디지털 보안 대책을 마련하기 위한 평가를 진행하려면 디지털 보안 위협의 실현 가능성을 좀 더 잘 알아야 합니다. 한국에서 실제로 빈번하게 일어나는 디지털 보안 위협 사례들과 이에 대한 대책을 마련하는 방법을 알아봅시다.
1. 시민사회단체 활동가를 노린 스미싱 공격
2024년 9월, 국내 한 정당의 당대표가 텔레그램 스미싱 공격에 의해 계정을 탈취당하는 사건이 발생했습니다. 텔레그램 메신저는 ‘비밀대화’기능을 사용하지 않을 경우 모든 대화의 내용이 텔레그램 클라우드에 영원히 저장되기 때문에, 계정 탈취가 일어나면 기존의 대화 내역 등이 모두 공격자에게 노출됩니다. 공격자는 기존 대화 내역을 토대로 탈취한 계정의 신원을 사칭하며 다음 공격대상에 대한 신뢰를 확보하여 추가 피해를 양산할 수 있습니다.
텔레그램 메신저를 사용하는 경우, 이러한 공격으로부터 사전에 계정을 보호하기 위해 디지털 보안 가이드 <텔레그램(Telegram) 설정 가이드>를 참고하여 텔레그램을 좀더 안전하게 사용하세요.
텔레그램의 ‘비밀 대화’ 기능으로 지켜지지 않는 보안 영역 경계하기
많은 사람들이 텔레그램 메신저를 ‘보안 메신저’라고 생각합니다. 텔레그램 메신저는 서비스 운영 주체가 한국에 소재하지 않고 있어 서버에 대한 압수수색 영장 집행 등이 어렵다는 점에서 상대적으로 주목받고 있고, 또한 ‘비밀 대화’ 기능을 사용할 경우 서버에는 대화 내용 본문이 저장되지 않고 오직 메시지를 주고받은 당사자의 스마트폰에만 대화 내용이 저장된다는 점이 주목받고 있습니다. 하지만 이러한 ‘비밀 대화’ 기능을 사용하더라도, 등 뒤에서 어깨 너머로 스마트폰 화면을 지켜보고 있는 제3자로부터 대화 내용의 보안을 지킬 수는 없습니다. 등 뒤에 벽으로 가로막혀 있거나 하지 않다면, 뒤에 있는 사람의 각도에 따라 얼마든지 대화 내용이 유출될 수 있음에 유의해야 합니다.
디지털 보안의 본질은 <가장 약한 연결고리>에 있고, 그 가장 약한 연결고리는 물리적인 공간 그 자체에 있을 수 있다는 점을 유의합시다.
2. 국가기관의 영장 범위 밖 정보수집
2024년 4월, 한 대법원 판결을 통해 대검찰청 D-NET의 운영실태가 또 다시 알려졌습니다. 법원에서 발급한 압수수색 영장에서 제한한 범위를 넘어서는 휴대전화 데이터 전체를 우선 D-NET에 저장하고, 이를 활용할 여지가 있음이 포착된 것입니다. 여러 가지 법적인 이유로 인해 실제로 수사에 활용할 수 없고 오직 원본 기기와의 동일성 및 위조, 변조가 없었음을 보장하기 위해 휴대전화 데이터 전체의 사본을 만들 수 밖에 없다는 정부의 설명이 있지만, 이러한 설명만으로 영장의 범위를 넘어서는 정보 수집을 정당화할 수는 없습니다.
휴대전화 데이터가 D-NET 에 저장되더라도 데이터가 유출될 가능성을 최소화하기 위해서는 휴대전화 잠금화면 보안 설정 등을 통해 휴대전화 자체의 데이터 암호화 기능이 작동하고, 저장되어 있는 개별적인 파일 또한 별도의 암호화로 보호되는 상황을 마련해야 합니다. 디지털 보안 가이드 4장을 참고하여 개별 파일, 파일이 저장되는 볼륨, 기기 차원의 암호화를 상시화할 수 있도록 해 봅시다.
3. 물리적 보안을 위협하는 디지털 기술 발전
디지털 보안에 대한 최선의 선택으로 디지털 기기를 아예 사용하지 않는 방법을 떠올릴 수 있습니다. 하지만 2024년에 발표된 최신 연구들에서는 열쇠구멍에 열쇠가 들어가는 소리를 AI로 분석하여 복제 열쇠를 만들어내거나, 사람의 말소리가 컵과 같은 식기에 일으키는 진동을 Lidar 센서(자율주행 자동차 등에 많이 사용되는 센서)등을 사용하여 유출해내는 기법 등이 이미 실현되고 있습니다. 이러한 형태의 공격을 모든 공격자가 모든 대상을 향해 언제나 실행할 수 있는 것은 아니지만, 디지털 기술의 발전에 따라 물리적 보안이 충분히 위협에 처할 수 있음을 인지해야 합니다.
디지털 보안이 실제 물리세계의 보안과 연결된다는 점을 기억합시다.
4. 보안 경고를 무시하고 무지할 것을 강요받아온 한국 인터넷
한국의 인터넷 환경은 Active-X라는 기술을 기반으로 한 특수한 보안 방식을 오랜 시간동안 사용해 왔습니다. Active-X 기술이 폐지된 현재에도 인터넷뱅킹, 관공서 업무 등을 위해서는 대부분의 경우 컴퓨터에 특수한 전용 프로그램을 설치해야만 하는 경우가 많습니다.
문제는 이 과정에서 운영체제(OS) 등의 무수한 보안 경고를 ‘무시’하라는 방향으로 시민들에게 안내된 경우가 많다는 것입니다. 많은 경우 인터넷뱅킹 등의 사용자 매뉴얼에서는 ‘보안 경고’가 나타나도 이를 무시하고 안내하는 경우가 빈번했고, 이로 인해 사용자들이 무시해서는 안 되는 보안 경고와 무시해야 하는 보안 경고를 구분하기 어려운 지경에 이르렀습니다. 예를 들어, 아래와 같은 사진을 살펴보겠습니다.
이 사진의 내용은 컴퓨터의 사용자 스스로가 특정한 프로그램을 실행할지 실행하지 않을지를 판단할 것을 요구하고 있습니다. 상당수 인터넷뱅킹 보안 가이드는 이러한 화면이 나왔을 때 무비판적으로 [실행] 혹은 [허용]을 누를 것을 권고하고 있습니다. 바로 이러한 지점에서 취약점이 등장하고, 사람들의 나쁜 습관이나 버릇을 노린 디지털 보안 공격이 이뤄집니다. 프로그램을 실행할 경우 컴퓨터를 손상시킬 수도 있다, 게시자를 확인할 수 없다, 정말 믿어도 되는지 안 되는지를 사용자가 직접 판단하고 책임져 달라는 내용에 대해, 많은 사용자들이 스스로 이를 판단할 수 있는 능력을 갖추도록 하는 방향이 아닌, 무비판적으로 실행하도록 하는 방향으로의 진행이 이뤄져 온 것입니다.
<아는 만큼 지킬 수 있다>는 원칙을 잊지 말고, 하나씩 하나씩 알아가도록 합시다.