각 장에서 소개하는 내용

이 가이드를 소설책 읽듯이 읽어 나가기는 힘듭니다. 그래서 상황이나 요구에 따라 어떠한 부분을 먼저 읽으면 좋을지 정리했습니다. 물론 앞부분부터 읽으면서 하나하나 본인에게 필요한 보안 조치를 고민하는 것이 가장 좋습니다! 어떤 하나의 보안 조치를 취했다고 하더라도, 다른 곳이 취약하면 효과가 반감되기 때문입니다. 각 장을 다 읽기 어려울 땐, 각 장에서 어떤 내용을 꼭 숙지해야 하는지 돌아볼 만한 내용도 요약해 보았습니다. 단, 제안된 요약 내용을 절대 맹신하지 마세요.

1. 디지털 보안에 대한 이해

‘디지털 보안에 대한 이해’는 특정한 보안 조치에 대한 것이 아니라, ‘디지털 보안’ 전반에 대한 이해를 돕는 장입니다. 만 원 한 장을 지키기 위해 백만 원짜리 금고를 살 필요는 없습니다. 무조건 비싼 보안이 좋은 것은 아니라는 얘기죠. 온갖 보안 조치를 해도 비밀번호를 ‘1234’로 하면 의미가 없어집니다. 특정한 보안 조치에 대한 기술적인 이해가 아니라, 디지털 보안 자체에 대한 이해도 중요합니다. 가이드의 나머지 내용을 읽기 전에 꼭 한 번은 읽어주세요. 특히 <디지털 보안을 위한 7가지 원칙>, <디지털 보안 대책 마련하기>는 항상 숙지해주세요.

상황, 단계별로 필요한 챙길거리 모으기

  • 기자에게 국회의원 스마트폰 화면 노출, ATM 줄 뒷 사람에게 비밀번호 노출과 마찬가지로 내 화면이 노출될 가능성을 충분히 고려하세요.
  • 나(와 우리 단체) 말고 상대쪽에서 디지털 보안이 뚫리면 곤란합니다. 통신의 상대의 디지털 보안 수준도 함께 고민하세요.

적(!)의 능력을 과대/과소평가하지 말기

  • 전국민의 모든 통신자료를 통신사, 빅테크 기업, 정부기관이 전부 실시간으로 감시하고 활용하는 일이 쉽지는 않다는 걸 유념하세요. 지레 겁먹지 않아도 됩니다.
  • 하지만 중고등학생 정도만 되어도 가벼운 수준의 괴롭히기성 해킹, 랜섬웨어 등을 유포할 수 있습니다. 디지털 보안 공격 기술의 파괴력은 올라가고 난이도는 낮아지는 추세란 점을 잊지 마세요.

2. 비밀번호와 인증의 실제

비밀번호는 가장 많이 쓰이는 ‘인증’ 수단이기 때문에, 대부분의 보안 조치에 쓰입니다. PC에 접근할 때, 이메일 계정에 접근할 때, 은행 거래를 위해, 보안 통신을 위해, 이 작업을 하는 사람이 나 자신이라는 것을 ‘인증’해야 하는 여러 곳에서 비밀번호가 사용됩니다. 워낙 많은 곳에서 비밀번호가 사용되니 기억하기 쉬운 것을 사용하거나, 같은 비밀번호를 여러 곳에서 사용합니다. 보안의 가장 큰 취약점 중의 하나입니다. 2장에서는 비밀번호, 2단계 인증(2FA)을 비롯한 다양한 인증방법을 소개하고, 특히 비밀번호를 어떻게 만들고, 어떻게 관리해야 하는지에 대해 소개하겠습니다.

핵심: 어려운 비밀번호, 비밀번호 관리 도구, 2단계 인증, 패스키

  • 길고, 나만 외울 수 있고, 타인은 상상도 못 할 비밀번호, 비밀번호 관리자, 2단계 인증, 패스키. 모르는 말이 없도록 하세요.

KeePassXC, KeePassDroid, StrongBox 등의 ‘비밀번호 관리 도구’ 쓰기

  • 비밀번호를 좀 더 안전하게 사용하려면 ‘비밀번호 관리 도구’를 사용해보세요. 가급적 계정마다 서로 다른 비밀번호를 쓰기 위해서라도 비밀번호 관리 도구는 선택이 아닌 필수입니다. ‘비밀번호 관리 도구’ 자체의 비밀번호는 외우기 쉽지만 매우 어렵게 설정하고, 각 계정의 비밀번호 입력은 ‘비밀번호 관리 도구’에게 맡기세요.

TOTP등의 2단계 인증, 패스키 등의 인증 방식 사용하기

  • 비밀번호 인증만으로는 보안 위협을 막기 어렵습니다. ‘2단계 인증’을 쓸 수 있는 경우에는 최대한 2단계 인증을 쓰세요. 특히 휴대전화 등의 기계를 분실할 일이 없다면 패스키(Passkey) 같은 인증방식이 훨씬 안전합니다. 패스키가 설정된 기계를 분실했어도 당황하지 말고 해당 패스키를 폐기할 방법만 찾으면 됩니다.

3. 악성 코드와 해킹에 대한 이해

누구나 바이러스에 걸려본 경험이 있을 것입니다. 자칫 소중한 자료를 날릴 수도 있습니다. 특히나 해커나 범죄자만 바이러스와 같은 악성 소프트웨어를 만드는 것이 아닙니다. 스파이웨어를 통해 정보기관이 합법적으로 온라인 감시를 하고 있는 나라들도 있습니다. 비록 모든 악성 소프트웨어를 막을 수는 없을지라도, 컴퓨터를 사용하고 있는 이상 이에 대한 대비는 필수입니다. 악성 코드, 해킹, 바이러스 등 여러 가지 개념들에 대해 “이런 것도 해킹이었어?” 하고 놀랄 수 있는 지점들을 소개합니다.

넓은 의미의 해킹 이해하기

  • 허락해준 적 없는 일을 하는 것 대부분을 넓은 의미의 해킹이라고 봐도 됩니다. 허락한 적 없는 파일이나 대화 내용에 접근하는 것 자체도 넓은 의미의 해킹에 포함됩니다. 내가 언제 어떤 웹 사이트를 방문했는지를 알아내거나, 내 계정의 비밀번호를 바꿔 버리거나, 내 계정의 비밀번호를 알아내거나, 내 이메일 중 일부를 몰래 지워버리거나, 내 계정으로 몰래 댓글을 쓰거나, 내 데이터 일부를 지워 버리거나. 넓은 의미의 해킹이 어떤 뜻을 갖는지 명심하세요.

4. 파일과 기기, 운영체제의 보안

노동, 인권 단체의 사무실이 수사 기관에 의해 압수수색을 당하는 일은 드물지 않게 발생합니다. 활동가의 사무실 컴퓨터나 집에 있는 컴퓨터 역시 마찬가지입니다. 압수된 저장장치의 데이터는 ‘포렌식 기술’에 의해 분석됩니다. 이렇게 추출된 정보들은 활동가를 기소하거나, 혹은 일상적으로 ‘사찰’하기 위해 사용될 수 있습니다. 자신과 단체의 소중한 자료가 유출되는 것을 막기 위해서는 우선 보안이 필요한 데이터를 암호화해야 합니다. 이러한 데이터에 접근할 수 있는 기기의 보안도 신경써야 합니다.

경우에 따라 데이터를 안전하게 영구 삭제해야 할 경우도 있습니다. 2012년 대통령 선거 기간 중 댓글 여론 조작을 했던 국가정보원과 이들의 범행을 은폐하려고 했던 서울지방경찰청 역시 증거를 없애기 위해 영구 삭제 프로그램을 사용한 것으로 알려졌습니다. 하지만 2024년 현재는 이러한 방법을 쓰기 어렵습니다. 데이터를 안전하게 삭제하기 어려운 이유를 소개하고, 몇 가지 방법을 제안합니다.

요새 집회나 시위를 하다가 연행이 되었을 때, 휴대전화를 압수수색하는 경우가 많아지고 있습니다. 휴대전화에는 우리가 주고받은 문자 메시지, 메신저 내용, 통화 내역, 사진, 검색 기록 등 매우 민감한 개인정보가 저장되어 있습니다. 미리 미리 휴대전화 압수수색에 대비해야겠죠. 휴대전화 역시 데이터를 암호화하거나 안전하게 관리할 방법이 있는지 살펴야 합니다.

VeraCrypt, BitLocker(윈도우 장치 암호화), FileVault 등의 ‘볼륨 암호화’ 도구로 디스크 암호화하기

  • 데이터가 들어있는 기기를 뺏기는 것만으로 그 속에 있는 정보도 뺏긴다면 곤란합니다. VeraCrypt, BitLocker(윈도우 장치 암호화), FileVault(맥) 등을 쓰면 ‘비밀번호’ 없이는 기기 속 파일에 접근할 수 없습니다. 파일 자체가 암호화된 형태로 저장되어 있는 상황을 유지하세요.

아이폰의 ‘차단 모드’(Lockdown Mode), 갤럭시 스마트폰의 ‘최대 제한 기능’ 사용

  • 스미싱 공격 집중 등 내 스마트폰을 노린 실질적인 보안 위협이 실시간으로 진행중일 때, 아이폰의 ‘차단 모드’(Lockdown Mode), 갤럭시 스마트폰의 ‘최대 제한 기능’ 사용을 고려하세요. 스마트폰의 여러 기능이 멈추지만, 그만큼 좀더 안전해집니다.

5. 통신, 이메일 및 메신저 보안

지난 2014년, 세월호 집회를 주도했다는 이유로 전 노동당 부대표 정진우씨의 카카오톡 메시지 내용이 압수수색된 사실이 알려졌습니다. 개인들 간의 사적인 통신 역시 국가 기관의 사찰로부터 안전하지 않다는 사실이 알려지면서 사이버 망명 바람이 일기도 했습니다. 카카오톡 뿐만이 아니라, 인터넷 이용 전체를 감청하는 ‘패킷 감청’도 가능합니다.

감청 당하지 않기 위해서는 인터넷을 통해 소통할 때 ‘암호화’를 해야 합니다. 카카오톡도 논란 이후, ‘종단간 암호화’, 즉 통신 당사자 사이의 모든 구간에서 암호화 통신을 제공하는 프라이버시 모드를 도입하였습니다. 음성 전화, 문자 메시지, 메신저, 이메일 등을 통해서 소통을 할 때 암호화된 통신을 할 수 있는 방법을 살펴봅시다. 스마트폰이나 PC에서 사용하는 메신저, 이메일  등을 어떻게 암호화할 수 있는지, 과거부터 쓰이던 기법부터 요즘의 방법까지 다뤄봅니다.

모든 통신은 서로 대화를 주고받는 2명 이상이 존재합니다. 따라서 혼자서 이 프로그램들을 설치해서는 의미가 없겠죠. 해당 프로그램을 통해서 통신할 수 있는 사람들이 많아져야 프로그램의 유용성이 증가할 것입니다. 카카오톡으로부터 벗어나기 힘든 이유도 자신과 메시지를 주고받는 사람들이 이미 그 안에 많이 존재하기 때문이죠. 한국 사회 운동 내에서는 텔레그램이 많이 사용되고 있기도 합니다. 어떤 프로그램을 쓰더라도, 그 프로그램이 어떤 보안성을 제공하는지 잘 따져보고, 소통을 하고자 하는 공동체 내에서 적절한 프로그램을 선택해야 할 것입니다. 시그널(Signal)이 주목받는 이유와 함께 좀더 안전하게 시그널 메신저를 쓰는 방법도 소개합니다.

핵심: 정말로 ‘암호화’된 통신이 믿을 수 있게 보장되는지 알기

  • 인터넷으로 주고받는 정보는 휴대전화 기지국, 통신사 등을 거치는 과정에서도 안전하게 보호되어야 합니다. ‘종단간 암호화’, ‘공개키 암호화’같은 표현에 익숙해지세요.

시그널 등의 ‘종단간 암호화’ 메신저 쓰기

  • 보안이 중요한 대화는 시그널 등의 ‘종단간 암호화’ 메신저를 사용하세요. 어떤 메신저를 사용하더라도 ‘종단간 암호화’가 정말 적용되어 있는지 확인하세요. ‘링크 미리보기’등의 기능을 끄세요. 메신저의 ‘메시지 전달’ 기능이 다른 사용자의 신원을 노출하지 않게 꼭 유의하세요. 보안이 필요한 대화는 자동 삭제되게 설정하세요. ‘알림창’에 메시지가 뜨지 않게 설정하세요.

6. SNS, 홈페이지 보안

보안만을 생각한다면 트위터, 페이스북 등 소셜 네트워크를 사용하지 않는 것이 좋습니다. 소셜 네트워크 서비스는 기본적으로 나의 사회적 관계망을 활용하는 서비스이기에, 최소한 ‘나의 사회적 관계’를 드러내기 때문입니다. 또한 사용하다 보면 내 위치, 관심사, 취향 등도 드러내기 십상입니다. 그러나 현실적으로 많은 사회 운동의 활동가들이 소셜 네트워크 서비스를 사용하고 있고, 자신의 활동을 알리고 대중과 소통하는 공간이기도 합니다. 소셜 네트워크 서비스를 이용해야 한다면, 불필요하게 자신을 드러내지 않도록 보안 설정을 하는 방법을 익혀둘 필요가 있습니다.

또한 우리 단체가 직접 홈페이지를 운영하는데 우리 단체의 홈페이지를 통해 악성 코드가 유포되거나 단체 내의 개인정보가 유출된다면 큰 문제가 되겠습니다. 이러한 문제를 사전에 예방하기 위해 단체 홈페이지에 최소한으로 챙겨야 하는 보안 요소들에 대해서도 소개합니다.

핵심: 정보의 공개 범위 확인하기

  • 나 혹은 내가 속한 단체의 SNS 계정이나 홈페이지가 악성 코드를 전파하는 장소가 되면 곤란합니다. 또, 내가 원치 않는 정보가 공개되어 있어도 곤란합니다. 정보의 공개 범위를 확인하고, 검색 엔진에 노출된 범위를 확인하세요.

7. 클라우드 서비스 및 협업 툴 보안

구글 독스(Google Docs), 노션(Notion)등 다양한 클라우드 서비스 및 협업 툴이 시민사회단체의 업무 전반에 걸쳐 사용되고 있습니다. 하지만 이러한 협업 툴의 구체적인 보안 설정에 대해 둔감한 경우가 많습니다. 구체적으로 어떤 지점들에 유의해야 하는지를 소개합니다. 특히 2023년부터 다종다양한 생성형 AI 서비스에 의한 새로운 디지털 보안 문제들이 나오고 있습니다. 이러한 문제들에 대응하는 방법도 소개합니다.

‘활성 세션’을 모니터링하면서 이상 징후 발견시 ‘활성 세션’ 종료하기

  • 나 자신을 포함한 누군가가 언제, 어디서 로그인 상태를 유지하고 있는지 모니터링하세요. ‘활성 세션’ 검사를 정기적으로 진행하세요.

클라우드로 자료를 공유할 땐 ‘주소를 아는 누구나’ 접근하지는 못하게 제한하기

  • 구글 드라이브, 드롭박스 등을 사용하여 파일을 공유할 때 ‘링크가 있는 사람 누구나’ 편집할 수 있는 권한을 부여하지 마세요. 편집이 필요한 사람 모두가 계정이 있는 협업 툴을 사용하고, 계정 목록을 취합해 접근 권한을 관리하세요.

각종 AI 서비스의 편의성과 위험성 맞교환 확인하기

번역, 녹취 풀이 등 다양한 분야에서 AI 기술 기반 서비스들이 어떤 이용약관으로 어떤 정보를 수집하는지 확인하세요. 이용약관을 믿을 수 있다면 최소한 이용약관이 지켜질 때 어떤 정보가 노출될 수 있는지 위험성을 숙지하고 사용하세요.

8. 사무실, 물리적 보안 및 비대면 환경 보안

2024년 언론보도에서는 대법원 등 주요 국가기관에서 ‘인터넷 공유기’에 해당되는 기기가 해킹되어 수 년간 해외로 정보가 유출되었다는 내용이 다뤄졌습니다. 단체 사무실의 인터넷 공유기도 디지털 보안의 약한 고리가 될 수 있습니다. 특히 물리적인 영역에서의 보안 조치가 필요합니다.

핵심: 공유기 관리, 참석자 확인 방법

  • 사무실의 인터넷 공유기에 올바른 관리자 비밀번호가 설정되어 있는지, 제3자가 인터넷 공유기 등을 건드릴 수는 없는지 확인하세요. 화상회의의 참석자가 별도로 녹음을 하거나 촬영을 할 가능성을 염두에 두세요. 화상회의의 참석자가 실제 참석자가 맞는지 확인할 방법을 마련하세요.

9. 이미 벌어진 보안 사고 대처하기

휴대전화, 특히 스마트폰은 유용한 도구이지만, 나를 감시하는 최적의 도구가 될 수도 있습니다. 내 위치가 항상 드러나기 때문에, 내가 집회에 참석한 증거로 사용될 수도 있고, 휴대전화를 통해 내 위치를 추적할 수도 있습니다. 휴대전화 실시간 위치추적과 기지국 수사 등은 한국의 수사 기관도 많이 사용하는 기법입니다. 집회에서 연행이라도 되면 휴대전화를 압수당하기도 합니다. 분실한 휴대전화의 비밀번호나 패턴이 너무 단순하면 제3자가 휴대전화 속 내용을 열어볼 수도 있습니다. 휴대전화 보안에 각별히 신경 써야 하는 이유입니다. 하지만 이러한 상황에 놓이기 전까지는 사전에 대비하기 쉽지 않습니다. 사후적으로 보안 사고에 어떻게 대처해야 하는지를 다뤄봅니다.

핵심: 분실한 기기에 연결된 계정 비활성화하기

  • 흔히 벌어질 수 있는 보안 사고에 대비하기 위해 <파일과 기기, 운영체제의 보안> 장에서 설명하는 내용 중 꼭 챙겨야 하는 내용을 챙기지 못했더라도, 최소한으로 취할 수 있는 <계정 비활성화> 등 사후적인 조치들을 숙지하세요.

부록 보안 위협 평가 체크리스트(안)

디지털 보안 가이드를 읽고 우리 조직에 적용하기 위한 체크리스트를 우리 조직 스스로 만들어야 합니다. 참고가 될 만한 체크리스트를 제안합니다. 

디지털 보안 참고자료

디지털 보안 가이드에서 참고한 국내외 디지털 보안 관련 참고자료를 소개합니다.