미국은 가장 많은 해킹 공격에 당하는 나라다. 그렇기 때문에 정부 차원에서의 ‘해킹 공격 대비책’ 수준도 남다르다. 최근 모바일 안전 가이드라인이 발표됐는데, 일반 사용자나 기업들에 꽤 도움이 될 만한 내용이다.
3줄 요약
1. 최근 중국 해킹 조직에 호되게 당했던 미국, 급기야 대국민 모바일 안전 가이드라인 발표.
2. 일반 가이드라인과 아이폰, 안드로이드폰 사용자를 위한 가이드라인이 있음.
3. 종단간 암호화 기술, 인증 앱, 비밀번호 관리 프로그램이 권장되고 있음.
[보안뉴스 문가용 기자] 인터넷 신조어이긴 하지만 ‘천조국’이라고까지 일컬어지는 미국은 그 이면에 어두운 면도 많이 감추고 있다. 그 중 하나는 ‘세상에서 가장 많은 해킹 공격을 당한다’는 것이다. 바로 얼마 전만 하더라도 중국 해킹 조직이 미국 주요 통신망을 공략하는 바람에 정부 차원에서 단순 문자 메시지 사용을 자제하라는 권고 사항을 발표했을 정도다. 중국 해킹 공격의 규모가 정확히 어느 정도나 되는지, 피해 현황이 어떻게 되는지는 아직까지도 정확히 파악되지 않을 정도로 공격은 교묘하고 깊숙하게 장기간 진행된 것으로 보이고, 그래서 FBI와 CISA와 같은 국가 전체의 보안 담당 기관에서 “메시지를 보낼 때 주의해야 한다”는 대국민 경보를 발령한 것이다.
[이미지 = gettyimagesbank]
이러한 내용을 퍼나르고 있는 주요 일간지들의 헤드라인을 대강만 훑으면 사실 무슨 내용인지 정확히 알 수 없다. 그저 미국 통신망에서 해커들이 활개를 치고 있고, 그래서 미국 국민들은 전화기로 문자 메시지도 안심하고 보낼 수 없는 상황인가 보구나, 하고 막연하게만 느낄 뿐이다. 이는 미국 국민들도 마찬가지일 터. 그래서 연방 기관들의 사이버 보안 문제를 책임지고 있는 CISA는 보다 상세한 모바일 보안 안전 가이드라인을 발표했다. 그 내용이 지나치게 전문적이지도 않고, 지나치게 선언적이지도 않아서 여기에 내용을 정리한다.
일반 권장 사항
CISA가 제안하는 일반적인 모바일 보안 권장 사항은 다음과 같다.
1) 종단간 암호화 기술이 적용된 통신 기술만 사용한다 : 시그널(Signal) 등 이미 시중에는 종단간 암호화 기술을 보장하는 무료 메시징 애플리케이션들이 여럿 나와 있다. 아이폰과 안드로이드 운영 체제 모두에서 호환되며, 서로 다른 플랫폼들 간에도 문자 메시지를 상호 교환할 수 있는 메시징 앱을 찾아 사용하는 것이 권장된다. 맥OS, 윈도, 리눅스용 클라이언트를 제공하거나 심지어 웹에서도 사용이 가능하면서 종단간 암호화를 자랑하는 앱들을 되도록 사용하는 것이 여러 모로 안전하다.
일반적으로 이러한 앱은 1:1 문자 채팅, 최대 1천 명의 참가자와의 그룹 채팅, 암호화 된 음성 및 영상 통화를 지원하기도 한다. 또한 메시지 및 이미지를 사라지게 하는 기능 등 프라이버시 강화 기능도 포함되어 있다. 다만 이러한 앱을 선택할 때 그 앱과 관련된 서비스가 메타데이터를 얼마나 광범위하게, 어떤 기술로 수집하는지를 알아보는 것도 중요하다.
2) 파이도(FIDO) 피싱 방지 인증을 활용한다 : 파이도 인증은 가장 강력한 형태의 다중인증을 사용하며, 따라서 해커들이 개발하고 적극 사용하는 다중인증 우회 기술에도 강력함을 자랑한다. 그 중에서도 가능하다면 유비코(Yubico)나 구글 타이탄(Google Titan)과 같은 하드웨어 기반의 파이도 보안 키를 사용하는 게 안전 측면에서는 가장 권장할 만하다. 하지만 하드웨어 키를 사용하는 데에 문제가 있다면 파이도 패스키도 대안으로서 적합하다.
3) 문자 메시지 기반 다중인증은 사용하지 않는다 : 다중인증 기법에는 여러 가지가 있는데, 그 중 꽤나 널리 사용되는 것은 문자 메시지를 기반으로 하는 것이다. 하지만 다중인증 기술 중에서 문자 메시지를 기반으로 하는 것은 그리 강력하지 않은 것으로 알려져 있다. 문자로 전달되는 인증 코드를 공격자들이 중간에서 가로채는 방법이 다양하게 개발됐기 때문이다.
4) 비밀번호 관리자 프로그램을 사용한다 : 애플패스워드(Apple Passwords), 라스트패스(LastPass), 원패스워드(1Password), 구글패스워드관리자(Google Password Manager), 대시레인(Dashlane), 키퍼(Keeper), 프로톤패스(Proton Pass) 등 시중에 나와 있는 여러 비밀번호 관리 프로그램을 활용하면 약한 비밀번호, 재사용된 비밀번호, 유출된 비밀번호에 대한 경고를 주기적으로 받을 수 있게 된다. 그것만으로도 비밀번호를 그냥 사용하는 것보다 안전해지는데, 이런 비밀번호 관리 프로그램도 안전하게 사용할 수 있는 방법이 따로 있다.
5) 통신사 핀(PIN) 번호를 설정한다 : 대부분의 통신 회사들은 모바일 전화 계정에 추가 핀 번호 또는 비밀번호를 설정할 수 있는 기능을 제공한다. 이런 정보가 있으면 계정 로그인 혹은 번호 포팅과 같은 중요한 작업을 실행할 때 큰 도움이 된다. 또한 심스와핑(SIM-swapping0 공격을 방지하는 데에도 유용할 수 있다. 사용자 스스로 핀 번호를 통신사 계정에 추가하고 활성화 할 경우 공격자의 심스와핑 공격에 대응할 수 있게 된다. 공격자로서는 이런 계정을 공략하는 게 훨씬 어렵다. 핀 번호를 설정한 후에는 비밀번호 관리자를 사용하여 모바일 계정 비밀번호도 같이 변경한다.
6) 모바일 장비의 소프트웨어와 운영체제를 정기적으로 업데이트 한다 : 모바일 기기의 운영체제와 애플리케이션을 정기적으로 업데이트 하는 게 중요하다. 업데이트가 제 때 제 때 되지 않을 수도 있는데, 그렇다라도 사용자 편에서는 최소 1주일에 한 번은 업데이트가 나왔는지 점검할 필요가 있다. 이것이 귀찮다면 장비 내 자동 업데이트 기능을 활성화하는 게 좋다. 이 경우 패치를 빠르게 적용할 수 있게 된다.
7) 개인 가상 사설 네트워크(VPN) 사용하지 않는다. : 개인 VPN은 인터넷 서비스 제공업체(ISP)가 내포하고 있는 리스크를 VPN 제공업체 쪽으로 이동시킬 뿐이다. 그러면서 동시에 공격 경로를 하나 더 만드는 것으로 귀결될 때도 많다. 뿐만 아니라 개인들이 쉽게 접할 수 있는 무료 VPN 서비스나 앱들은 불량하거나 적절치 않은, 심지어 의심스럽기까지 한 보안 및 개인정보 보호 정책을 보유하고 있는 경우가 많다. 다만 회사에서 데이터에 접근하기 위해 VPN 클라이언트를 요구하는 경우는 다른 사례에 해당하므로 같은 원리가 적용되지 않는다.
가이드라인의 보다 상세한 내용과 특히 안드로이드 및 애플 사용자들을 위한 별도의 안전 가이드라인 내용은 26일 발간되는 주간 프리미엄 리포트를 통해 접하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
3줄 요약
1. 최근 중국 해킹 조직에 호되게 당했던 미국, 급기야 대국민 모바일 안전 가이드라인 발표.
2. 일반 가이드라인과 아이폰, 안드로이드폰 사용자를 위한 가이드라인이 있음.
3. 종단간 암호화 기술, 인증 앱, 비밀번호 관리 프로그램이 권장되고 있음.
[보안뉴스 문가용 기자] 인터넷 신조어이긴 하지만 ‘천조국’이라고까지 일컬어지는 미국은 그 이면에 어두운 면도 많이 감추고 있다. 그 중 하나는 ‘세상에서 가장 많은 해킹 공격을 당한다’는 것이다. 바로 얼마 전만 하더라도 중국 해킹 조직이 미국 주요 통신망을 공략하는 바람에 정부 차원에서 단순 문자 메시지 사용을 자제하라는 권고 사항을 발표했을 정도다. 중국 해킹 공격의 규모가 정확히 어느 정도나 되는지, 피해 현황이 어떻게 되는지는 아직까지도 정확히 파악되지 않을 정도로 공격은 교묘하고 깊숙하게 장기간 진행된 것으로 보이고, 그래서 FBI와 CISA와 같은 국가 전체의 보안 담당 기관에서 “메시지를 보낼 때 주의해야 한다”는 대국민 경보를 발령한 것이다.
[이미지 = gettyimagesbank]
이러한 내용을 퍼나르고 있는 주요 일간지들의 헤드라인을 대강만 훑으면 사실 무슨 내용인지 정확히 알 수 없다. 그저 미국 통신망에서 해커들이 활개를 치고 있고, 그래서 미국 국민들은 전화기로 문자 메시지도 안심하고 보낼 수 없는 상황인가 보구나, 하고 막연하게만 느낄 뿐이다. 이는 미국 국민들도 마찬가지일 터. 그래서 연방 기관들의 사이버 보안 문제를 책임지고 있는 CISA는 보다 상세한 모바일 보안 안전 가이드라인을 발표했다. 그 내용이 지나치게 전문적이지도 않고, 지나치게 선언적이지도 않아서 여기에 내용을 정리한다.
일반 권장 사항
CISA가 제안하는 일반적인 모바일 보안 권장 사항은 다음과 같다.
1) 종단간 암호화 기술이 적용된 통신 기술만 사용한다 : 시그널(Signal) 등 이미 시중에는 종단간 암호화 기술을 보장하는 무료 메시징 애플리케이션들이 여럿 나와 있다. 아이폰과 안드로이드 운영 체제 모두에서 호환되며, 서로 다른 플랫폼들 간에도 문자 메시지를 상호 교환할 수 있는 메시징 앱을 찾아 사용하는 것이 권장된다. 맥OS, 윈도, 리눅스용 클라이언트를 제공하거나 심지어 웹에서도 사용이 가능하면서 종단간 암호화를 자랑하는 앱들을 되도록 사용하는 것이 여러 모로 안전하다.
일반적으로 이러한 앱은 1:1 문자 채팅, 최대 1천 명의 참가자와의 그룹 채팅, 암호화 된 음성 및 영상 통화를 지원하기도 한다. 또한 메시지 및 이미지를 사라지게 하는 기능 등 프라이버시 강화 기능도 포함되어 있다. 다만 이러한 앱을 선택할 때 그 앱과 관련된 서비스가 메타데이터를 얼마나 광범위하게, 어떤 기술로 수집하는지를 알아보는 것도 중요하다.
2) 파이도(FIDO) 피싱 방지 인증을 활용한다 : 파이도 인증은 가장 강력한 형태의 다중인증을 사용하며, 따라서 해커들이 개발하고 적극 사용하는 다중인증 우회 기술에도 강력함을 자랑한다. 그 중에서도 가능하다면 유비코(Yubico)나 구글 타이탄(Google Titan)과 같은 하드웨어 기반의 파이도 보안 키를 사용하는 게 안전 측면에서는 가장 권장할 만하다. 하지만 하드웨어 키를 사용하는 데에 문제가 있다면 파이도 패스키도 대안으로서 적합하다.
3) 문자 메시지 기반 다중인증은 사용하지 않는다 : 다중인증 기법에는 여러 가지가 있는데, 그 중 꽤나 널리 사용되는 것은 문자 메시지를 기반으로 하는 것이다. 하지만 다중인증 기술 중에서 문자 메시지를 기반으로 하는 것은 그리 강력하지 않은 것으로 알려져 있다. 문자로 전달되는 인증 코드를 공격자들이 중간에서 가로채는 방법이 다양하게 개발됐기 때문이다.
4) 비밀번호 관리자 프로그램을 사용한다 : 애플패스워드(Apple Passwords), 라스트패스(LastPass), 원패스워드(1Password), 구글패스워드관리자(Google Password Manager), 대시레인(Dashlane), 키퍼(Keeper), 프로톤패스(Proton Pass) 등 시중에 나와 있는 여러 비밀번호 관리 프로그램을 활용하면 약한 비밀번호, 재사용된 비밀번호, 유출된 비밀번호에 대한 경고를 주기적으로 받을 수 있게 된다. 그것만으로도 비밀번호를 그냥 사용하는 것보다 안전해지는데, 이런 비밀번호 관리 프로그램도 안전하게 사용할 수 있는 방법이 따로 있다.
5) 통신사 핀(PIN) 번호를 설정한다 : 대부분의 통신 회사들은 모바일 전화 계정에 추가 핀 번호 또는 비밀번호를 설정할 수 있는 기능을 제공한다. 이런 정보가 있으면 계정 로그인 혹은 번호 포팅과 같은 중요한 작업을 실행할 때 큰 도움이 된다. 또한 심스와핑(SIM-swapping0 공격을 방지하는 데에도 유용할 수 있다. 사용자 스스로 핀 번호를 통신사 계정에 추가하고 활성화 할 경우 공격자의 심스와핑 공격에 대응할 수 있게 된다. 공격자로서는 이런 계정을 공략하는 게 훨씬 어렵다. 핀 번호를 설정한 후에는 비밀번호 관리자를 사용하여 모바일 계정 비밀번호도 같이 변경한다.
6) 모바일 장비의 소프트웨어와 운영체제를 정기적으로 업데이트 한다 : 모바일 기기의 운영체제와 애플리케이션을 정기적으로 업데이트 하는 게 중요하다. 업데이트가 제 때 제 때 되지 않을 수도 있는데, 그렇다라도 사용자 편에서는 최소 1주일에 한 번은 업데이트가 나왔는지 점검할 필요가 있다. 이것이 귀찮다면 장비 내 자동 업데이트 기능을 활성화하는 게 좋다. 이 경우 패치를 빠르게 적용할 수 있게 된다.
7) 개인 가상 사설 네트워크(VPN) 사용하지 않는다. : 개인 VPN은 인터넷 서비스 제공업체(ISP)가 내포하고 있는 리스크를 VPN 제공업체 쪽으로 이동시킬 뿐이다. 그러면서 동시에 공격 경로를 하나 더 만드는 것으로 귀결될 때도 많다. 뿐만 아니라 개인들이 쉽게 접할 수 있는 무료 VPN 서비스나 앱들은 불량하거나 적절치 않은, 심지어 의심스럽기까지 한 보안 및 개인정보 보호 정책을 보유하고 있는 경우가 많다. 다만 회사에서 데이터에 접근하기 위해 VPN 클라이언트를 요구하는 경우는 다른 사례에 해당하므로 같은 원리가 적용되지 않는다.
가이드라인의 보다 상세한 내용과 특히 안드로이드 및 애플 사용자들을 위한 별도의 안전 가이드라인 내용은 26일 발간되는 주간 프리미엄 리포트를 통해 접하실 수 있습니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
