아이폰에 대한 ‘보안 자부심’...그러나 아이폰 생태계 위협하는 요소들도 많아
프라이버시 침해 요소들이 자동으로 활성화 된 경우도 많아...옵션 조정 통해 비활성화
[보안뉴스 문가용 기자] 스마트폰에 대한 의존도가 그 어느 때보다 높은 때다. 우리는 금융 거래에서부터 건강 상태 확인, 지인들과의 연락은 물론 각종 콘텐츠 소비까지 전부 스마트폰을 통해 진행한다. 이런 스마트폰 시대를 연 것은 아이폰이고, 아이폰은 현재까지도 가장 인기가 높은 스마트폰으로 남아 있다. 하지만 보안의 관점에서 봤을 때, 아이폰은 얼마나 안전할까?
[이미지 = utoimage]
전 FBI 소속 컴퓨터 책임자였던 랜디 파그만(Randy Pargman)은 “아이폰 사용자들은 자신들의 장비에 대한 자신감이 높은 편”이라며 “안드로이드와 비교할 때 거의 항상 먼저 보안을 앞세운다”고 말한다. 그러나 “iOS가 안전하다고 믿는 그 자신감에서 많은 부분이 간과되고 있으며, iOS의 취약점이 현재 그 어느 때보다 많다는 걸 잊지 말아야 한다”고 지적한다. 이번 주 주말판은 아이폰 사용자들을 위한 보안 팁을 위해 할애했다(그러나 안드로이드에도 대부분 적용 가능하다).
1. 앱 다운로드와 정리
아마 지금 전화기 내에 설치되어 있지만 꽤 오랫동안 켜보지도 않은 것들이 몇 개 있을 것이다. 이 앱들은 저장 용량을 불필요하게 잡아먹고 있을 뿐만 아니라 그 자체로 보안 위협이 된다. 특히 그 앱들이 개발자들의 버림까지 받은 거라면, 그래서 보안 업데이트가 이뤄지지 않는 것이라면 불필요한 공격의 통로가 될 수 있다. 그러니 그런 앱들이 있다면 삭제하든가 업데이트를 해야 한다. 업데이트가 더 이상 나오지 않는 버전이라면, 비슷한 기능을 가진 다른 앱을 찾는 게 좋다.
보안 전문가들은 앱 스토어에서만 앱을 다운로드 받아야 한다고 권장한다. 또한 “스마트 쇼핑”을 해야 한다고 말하기도 한다. “앱을 설치하기 전에 사용자들의 평가를 충분히 읽어보고, 의심스러운 내용들이 발견된다면 개발사와 앱에 대해 조사해보는 게 좋습니다. 간단한 구글 검색만을 해도 특정 앱이나 개발사가 어떤지, 사용해도 안전한지 파악할 수 있을 겁니다.” 보안 분석가 잭 골드(Jack Gold)의 설명이다.
2. 앱과 iOS 업데이트를 주기적으로 확인하라
전문가들에게 보안 관련 팁을 요청하면 가장 많이 나오는 것이 업데이트다. 업데이트는 해킹 기술을 사람들 사이에 공개적으로 알려진 취약점을 막는 행위다. 즉 해커들의 공격 계획을 무산시키거나, 그 계획에 투자되는 금액을 올릴 수 있는 방법이라는 것이다. 그러니 앱과 운영 체제의 업데이트는 아무리 강조해도 지나치지 않다. 자주 확인하는 게 어렵다면, 아예 모든 업데이트를 자동으로 설정해두는 것도 좋은 방법이다.
디지털 셰도우즈(Digital Shadows)의 CISO인 릭 홀란드(Rick Holland)는 “한 번 사면 끝이라는 생각이 소비자들 마음에 있다”며 “예전 가전 장비의 경우에야 그 말이 틀리진 않지만 모든 것이 인터넷을 통해 연결되는 때라면 업데이트를 통한 꾸준한 유지와 관리가 필수”라고 강조한다. “보안 업데이트만이 아니라 기능 업데이트도 꼬박꼬박 하세요. 많은 개발사들이 기능 업데이트에 보안 업데이트를 포함해 진행하기도 합니다.” 다행히 iOS 업데이트는 애플이 알아서 해준다.
3. 손전등 앱인데 내 위치를 요구한다?
이것은 참으로 이상한 일이지만, 자주 있는 일이기도 하다. 앱들이 설치 시 사용자들에게 요구하는 권한을 찬찬히 읽어보면 이해하기 힘든 것들이 제법 있는 편이다. 위 소제목처럼 전등을 켜는 앱일 뿐인데 위치 정보에 접근하게 해달라고 요청한다거나, 마이크로폰이나 카메라, 연락처 정보에까지 손을 대려는 앱들이 제법 있다. 전문가들은 설치를 진행할 때 앱이 요구하는 권한을 검토하고, 앱의 기능 수행에 꼭 필요한 것인지 알아보라고 권장한다.
아이폰의 설정 창을 열고, 프라이버시 항목으로 가면, 어떤 앱들이 연락처, 달력, 사진, 블루투스, 마이크, 카메라, 건강 데이터 등에 접근하고 있는지 알아볼 수 있다. 마찬가지로 위치 기반 서비스(Location Services) 항목에서도 비슷한 내용을 확인할 수 있다. 이 목록을 꼼꼼하게 검토하여 조정하는 게 필요하다.
프라이버시 전문가인 아틸라 토마셱(Attila Tomaschek)은 “기능 수행과 전혀 상관이 없는 앱들이면서 불필요한 정보를 요구하는 경우가 있는데, 이는 그런 정보를 서드파티에 판매함으로써 수익을 거두려는 것일 때가 많다”고 설명한다. “특히 손전등 관련 앱들이 이런 방면으로 악명이 높죠. 다 그런 건 아니겠습니다만.”
4. 숫자와 글자를 섞어 비밀번호를 만들어라
지금쯤이면 아이폰 사용자들 대부분 생체 인증에 익숙해진 상태일 것이다. 그렇더라도 안전한 비밀번호를 설정한다는 건 대단히 중요한 일이다. 시스템 엔지니어인 아메드 모하메드(Ahmed Mohamed)는 “지문이나 안면 인식 기술을 활용하고 있다고 해도 아이폰의 접근 제어 기능에 있어 가장 중요한 건 여전히 비밀번호 혹은 코드”라고 말한다. 그러면서 “숫자와 알파벳을 조합하여 설정하는 게 중요하다”고 강조한다. “기본 네 자리 숫자만으로는 부족합니다.”
“설정 옵션을 들어가 ‘터치 ID와 패스코드(Touch ID & Passcode)’나 ‘페이스 ID와 패스코드(Face ID & Passcode)’를 선택하십시오. 그런 다음 ‘패스코드 변경(Change Passcode)’을 선택하고 ‘패스코드 옵션(Passcode Options)’을 누르세요. 그러면 ‘Custom Alphanumeric Code’ 옵션을 선택할 수 있게 됩니다. 이를 통해 패스코드를 숫자와 알파벳 조합으로 설정하십시오. 그리고 어느 누구와도 이 암호를 공유하지 마세요.”
5. 비밀번호가 많을수록 보안은 강력
보안 전문가들이 강력히 권장하는 것 중 하나는 다중 인증이다. 사이브러리(Cybrary)의 켄 언더힐(Ken Underhill)은 “많은 사람들이 생체 인증이 비밀번호의 대체품이라고 생각하는데, 이는 틀린 생각”이라고 말한다. “오히려 사용자 ID의 대체품에 가깝습니다. 비밀번호가 대체되는 것도 아니고, 그래서도 안 됩니다. 강력한 비밀번호는 아직도 보안에 꼭 필요한 장치입니다. 그러니 생체 인증으로 대체할 생각을 하지 말고, 강력한 비밀번호를 설정해 관리하는 방법을 익히는 것이 좋습니다.”
비밀번호가 특히 강력한 빛을 발해야 하는 건 아이클라우드에서다. 많은 아이폰 사용자들이 연동하여 각종 데이터를 저장하는 곳이다. “다른 곳은 몰라도 아이클라우드에는 반드시 다중 인증을 적용하는 것이 좋습니다. 또한 아이클라우드 전용 비밀번호를 따로 설정해두시는 게 좋아요. 그래야 누군가 아이폰 해킹에 성공한다고 하더라도 소중한 정보에는 접근할 수 없게 되니까요.”
실제 많은 아이폰 보안 사고가 iOS나 앱을 직접 뚫는 것이 아니라 아이클라우드의 계정 비밀번호를 훔치는 것부터 시작한다. “아이폰 사용자들이 아이클라우드와 아이폰 자체 비밀번호를 똑같이 걸어둔다는 걸 아는 거죠. 그래서 클라우드부터 공략하고, 그걸 통해 여러 데이터에 접근함으로써 아이폰을 해킹한 것과 비슷한 효과를 냅니다. 아이클라우드는 아이폰과 별개의 것으로 관리해야 합니다.”
룩아웃(Lookout)의 솔루션 책임자인 크리스 헤이즐튼(Chris Hazelton)은 “비밀번호는 풍부하면 할수록 좋다”고 말한다. “비밀번호를 많이 사용해야 공격자들을 지치게 만들 수 있습니다. 단계별로 비밀번호를 뚫어내야 한다고 생각해보세요. 차라리 다른 곳으로 가고 말죠. 하지만 많은 비밀번호를 기억력으로만 관리할 수는 없습니다. 비밀번호 관리 앱을 사용하시는 게 좋습니다.”
6. 로그인 횟수에 제한을 걸라
아이폰을 훔쳐내는 데 성공한 공격자라면 제일 먼저 브루트포스 공격을 시도한다. 비밀번호가 풀릴 때까지 로그인을 시도하는 것이다. 이 시도의 횟수를 제한하는 게 가능하다. 설정 옵션으로 가서 ‘터치 ID와 패스코드’를 선택한 후 맨 아래로 내려가 ‘데이터 삭제(Erase Data)’ 부분을 On으로 바꾸면 된다. 이런 경우 로그인 시도가 10번 연속으로 실패할 때 전화기 내 데이터가 지워진다. “물론 자기 자신이 로그인 방법(즉 비밀번호)을 잘 잊어버린다면 사용하기 힘든 옵션입니다. 대신 데이터 백업을 주기적으로 해둔다면 잘 잊어버린다고 해도 괜찮겠죠.” 코마셱의 설명이다.
7. 사파리와 광고 옵션도 잊지 말자
일부 웹사이트들에서는 사용자들의 온라인 활동 패턴을 지켜보기 위해 ‘사이트 교차 추적(cross-site tracking)’이라는 것을 실시한다. 사용자가 주로 어떤 곳을 방문하고, 따라서 어떤 서비스나 제품에 관심이 많은지 파악해 그에 맞는 광고를 내보내기 위해서다. 애플은 아이폰 사용자들이 이를 제어할 수 있도록 해두었다.
설정->사파리->프라이버시와 보안(Privacy & Security)로 들어가 ‘교차 사이트 추적 금지(Prevent Cross-Site Tracking)’ 옵션을 켜면, 광고 업자들이 당신의 브라우징 기록에 접근할 수 없게 된다. 그렇다고 사파리에 나타나는 광고 횟수 자체가 줄어드는 건 아니다. 물론 이 역시 옵션 조정을 통해 조절할 수 있다. 특히 팝업 광고가 뜨지 않게 한다거나 가짜 웹사이트에 대한 경고 창이 뜨도록 만들 수 있다.
앱 스토어와 앱 뉴스를 볼 때 관심사에 기반을 둔 광고가 나오지 않게 하려면 ‘설정 -> 프라이버시 -> 광고’에서 옵션 조정이 가능하다. 위치에 기반을 둔 광고가 나오지 않게 하려면 ‘설정 -> 프라이버시 -> 위치 서비스 -> 시스템 서비스’로 가서 ‘위치 기반 애플 광고(Location-based Apple Ads)’를 끄면 된다.
사파리는 기본적으로 구글 검색 엔진을 활용하는데, 이 역시 사용자가 바꿀 수 있다. 프라이버시 기능이 강력한 검색 엔진으로는 덕덕고(DuckDuckGo)가 유명한데, 예를 들어 이를 설정하려면 ‘설정 -> 사파리 -> 구글’ 옵션을 선택해 변경하면 된다.
8. 클릭 조심
아무거나 클릭하지 말라는 건 이제 상식이 되었다. 그렇다고 이를 다 잘 지키는 건 아니지만, 다들 알고는 있다. 그러자 공격자들도 수법을 바꾸고 있다. 모바일 문자를 통해 단축 URL을 보낸다거나 큐알코드를 보낸다. 악성 링크를 이 두 가지에 숨겨서 전송하는 게 최근 모바일 환경에서 크게 유행 중에 있다.
헤이즐튼은 “현재 모바일 환경에서 가장 흔히 나타나는 공격 수법이 바로 피싱”이라며 “공격자들이 악성 링크를 보내 클릭을 유도하는 방법을 선호하는 이유는, 잘 통하기 때문”이라고 설명한다. 그러면서 헤이즐튼은 “피싱 문자나 메시지에서 가장 많이 나타나는 힌트는 문법적 오류와 철자 오류, 조잡한 디자인”이라고 조언했다.
9. 이미지에서 추적용 데이터 삭제하기
각종 이미지들로 가득한 홍보나 광고 메일은 누구나 한 번쯤 받아봤을 것이다. 그런데 이 이미지들에는 함정이 있다. 추적용 코드가 포함되어 있는 경우가 있는 것이다. 광고를 보낸 기업이 해당 이메일이 열렸는지 알아보기 위해 이런 걸 숨겨두기 때문이다. 그런데 이런 기술이 반드시 ‘이메일이 열렸는지 확인하기 위해서만’ 사용된다는 보장은 없다. 얼마든지 악용될 가능성이 높으며, 악용되는 순간 프라이버시 침해가 일어나고 보안 사고 가능성이 높아진다. 그렇기에 이런 이미지들에 삽입된 추적 코드를 손보는 편이 마음 편하다.
“먼저 아이폰으로 이메일 열람을 자주 하는 사용자라면, 이메일 옵션 조정을 통해 이미지 다운로드가 자동으로 되지 않도록 만들어야 합니다. 악성 이미지를 잘못 다운로드 받을 경우, 민감한 정보가 마구 노출될 수 있습니다.” 타이코틱(Thycotic)의 CISO인 조셉 카슨(Joseph Carson)의 설명이다. “대부분 이미지 다운로드가 자동으로 활성화 되어 있을 겁니다. 사용자가 직접 옵션에 찾아 들어가 이를 변경하는 걸 권장합니다. 이것 하나만으로도 리스크를 크게 낮출 수 있습니다.”
카메라 앱이 위치 정보에 접근할 수 있도록 설정되어 있을 때 아이폰으로 찍은 사진에 위치 데이터가 자동으로 삽입된다는 것도 기억해야 한다. 그러니 사진을 어디론가 전송할 때도 이 점을 염두에 두어야 한다. “사진 공유할 때, 옵션(Options) 창을 통해 위치(Location)를 비활성화 하면 됩니다.”
10. 공공 와이파이는 절대 안전하지 않다
보안 전문가들은 공공 와이파이를 그리 좋아하지 않는다. 연결하는 것 자체를 뭐라 하는 건 아니다. 공공 와이파이에서 쇼핑 결제를 하거나, 송금을 하거나, 비밀번호를 입력해 로그인 하는 등 기밀성이 유지되어야 하는 행위를 하는 것에 큰 리스크가 있다는 것이다.
포티넷(Fotinet)의 CISO인 르네 타룬(Renee Tarun)은 “모든 공공 와이파이가 위험이 득실대는 공간이라는 뜻은 아니지만, 자신이 마치 공공 와이파이 기지국인 것처럼 위장해 사람들이 연결하기를 기다리는 공격 수법이 흔치 않게 나타나는 게 사실”이라고 경고한다. “피해자가 이 가짜 기지국에 연결해 인터넷을 사용하면, 공격자가 데이터를 상당량 가로챌 수 있게 됩니다. 사용자로서 가장 간편한 건 와이파이 자동 연결을 해제하는 겁니다.”
만약 정말로 공공 와이파이로의 연결이 불가피하다면 어떻게 해야 할까? 타룬은 “VPN을 사용해 연결하라”고 권장한다. “그런 경우 VPN이 트래픽을 암호화 하기 때문에 범죄자들이나 추적자들이 민감한 데이터에 접근하기 힘들어 집니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
프라이버시 침해 요소들이 자동으로 활성화 된 경우도 많아...옵션 조정 통해 비활성화
[보안뉴스 문가용 기자] 스마트폰에 대한 의존도가 그 어느 때보다 높은 때다. 우리는 금융 거래에서부터 건강 상태 확인, 지인들과의 연락은 물론 각종 콘텐츠 소비까지 전부 스마트폰을 통해 진행한다. 이런 스마트폰 시대를 연 것은 아이폰이고, 아이폰은 현재까지도 가장 인기가 높은 스마트폰으로 남아 있다. 하지만 보안의 관점에서 봤을 때, 아이폰은 얼마나 안전할까?
[이미지 = utoimage]
전 FBI 소속 컴퓨터 책임자였던 랜디 파그만(Randy Pargman)은 “아이폰 사용자들은 자신들의 장비에 대한 자신감이 높은 편”이라며 “안드로이드와 비교할 때 거의 항상 먼저 보안을 앞세운다”고 말한다. 그러나 “iOS가 안전하다고 믿는 그 자신감에서 많은 부분이 간과되고 있으며, iOS의 취약점이 현재 그 어느 때보다 많다는 걸 잊지 말아야 한다”고 지적한다. 이번 주 주말판은 아이폰 사용자들을 위한 보안 팁을 위해 할애했다(그러나 안드로이드에도 대부분 적용 가능하다).
1. 앱 다운로드와 정리
아마 지금 전화기 내에 설치되어 있지만 꽤 오랫동안 켜보지도 않은 것들이 몇 개 있을 것이다. 이 앱들은 저장 용량을 불필요하게 잡아먹고 있을 뿐만 아니라 그 자체로 보안 위협이 된다. 특히 그 앱들이 개발자들의 버림까지 받은 거라면, 그래서 보안 업데이트가 이뤄지지 않는 것이라면 불필요한 공격의 통로가 될 수 있다. 그러니 그런 앱들이 있다면 삭제하든가 업데이트를 해야 한다. 업데이트가 더 이상 나오지 않는 버전이라면, 비슷한 기능을 가진 다른 앱을 찾는 게 좋다.
보안 전문가들은 앱 스토어에서만 앱을 다운로드 받아야 한다고 권장한다. 또한 “스마트 쇼핑”을 해야 한다고 말하기도 한다. “앱을 설치하기 전에 사용자들의 평가를 충분히 읽어보고, 의심스러운 내용들이 발견된다면 개발사와 앱에 대해 조사해보는 게 좋습니다. 간단한 구글 검색만을 해도 특정 앱이나 개발사가 어떤지, 사용해도 안전한지 파악할 수 있을 겁니다.” 보안 분석가 잭 골드(Jack Gold)의 설명이다.
2. 앱과 iOS 업데이트를 주기적으로 확인하라
전문가들에게 보안 관련 팁을 요청하면 가장 많이 나오는 것이 업데이트다. 업데이트는 해킹 기술을 사람들 사이에 공개적으로 알려진 취약점을 막는 행위다. 즉 해커들의 공격 계획을 무산시키거나, 그 계획에 투자되는 금액을 올릴 수 있는 방법이라는 것이다. 그러니 앱과 운영 체제의 업데이트는 아무리 강조해도 지나치지 않다. 자주 확인하는 게 어렵다면, 아예 모든 업데이트를 자동으로 설정해두는 것도 좋은 방법이다.
디지털 셰도우즈(Digital Shadows)의 CISO인 릭 홀란드(Rick Holland)는 “한 번 사면 끝이라는 생각이 소비자들 마음에 있다”며 “예전 가전 장비의 경우에야 그 말이 틀리진 않지만 모든 것이 인터넷을 통해 연결되는 때라면 업데이트를 통한 꾸준한 유지와 관리가 필수”라고 강조한다. “보안 업데이트만이 아니라 기능 업데이트도 꼬박꼬박 하세요. 많은 개발사들이 기능 업데이트에 보안 업데이트를 포함해 진행하기도 합니다.” 다행히 iOS 업데이트는 애플이 알아서 해준다.
3. 손전등 앱인데 내 위치를 요구한다?
이것은 참으로 이상한 일이지만, 자주 있는 일이기도 하다. 앱들이 설치 시 사용자들에게 요구하는 권한을 찬찬히 읽어보면 이해하기 힘든 것들이 제법 있는 편이다. 위 소제목처럼 전등을 켜는 앱일 뿐인데 위치 정보에 접근하게 해달라고 요청한다거나, 마이크로폰이나 카메라, 연락처 정보에까지 손을 대려는 앱들이 제법 있다. 전문가들은 설치를 진행할 때 앱이 요구하는 권한을 검토하고, 앱의 기능 수행에 꼭 필요한 것인지 알아보라고 권장한다.
아이폰의 설정 창을 열고, 프라이버시 항목으로 가면, 어떤 앱들이 연락처, 달력, 사진, 블루투스, 마이크, 카메라, 건강 데이터 등에 접근하고 있는지 알아볼 수 있다. 마찬가지로 위치 기반 서비스(Location Services) 항목에서도 비슷한 내용을 확인할 수 있다. 이 목록을 꼼꼼하게 검토하여 조정하는 게 필요하다.
프라이버시 전문가인 아틸라 토마셱(Attila Tomaschek)은 “기능 수행과 전혀 상관이 없는 앱들이면서 불필요한 정보를 요구하는 경우가 있는데, 이는 그런 정보를 서드파티에 판매함으로써 수익을 거두려는 것일 때가 많다”고 설명한다. “특히 손전등 관련 앱들이 이런 방면으로 악명이 높죠. 다 그런 건 아니겠습니다만.”
4. 숫자와 글자를 섞어 비밀번호를 만들어라
지금쯤이면 아이폰 사용자들 대부분 생체 인증에 익숙해진 상태일 것이다. 그렇더라도 안전한 비밀번호를 설정한다는 건 대단히 중요한 일이다. 시스템 엔지니어인 아메드 모하메드(Ahmed Mohamed)는 “지문이나 안면 인식 기술을 활용하고 있다고 해도 아이폰의 접근 제어 기능에 있어 가장 중요한 건 여전히 비밀번호 혹은 코드”라고 말한다. 그러면서 “숫자와 알파벳을 조합하여 설정하는 게 중요하다”고 강조한다. “기본 네 자리 숫자만으로는 부족합니다.”
“설정 옵션을 들어가 ‘터치 ID와 패스코드(Touch ID & Passcode)’나 ‘페이스 ID와 패스코드(Face ID & Passcode)’를 선택하십시오. 그런 다음 ‘패스코드 변경(Change Passcode)’을 선택하고 ‘패스코드 옵션(Passcode Options)’을 누르세요. 그러면 ‘Custom Alphanumeric Code’ 옵션을 선택할 수 있게 됩니다. 이를 통해 패스코드를 숫자와 알파벳 조합으로 설정하십시오. 그리고 어느 누구와도 이 암호를 공유하지 마세요.”
5. 비밀번호가 많을수록 보안은 강력
보안 전문가들이 강력히 권장하는 것 중 하나는 다중 인증이다. 사이브러리(Cybrary)의 켄 언더힐(Ken Underhill)은 “많은 사람들이 생체 인증이 비밀번호의 대체품이라고 생각하는데, 이는 틀린 생각”이라고 말한다. “오히려 사용자 ID의 대체품에 가깝습니다. 비밀번호가 대체되는 것도 아니고, 그래서도 안 됩니다. 강력한 비밀번호는 아직도 보안에 꼭 필요한 장치입니다. 그러니 생체 인증으로 대체할 생각을 하지 말고, 강력한 비밀번호를 설정해 관리하는 방법을 익히는 것이 좋습니다.”
비밀번호가 특히 강력한 빛을 발해야 하는 건 아이클라우드에서다. 많은 아이폰 사용자들이 연동하여 각종 데이터를 저장하는 곳이다. “다른 곳은 몰라도 아이클라우드에는 반드시 다중 인증을 적용하는 것이 좋습니다. 또한 아이클라우드 전용 비밀번호를 따로 설정해두시는 게 좋아요. 그래야 누군가 아이폰 해킹에 성공한다고 하더라도 소중한 정보에는 접근할 수 없게 되니까요.”
실제 많은 아이폰 보안 사고가 iOS나 앱을 직접 뚫는 것이 아니라 아이클라우드의 계정 비밀번호를 훔치는 것부터 시작한다. “아이폰 사용자들이 아이클라우드와 아이폰 자체 비밀번호를 똑같이 걸어둔다는 걸 아는 거죠. 그래서 클라우드부터 공략하고, 그걸 통해 여러 데이터에 접근함으로써 아이폰을 해킹한 것과 비슷한 효과를 냅니다. 아이클라우드는 아이폰과 별개의 것으로 관리해야 합니다.”
룩아웃(Lookout)의 솔루션 책임자인 크리스 헤이즐튼(Chris Hazelton)은 “비밀번호는 풍부하면 할수록 좋다”고 말한다. “비밀번호를 많이 사용해야 공격자들을 지치게 만들 수 있습니다. 단계별로 비밀번호를 뚫어내야 한다고 생각해보세요. 차라리 다른 곳으로 가고 말죠. 하지만 많은 비밀번호를 기억력으로만 관리할 수는 없습니다. 비밀번호 관리 앱을 사용하시는 게 좋습니다.”
6. 로그인 횟수에 제한을 걸라
아이폰을 훔쳐내는 데 성공한 공격자라면 제일 먼저 브루트포스 공격을 시도한다. 비밀번호가 풀릴 때까지 로그인을 시도하는 것이다. 이 시도의 횟수를 제한하는 게 가능하다. 설정 옵션으로 가서 ‘터치 ID와 패스코드’를 선택한 후 맨 아래로 내려가 ‘데이터 삭제(Erase Data)’ 부분을 On으로 바꾸면 된다. 이런 경우 로그인 시도가 10번 연속으로 실패할 때 전화기 내 데이터가 지워진다. “물론 자기 자신이 로그인 방법(즉 비밀번호)을 잘 잊어버린다면 사용하기 힘든 옵션입니다. 대신 데이터 백업을 주기적으로 해둔다면 잘 잊어버린다고 해도 괜찮겠죠.” 코마셱의 설명이다.
7. 사파리와 광고 옵션도 잊지 말자
일부 웹사이트들에서는 사용자들의 온라인 활동 패턴을 지켜보기 위해 ‘사이트 교차 추적(cross-site tracking)’이라는 것을 실시한다. 사용자가 주로 어떤 곳을 방문하고, 따라서 어떤 서비스나 제품에 관심이 많은지 파악해 그에 맞는 광고를 내보내기 위해서다. 애플은 아이폰 사용자들이 이를 제어할 수 있도록 해두었다.
설정->사파리->프라이버시와 보안(Privacy & Security)로 들어가 ‘교차 사이트 추적 금지(Prevent Cross-Site Tracking)’ 옵션을 켜면, 광고 업자들이 당신의 브라우징 기록에 접근할 수 없게 된다. 그렇다고 사파리에 나타나는 광고 횟수 자체가 줄어드는 건 아니다. 물론 이 역시 옵션 조정을 통해 조절할 수 있다. 특히 팝업 광고가 뜨지 않게 한다거나 가짜 웹사이트에 대한 경고 창이 뜨도록 만들 수 있다.
앱 스토어와 앱 뉴스를 볼 때 관심사에 기반을 둔 광고가 나오지 않게 하려면 ‘설정 -> 프라이버시 -> 광고’에서 옵션 조정이 가능하다. 위치에 기반을 둔 광고가 나오지 않게 하려면 ‘설정 -> 프라이버시 -> 위치 서비스 -> 시스템 서비스’로 가서 ‘위치 기반 애플 광고(Location-based Apple Ads)’를 끄면 된다.
사파리는 기본적으로 구글 검색 엔진을 활용하는데, 이 역시 사용자가 바꿀 수 있다. 프라이버시 기능이 강력한 검색 엔진으로는 덕덕고(DuckDuckGo)가 유명한데, 예를 들어 이를 설정하려면 ‘설정 -> 사파리 -> 구글’ 옵션을 선택해 변경하면 된다.
8. 클릭 조심
아무거나 클릭하지 말라는 건 이제 상식이 되었다. 그렇다고 이를 다 잘 지키는 건 아니지만, 다들 알고는 있다. 그러자 공격자들도 수법을 바꾸고 있다. 모바일 문자를 통해 단축 URL을 보낸다거나 큐알코드를 보낸다. 악성 링크를 이 두 가지에 숨겨서 전송하는 게 최근 모바일 환경에서 크게 유행 중에 있다.
헤이즐튼은 “현재 모바일 환경에서 가장 흔히 나타나는 공격 수법이 바로 피싱”이라며 “공격자들이 악성 링크를 보내 클릭을 유도하는 방법을 선호하는 이유는, 잘 통하기 때문”이라고 설명한다. 그러면서 헤이즐튼은 “피싱 문자나 메시지에서 가장 많이 나타나는 힌트는 문법적 오류와 철자 오류, 조잡한 디자인”이라고 조언했다.
9. 이미지에서 추적용 데이터 삭제하기
각종 이미지들로 가득한 홍보나 광고 메일은 누구나 한 번쯤 받아봤을 것이다. 그런데 이 이미지들에는 함정이 있다. 추적용 코드가 포함되어 있는 경우가 있는 것이다. 광고를 보낸 기업이 해당 이메일이 열렸는지 알아보기 위해 이런 걸 숨겨두기 때문이다. 그런데 이런 기술이 반드시 ‘이메일이 열렸는지 확인하기 위해서만’ 사용된다는 보장은 없다. 얼마든지 악용될 가능성이 높으며, 악용되는 순간 프라이버시 침해가 일어나고 보안 사고 가능성이 높아진다. 그렇기에 이런 이미지들에 삽입된 추적 코드를 손보는 편이 마음 편하다.
“먼저 아이폰으로 이메일 열람을 자주 하는 사용자라면, 이메일 옵션 조정을 통해 이미지 다운로드가 자동으로 되지 않도록 만들어야 합니다. 악성 이미지를 잘못 다운로드 받을 경우, 민감한 정보가 마구 노출될 수 있습니다.” 타이코틱(Thycotic)의 CISO인 조셉 카슨(Joseph Carson)의 설명이다. “대부분 이미지 다운로드가 자동으로 활성화 되어 있을 겁니다. 사용자가 직접 옵션에 찾아 들어가 이를 변경하는 걸 권장합니다. 이것 하나만으로도 리스크를 크게 낮출 수 있습니다.”
카메라 앱이 위치 정보에 접근할 수 있도록 설정되어 있을 때 아이폰으로 찍은 사진에 위치 데이터가 자동으로 삽입된다는 것도 기억해야 한다. 그러니 사진을 어디론가 전송할 때도 이 점을 염두에 두어야 한다. “사진 공유할 때, 옵션(Options) 창을 통해 위치(Location)를 비활성화 하면 됩니다.”
10. 공공 와이파이는 절대 안전하지 않다
보안 전문가들은 공공 와이파이를 그리 좋아하지 않는다. 연결하는 것 자체를 뭐라 하는 건 아니다. 공공 와이파이에서 쇼핑 결제를 하거나, 송금을 하거나, 비밀번호를 입력해 로그인 하는 등 기밀성이 유지되어야 하는 행위를 하는 것에 큰 리스크가 있다는 것이다.
포티넷(Fotinet)의 CISO인 르네 타룬(Renee Tarun)은 “모든 공공 와이파이가 위험이 득실대는 공간이라는 뜻은 아니지만, 자신이 마치 공공 와이파이 기지국인 것처럼 위장해 사람들이 연결하기를 기다리는 공격 수법이 흔치 않게 나타나는 게 사실”이라고 경고한다. “피해자가 이 가짜 기지국에 연결해 인터넷을 사용하면, 공격자가 데이터를 상당량 가로챌 수 있게 됩니다. 사용자로서 가장 간편한 건 와이파이 자동 연결을 해제하는 겁니다.”
만약 정말로 공공 와이파이로의 연결이 불가피하다면 어떻게 해야 할까? 타룬은 “VPN을 사용해 연결하라”고 권장한다. “그런 경우 VPN이 트래픽을 암호화 하기 때문에 범죄자들이나 추적자들이 민감한 데이터에 접근하기 힘들어 집니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
