지난 블로그 포스팅을 통해 ‘국가 감시 시대’에 내 정보 보안을 지킬 수 있는 방법을 소개하였습니다. (물론 자세한 내용은 이미 디지털 보안 가이드 홈페이지에 올라와 있으니, 필요하신 분들은 찾아보실 수 있을 것입니다.) 이번 글에서는 ‘디지털 보안’을 개괄하고, 자신에게 맞는 보안수단을 찾기 위해 필요한 몇 가지 근본적인 질문을 묻고자 합니다. 실용적인 내용은 아니지만, 오히려 중요한 내용일 수 있습니다.
“나를 위협하는 것은 무엇인가?”
사람들이 질문합니다. 아이폰을 써야 하는지, 안드로이드를 써도 괜찮은지? 메신저 보안을 위해서 어떤 프로그램을 쓰면 좋은지? 이러 저러한 보안 조치를 취하면 감시로부터 안심할 수 있는 것인지? 등등.
그런데 모든 사람에게 적합한 보안 방법은 애초에 없습니다. 우선 사람들마다 위협의 수준과 종류가 다르기 때문입니다. 현재 수배 중인 사람과 그렇지 않은 사람이 느끼는 위협의 정도는 다를 것입니다. 어떤 사람에게는 국가의 감시가 더 문제가 되지만, 또 다른 사람에게는 기업의 정보 수집이 더 문제될 수 있습니다. 보안이 더 필요한 메시지가 있는 반면, 덜 중요한 메시지도 있을 것입니다. 결국 자신이 필요한 상황을 스스로 분석하고, 이에 적합한 보안 조치를 취하는 것이 중요합니다. <디지털 보안 가이드>의 위협 모델링은 이에 대해 설명하고 있습니다.
내가 감당할 수 있는 것이어야 한다!
그래도 더 좋은 보안 조치를 취하면 좋은 것 아닐까? 예를 들어 금고를 생각해보죠. 여러 분이 1000원을 갖고 있습니다. 이를 보호하기 위하여 10,000원 짜리 금고를 사는 것이 타당할까요? 은행의 금고가 내가 갖고 있는 간이 금고보다 더 튼튼하고 안전한 것은 사실이겠지만, 그렇다고 모든 사람의 집에 은행의 금고를 두라고 할 수는 없겠죠. 자신의 위협 수준에 맞는 보안 투자를 하는 것이 적절할 것이고, 그렇기에 모든 사람에게 일률적인 보안 수준을 요구할 수 없는 것입니다.
또한, 보안에는 일정한 타협(trade-off)이 존재합니다. 보안은 일정하게 비용과 불편함을 수반하게 됩니다. 스마트폰에 비밀번호를 걸어 놓지 않으면 편리하지 않습니까? 비밀번호를 설정하더라도 12자리보다는 4자리 비밀번호가 간편하지요. 보안 통화를 위해 굳이 레드폰 앱을 찾아 통화하는 것도 귀찮습니다. 보안 조치를 취하는 것은 중요하지만, 본인이 불편하거나 힘들어서 감당할 수 없는 수준이라면 곤란합니다. 비용도 내가 감당할 수 있는 수준이어야 하고, 내가 실행할 수 있을 만큼 쉬워야 합니다. 일단 쉬운 것부터 습관으로 만드는 것이 중요합니다.
보안은 과정이다
보안 위협은 커뮤니케이션의 다양한 지점에서 발생할 수 있습니다. 예를 들어, 내 비밀번호가 유출되어 내 데이터에 누군가 접근할 수도 있고, 업체가 보관하고 있는 내 데이터를 수사기관이 압수수색할 수도 있습니다. 스마트폰을 압수 당할 수도 있고, 나도 모르게 감청될 수도 있습니다. 보안 조치를 이러한 일련의 과정을 고려해야 합니다. 창문을 열고 다닌다면, 문에 달아 놓은 좋은 자물쇠는 의미가 없어질 것입니다. 마찬가지로, 스마트폰 기기 암호화도 하고, 암호화 통신을 하지만, 비밀번호가 ‘1234’라면 어떤 의미가 있겠습니까?
또한, 각각의 보안 조치는 모든 것에 대한 보안이 아니라 특정한 위협에 대한 보안입니다. 거꾸로 말하면, 특정한 보안 조치를 취했다고 해도 다른 보안 위협이 있을 수 있다는 것이지요. 예를 들어, 스마트폰을 기기 암호화를 하면, 압수수색을 당했을 경우 스마트폰 내에 있는 데이터에 대한 보안은 되지만, 스마트폰으로 통화할 때 감청하는 것은 막을 수 없습니다. 감청을 막기 위해서는 종단간 암호화가 지원되는 보안 앱을 사용해야지요. 물론 이렇게 해도 통신사를 통해서 내 위치정보를 수집하는 것은 막을 수가 없겠죠? 스마트폰을 끄지 않는 이상.
모든 것을 완벽하게 하지 않으면 의미가 없다고, 여러 분께 스트레스를 주기 위해 하는 말이 아닙니다. ^^ 완벽한 보안이란 없습니다. 하나하나 쉬운 것부터 시작합시다. 다만, 하나의 보안 조치를 취했다고 완료된 것이 아니라는 것입니다.
아는 것이 힘이다
이렇게 자신에게 적합한 보안 조치를 취하기 위해서는 결국 위협과 보안 조치에 대한 이해가 필요합니다. 그렇기 때문에, 공부가 필요하죠. 누구나 보안 전문가가 될 필요는 없지만요. 진보넷과 디지털 보안 가이드의 내용만이라도 계속 주시하시고, 공부하시는 것도 좋은 방법입니다. ^^ 앞으로도 진보넷은 시민과 활동가에게 필요한 보안에 대해 앞서서 공부하고 알려드릴 예정입니다.