디지털 보안 위협이 갈수록 높아지면서 어떤 도구를 사용해야 디지털 보안 위협에 대처할 수 있는지에 대한 중요성 또한 나날이 높아지고 있습니다. 다양한 도구가 쏟아지고 있기 때문에 어떤 도구를 선택해야 좋을지 고민하게 됩니다. 디지털 보안 그 자체를 위한 도구뿐만 아니라 협업 등 업무에 사용하는 도구를 이하에서는 ‘보안 도구’라고 부르겠습니다. 어떤 보안 도구를 선택할 지를 고려할 수 있는 몇 가지 기준은 다음과 같습니다.
보안은 ‘무엇을 고르느냐’의 문제가 아니라 ‘어떤 과정을 만드느냐’의 문제
<디지털 보안을 위한 7가지 원칙>과 <디지털 보안 대책 마련하기>에서 가장 중요한 것 중 하나는, 디지털 보안은 단순히 어떤 도구(기기, 앱, 서비스 등)를 사용하느냐의 문제가 아니라, 그러한 도구들을 사용하는 과정 전반 그 자체라는 것입니다.
어떤 도구나 소프트웨어도 모든 상황에서 감시로부터 절대적인 보호를 제공하지 못합니다. <전체 과정에서 가장 취약한 지점을 찾아라> 원칙을 다시 떠올려 봅시다. 스마트폰에는 온갖 종류의 디지털 보안 앱을 설치하여도 정작 컴퓨터(PC)에는 비밀번호조차 설정하지 않았다면 어떻게 될까요? 당신의 정보를 탈취하려고 하는 공격자는 스마트폰이 아닌 당신의 컴퓨터를 노릴 것이고, 스마트폰에 설치된 온갖 보안 앱은 컴퓨터를 노리는 디지털 보안 위협에 별 도움이 되지 못합니다. 공격자는 쉬운 길을 두고 어려운 길을 택할 필요가 없기 때문입니다.
<실제로 위협이 일어날 가능성은?>에서 다뤘던 것처럼, 디지털 보안 대책을 마련하는 과정에서 도출된, 실제 대비해야 하는 위협이 무엇이냐에 따라 만들어야 하는 과정은 달라지기 마련입니다. 극단적인 예시를 들어보자면, 만일 법적으로 종단간 암호화(E2EE)가 적용된 통신을 사용하는 것이 금지된 나라의 활동가와 소통해야 하는 상황이라면, 종단간 암호화가 적용된 보안 메신저를 사용하는 것보다는 오히려 사전에 약속된 암호를 사용하는 것이 훨씬 안전합니다. 겉으로 봐서는 암호인지 알 수 없지만 규칙을 아는 사람끼리 규칙에 맞춰 작성하고 해독할 수 있는 암호를, 누구든 도청할 수 있는 문자메시지 등 암호화되지 않은 통신 수단을 사용하여 소통하는 것이 전체 과정을 좀더 안전하게 유지할 수 있는 경우도 있다는 말입니다.
보안 도구의 개방성과 투명성
디지털 보안 전문가들은 개방성과 투명성이 더 안전한 보안으로 이어진다는 강한 믿음을 갖고 있습니다.
<디지털 보안 가이드>에서 권하는 보안 도구들의 특징 중 하나는 오픈 소스(Open-Source), 혹은 자유 소프트웨어(Free Software)라는 것입니다. 이는 소프트웨어의 코드가 공개되어 다른 사람들이 검사, 수정, 공유할 수 있다는 것을 의미합니다. 프로그램의 작동 방식을 투명하게 공개함으로써, 이러한 보안 도구의 개발자들은 다른 사람들로 하여금 보안 결함을 찾아내고 프로그램을 개선할 수 있도록 장려합니다.
주의할 점은 오픈 소스 소프트웨어가 더 나은 보안을 제공할 기회를 제공하지만 이를 반드시 보장하지는 않는다는 점입니다. 소스 코드가 공개되어 있고 대중적이고 유명한 프로젝트라는 것이 반드시 보안 전문가들에 의해 검증이 되었다는 것을 의미하지는 않는다는 점에 유의하세요.
따라서 도구를 고려할 때 소스 코드가 공개되어 있는지, 그리고 독립적인 보안 감사 절차를 통해 어느 정도의 보안성이 검증되었는지를 확인해 보세요. 최소한 소프트웨어나 하드웨어는 다른 전문가들이 검사할 수 있는 작동 방식에 대한 상세한 기술 설명이 제공되는 것을 선택하는 것이 좋습니다.
보안 도구의 장단점에 대한 명확한 공개 여부
어떤 소프트웨어나 하드웨어도 완전히 안전하지는 않습니다. 도구의 개발자, 혹은 도구를 판매하는 업체가 해당 도구의 한계를 얼마나 명확히 공개하는지 판단해보는 것이 좋습니다.
단순히 “군사용” 보안, 혹은 “NSA로부터 안전”(혹은 국가정보원으로부터 안전)하다는 식의 과대 광고는 아무런 의미가 없음에 유의해야 합니다. 이런 식의 표현은 제작자가 자신들의 제품에 대해 지나치게 과신하고 있음, 혹은 보안 취약점을 놓치고 있을 가능성을 드러냅니다.
공격자들은 항상 도구의 보안을 뚫기 위한 새로운 방법을 찾아내기 때문에, 소프트웨어와 하드웨어는 새로 발견된 취약점을 수정하기 위해 항상 업데이트가 필요합니다. 보안 취약점을 개선하기 위한 업데이트가 이뤄지지 않고 방치되면 공격자들이 이를 이용할 것이므로, 보안 업데이트는 지속적으로 이루어져야 한다는 것을 항상 염두에 두어야 합니다. 어떤 보안 취약점이 발견되었고 이를 개선하는 보안 업데이트가 이뤄지고 있음을 투명하게 공개하고 업데이트를 수행하는 도구를 택해야 하는 이유입니다.
보안 도구 개발자의 미래 행동을 예측하는 좋은 방법 중 하나는 그들의 과거 활동입니다. 도구를 소개하는 웹사이트에 올라와 있는 과거의 보안 취약점 목록과 정기적인 업데이트 및 정보, 예를 들어 마지막 소프트웨어 업데이트 이후 얼마가 지났는지에 대한 정보 등이 지표가 됩니다. 지속적으로 업데이트가 끊임없이 이뤄지고 있는지 등이 중요한 정보입니다. 홈페이지, 애플 앱스토어 혹은 구글 플레이스토어 등의 앱 마켓, 오픈소스라면 깃허브(Github) 등의 소프트웨어 코드 저장소, 또는 개발자의 웹사이트에서 업데이트 기록을 확인할 수 있습니다. 업데이트 기록이 존재하고, 또한 구체적으로 어떤 업데이트를 진행했는지에 대한 정보가 제공되고 있는지를 살펴보세요.
보안 도구의 제작자 자신이 보안 위협이 될 가능성 검토
여러분이 만드는 디지털 보안 대책에 활용되는 도구를 만드는 보안 도구 제작자들은 여러분과 마찬가지로 그들 자신을 위한 명확한 디지털 보안 대책을 수립할 것입니다. 많은 경우 우수한 디지털 보안 도구를 만드는 제작자들은 그들이 수립한 디지털 보안 대책의 일부를 투명하게 공개합니다. 이 도구를 사용할 때 어떤 종류의 공격자에게서 어떤 방식의 보호를 제공할 수 있는지를 명시적으로 설명합니다.
하지만 디지털 보안에서는 항상 최악의 경우를 고려해봐야 합니다. 디지털 보안 대책에 활용될 보안 도구의 제작자 자신이 보안 위협이 되는 경우 말입니다. 디지털 보안 도구의 제작자 자신이 위험에 처하거나, 그들이 직접 사용자를 공격하기로 결정하면 어떤 일이 일어날 지 고려해 봐야 합니다. 예를 들어, 법원이나 정부가 보안 도구의 제작자에게 “사용자들의 개인 정보를 제공할 것”을 명령하거나, 혹은 해당 보안 도구의 보안 기능을 우회할 수 있는 뒷문, 즉 ‘백도어’를 만들 것을 강요할 수 있습니다. 따라서 어떤 도구를 사용할 지 고려할 때, 도구의 제작자가 따라야 하는 법적 관할권이 어떻게 되는지 고려해야 합니다. 예를 들어 당신이 이란 정부로부터 위협을 받고 있다면, 미국 기반의 회사는 이란 법원의 명령을 거부할 수 있을 것입니다. 물론 미국 법원의 명령은 따랴아 하겠지만요.
정부를 비롯한 공권력의 압박만이 문제는 아닙니다. 만일 제작자가 정부의 압박을 견딜 수 있다고 하더라도, 공격자는 유망한 보안 도구 공급 기업의 소비자(즉, 도구 사용자) 전반을 노리고 제작자의 시스템 자체를 공격하려고 시도할 수 있습니다.
이러한 보안 위협에 가장 잘 대처할 수 있는 도구는 이러한 공격을 실제로 일어날 만한 위험으로 간주하고 이에 대한 대책이 수립되어 있는 도구입니다. 예를 들어 메신저를 선택하고자 할 때, 사용자가 나눈 대화를 열람하지 않는다고 주장하는 메신저를 찾기보다는, 이러저러한 이유로 사용자가 나눈 대화를 열람할 방법이 없다고 근거와 함께 설명하는 메신저를 선택하는 것이 좋습니다. 도구의 이용약관이나 개인정보 보호 정책에서 데이터 암호화, 데이터 보존 정책, 제3자에 대한 판매 여부를 어떻게 설명하고 있는지 확인해야 합니다.
보안 도구에 대한 최신 평판 확인
디지털 보안 7가지 원칙의 <오늘 안전했다고 내일도 안전한 것은 아니다> 원칙을 잊지 마세요. 처음에는 안전했던 제품이, 시간이 흐르면서 먼 훗날 심각한 보안 취약점이 있는 것으로 드러날 수도 있습니다. 지금 사용중인 도구들에 대한 최신 정보를 접할 수 있도록 노력하세요. 어떤 종류의 보안 취약점이 밝혀져 이로 인해 어떤 공격이 일어나고 있는지, 그러한 공격에 어떻게 대응해야 하는지에 대한 정보를 쉽게 확보할 수 있는 방법을 마련하세요.
디지털 보안 대책 마련하기의 <현 시점의 ‘우리 편’과 의논할 사항은?> 질문을 잊지 마세요. 개개인 스스로가 자신이 사용하는 모든 디지털 보안 관련 도구에 대한 최신 소식을 지속적으로 파악하는 것은 많은 노력을 필요로 합니다. 같은 디지털 보안 관련 도구를 사용 중인 ‘우리 편’과 함께 지속적으로 최신 정보를 공유할 수 있도록 하세요.
어떤 스마트폰, 어떤 컴퓨터를 사야 할지 고민이라면?
디지털 보안에 대한 가장 많은 질문 중 하나가 “안드로이드폰과 아이폰중 어느 쪽이 더 안전한가요?”같은 질문입니다. 혹은 “윈도우가 안전한가요, 아니면 맥이 안전한가요?”같은 질문을 받기도 합니다. 이런 질문에 대한 간단한 답변은 없습니다. 소프트웨어와 기기의 상대적인 안정성은 새로운 보안 취약점이 발견됨에 따라, 발견된 보안 취약점이 해결되고 새로운 보안 기술이 도입됨에 따라 계속 변화합니다. 회사들은 더 나은 보안을 제공하기 위해 서로 경쟁할 수도 있고, 혹은 보안을 약화시키라는 정부의 압력에 놓여있을 수도 있습니다. 따라서 이러한 질문들에 정답은 없습니다.
다만 많은 경우 일반론은 대개 진실에 가깝습니다. 보안 업데이트를 하지 않으면, 모든 디지털 기기는 안전하지 않고, 이 디지털 기기를 안전하게 사용하려면 어떻게 해야 하는지를 고민하는 것이 좀더 나은 고민이라는 지점입니다. 특히 보안 업데이트가 더 이상 이뤄지지 않는 디지털 기기를 계속 사용하는 상황은 반드시 피해야 합니다. 예를 들어 윈도우를 사용한다면 윈도우 XP, 윈도우 7 등은 더 이상 보안 업데이트가 진행되지 않고, 새롭게 발견되는 보안 취약점이 고쳐지지 않은 채 방치됩니다. 이러한 경우 별도의 보안 도구를 사용하더라도 운영체제 자체의 보안 취약점으로 인해 공격자로부터 안전하지 못할 가능성이 매우 높아진다는 점에 유의해야 합니다.