해킹을 막는 ‘사소하고 기본적인’ 보안 조치

[CCTV뉴스=최형주 기자] 정보를 보호한다는 말은 이제 기업과 기관과 같은 조직들만의 영역이 아니다. 더 많은 기기들이 인터넷에 연결되며, 보안 또한 선택에서 의무로, 조직에서 개인으로 확장되고 있다.

그리고 업계는 사용자단의 기기들을 ‘엔드포인트’라 부르며, 이와 기업 내부 정보를 보호하기 위해 수 많은 보안 솔루션들을 사용하고 있다.

하지만 이러한 보안 조치 이전에 선행돼야 하는 것은 단연코 개개인의 보안의식 제고다. 그렇다면 모두의 일상에 깊숙이 들어와 있는 각종 디바이스와 이를 통한 개인정보 혹은 사생활 유출을 막기 위해, 우린 어떤 조치를 취해야 할까?

보안이 필요한 개인 디바이스

최근 유명인들의 사생활이 대중에 노출되는 해킹 사건이 심심찮게 벌어지고 있다. 해커들은 사생활 공개를 빌미로 이들에게 금품을 요구하고, 이에 불응해 사생활이 노출된 이들은 최악의 경우 직업을 잃거나 가족까지도 잃게 된다.

해커들이 노리는 스마트폰, 노트북, 공유기, 웨어러블 기기, 각종 IoT 기기, 개인 클라우드 등은 알게 모르게 우리의 개인정보를 수집하거나 저장한다. 그러나 너무도 익숙하게, 일상으로 들어온 이 모든 디바이스들의 보안을 하나하나 신경 쓰기란 여간 어려운 일이 아니다.

급변하는 ‘초연결 시대’에서 일상을 지키기 위해, 더 나아가 나와 내 가족을 지키기 위해 우리는 반드시 랜섬웨어·악성코드 유포와 같은 사이버 공격으로부터 스스로를 보호하기 위한 조치를 취해야만 한다. 이번 글을 통해 개인 정보를 보호하기 위한 몇 가지 방법들을 소개해보고자 한다.

스마트폰과 노트북에 ‘멀티팩터 인증’ 적용

우선 우리가 능동적으로 정보를 저장하는 스마트폰, 노트북, 클라우드 등엔 ‘멀티팩터 인증(Multi-Factor Authentication, 이하 멀티팩터)’을 활용하는 것이 보안성 향상에 큰 도움이 된다.

안티바이러스, 방화벽 등의 보안 솔루션도 필수적인 사항이지만, 이러한 솔루션은 현재 윈도우10에서도 기본적으로 제공하고 있고, 무료로 배포되는 프로그램도 많아 이번 글에선 굳이 언급하지 않기로 한다.

여기서 설명할 멀티팩터란 여러 보안 요소(Factor)를 추가 적용해 사용하는 것이다. 스마트폰에서 비밀번호와 지문을 함께 사용하거나, 금융 서비스 이용 시 결제와 계좌이체 등에 필요한 2차 인증 비밀번호 등을 사용하는 것이 멀티팩터 보안 조치에 해당한다.

멀티팩터의 강력함은 여러 사례들을 통해 확인할 수 있다. 그중에서도 구글의 경우 사내 보안을 위해 전 직원에게 보안키 ‘타이탄 시큐리티 키’를 사용하도록 했는데, 이후 1년 간 단 한 건의 업무계정 탈취 공격도 없었다고 밝힌 바 있다.

이러한 모듈 방식 보안키는 노트북과 같은 PC를 사용할 경우 각종 애플리케이션 로그인에도 사용이 가능해 매우 유용하며, 생체 인증을 지원하기도 한다.

우선 스마트폰의 이중인증 이용 방법에 대해 알아보자. 아이폰의 경우 이중 인증을 기본으로 한다. 안드로이드의 경우 구글 계정의 이중 인증은 직접 설정해줘야 한다. 설정 방법은 다음과 같다.

스마트폰 또는 태블릿에서 기기의 ‘설정’에서 ‘Google’을 선택하고, ‘Google 계정’을 연다. 상단에서 보안을 누르고, ‘Google에 로그인’에서 2단계 인증을 선택한다. 2단계 인증으로는 구글 메시지, 문자메시지(SMS) 또는 통화, 보안키를 선택할 수 있다. 모두 사용해보고 취향에 맞게 선택해주면 된다.

노트북의 경우엔 구글의 ‘타이탄 시큐리티 키’와 같은 보안키를 사용할 수 있다. 보안키의 경우 지문인식 모듈, 홍채인식 모듈 등 다양한 제품이 시중에 출시돼 있다.

이러한 제품들을 구비했다면 마이크로소프트 윈도우10에 내장된 ‘헬로(Hello)’ 기능을 사용해 컴퓨터에 두 번째 인증 방식을 등록하면 된다. 물론 보안키가 꼭 필요한 것은 아니다. 윈도우10은 사진암호, 비밀번호, PIN번호 등을 활용한 로그인도 가능하다.

개인을 위한 클라우드 서비스의 경우, 대부분 이중 인증을 지원한다. 구글은 앞서 설명한 것처럼 2단계 인증을 설정해주면 되고, 네이버 또한 계정 설정에서 보안 탭을 클릭하면 2단계 인증 설정이 가능하다. 이외에도 국내 유저들이 자주 쓰는 삼성 클라우드, 애플 클라우드 등도 2단계 인증 설정이 가능하다.

IoT 보안 조치, 선택 아닌 필수

최근 사물인터넷(IoT) 기술을 통해 카메라, 세탁기, 에어컨, 도어록, 자동차 등 많은 물건들이 인터넷으로 연결되고 있다. 이중에서도 최근 문제가 됐던 것은 가정용 홈 CCTV가 해킹돼 사생활이 유출된 사례다.

이처럼 해커들은 IoT를 해킹해 개인정보와 사생활 유출, 디도스 공격을 위한 거점 등의 용도로 사용할 수 있다. IoT의 보안 조치는 앞서 언급했던 공유기나 셋톱박스 와 같이, 패스워드 설정과 펌웨어 관리 등이 필수적이다.

IoT 보안을 위해선 추측이 가능한 비밀번호 사용은 자제하는 것이 좋고, 주기적으로 변경해주는 것이 좋다. 또한 관리자 인증 수행 시 스마트폰 등을 활용해 2차 인증을 거치도록 하는 것이 좋고, 제조사가 제공하는 펌웨어 업데이트를 항상 최신 버전으로 유지해줘야 한다.

살인까지 일으킬 수 있는 웨어러블 해킹

웨어러블 기기의 경우 그 종류에 따라 위협요소도 달라진다. 스마트 안경은 GPS 기능이 탑재되면, 기기가 해킹 당할 경우 착용자의 위치가 매 순간 감시당할 수 있게 된다. 또한 와이파이와 블루투스를 이용하는 기기들은 공격자가 통신 네트워크의 중간에 끼어들어 교환되는 정보를 훔치거나 수정할 수도 있다.

스마트 워치의 경우엔 내장된 모션 센서가 문제가 될 수도 있다. 2015년 미국 일리노이 대학 연구원들은 삼성 스마트 워치의 자이로스코프를 분석해 이용자가 회사 혹은 집에 출입하거나, ATM 등의 이용을 위해 입력하는 비밀번호를 알아내는 스마트폰 앱을 개발했다.

당시 해당 앱의 정확도는 73% 수준이었으며, 빅데이터를 통한 머신러닝을 이용할 시 그 정확도가 꾸준히 높아질 것이라고 전망됐다.

의료 목적 웨어러블 기기의 해킹으로 벌어질 문제는 더 심각하다. 지난 2011년 외국에서 개최된 ‘Black Hat Technical Security Conference’에선 해커가 의료기기를 해킹, 당뇨병 환자에게 인슐린을 과다 투여하도록 조작할 수 있음이 발표됐다. 

이 발표는 건강을 위해 착용하는 의료목적 웨어러블 기기가 무기화될 수 있고, 이를 악용할 경우 착용자에게 건강상 해를 끼치거나 크게는 살인 사건까지도 발생할 수 있음을 시사하고 있다.

웨어러블 디바이스들의 보안을 위해 가장 중요한 것은 ‘신뢰할 수 있는 제품’을 구매하는 것이며, IoT와 마찬가지로 꾸준한 펌웨어 업데이트를 통해 관리해줘야 한다.

공유기 보안, 비밀번호라도 바꿔야

유선 혹은 무선 공유기는 해커가 가장 탐내는 해킹 대상 중 하나다. 해커가 공유기를 장악할 경우, 해당 공유기를 통해 접속돼 오고 가는 모든 패킷을 훔쳐볼 수 있다.

또한 DNS 주소를 바꿔 악성코드를 뿌리고, 디도스(DDoS) 공격 등 각종 해킹을 위한 IP 세탁 지점으로 사용될 수 있다.

결정적으로 공유기 한 대를 해킹하면, 앞서 언급한 모든 디바이스들의 해킹도 가능하게 된다. 결국 편리한 스마트 홈 혹은 오피스 환경을 이용하기 위해선 공유기의 보안성 제고가 최우선적으로 이뤄져야 한다.

일반적으로 가정에서 사용하는 공유기 보안의 가장 큰 문제점은 미흡한 보안 설정이다. 특히 관리자 페이지의 비밀번호를 초기 상태로 사용하는 경우, 언제 해킹 당해도 이상하지 않은 상태가 된다. 따라서 공유기 보안을 위해 가장 중요한 조치는 관리자 페이지의 비밀번호를 복잡하게 설정해 놓는 것이다.

이외에도 ▲무선 공유기의 비밀번호 설정 ▲공유기 원격관리 기능 해제 ▲공유기 펌웨어 최신버전 유지 ▲공공장소 무선 인터넷 이용 시 단말기 DNS 수동 설정 ▲VPN 사용 등이 필수적이다.

이러한 기본적인 조치들로 우리는 공유기에 연결되는 셋톱박스, IoT, 노트북, 스마트폰 등 많은 디바이스들을 안전하게 지킬 수 있게 된다.

스스로를 지키는 사소하고 기본적 보안조치

지금까지 우리가 자주 사용하는 디바이스들의 보안, 그러니까 스스로의 개인정보를 지키기 위한 최소한의 보안 조치 사항에 대해 알아봤다.

누군가는 이러한 조치들에 대해 정말 사소하고 기본적인 것이라 치부할 수도 있다. 그러나 해커들은 바로 그 사소하고 기본적인 것들을 지키지 않은, 우리의 취약한 보안의식을 파고들어 정보를 훔쳐내고 사생활을 빌미로 금품을 요구하기도 한다.

기자 본인은 4차 산업혁명, 5G, 초연결 시대라는 말들이 사실 잘 실감되지 않는다. 하지만 돌아보니 눈치 채지 못한 사이 스스로가 사용하는 많은 디바이스들이 인터넷에 연결돼 있음을, 이번 기사를 작성하며 다시 한 번 깨닫게 됐다.

조금 번거로울 수도 있지만, 오늘 집에 돌아간다면 공유기 관리자 비밀번호만이라도 재설정해보는 것은 어떨까? 잠시 짬을 내어 교체한 비밀번호가 당신의 삶을 뿌리 채 흔들 수 있는 사이버 범죄를 막아줄지도 모른다.