다 알면서 안 지키는 '귀차니즘' 보안수칙

美 NBC, 2014 인터넷 프라이버시 가이드 제시

일반입력 :2014/01/02 15:05    수정: 2014/01/02 16:19

손경호 기자

누구나 알고 있지만 대부분 귀차니즘, 보안불감증 등을 이유로 지키지 않고 있는 몇 가지 보안수칙이 있다.

이것들만 잘 따르더라도 기본적인 개인정보유출 사고를 예방할 수 있다.

지난해 11월 호주 소재 큐피드 미디어는 4천200만명의 암호화되지 않은 비밀번호가 유출되는 사고가 발생했다. 이 과정에서 신용카드, 현금카드 정보까지 대량으로 유출됐다. 최근에는 인기 메신저 애플리케이션(앱)인 스냅챗 사용자 정보 460만건이 공개됐으며, 어도비 역시 3천800만 계정에 대한 정보가 해킹을 통해 유출됐다.

미국 NBC는 이러한 유출사고를 방지하기 위해 필요한 2014년 인터넷 프라이버시 가이드를 제시했다.

■2단계 인증 필수

먼저 2단계 인증을 통해 보안성을 높일 필요가 있다. 미국 국가안보국(NSA)이 당신의 이메일을 엿보는 일은 없다고 하더라도 인터넷 뱅킹 정보를 훔쳐볼 수 있기 때문이다.

2단계 인증은 현재 구글, 페이스북, 마이크로소프트(MS), 트위터 등에서 모두 지원하고 있는 기능이다.

해당 서비스들은 기본적인 비밀번호 외에도 텍스트 메시지 형태로 이뤄진 코드, 인증 전용 애플리케이션(앱)을 통해 사용자 본인이 맞는지에 대해 확인할 수 있도록 해준다.

주 옌 전자프론티어재단 인터넷 프라이버시 담당 기술자는 사용자들은 추가적인 인증을 반드시 사용해야 한다며 이렇게 할 경우 누군가 당신의 계정을 훔쳐보는 일을 획기적으로 줄일 수 있다고 말했다. 2단계 인증은 인터넷 상 비밀번호 외에도 사용자가 쓰고 있는 스마트폰이나 다른 기기들에 대한 정보까지 알고 있어야 하기 때문이다.

■URL을 확인할 것

웹사이트를 방문하기 전에는 URL에 'https'라는 프로토콜이 포함됐는지 여부를 확인하는 것도 추천할만 하다. https는 웹사이트 방문자와 웹서버 사이에 암호화 통신(SSL)이 구현되고 있다는 점을 알려준다. 웹을 통해 주고받는 데이터가 암호화되기 때문에 은행이나 카페 같은 곳에서 공용 와이파이를 이용할 때 벌어질 수 있는 해킹 위협으로부터 사용자를 보호할 수 있다.

https가 사용되지 않는 곳에서는 웹브라우저 크롬, 파이어폭스, 오페라 사용자들의 경우 전자프론티어재단이 제공하는 'HTTPS Everywhere'를 활용해 볼 것을 추천한다. 해당 사이트에 방문해 전용 플러그인을 설치하기만하면 된다.

■아직도 비번 '123456'을 사용한다면...

누구든지 알아낼 수 있는 비밀번호를 사용하는 것은 금기다. 지난해 11월 발생한 어도비 사용자 계정 유출 사고에서 사용자들은 '123456', '123456789', 'password', 'adobe123' 등 누구나 손쉽게 알아낼 수 있는 비밀번호가 사용한 것으로 나타났다. 이를 통해 유출된 계정정보만 3천800만개에 달하는 것으로 추정된다.

스트릭처 그룹 보안연구원 제레미 고스니에 따르면 이중 '123456'을 쓰고 있는 사용자는 191만1천938명인 것으로 드러났다.

미국 지디넷에 따르면 최근에 유포되고 있는 비밀번호 해킹 툴은 최대 55자 짜리 비밀번호까지 뚫어낼 수 있는 것으로 확인되기도 했다.

이를 피하기 위한 방법으로 소포스 보안 전문가인 맥심 웨인스테인은 최소한 8자 이상 긴 비밀번호를 사용해야 하며 길이가 길수록 좋다고 말했다.

이어 그는 사용자 등의 이름을 포함한 단어 혹은 쉽게 유추할 수 있는 단어 뒤에 숫자를 붙이는 식으로 비밀번호를 만드는 일을 피해야 하며 한 가지 추천할만한 방법은 특정 문구나 노래가사의 앞 글자만 따서 비밀번호를 만드는 것이라고 설명했다.

예를 들어 'Oh, say can you see, by the dawn’s early light'라는 문구에서 각 단어 앞 글자만 따서 'oscysbtdel'와 같은 비밀번호를 만드는 방법이 있다는 것이다.

■모든 계정에 같은 비밀번호를 사용하지 말 것

모든 웹사이트에서는 다른 비밀번호를 사용해야 한다. 이렇게 될 경우 해커들은 사용자가 자주 방문하는 데이팅 웹사이트 비밀번호를 알아냈다고 하더라도 지메일 계정을 사용할 수 없도록 해야 한다.

이밖에도 '1패스워드', '라스트패스워트'와 같은 비밀번호 관리툴을 사용해 여러 사이트별 비밀번호를 통합해 관리하는 것도 한 가지 방법이다.

웹브라우징이 추적되지 않도록 일반적으로 검색사이트에 방문해 검색을 수행하면 사용자 IP주소와 함께 사용한 검색어 등이 노출된다.

검색사이트가 사용자의 검색정보를 수집하는 것을 방지하기 위해 대안 검색사이트인 '덕덕고(DuckDuckGo)' 등을 사용해보는 것을 추천한다.

구글은 개인정보수집을 방지하기 위해 '인코그니토 모드(Incognito mode)'를 구현하고 있으나 사용자의 검색 내역, IP주소 등은 여전히 수집된다.

■한번쯤 써 볼만한 보안대책은...

네트워크 기록에 대한 철저한 익명성을 보장하기를 원하는 사용자들은 '토르'를 사용해 볼 것을 추천한다. 토르는 사용자의 IP주소를 알 수 없게 만드는 기술로 가상 공간에서 여러 네트워크를 거치며 사용자의 접속 흔적을 추적할 수 없게 하는 기술이다.

지메일, MS 아웃룩, 야후 메일 등은 표준 암호화 기술을 적용하고 있다. 보다 안전한 이메일 송수신을 위해서는 송수신자 간에 별도로 암호화키를 사용할 필요가 있다. 암호화 소프트웨어인 프리티굿프라이버시(PGP), 'GnuPG' 등을 사용하는 방법이 있다.

관련기사

이메일 외에 각종 메신저 등을 통한 채팅 내역, 클라우드 스토리지 서비스 이용 내역 등도 보호할 필요가 있다.

NBC는 암호화 채팅 솔루션인 크립토캣, OTR 플러그인을 적용한 피드진 등을 대안으로 제시했다. 이밖에도 구글드라이브, 드롭박스 등에 민감한 문서를 저장하기 위해 클라우드포거, 박스크립터 등을 사용해볼 것을 권했다.