디지털 보안에서 일어날 수 있는 공격의 형태는 매우 다양하고 방대합니다. 공격 대상이 될 수 있는 것과 간단한 방법으로 공격 대상을 보호할 수 있는 것이 무엇인지에 대해서도 마찬가지입니다. 흔히 일어나는 디지털 보안 공격에 어떤 것이 있는지를 간단히 살펴봅시다.
1. 인증 수단과 계정 탈취
클라우드 서비스를 비롯한 다양한 인터넷 서비스들은 본인만이 접근할 수 있어야 하는 정보, 예를 들어 이메일 등에 접근하는 과정에서 계정명(아이디)과 비밀번호 등을 사용하여 접근 권한이 있는 사람임을 인증하는 절차를 마련해두고 있습니다. 제2장 <비밀번호와 인증의 실제>에서 비밀번호를 비롯한 여러 가지 인증 수단에 대해 소개합니다.
디지털 보안 위협 중 인증 수단 탈취의 위협은 계정 탈취로 이어지며 상황에 따라 궤멸적인 피해를 일으킬 수 있습니다. 대부분의 디지털 보안의 출발점이 인증으로부터 시작되기 때문입니다. 인증에 사용되는 수단이 탈취당할 경우, 인증 그 자체를 방어 수단으로 사용하는 상황들이 모두 무력화되기 때문에 인증 수단을 보호하는 것은 그만큼 중요한 일입니다.
계정 탈취를 위해 일어나는 공격 중 하나가 스미싱입니다. 해당 (클라우드 등)서비스의 공식 요청을 사칭하여 인증 수단(비밀번호, 2단계 인증 등) 정보를 입력하게 하는 방식이 사용됩니다. 특히 SNS, 메신저, 암호화폐 지갑 등 인증 수단이 탈취될 때 사생활이나 정보유출, 자산유출 피해가 심각하게 일어나는 곳을 대상으로 한 스미싱 피해가 매년 급증하고 있습니다. 2024년에도 점점 더 커져가는 피해에 따라 한국인터넷진흥원 등의 국내 관계기관에서도 계정 탈취를 경계하라고 안내하고 있습니다. 앞서 <시민사회단체 활동가를 노린 스미싱 공격>에서 살펴본 바와 같이, 메신저 등을 노린 공격이 특히 가속화되고 있습니다.
때로는 비밀번호가 암호화되어 저장되어 있는 서버의 데이터가 유출되기도 합니다. 흔히 ‘고객정보 유출사고’라고 불리는 보안 침해사고가 일어나는 경우가 여기에 속합니다. 비밀번호가 암호화되는 방식에 따라 비밀번호 원문이 복원될 수도 있습니다. 여러 웹사이트에 동일한 비밀번호를 사용하고 있다면, 동일한 비밀번호를 사용하는 웹사이트 중 가장 보안이 취약한 웹사이트에서 비밀번호가 유출되는 사고가 일어나는 순간 해당 비밀번호를 동일하게 사용하는 웹사이트, 혹은 클라우드 서비스의 계정 정보 또한 그대로 탈취될 위험에 처하게 됩니다.
인증 수단으로 보호되고 있는 곳이 단체나 조직의 웹사이트라면, 계정을 탈취한 사람이 웹사이트의 내용을 변조하는 상황이 발생할 수도 있습니다. 우리 단체의 웹사이트에 방문하는 모든 사람들의 컴퓨터에 악성 코드를 설치하도록 하는 일이 일어난다면 큰일입니다. 우리 단체의 웹사이트에 우리 단체의 명의로 우리 단체의 입장과는 정반대되는 입장문이 게시되거나 하여도 혼란을 초래할 수 있습니다.
2. 자료, 정보, 데이터 유출 및 변조 공격
메신저를 통해 주고받은 메시지나 이메일을 통해 주고받은 이메일, 첨부파일, 인증을 거쳐야만 접근할 수 있는 웹 사이트 내부에 게시된 정보, 혹은 스마트폰이나 컴퓨터에 저장되어 있는 파일의 내용 자체를 알아내기 위한 공격은 가장 떠올리기 쉽고 가장 빈번하게 일어나는 디지털 보안 공격입니다. 특히 2024년처럼 클라우드 기반 협업 툴, 혹은 클라우드 기반 서비스에 대한 의존성이 커져가는 시대에는 이러한 클라우드 서비스에 저장된 정보를 유출하기 위한 공격 시도가 더더욱 커지고 있습니다. 단순히 정보를 외부로 유출하는 것 뿐만 아니라 파일 내용 일부를 조작하거나 파일을 손상시키는 변조 등의 공격도 횡행합니다.
파일의 내용을 유출하려는 공격으로부터 데이터를 보호하기 위한 수단이 몇 가지 있습니다. 하나는 파일을 암호화하여 저장하는 것입니다. 복호화 수단이 없는 사람에게는 설령 파일이 유출되더라도 파일의 내용까지 즉시 유출되는 상황을 막을 수 있습니다. 파일을 첨부할 때 파일을 그대로 첨부하지 말고, 7-zip 등의 압축 프로그램을 사용하여 특정한 비밀번호를 알고 있는 사람만 압축을 해제할 수 있도록 암호화하는 것이 한 가지 방법입니다.
✅<4-1 파일과 저장기기>를 참고하여 파일을 적절히 암호화하세요.
파일을 하나씩 개별적으로 암호화하는 방법은 주로 파일 한두 개를 일회성으로 전송하는 경우에는 충분히 사용할 만하지만, 단체나 조직 내에서 기밀로 관리되어야 하는 많은 파일들이 있을 때 일괄적으로 적용하기 어렵습니다. 제4장 <파일과 저장기기>에서 소개하는 볼륨 암호화 방식 등을 참고하여, 볼륨 단위에서 암호화된 채로 저장되게 하는 것이 한 가지 방법입니다.
데이터가 변조되거나 삭제되지 않도록 보호하려면 백업, 즉 별도의 저장장치에 사본을 마련해 두는 것이 한 가지 방법입니다. 이런 경우 마련해 둔 사본 자체가 유출되거나 도둑맞지 않도록 신경써야 합니다. 또한 데이터의 백업 과정에서 악성 코드가 함께 백업되거나 하지 않도록 주의가 필요합니다.
3. 통신 내용의 도·감청 및 통신 기록의 감시
인터넷을 통해 전송되는 정보는 암호화되지 않을 경우 정보의 전송 경로에 있는 그 누구든지 정보의 내용을 열람할 수 있는 구조를 갖고 있습니다. 이를 노리고 공공장소 등에 정보 수집을 목적으로 하는 와이파이 장비를 설치해 두고, 이 와이파이 장비를 거쳐가는 모든 암호화되지 않은 데이터 전송을 도청하는 공격이 이뤄집니다. 굳이 와이파이 장비를 별도로 설치하지 않더라도 회사 네트워크 설비 차원, 혹은 국가에 따라서는 통신사 등 인터넷 회선 공급자 차원에서의 전방위적인 도청이 기술적으로 가능한 상황이 마련되기도 합니다.
이러한 도청 등으로부터 통신 내용을 보호하기 위해서는 다양한 준비가 필요합니다. 통신 당사자 간에 상호 인증을 하는 것이 그 시작입니다. 통신을 시작하기 전에 통신의 양 주체가 서로를 올바른 통신 대상인지 확인하고 서로만이 정보를 주고받을 수 있는 형태로 암호화를 하여 정보를 주고받는 것이 출발점입니다. 이러한 통신이 이뤄지기 위해서는 통신의 각 주체가 스스로를 인증할 수 있는 수단과 방법이 마련되어야 하며, 웹 사이트의 경우 TLS 인증서라는 것을 통해 현재 방문중인 사이트가 해당 사이트가 맞다는 것을 인증하는 과정 등이 수반됩니다.
물론, 이러한 암호화 과정을 거치더라도 통신사 차원에서는 여전히 특정 기기가 어느 시각에 어떤 기기와 소통을 했는지에 대한 정보를 추적할 방법이 있고, 때로는 이러한 정보 자체가 통신 기록의 감시 대상이 되곤 합니다. 이러한 감시로부터 안전한 통신을 할 방법이 마련되어야 합니다. VPN 사용, 혹은 Tor 네트워크 사용 등이 대책이 될 수 있습니다.
4. 키로거(KeyLogger) 등의 악성 코드와 클립보드 모니터링
아이디와 비밀번호를 이용한 인증 방식은 기본적으로 아이디와 비밀번호가 제3자에게 유출되지 않는다는 가정을 전제로 한 인증 방식입니다. 만일 사용자가 키보드의 어떤 키를 언제 어느 시점에 어떻게 눌렀는지를 모니터링할 수 있다면, 이 모니터링을 하는 주체에게 아이디도 비밀번호도 유출되지 않을 방법이 마땅치 않게 됩니다. 물리적인 키보드에 어느 키가 눌렸는지, 혹은 스마트폰 화면에 키보드가 표시될 경우 화면의 어느 영역을 몇 시에 터치했는지에 대한 정보에 접근할 수 있다면 비밀번호가 유출되는 것은 시간 문제로 전락해 버립니다.
공공장소의 컴퓨터 등 나 자신이 디지털 보안 수단을 충분히 통제할 수 있는 상황에 놓여있지 않은 환경에서는 비밀번호 등을 이용한 로그인 시도 자체가 해당 컴퓨터에 설치된 악성 코드, 혹은 여러 가지 변수에 의해 심각한 보안 취약점으로 작용할 수 있습니다.
편의성을 위해 사용자가 (클립보드에) ‘복사’한 내용을 모니터링하고 있는 앱들이 있습니다. 사용자가 ‘복사’하는 내용이 보안에 큰 위험이 되지 않는 정보라면 문제될 일이 없겠지만, 보안에 중요한 대화 내용을 다른 사람에게 전하기 위해 잠깐 ‘복사’한 내용이 다른 앱에게 전달된다면 큰 문제가 됩니다. <완벽한 보안은 없고, 언제나 타협점이 있음을 명심하라>는 보안 원칙에서 이야기했듯, 편의성 증진을 위한 몇 가지 기능들은 오히려 보안 취약점이 될 수 있음을 알아야 합니다.
5. 물리적 보안, 인적 보안
디지털 보안과 물리적 보안, 인적 보안은 떼려야 뗄 수 없는 관계입니다. 디지털 기기에 저장된 정보를 열람하고 통제하는 것이 결국은 사람이고, 사람이 디지털 기기에 저장된 정보를 보는 과정에서 물리적인 실체를 거치기 때문입니다. 디지털 정보가 저장되어 있는 기기 자체의 보안, 정보가 오고가는 경로 즉 인터넷 연결을 이뤄주는 장비 자체의 보안, 디지털 기기와 사람 사이의 물리적 공간 자체의 보안, 정보에 대한 접근 권한이 있는 사람 자체의 보안 등이 유기적으로 맞물려 돌아갑니다.
아무리 우수한 보안 메신저를 사용하여 음성 통화를 진행한다고 하더라도, 다른 사람이 들어서는 안 되는 민감한 내용을 공공장소에서 이야기하고 있다면, 내 바로 가까이에서 내 목소리를 들을 수 있는 제3의 인물에게 대화 내용이 유출되는 것을 피할 수 없습니다. 또한 이러한 상황을 모두 막을 수 있는 방식을 찾아 정보 소통을 하더라도, 정작 나 자신이 혹은 대화의 상대방이 정보를 유출하는 상황 혹은 그에 준하는 상황이 온다면 이 또한 디지털 보안의 취약한 지점으로 남게 됩니다.
단체의 구성원 간에 비밀번호를 공유하고 있다면, 단체의 구성원에 변동이 생길 때 해당 비밀번호를 유지하는 것이 바람직한지가 문제가 됩니다. 또한 단체의 구성원이 되기 위해 오랜 시간을 들여 신뢰를 쌓아올리는 유형의 공격자에게 취약한 상황을 초래할 수도 있습니다.
스마트폰의 잠금을 지문 인증만으로 해제할 수 있게 하면 자고 있는 동안 누군가가 내 지문을 사용하여 스마트폰의 잠금을 해제하는 것을 막을 수 없습니다. 스마트폰의 잠금을 패턴으로 해제한다면 스마트폰의 화면에 남아있는 터치 흔적을 토대로 패턴을 추리하는 방식의 공격을 막을 수 없습니다. 비밀번호를 나의 신원정보와 밀접하게 관련이 있게 설정한다면 나의 신원정보에 접근할 수 있는 다른 사람이 나의 비밀번호를 추리해내는 것을 막을 수 없습니다. 여전히 많은 사람들이 자신의 비밀번호와 자신의 신원정보, 즉 자신의 생년월일이나 연인의 생년월일, 혹은 가족의 전화번호 등을 연관지어 두기 때문에, 이러한 지점을 노리는 디지털 보안 공격은 여전히 유용합니다.
마지막으로, 화면 캡쳐나 녹음이 불가능하다고 안내하는 여러 가지 보안 도구들은 스마트폰의 화면 자체를 제3의 카메라로 촬영하는 방식, 혹은 스피커폰 등을 사용하여 소리가 외부로 나가도록 하고 그 소리를 별도의 마이크 장비를 사용하여 녹음하는 방식으로부터 방어해줄 수 없습니다.