부록

1. 보안 위협 평가 체크리스트

가이드의 각 항목 중 어디를 먼저 읽어야 좋을지 판단을 돕기 위한 보안 위협 평가 체크리스트입니다. 체크리스트를 참고하여 각자의 상황에 맞는 새로운 체크리스트를 만드는 것이 좋지만, 우선 여기서부터 시작해 주세요. 체크리스트의 각 질문에서  ‘네’, ‘아니오’, ‘모릅니다’ 중 어디에 해당되는지, 그리고 그것이 괜찮은지를 가이드 본문을 통해 확인합시다.

✅ 비밀번호와 인증

  • 단체의 구성원 여러 사람이 동일한 계정을 사용하는 경우가 있나요?
  • 단체의 구성원 여러 사람이 동일한 기계를 사용하는 경우가 있나요?
  • 단체의 구성원에 변동(채용, 퇴사)이 있을 때 과거와 동일한 비밀번호를 사용하나요?
  • 비밀번호를 외우기 어려워서 어딘가에 적어두는 구성원이 있나요?
  • 단체의 계정에 누가 언제 접근했는지 추적할 수 있나요?
  • 단체의 계정에 대한 해킹 시도가 있을 때 즉시 알람을 받고 있나요?
  • 단체의 계정을 공공 장소나 외부의 기계에서 로그인하는 일이 있나요?
  • 단체의 계정마다 할 수 있는 일의 범위가 역할에 맞게 제한되어 있나요?

✅ 파일, 기기, 운영체제 보안

  • 단체 구성원의 기계가 분실되었을 때 취해야 하는 조치가 무엇인지 알고 있나요?
  • 단체 사무실 컴퓨터의 디스크가 도난당하면 단체의 파일을 제3자가 열어볼 수 있나요?
  • 단체에서 쓰는 기기들의 운영체제 보안 업데이트는 최신으로 유지하고 있나요?

✅ 물리적 보안

  • 단체에서 사용중인 홈페이지에 악성코드가 삽입된 경우 이를 단체에서 알 수 있나요?
  • 단체 사무실의 인터넷 공유기에 관리자 비밀번호가 설정되어 있나요?

✅ 통신, 이메일 및 메신저 보안

  • 사용하고 있는 메신저는 종단간 암호화(E2EE)를 지원하고 있나요?
  • 사용하고 있는 메일 서비스는 PGP 암호화를 지원하고 있나요?
  • 어떤 웹사이트에 접속했는지를 제3자가 모를 수 있는 상황을 보장하기 위한 별도 조치가 이행되고 있나요?
  • 어떤 웹페이지에서 무엇을 읽었는지 제3자가 모를 수 있도록 별도의 조치를 취하고 있나요?

2: 디지털 보안 참고자료

디지털 보안 가이드는 디지털 보안에 대한 이해를 높이기 위한 시작점입니다. 디지털 보안에 대한 다양한 내용을 찾아볼 수 있는 참고자료들을 소개합니다.

국내외 참고자료

2015 디지털 보안 가이드북

슬로우뉴스 & 함께하는 시민행동: “다른 인터넷이 가능하다” 시리즈

(영문) Electronic Frontier Foundation: Surveillance Self-Defense

  • EFF에서 발간하고 계속 갱신하고 있는 디지털 보안 가이드입니다.
    https://ssd.eff.org/ 

(영문) Front Line Defenders, Security in-a-Box

  • Tactical Technology Collective에서 시작하여 Front Line Defenders에서 유지보수하고 있는 디지털 보안 가이드입니다.
    https://securityinabox.org/en/

(영문) Front Line Defenders, Digital Protection

(영문) APC, Digital Security First Aid Kit for Human Rights Defenders

(영문) Freedom of the Press Foundation

(영문) ACCESS NOW: Encrypt all the things

(영문) Reset the net: Privacy Pack

국내외 기관, 단체

한국인터넷진흥원(KISA) 보호나라

(영문) Let’s Encrypt