많은 이들이 해킹을 당하는 주된 이유는 두 가지이다. 바로 소프트웨어 결함과 인간 행동의 실수이다. 코딩 취약점을 해결하기 위해 개인이 할 수 있는 일은 많지 않아도 자신의 행동과 해킹 위험성을 높이는 몇 가지 나쁜 습관은 바꿀 수 있다.
자신의 트위터 계정 패스워드를 maga2020!으로 사용한 전직 미국 대통령 도널드 트럼프의 사례를 보아라. 혹은 2020년, 코로나19 확산 초기 줌 영상통화의 민감 정보 유출 문제를 겪은 영국 보리스 존슨 총리의 사례를 보아라. (전, 현직 세계 최정상급 지도자인 트럼프 전 대통령과 존슨 총리 모두 여러 보호 기관을 통해 특별 보안 훈련을 받았을 것이다.)
세계 지도자가 아닌 일반 대중에게는 보안 위험이 매우 높은 수준이 아니더라도 위험 자체가 실제로 존재한다. 현재 사용하는 계정을 제대로 보호하지 않는다면, 신용카드 보안이 약해지거나 개인 메시지, 사진 등이 탈취돼 불특정 다수가 보게 될 수도 있다. 계정 해킹 피해 발생 시, 피해 복구 작업을 진행하는 데 오랜 시간이 걸리며 어쩌면 짜증을 유발하는 과정을 거쳐야 할 수도 있다. 몇 가지 단계에 따라 해킹 위험을 사전에 완화하는 것이 더 낫다. 직접 계정 정보를 보호하기 위해 취할 수 있는 몇 가지 조치를 아래와 같이 설명한다.
[사진=Freepik]
다중 인증 기능 사용
아마도 온라인에서 자신의 계정을 보호할 가장 효과적인 방법은 최대한 많은 계정에 이중 혹은 다중 인증 기능을 활성화하는 것이다. 패스워드와 함께 종종 앱으로 생성하거나 SMS로 전송하는 코드와 같은 두 번째 정보를 사용한다.
두 번째 추가 인증 정보는 종종 계정 주인이 소유한 휴대폰으로 코드에 접근하기 때문에 로그인을 시도하는 이가 실제 계정 주인이 맞는지 입증하는 데 도움이 된다. 쉽게 추측할 수 있는 패스워드(빠르게 접근할 수 있다.)를 사용하면, 계정에 등록된 휴대폰이 없는 해커가 해당 계정에 다중 인증 기능을 설정할 수 있다.
디지털 기술 교육 기업 브레인스테이션(BrainStation)의 웹사이트에 접속해, 계정 다중 인증 기능 지원 관련 모든 정보를 확인할 수 있다. 다만, 악용 위험성이 있는 개인정보를 다루는 모든 계정을 켜두어야 한다. 왓츠앱 등 메시지 앱과 페이스북, 인스타그램, 트위터와 같은 SNS, 이메일 계정 등을 활용하면 된다.
하지만, 모든 형태의 다중 인증 기능이 똑같은 보안 수준을 지원하는 것은 아니다. SMS로 인증 코드를 전송하는 것보다 앱에서 생성하는 코드를 사용하는 것이 보안 수준이 더 강하며, 물리적 보안키는 코드를 사용하는 것보다 더 강력한 보안 기능을 지원한다.
패스워드 매니저 사용
패스워드 이야기를 해보자. 지금은 2021년이다. 사실상 사용하지 않는 계정이라도 어떤 계정이든 ‘password’, ‘12345’ 등 누구나 바로 추측할 수 있는 패스워드를 사용해서는 안 된다.
모든 온라인 계정에 보안 수준이 강력한 패스워드를 사용해야 하며, 계정마다 패스워드는 달라야 한다. 다시 말해, 다른 유형의 문자와 기호를 혼합한 긴 패스워드를 사용해야 하며, 여러 웹사이트에 같은 패스워드를 사용해서는 안 된다는 의미이다. 트위터 계정과 뱅킹 계정 패스워드가 똑같아서는 안 된다. 또, 가정용 와이파이 네트워크 비밀번호와 아마존 계정 패스워드가 똑같아도 안 된다.
보안 수준이 약한 패스워드, 다른 웹사이트와 같은 패스워드 사용 등과 같은 문제를 해결할 가장 좋은 방법은 패스워드 매니저를 사용하는 것이다. 여러 웹사이트에 같은 패스워드를 사용하지 않는다고 해서 해킹 위험이 완전히 사라지는 것은 아니지만, 패스워드를 분실해 애먹는 일이 절대 없다는 또 다른 장점이 있다.
피싱 공격 감지법 학습
빠른 클릭 속도가 자신의 가장 큰 적이 될 수 있다. 몇 가지 연결이나 클릭 과정이 포함된 새로운 이메일이나 메시지를 받은 상황이라면, 많은 사람이 본능적으로 연결을 시도할 것이다. 시도해서는 안 된다.
다수 해커 세력이 피싱 공격과 구글 드라이브 사기 대규모 공격 이후 코로나19를 새로운 수단으로 악용했다.
누구나 메일 혹은 메시지를 이용한 사기 수법으로 해킹 피해자가 될 수 있다. 이를 예방하기 위해 할 수 있는 조치는 클릭 전 다시 한번 생각하기이다. 사기성 메시지는 많은 사람을 속여 비정상적인 행동을 유도한다. 예를 들어, 자신이 근무하는 기업 대표의 즉각적인 요청 사항이나 긴급한 답변을 요구하는 메시지를 사칭한다.
모든 유형의 피싱이나 사기 공격에서 확인할 수 있는 매우 흔한 수법이다. 해커가 즉시 공격 수법을 지능화된 방식으로 바꿀 수 있으나 피싱 공격에서 잠재적인 피해자 위협 수준이 커질수록 공격이 실패할 확률이 높다는 사실을 인지하라. 항상 주의하고, 클릭하기 전 다시 한번 생각해야 한다. 그리고, 메일과 메시지 전송자가 이미 알고 있으며 신뢰할 수 있는 이와 출처일 때에만 첨부파일을 다운로드하라.
모든 사항 업데이트
스마트폰에 설치한 페이스북 앱부터 스마트 전구를 제어하는 운영체제까지 일상 속에서 사용하는 모든 기술은 공격 대상이 될 위험성이 있다. 다행스럽게도 많은 기업이 새로 발생한 버그를 발견하고는 이를 수정한다. 따라서 사용하는 앱과 소프트웨어의 최신 버전 다운로드와 업데이트가 중요하다.
스마트폰의 앱과 소프트웨어 최신 버전 업데이트부터 살펴보자. 기기 설정에 접속해 사용 중인 운영체제를 확인하고, 최신 버전(아이폰 iOS 14 버전, 안드로이드11 버전)이 아니라면 즉시 업데이트하라. 사용 중인 앱과 게임이 맞춤 설정되었더라도 애플의 iOS 13 이상을 사용한다면, 최신 버전 업데이트가 자동으로 진행된다. 안드로이드 기기 사용자라면, 구글 플레이스토어의 설정 페이지에 접속해 앱 자동 업데이트를 설정할 수 있다.
스마트폰 업데이트 후 그다음으로 업데이트해야 할 부분은 세부 설정 사항은 사용하는 기기마다 다르다. 일반적으로 잠재적인 영향과 관련된 부분을 업데이트한다. 모든 노트북과 데스크톱 컴퓨터의 적합한 업데이트 리스트를 고려하고 일상 속에서 사용하는 다른 연결 기기의 문제를 해결한다. 단, 인터넷에 연결된 남성용 언더웨어 벨트를 포함한 모든 기기가 해킹 공격에 취약하다는 사실을 기억하라.
모든 정보 암호화
지금처럼 손쉽게 커뮤니케이션을 보호할 수 있었던 적은 없다. 지난 5년간 전송한 메시지와 클라우드에 업로드한 파일을 포함한 각종 개인 데이터를 관리하는 기업이 암호화 기기로 기업 보안은 물론이고 사용자 개인 정보 보호에도 도움이 된다는 사실을 깨달았다. 암호화 서비스를 사용하면, 전송하는 메시지의 감시 위험이 줄어들며, 기기 분실이나 도난 문제가 발생해도 암호화된 메시지와 정보에 누군가가 접근할 수 없다.
최종 암호화 메시지 서비스를 제공하는 주요 기업으로 시그널과 왓츠앱 두 곳을 언급할 수 있다. 시그널과 왓츠앱은 사진과 영상을 포함한 메시지에 더해 음성 통화, 영상 통화 모두 앱 내에서 암호화 설정을 기본값으로 제공한다. 두 앱 모두 사용자가 지정한 시간에 따라 전송한 메시지가 삭제되는 사라지는 메시지 기능을 제공한다. 누군가가 기기에 접근하더라도 대화 내용 자체는 비공개 상태로 유지할 수 있다. 가능하다면, 시그널을 사용할 것을 추천한다. 시그널은 왓츠앱보다 수집하는 메타데이터 양이 적으며, 페이스북 계열사가 아니기 때문이다. 그러나 주변 친구가 시그널로 메시지 앱을 변경하도록 설득할 수 없다면, 왓츠앱을 사용해 최종 암호화 기능을 기본값으로 제공하지 않는 다른 여러 앱보다 보호 수준을 더 강화할 수 있다.
이메일 서비스 중, 암호화 기능을 제공하는 프로톤메일(ProtonMail)이 사용자의 메시지를 보호한다. 또, 메일함에 버너 이메일 사용 옵션을 제공하면서 개인 정보를 건네기 원하지 않는 곳을 확보한다.
메시지 이외에도 기기에 보관된 파일을 암호화한다면, 해킹 공격이나 기기 도난 문제 발생 시 데이터 보안 피해 확률이 적다. 아이폰과 iOS 모두 하드드라이브 암호화를 기본값으로 지정하고 보안 수준이 강력한 패스워드나 핀 코드를 사용하도록 확인하라. 노트북이나 컴퓨터 하드드라이브를 암호화하고자 한다면, 스마트폰 기기보다 더 많은 조치가 필요하다. 애플의 파일볼트(FileVault)로 윈도 디스크 암호화를 시작해, 암호화할 수 있다. 그리고, 설정 메뉴나 비트라커(BitLocker)로 암호화 기능을 실행할 수도 있다.
디지털 발자국 삭제
자신의 과거가 사이버 보안 문제를 어렵게 만들 수 있다. 이제는 접속하지 않는 오래된 온라인 계정에 대한 보호 조치가 없다면, 해당 계정과 로그인 상세 정보가 계정 주인을 공격하는 무기가 될 수 있다. 해커 세력은 종종 과거의 데이터 공격 상세 정보를 이용해 현재 사용하는 계정을 공격한다.
온라인 생활에서 접근할 수 있는 정보를 줄인다면, 해킹 위험성을 줄일 수 있다. 가장 간단한 방법은 주기적인 구글 검색 이력 삭제이지만, 프라이버시를 우선시한 구글 대체 브라우저를 사용할 수도 있다.
이 외에 디지털 발자국을 줄일 방법은 얼마든지 많다. 더는 사용하지 않는 오래된 계정을 찾고 탈퇴하라. 스팸 메일의 양과 해커의 공격 표적 노출 위험성을 크게 줄일 수 있다. ‘Have I Been Pwned?’라는 서비스로 과거 데이터 공격 이력을 확인할 수 있다. VPN을 이용해 브라우저 프라이버시를 강화할 수도 있다. 또, 온라인 익명성을 제대로 강화하고자 한다면, 토르(Tor)를 다운로드하라.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202109/3371_4458_2224.jpg)
뉴스레터 신청