포털 해킹 사태와 보안 안전 수칙

국내 대형 포털 한 곳이 대다수의 사용자 정보를 해킹당함으로써 포털의 개인정보 보유 문제와 보안 불감증이 다시 화두가 되고 있다. 유출된 정보들 중 주민번호와 비밀번호는 암호화되어 유출되었으니 안심해도 된다고 하는데, 그래도 비밀번호를 동일하게 사용하는 사이트가 있다면 모두 바꾸는 것이 좋다.

http://www.dt.co.kr/contents.html?article_no=2011080102010860746005

위 기사에 의하면, 해당 포털의 유출된 정보들은 비밀번호는 MD5 방식, 주민번호는 AES 방식으로 암호화되었다. 그러나 다음과 같은 기사들을 보면

MD5, invented in 1991, was pretty strong security -- in the 1990s, that is. Today, MD5 is super-weak security, to put it bluntly. Hashed MD5 passwords can be looked up in seconds in widely available rainbow tables. Essentially, storing MD5 hashed passwords is the same thing as storing your passwords in plain text. (출처: http://www.internetevolution.com/author.asp?section_id=771&doc_id=231347&f_src=internetevolution_gnews)

그다지 안전하다고만은 할 수 없겠다. 물론 여기서 경고하는 위험은 조금 다르다. 이는 MD5 로 암호화할떄의 함수가 모두 같은 경우 유추하기 쉽다는 가정에 기초한 윟험인데 이번에 유출된 비밀번호는 사용자마다 다른 함수를 이용하여 암호화하였기 때문에 암호화된 정보만으로 유추하기는 어려울 것이다. 다행히도 주민번호에 사용된 암호화 방식은 안전한 것으로 평가받고 있지만 이같은 유출 사건이 발생했다는 것 자체가 보안과 개인정보의 중요성에 사회 전체가 얼마나 둔감한가를 짐작할 수 있게 하는 사건이라고 본다.

그렇다면 개인 정보의 보호를 위해서 인터넷을 이용하거나 개인 PC를 관리할 때에 주의할 점을 살펴보도록 하자.

1. 정보 제공시

일차적으로 가입시, 그리고 가입 이후라도 개인의 가장 중요한 정보인 이름과 주민등록번호는 최대한 제공하지 않는 방법이 없는가를 생각해 보아야 한다. 인터넷 실명제로 인해 이는 쉽지 않은 일이 되었지만 아이핀 등 대체 인증 수단을 이용하는 법을 생각해 보는 것이 좋으며, 대다수의 대형 포털은 기존의 주민번호 정보를 아이핀으로 대체하는 옵션을 제공하고 있으니 바꾸는 것이 좋다.

아이핀 전환시 주민번호는 삭제된다. 단 뒷자리는 삭제되는 것 같으나 앞자리는 보관된다고 한다.

또한 같은 서비스라면 신상정보를 거의 묻지 않는 외국 서비스를 이용하도록 하자. 페이스북, 트위터, 구글 등은 이메일과 이름 -그것도 실명을 확인하지 않는- 만 적으면 가입에 문제가 없다. 메신저도 친구들이 많다면 쉽게 대체하기 어렵겠지만 특정인들과 정보 교류 맟 채탕용으로 이용하고 있다면 여럿이 함께 Google Talk 나 야후 메신저, MSN 등으로 옮기는 것을 고려하는 것이 좋다.

부득이하게 가입하는 경우라면 전화번호, 주소 등은 정확하게 입력하지 않는 고육책을 쓰는 것을 권한다. 전화번호는 때로는 꼭 연락해야 할 일이 생길 수 있고 배송과 관련된 사이트라면 주소 역시 중요하므로 해당사항이 없겠지만, 그렇지 않은 경우라면 엉터리 정보를 입력해놓는 것도 무방하다. 가장 중요한 것은 각 사이트마다 아이디와 비밀번호를 다르게 설정하는 것이다. 아이디를 모두 다르게 하는 것은 실제로 불가능하므로 두세개의 아이디를 정해 놓고 쓰는 것도 나쁘지 않으며 비밀번호 역시 마찬가지 방법을 사용한다. 이상적인 것은 모든 웹사이트의 비밀번호를 다 다르게 정하는 것인데, 불규칙한 경우에는 외우기가 어렵기 때문에 일정한 공식을 만들어서 정하기를 권한다. 공식을 만들 경우 유추가 가능하다는 단점이 있어서 꺼리는 분들이 많은데, 이와 같은 대형 해킹의 경우 해커가 한 명 한 명의 아이디와 패스워드를 사용할 리 만무하며, 컴퓨터로 자동 대입하는 방법을 쓸 것이므로 큰 문제는 되지 않는다. 다만 키로거 등을 이용한 본인의 아이디와 패스워드만을 목적으로 한 해킹에는 취약하므로 컴퓨터 자체의 보안에 힘쓸 필요가 있다.

Leet Password 라는 패스워드 제작 방식은 복잡한 패스워드를 만드는 데 있어 매우 효율적인 방법이다. 악성 프로그램을 통해 일괄적으로 해킹하는 경우나 이번과 같이 대형 포털의 데이터베이스를 해킹하는 경우에는 이와 같은 Leet Password 는 그다지 효율적이지 못하다. 그러나 Brutal Force 식의 해킹(암호가 맞을 때까지 대입해보는 해킹 방식) 에는 매우 효과적이기에 많은 웹사이트에서 이를 권장하고 있다. Leet 란 ASCII 문자(숫자나 기호를 포함한)를 가지고 알파벳을 대체하는 것을 말한다. 예를 들어 암호가 tistory라면 71s70ry 로 바꾸는 식이다. 7은 알파벳 t와 닮아 있고 1은 i와 비슷하다. 이런 규칙성을 가지고 변환하면 단어만 외우고 있으면 매우 복잡한 암호를 외우는 것과 다름없다.

만약 특정 사이트에서 탈퇴하는 경우라 해도, 개인정보는 1년간 보관된다고 하니 전화번호나 주소, 생년월일 등이 삭제 혹은 변경 가능하다면 틀린 정보로 변경 후 탈퇴하도록 하자. 그렇게 하면 탈퇴 이후 혹시 발생할지도 모르는 피해에도 대비할 수 있다.

2. 로컬 보안 - 바이러스 및 Malware 방지

자신의 컴퓨터, 노트북, 스마트폰, 나아가서는 홈 네트워크에 대한 보안이 필요하다. 공유기 뒤에 있는 컴퓨터의 경우 공유기 보안만 잘 되어 있다면 해킹의 대상이 되기는 어렵다. 문제가 되는 것은 키로거 등에 의한 피해이다. 키로거는 자신이 입력하는 키 타이핑을 모두 기록하였다가 해커에게 전송하는 악성 프로그램이다. 많은 키로거는 최신 백신으로 감지할 수 있자만 안심은 금물이다. 방화벽을 설치하여 출처가 불분명한 프로그램들의 인터넷 액세스를 막는 것이 이러한 악성 해킹 프로그램에 대비하는 방법 중 가장 효과적이다.

코모도(Commodo)의 방화벽은 무료이면서도 어지간한 상용 방화벽보다 뛰어난 성능을 자랑한다. 아웃포스트(Outpost)도 좋지만 상용이기도 하고 성능상으로도 엄청난 차이가 있는 것도 아니므로 일반 사용자의 경우에는 코모도로도 충분하다고 생각한다. 참고로 아웃포스트도 무료 버전의 보안 프로그램을 배포중이이다(사용해본 적이 없고 특별한 평가 결과도 찾을 수 없어서 직접 사용을 권하지는 못하고 있으나 특별히 나쁘지는 않으리라 생각한다.) 여기에 반드시 안티바이러스 솔루션을 함께 사용해야 하는데, 무료 백신인 Avira Antivir 를 추천한다. 몇몇 기능을 제외하면 몇만원씩 하는 상용 프로그램보다 훨씬 뛰어난 것으로 알려져 있다. 구입을 원하는 분들은 노턴 360과 같은 통합 보안 수트를 구입하는 것도 좋다. 이러한 통합 보안 솔루션은 매년 등록을 갱신하기 위해 비용을 지불(노턴 360의 경우 1년 라이센스가 45,000원, 2년치를 한번에 구입하면 75,000원이다)하는 경우가 많지만 대신 설정이 쉽고 한번의 설치로 상당한 보안 수준의 향상을 가져올 수 있다는 장점이 있다. 국산 프로그램의 경우 안랩(Ahnlab)에서 V3 365를 판매중이며 1년 사용권은 노턴과 비슷하지만 2년 사용권이 59,400원으로 상대적으로 저렴하다. 개인적으로 예전에 V3를 사용해 본 경험으로는 그다지 만족할 만한 성능을 보여주지는 못한 기억으로 사용하고 있지는 않으나 최근에 와서는 많이 향상된 성능을 제공한다고 한다. 사후관리가 중요한 사무실이나 기업체에서는 고려해 볼 만하다. 중요한 것은 이러한 안티바이러스 프로그램을 설치하고 적절히 설정한 상태로 꾸준히 업데이트를 해주는 것이다. 상대적으로 성능이 떨어지는 안티바이러스 프로그램이라도 안전한 사용 습관과 꾸준한 관리를 소홀히 하지 않는다면 비싼 보안 솔루션을 설치한 채로 방치한 시스템보다 훨씬 위험에 노출될 확률이 적다.

3. 로컬 보안 - 운영체제 대체

바이러스나 악성코드에서 해방되고 싶은 사용자들의 최후의 선택은 리눅스와 같은 타 운영체제로의 전환이다. 업무용이라면 제한사항이 많아 그리 권장하고 싶은 방법은 아닌데 무엇보다 오피스나 어도비사의 제품군이 존재하지 않기 때문이다. 그러나 악성코드나 바이러스가 존재하지 않으며 간혹 보고되는 바이러스도 그 성능이 뛰어나지(?) 않아 안심할 수 있다(거의 피해를 주지 못하는데, 이는 리눅스의 체계 자체가 시스템 자체를 망가뜨리기 힘든 권한 구조로 설계되어 있기 때문이다). 애플의 맥북이나 맥 미니, 아이맥 등은 별도의 맥 OS를 사용하므로 이 또한 안티바이러스 솔루션을 사용할 필요가 없다. 맥 OS에는 오피스와 어도비 제품군들도 있고 가상화 솔루션으로 어지간한 윈도우 프로그램은 돌릴 수 있다. 이 내용은 본 포스트에서 다루기에는 방대한 양이므로, 차후의 포스팅을 통해 소개하도록 하겠다.

이러한 대책들도 중요하지만 가장 기본적인 것은 보안에 대한 자세이다. 이제 인터넷과 정보통신을 빼놓고는 업무도, 공부도 할 수 없는 세상이다. 그렇기 때문에 사이버 세상에 사람들이 '지나치게' 익숙해진 나머지 너무 편하게 사용하는 경향이 있는 것은 아닌가 하는 생각이 든다. 필자도 페이스북을 사용하고 있지만 지인들이 친구를 맺을 때 얼마나 아는 사람들을 친구로 신청하고 수락하는지 걱정이 되기도 한다. 아예 한 번도 만나보지 못한 사람과 친구를 맺는 경우도 종종 보았기 때문이다. 만약 그렇게 했을 경우에는 자신의 정보를 얼마나 노출시킬 것인가를 세부 설정으로 다 정해주어야 하는데 이렇게 하는 사람은 드문 것 같다. 사이버 상에서의 개인 정보와 익명성은 자신이 지키지 않으면 안된다. 정보화 사회에서 얼마든지 악용될 수 있고 그 결과가 가져오는 악영향은 생각보다 훨씬 클 것이기 때문이다.