장 쉽고 효율이 좋다. 물론 클라우드 업체에 대한 신뢰가 없을 수도 있다. 하지만 인간의 습관과 의지를 믿는 게 더 불안한 일이다.

클라우드 백업 서비스를 물색할 땐 다음과 같은 규칙을 참고하는 것이 좋다.
1) 용량이 큰 동영상 파일이나 음성 파일을 많이 저장해야 할 수도 있다. 그러므로 클라우드 서비스 업체가 제공하는 용량이 당신의 필요와 맞는지부터 살펴야 한다.
2) 디스크 전체를 백업해둘 수 있다면 여러모로 편리하다. 또한 백업 관리도 유용하다.
3) 컴퓨터 한 대 이상에서 백업을 마련해야 할 수도 있다. 그런 경우의 수도 업체와 상담하라.
4) 백업용으로 사용할 만한 클라우드 서비스들 중 질도 좋고 무료인 것이 많다. 잘 알아보라.
5) 암호화가 로컬에서 진행되고 암호화 키도 로컬에 저장되는 것이 가장 ‘안전하다’고 할 순 없지만, 프라이버시를 지키기에는 가장 좋다.

백신 / 안티멀웨어 툴
백신과 안티멀웨어 툴에 대해서는 ‘무료’에 대한 선호도가 가장 높은 것이 작금의 현실이다. 하지만 현 시대의 백신이나 안티멀웨어는 ‘비누’와 같다. 손 씻기 교육이 이미 오래 전에 진행돼 이제 누구나 세수와 양치를 습관처럼 하고 있는 지금은, 비누를 무료로 쓰기만 바라는 사람도 없고, 비누 종류도 다양해져 이제 피부 관리나 두피 건강을 위해서도 비누를 고른다. 백신과 안티멀웨어 툴 역시 그러한 개념으로 사용되고 쇼핑되어야 하는 때다.

중요한 건 백신과 안티멀웨어 업체들이 너무나 많다보니, 서로 강력한 기능을 자랑하고 있어 일반 소비자들이 뭘 골라야 할지 모른다는 것이다. 일단 ‘뭐든지 다 잡아낼 수 있다’고 자랑하는 백신은 피하는 게 상책이다. 그런 툴은 있을 수 없다. 멀에어는 빠르게 만들어지고, 변종도 하루에 수도 없이 등장하기 때문에 그 누구도 ‘다 잡아낼 수’는 없기 때문이다.

백신 / 안티멀웨어 툴을 쇼핑할 때 중요하게 봐두어야 할 것은 다음과 같다.
1) 100%, 전부, 하나만 있으면 된다는 등의 수식어가 붙은 지나치게 좋은 약속은 멀리하라.
2) 멀웨어 환경은 항상 변한다. 그러므로 최초 설치가 쉽고, 업데이트 적용이 쉬운 것이 제일 먼저 고려해야 할 사항이다.
3) 업데이트가 쉬울 뿐만 아니라, 업체가 업데이트를 얼마나 성실히 배포하는지도 중요한 고려 사항이다.
4) 모바일 기기를 위한 보안 제품은 아직 ‘다른 제품들과의 충돌’을 자주 일으킨다는 소리가 많다. 전문가들은 그래서 모바일용 보안 제품을 권장하지 않는다. 하지만 실험해보는 것도 나쁘지 않다. 무료 버전부터 설치해 며칠 써보고 충돌이 없다면 사용해도 무방하다.

와이파이와 블루투스
현대의 모바일 환경을 폭발적으로 성장케 한 동력 중 하나가 바로 이 무선 통신 기술이다. 코드를 꼽지 않아도 되는 자유함을 제공한 와이파이와 블루투스는 사람들을 장소에 구애받지 않도록 해주었다. 둘 다 무선 신호를 기반으로 하고 있는데, 무선 신호는 케이블이나 전선보다 중간에 누군가 나쁜 의도를 가지고 침투하기에 훨씬 더 용이하다는 단점이 있다.

사실 이 둘을 사용하지 않는 게 보안을 위해서는 가장 좋겠지만 그렇게 하기에는 이 두 기능은 너무 편리하다. 특히 공공 와이파이는 무료로 제공되는 경우가 많아 통신료 부담을 가진 사람들은 사용하지 않을 수가 없다. 그러니 사용하는 사람 스스로가 안전 수칙을 지켜야 한다. 자기 안전은 자기가 책임져야 한다는 건 예나 지금이나 동일하다.

공공 와이파이의 안전한 사용 수칙은 다음과 같다.
1) 브라우저 주소창에 열쇠 모양 기호가 없거나, HTTPS의 S가 빠져 있다면, 같은 와이파이 사용자들 중 누구라도 당신의 세션을 열람하거나 관여할 수 있다고 알고 있으라. 지뢰밭을 가는 것처럼 와이파이를 사용해야 한다.
2) 침입자는 눈에 보이지 않는다는 걸 기억하라. 또한 무선 신호는 벽을 뚫고 지나간다.
3) 공공 망이든 아니든 지금 당신의 무선 통신망에 연결된 사용자들 전부를 믿을 수 없다면, 당신은 사실상 공공 와이파이에 연결된 것과 같다. 호텔 네트워크, 컨퍼런스룸 네트워크 등이 좋은 예다.
4) 공공 와이파이를 자주 사용한다면 VPN 서비스를 구독하는 걸 고려해보라.
5) VPN을 사용하든 HTTPS를 사용하든 굉장히 중요한 거래나 대화는 무선 통신망으로 하지 않는 게 현재로선 안전하다.
6) 와이파이와 셀룰라 네트워크로의 자동변환 옵션을 활성화시킨 상태라면, 공공 와이파이 신호가 저절로 잡히는 곳을 기억해두고 확인하라.

또한 요즘은 가정집에서도 와이파이를 당연하게 사용하고 있는데, 가정용 와이파이 설정에도 주의해야할 점들이 있다.
1) 네트워크 장비(라우터 등)의 기술 문서나 통신 사업자와의 상담을 통해 라우터의 IP 주소를 파악해두라.
2) 브라우저 창에 알아낸 라우터의 IP 주소를 입력하라. 라우터의 관리자 인터페이스가 떠야 정상이다. 그렇지 않은 경우 라우터 매뉴얼을 참고하여 인터페이스에 어떻게 접속하는지 알아두라.
3) 가능하다면 WPA2를 사용하고 WEP는 피하라. 또한 짧은 비밀번호만 입력하도록 유도하는 옵션은 되도록 활성화하지 말라.
4) 와이파이 프로텍티드 셋업(WPS)는 사용하지 않는다.
5) 라우터의 방화벽 기능을 설정할 때 가장 보안성이 높은 것부터 시작하라. 사용해가면서 불편함이 당연히 생길 텐데, 이 때 적응하는 걸 먼저 시도해보라.
6) 정말 정확한 지식과 필요가 있지 않은 이상 ‘고급’ 혹은 ‘advanced’라고 명시된 옵션은 만지지 말라. 컴퓨터에서 advanced란 dangerous와 똑같은 말이다.

한편, 블루투스 역시 문젯거리가 될 수 있다. 게다가 블루투스에도 다양한 형태가 있어 더 골치가 아프다. 헤드폰 등에 요즘 인기리에 적용되고 있는 상업용 블루투스의 경우 미국 정부 기관 내에서는 사용할 수 없게 되어 있다. 이러한 블루투스도 당연히 안전한 사용 수칙이 존재한다.

1) 블루투스를 통해서는 민감하거나 중요하거나 긴밀한 일을 하지 않는 것이 정석이다.
2) 사용하지 않는다면 블루투스는 항상 꺼두는 게 안전하다.
3) 블루투스는 ‘안전하지 않은 것’이 디폴트라는 걸 기억하라.
4) 블루투스 페이링 기록 중 사용하지 않는 것은 삭제하라.
5) 페어링을 당장 실시하지 않을 거라면 자동으로 주변 기기를 찾는 옵션도 꺼두라.
6) 블루투스를 통해 인터넷 트래픽이 송수신 된다면 방화벽 설정에 문제가 있다는 뜻이다.

소셜 엔지니어링
소셜 엔지니어링 공격은 기술적인 공격이라기보다 사기에 가까운 공격 수법이다. 하지만 이메일과 SNS가 누구에게나 활용되고 있어서, 알고 보면 그리 대단치도 않은 소셜 엔지니어링 공격이지만 많은 사람들에게 피해를 입히는 데 성공한다. 소셜 엔지니어링은 사람의 실수나 사회적인 성향을 노리는 공격이라 기술적으로 대응하는 데에도 한계가 있고, 이 기사의 목적과 같은 사이버 보안 교육 및 위생 점검 운동 등으로 사용자들을 깨우치는 게 가장 좋다. 소셜 엔지니어링을 피할 수 있는 수칙은 다음과 같다.

1) 정말 출처가 확실한 것이 아니라면 이메일 첨부파일은 절대 열거나 다운로드 받지 않는다. 소셜 엔지니어링 기술에 능한 해커들은 당신의 친구나 가족, 직장 동료나 상사의 이름으로 이메일을 충분히 보내고도 남는다.
2) 위와 비슷한데, 링크도 정말 확실한 것 말고는 클릭하지 않는다.
3) 정말 사고 싶은 물건이 마침 값싸게 나왔다? 그런 광고가 당신에게 타이밍 좋게 등장했다? 소셜 엔지니어링일 가능성이 농후하다.
4) 개인정보나 비밀번호 등은 절대로 누설하지 말아야 할 정보다. 정보기관을 사칭하는 사기꾼들이 많은데, 그 어떤 정보기관도 당신의 민감한 정보를 필요로 하지 않는다.
5) 누군가의 요청으로 돈을 송금해야 한다면, 반드시 모든 정보를 거듭 확인하라.
6) 이메일 주소와 도메인 주소를 자세히 보는 습관을 가져라. 정말 그럴듯한 가짜 주소가 정말 많다.

소프트웨어 관리
컴퓨터나 모바일 기기 애호가들에게 있어 신기능 소프트웨어를 새로 설치해 사용해보는 것만큼 기쁜 일도 드물다. 하지만 요즘엔 소프트웨어나 애플리케이션을 통한 공격이 빈번하게 이뤄지는 때고, 예전처럼 오프라인 매장에서 CD로 된 패키지 소프트웨어를 구매하는 것도 희귀해진 일이라 소프트웨어도 구매자가 관리하고 점검해야 하는 때가 됐다. 소프트웨어 점검을 위한 안전 수칙은 다음과 같다.

1) 사용하지 않는 소프트웨어는 삭제한다. 다시 사용해야 할 때 재설치하면 그만이다.
2) 그냥 해보고 싶어서, 좋아보여서 소프트웨어를 설치하는 건 좋지 않은 습관이다.
3) 소프트웨어를 다운로드 받을 때 신뢰가 가는 곳만을 활용한다.
4) 공식 앱스토어들이 비교적 안전한 편인데, 100% 그런 건 아니다.
5) 실제 소프트웨어 외에 부수적으로 설치되는 것들이 있다. 브라우저 플러그인이나 각종 압축 프로그램이 흔한 예인데, 굳이 다 설치할 필요 없다.
6) 할 줄 안다면 가상 기기를 준비해 거기다가 애플리케이션을 먼저 설치해보는 것도 좋은 습관이다.

[추석특집 시리즈]
1. 공격과 네트워크와 관련된 조각난 기본지식들 모아보기(화)
2. 왜 보안은 그다지도 약한 것인가?(수)
3. 해커란 누구인가?(목)
4. 사이버 범죄 일상화의 시대에서 개인의 보안 지키기(오늘)
5. 온라인에서 존재를 완전히 감추는 방법(토)
6. 윈도우 파워셸에 관해 알아보자(일)
7. 요즘 각광 받는 데이터 과학의 기본기(월)
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#세안   #세수   #양치   #습관   #보건   #사이버   #보건   #보안   


비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)