스마트한 세상에서 주의할 점

요즘 기술이 진보에 진보를 거듭하면서 무서운 속도로 발전하고 있습니다.

각 분야의 전문가들이 내놓는 새로운 기술들이 통합되면서 과거 영화에서나 볼 수 있었던 놀라운 일들이 우리 생활 속 깊숙이 들어와 각 분야에 편리함을 주고 있습니다.

구글은 무인 택시 서비스를 계획하고 있고 현대자동차 넥소는 수소를 사용하는 완전 자율 주행 자동차의 시판을 코앞에 두고 있는 요즘 우리가 알아야 할 점은 무엇이고 주의할 점은 무엇인지 다뤄볼까 합니다.

 

우리 생활에서 빼놓을 수 없는 스마트폰, 다양한 앱들이 나오면서 또 다른 편리함을 주고 있는데,

이러한 앱들이 가지고 있는 위험성을 알고 있는 사람들은 많지 않습니다.

어떤 점을 주의 해야 하는지 몇가지 설명을 드리도록 하겠습니다.

 

1. 앱이 요구하는 권한을 잘 살펴본다.

예를 들어 메모를 관리하는 앱이 GPS, 카메라, 마이크 등의 사용 권한을 취득할 이유는 없습니다.

만일 음성으로 메모를 작성하는 기능이 있다면 마이크의 권한이 필요하겠지만 그런 경우라면 권한을 허용하지 마세요.

마이크의 권한을 취득했을 때 이용자의 동의 없이 주변 녹음 및 통화 녹음이 가능해집니다.

GPS도 마찬가지로 동의 없이 위치를 파악할 수 있습니다.

사용자가 GPS 기능을 끄더라도 네트워크 기반의 위치를 파악할 수 있어서 위치가 노출됩니다.

 

2. 이용 동의 전에 약관을 잘 읽어본다.

정보이용 동의를 받게 되면 대부분 제3자 제공 동의서를 함께 받게 되는데, 이 경우 정보를 3자에게 판매 또는 제공하게 되어 불편한 홍보 전화를 받거나 마케팅에 사용할 다양한 정보가 흘러 들어가게 됩니다.

앱을 설치하게 되면 이용자 모르게 취득 가능한 것들이 대부분입니다.

전화번호, 모바일 기종, 해상도, 기기 고유아이디, 어디서 무엇을 검색했는지, 휴대폰을 언제 주로 사용하는지, 휴대폰 주변 밝기가 어떤지 등등 거의 대부분의 정보를 회사의 서버로 전송할 수도 있습니다.

만일 콘텐츠를 읽는 권한에 동의하셨다면 사진, 연락처, SMS, 통화 목록, 과거 상세 기록까지 다 읽어갈 수 있고, 사진이 찍히는 순간을 감지해서 서버로 전송할 수도 있습니다.

 

3. 앱의 네트워크 통신 사용량을 확인한다.

설정에 서 애플리케이션 정보를 보면 어떤 앱이 얼마만큼의 네트워크를 전송했는지 볼 수 있습니다.

평균 이상으로 사용했다면 내부적으로 무언가를 전송했다고 볼 수 있습니다.

 

4. 백그라운드 프로그램을 주의

24시간 돌아가는 프로그램이 있습니다. 휴대폰을 재시작해도 자동으로 실행돼서 사용자 모르게 돌아갑니다.

24시간 구동되고 있어야 할 프로그램들은 대부분 메신저 같은 경우인데 그럴 이유가 없는 프로그램들도 백그라운드에서 돌고 있는 경우가 많습니다.

정보를 취득하기 위함이라고 봐도 무관합니다.

 

5. 프로그램이 실행될 때 상단 노티바에서 GPS 아이콘이 잠시 떴다가 사라지는 경우

내비게이션 앱이 아닌 위치 서비스와는 전혀 무관한 앱들을 실행할 때 GPS 아이콘이  활성화되는 경우를 볼 수 있습니다.

위치를 파악하려는 순간 아이콘이 뜨게 되는데 해당 앱이 위치를 파악하고 있으니 반드시 삭제하시는 것을 추천드립니다.

 

6. 확인되지 않은 링크는 클릭하지 않는다.

이런 링크를 클릭하는 순간 프로그램이 설치되거나 정보를 매칭하는 도구로 사용합니다.

예를 들어 http://abc.com/X123XX

이런 링크가 있다고 할 때 X123XX는 번호 하나에 하나씩 생성된 난수이고 이미 특정 번호, 예를 들어 010-1234-5678과 연결이 되어 있습니다.

만일 이 링크를 클릭하게 되면 이들은 X123XX로 들어온 사람이 010-1234-5678이라는 것을 당연히 알 수 있고 해당 번호 사용자의 개인 정보도 상세히 가지고 있습니다.

그들은 이미 정보를 가지고 있는 사용자에게만 링크를 보내서 클릭 시,SMS를 갈취해 특정 동의를 받을 수도 있고 위치정보, 대화 정보까지 모두 갈취할 수 있습니다.

 

7. 카페 같은 공용 네트워크에 접속하지 않는다.

카페에서 A, B 두 명이 Wi Fi를 잡았다면 C가 의도를 가지고 카페 Wi Fi에 접근할 경우 A, B가 누구인지 그들이 어떤 것을 보고 있는지 아주 쉽게 확인이 가능합니다.

공격자는 현재 어떤 기기가 네트워크에 접속되어 있는지, 삼성인지, 아이폰인지, PC인지 알 수 있습니다.

아이폰을 가지고 있는 A의 정보를 보고 싶을 경우 A가 연결된 ID만으로 특정해서 정보를 빼앗거나 보고있는 정보를 변조해서 원하는 목적을 달성할 수 있습니다.

A와 B가 카페의 무선 공유기에 연결되어 정보를 주고받는 과정을 C 자신에게 우회시켜서 Wi Fi로 가도록 변경하게 되면 지금 보고 있는 화면이 네이버가 아닐 수도 있고 은행 사이트가 아닐 수 있습니다.

 

만일 네이버와 동일한 화면을 띄워놓고 naver.com 주소를 navera.com으로 변조했거나 내용을 변조했다면 여러분이 naver.com로 접속했더라도 공격자가 미리 준비한 가짜 네이버로 접속되게 됩니다.

접속한 곳이 은행이라면 변조된 사이트에서 아이디와 비밀번호를 입력하는 불상사가 일어날 수 있으니 가급적 외부 네트워크를 사용하고 있다면 로그인이나 중요한 업무는 처리하지 않는 것이 좋습니다.

이 밖에도 공용 네트워크를 공격하게 되면 정보가 전송되는 패킷(데이터)을 받아서 어떤 정보가 전달되고 있는지 모두 확인이 가능합니다.

이러한 해킹 기법은 아주 오래 되었고, 주로 회사나 학교에서 같은 네트웍을 사용하는 사람만 공격 대상이 되었는데,  WiFi가 지원되면서 불특정 다수에게 접근할 수 있게 되었습니다.

 

8. 보안카드를 메모장이나 사진으로 찍어두지 않는다.

보안카드를 사진으로 찍어서 저장하는 사람들을 심심찮게 보게 되는데, 1~7 항목을 보셨다면 얼마나 위험한 행위인지 아실 겁니다.

 

9. 휴대폰 핫스팟이 나 집에서 사용하는 공유기의 비밀번호를 설정한다.

이유는 7번과 같습니다.

열려 있을 경우 누군가가 접속하게 되면 070 전화기로 통화하는 내용까지 들어볼 수 있습니다.

모든 정보는 패킷에 담겨 있기 때문입니다.

공유기 비밀번호까지 해독할 수 있으니 완벽한 방법은 아니지만 그래도 아무나 접근하게 하는 것은 더 위험한 일입니다.

 

10. 비밀번호에는 꼭 특수 문자를 섞어서 사용하고 사이트를 구분해서 다르게 사용한다.

규모가 있는 회사들은 정보 관리에 민감하기 때문에 누군가가 접근하게 되면 접근 사유와 접근 로그를 남기게 되어 책임을 분명하게 하지만 이름 없는 사이트나 소호 쇼핑몰의 경우 이런 개인 정보를 관리하는 것에 소홀하게 마련입니다.

만일 내가 가입한 소호 쇼핑몰이 해킹당했거나 정보를 볼 수 있는 관리자가 악의적인 마음을 먹게 되면 어떤 일이 일어날지 예를 들어보겠습니다.

메일 주소를 [email protected]으로 사용하고 비밀번호를 aaa222로 사용했다고 가정했을 때,  네이버 비밀번호도 aaa222일 확률이 매우 높습니다.

또한 구글 아이디가  [email protected] 이라면 구글까지 해킹당하게 됩니다.

당연히 비밀번호도 aaa222일 가능성이 높기 때문에 가입된 거의 대부분의 정보를 해킹하는 것이 가능하게 됩니다.

개발자가 보안에 신경을 써서 개발하는 경우 저장된 암호를 bcrypt나 md5와 같은 암호화된 알고리즘으로 저장하여 확인이 불가능하게 하겠지만 그렇지 않은 경우 비밀번호가 그대로 노출되어 관리자라면 누구나 볼 수 있게 되며, 암호화 하지 않았거나 보안에 취약한 md5를 적용한 경우가 대부분이라고 봐도 무관할 정도로 허술하니 가급적 비밀번호를 동일하게 사용하지 않는 것을 권장하며, 아이디 뒤에 @naver.com, @daum.net, @gmail.com 등을 붙여서 충분히 유추할 수 있기 때문에 절대로 중요하거나 규모가 있는 회사와 그렇지 않은 회사를 동일한 아이디와 비밀번호로 사용하지 않아야 합니다.

누군가가 내 아이디와 비밀번호를 이용해서 내가 저장한 클라우드 서비스에 들어와 소중한 정보를 들여다 본다고 생각하면 얼마나 끔찍할까요?

그들은 단순한 이름, 전화번호, 주소만 가져가는 것에서 그치지 않습니다.

 

특히 비밀번호를 aaa1234 형식으로 단순하게 만들 경우 해독하는데 몇십 초도 걸리지 않습니다.

가급적 사이사이 특수문자를 섞어서 해독이 어렵게 해야 합니다.

모든 것을 송두리째 앗아갈 수도 있으니 꼭 주의하시길 바랍니다.

 

11. APK 파일 형식의 앱은 사용하지 않는다.

마켓이 아닌 다운로드해서 설치하는 방식의 앱은 더 많은 위험성을 가지고 있으니 가급적 설치하지 않기를 바랍니다.

 

12. 로컬이나 인터넷 이벤트에 참여하지 않는다.

대형마트나 인터넷에서 이벤트 응모시 정보이용 동의서 및 3자 제공 동의서에 서명하게 되고, 이들은 개인 정보를 금전을 받고 판매하거나 마케팅 용도로 이용하게 됩니다.

또한, 인터넷에서 이벤트에 응모할 경우 이벤트 결과가 사이트 어딘가에 남겨지게 되면서 개인정보를 유추할 수 있는 정보들이 네이버, 구글 등에 남게 됩니다.

예를들어 “우리아가 백일 이벤트 당첨자” 라는 정보가 있을 때 abc123 홍길X 님, 또는 “abc123 댓글에 우리아기 분유 신청합니다.” 라고 응모했다고 가정해 봅시다.

만일 어떤 사이트에 글을 남겼고 당신의 아이디가 노출되었을 때 구글에서 abc123을 검색할 경우 이런 일련의 글과 행적을 판단하는데 도움을 주게 됩니다.

어떤 곳은 아이디를  *** 형태로 숨기고 이름은 보이는 곳이 있고, 어떤곳은 이름에 ***을 처리하고 아이디가 보이는 경우가 있기 때문에 몇가지 정보만 취합하면 아이디, 이름, 행적, 연락처, 지역 등을 알 수 있게 됩니다.

이런 정보들은 크롤링을 통해 저장되며 3년 5년 10년이 지나도 구글이나 각종 검색엔진에 남게 되어 누군가가 당신의 행적을 파악하는 수단으로 사용하게 됩니다.

구글에서 자신의 아이디나 연락처로 검색해 보면 아마 하나 이상은 자신의 정보가 보일 겁니다.

 

13. 확인되지 않은 프로그램이나 VPN 서비스 이용에 주의한다.

휴대폰이나 PC에서 자신의 IP를 숨기기 위하여 VPN 서비스를 이용하는 사용자가 있는데 VPN을 통해서 웹서비스를 이용하게 될 경우  VPN 관리자는 패킷을 확인하거나 아이디와 패스워드, 입력하는 내용을 가로챌 수 있게 됩니다.

또한 웹상에서 다운받는 Zip과 같이 압축된 파일이거나 검증되지 않은 프로그램을 함부로 설치하게 되면 광고나 해킹에 노출되게 됩니다.

블로그나 기타 웹서비스에 자신이 개발한 프로그램에 좀비 기능을 담아 배포하고 설치된 사용자의 PC의 화면캡처, 파일내역, 키보드 입력 내용등을 갈취하거나 누군가의 웹서비스를 DoS 공격 또는 해당 PC를 이용해 메일을 보낼 수도 있습니다.

이미 상상할 수도 없는 많은 PC들이 감염되어 DoS  공격에 이용되고 있으니 각별한 주의가 필요합니다.

프로그램이 아니더라도 압축된 파일 내부에 프로그램을 숨겨두고 압축이 해제될 경우 감염시키는 경우도 있으니 Zip파일도 가급적 다운받지 않기를 권장합니다.

 

이렇게 우리와 가까이 있는 웹서비스, 스마트폰 기기가 범죄에 이용될 경우 상상할 수 없는 일들이 벌어질 수 있기 때문에 가급적 규모가 작은 회사에서 개발한 응용프로그램이나 앱은 설치하지 않기를 바라며 불필요한 앱이 있다면 지금 앱을 정리하시기 바랍니다.

 

오피타임은 모든 분들이 안전한 인터넷 생활을 할 수 있기를 바랍니다.

오피타임 (https://www.optime3.com)