지난 블로그 포스팅을 통해 ‘국가 감시 시대’에 내 정보 보안을 지킬 수 있는 방법을 소개하였습니다. (물론 자세한 내용은 이미 디지털 보안 가이드 홈페이지에 올라와 있으니, 필요하신 분들은 찾아보실 수 있을 것입니다.) 이번 글에서는 ‘디지털 보안’을 개괄하고, 자신에게 맞는 보안수단을 찾기 위해 필요한 몇 가지 근본적인 질문을 묻고자 합니다. 실용적인 내용은 아니지만, 오히려 중요한 내용일 수 있습니다.

 

“나를 위협하는 것은 무엇인가?”

사람들이 질문합니다. 아이폰을 써야 하는지, 안드로이드를 써도 괜찮은지? 메신저 보안을 위해서 어떤 프로그램을 쓰면 좋은지? 이러 저러한 보안 조치를 취하면 감시로부터 안심할 수 있는 것인지? 등등.

그런데 모든 사람에게 적합한 보안 방법은 애초에 없습니다. 우선 사람들마다 위협의 수준과 종류가 다르기 때문입니다. 현재 수배 중인 사람과 그렇지 않은 사람이 느끼는 위협의 정도는 다를 것입니다. 어떤 사람에게는 국가의 감시가 더 문제가 되지만, 또 다른 사람에게는 기업의 정보 수집이 더 문제될 수 있습니다. 보안이 더 필요한 메시지가 있는 반면, 덜 중요한 메시지도 있을 것입니다. 결국 자신이 필요한 상황을 스스로 분석하고, 이에 적합한 보안 조치를 취하는 것이 중요합니다. <디지털 보안 가이드>의 위협 모델링은 이에 대해 설명하고 있습니다.

 

내가 감당할 수 있는 것이어야 한다!

그래도 더 좋은 보안 조치를 취하면 좋은 것 아닐까? 예를 들어 금고를 생각해보죠. 여러 분이 1000원을 갖고 있습니다. 이를 보호하기 위하여 10,000원 짜리 금고를 사는 것이 타당할까요? 은행의 금고가 내가 갖고 있는 간이 금고보다 더 튼튼하고 안전한 것은 사실이겠지만, 그렇다고 모든 사람의 집에 은행의 금고를 두라고 할 수는 없겠죠. 자신의 위협 수준에 맞는 보안 투자를 하는 것이 적절할 것이고, 그렇기에 모든 사람에게 일률적인 보안 수준을 요구할 수 없는 것입니다.

또한, 보안에는 일정한 타협(trade-off)이 존재합니다. 보안은 일정하게 비용과 불편함을 수반하게 됩니다. 스마트폰에 비밀번호를 걸어 놓지 않으면 편리하지 않습니까? 비밀번호를 설정하더라도 12자리보다는 4자리 비밀번호가 간편하지요. 보안 통화를 위해 굳이 레드폰 앱을 찾아 통화하는 것도 귀찮습니다. 보안 조치를 취하는 것은 중요하지만, 본인이 불편하거나 힘들어서 감당할 수 없는 수준이라면 곤란합니다. 비용도 내가 감당할 수 있는 수준이어야 하고, 내가 실행할 수 있을 만큼 쉬워야 합니다. 일단 쉬운 것부터 습관으로 만드는 것이 중요합니다.

 

보안은 과정이다

보안 위협은 커뮤니케이션의 다양한 지점에서 발생할 수 있습니다. 예를 들어, 내 비밀번호가 유출되어 내 데이터에 누군가 접근할 수도 있고, 업체가 보관하고 있는 내 데이터를 수사기관이 압수수색할 수도 있습니다. 스마트폰을 압수 당할 수도 있고, 나도 모르게 감청될 수도 있습니다. 보안 조치를 이러한 일련의 과정을 고려해야 합니다. 창문을 열고 다닌다면, 문에 달아 놓은 좋은 자물쇠는 의미가 없어질 것입니다. 마찬가지로, 스마트폰 기기 암호화도 하고, 암호화 통신을 하지만, 비밀번호가 ‘1234’라면 어떤 의미가 있겠습니까?

또한, 각각의 보안 조치는 모든 것에 대한 보안이 아니라 특정한 위협에 대한 보안입니다. 거꾸로 말하면, 특정한 보안 조치를 취했다고 해도 다른 보안 위협이 있을 수 있다는 것이지요. 예를 들어, 스마트폰을 기기 암호화를 하면, 압수수색을 당했을 경우 스마트폰 내에 있는 데이터에 대한 보안은 되지만, 스마트폰으로 통화할 때 감청하는 것은 막을 수 없습니다. 감청을 막기 위해서는 종단간 암호화가 지원되는 보안 앱을 사용해야지요. 물론 이렇게 해도 통신사를 통해서 내 위치정보를 수집하는 것은 막을 수가 없겠죠? 스마트폰을 끄지 않는 이상.

모든 것을 완벽하게 하지 않으면 의미가 없다고, 여러 분께 스트레스를 주기 위해 하는 말이 아닙니다. ^^ 완벽한 보안이란 없습니다. 하나하나 쉬운 것부터 시작합시다. 다만, 하나의 보안 조치를 취했다고 완료된 것이 아니라는 것입니다.

 

아는 것이 힘이다

이렇게 자신에게 적합한 보안 조치를 취하기 위해서는 결국 위협과 보안 조치에 대한 이해가 필요합니다. 그렇기 때문에, 공부가 필요하죠. 누구나 보안 전문가가 될 필요는 없지만요. 진보넷과 디지털 보안 가이드의 내용만이라도 계속 주시하시고, 공부하시는 것도 좋은 방법입니다. ^^ 앞으로도 진보넷은 시민과 활동가에게 필요한 보안에 대해 앞서서 공부하고 알려드릴 예정입니다.

 

 

지난 3월 24일, 방송통신심의위원회가 ‘노스코리아테크’라는 사이트는 국가보안법 위반으로 접속 차단했다고 합니다. 이 사이트는 외신 기자가 북한의 정보통신 기술 관련한 이슈를 전문적으로 전 세계에 전달하기 위해 2010년부터 6년째 운영하고 있는 학술, 보도 목적의 웹사이트라고 합니다. 이 사이트가 국가보안법 위반인지도 의문이거니와, 설사 북한을 찬양하는 내용을 포함하고 있다고 하더라도, 이렇게 행정기관이 사법적 결정도 없이 특정한 사이트의 접근을 차단하는 것은 ‘검열’입니다. 이용자들은 이 사이트에 접근해서 정보를 얻고, 이해하고, 나름대로 판단할 능력과 권리를 갖고 있습니다.

그러나 방통심의위가 이렇게 사이트를 차단해도 이 사이트에 접근할 수 있는 방법이 전혀 없는 것은 아닙니다. 이번 달 디지털 보안 가이드에서는 차단된 사이트를 우회해서 접근하는 방법을 소개합니다.

 

https://로 접속하기

예전 보안 가이드에서도 다루었습니다만, https 는 http 의 안전버전입니다. 웹 트래픽을 암호화해주는 것이지요. 때로 http 로 접속할 때 https 로 접속을 해보면 접속이 되는 경우가 있습니다. 위에서 사례로 든 ‘노스코리아테크’의 경우에도, 주소창에 https://www.northkoreatech.org/ 라고 치시면 사이트에 접근할 수 있습니다.

이와 유사한 방법은 모바일 페이지로 접근을 하는 것입니다. 예를 들어, http://twitter.com 대신 http://m.twitter.com 으로 접속을 해보는 것입니다. 이러한 방식이 가능한 것은 웹 사이트를 차단하기 위해 차단목록을 만들게 되는데, 이 차단목록에 웹사이트 주소의 다양한 변종이 포함되지 않았을 수도 있기 때문입니다.

물론 이렇게 접근 가능하기 위해서는 차단된 사이트에서 https 나 모바일 버전 등을 제공해야만 하겠죠.

 

프록시(Proxy)를 이용한 우회 접근

프록시와 같은 우회도구를 이용할 수도 있습니다. 우회 도구는 보통 당신의 웹 트래픽 등을 다른 컴퓨터를 통해 전송되도록 함으로써, 검열을 수행하는 장치를 우회합니다. 이 과정에서 당신의 통신을 유통하는 중간매개 서비스를 ‘프록시’라고 합니다. 즉, 중간에서 사이트를 실제 차단하는 통신사 입장에서는 당신이 차단된 사이트에 접근하는 것이 아니라, 프록시 서버와 통신하는 것으로 보이겠지요. 아래 그림을 보시면 이해가 쉬울 것입니다.

가장 편한 방법은 웹 기반 프록시를 이용하는 것입니다. 공개된 웹 기반 프록시에 접속하여, 여러분이 접속하고 싶은 사이트의 주소를 치시면 됩니다. 공개된 웹 기반 프록시 목록들은 http://proxy.org/ 에서 보실 수 있습니다. 아래는 atozProxy로 노스코리아테크를 접속했을 때의 화면입니다.

물론 메신저 서비스와 같은 웹 서비스가 아닌 서비스를 이용할 경우에는 도움이 되지 않겠죠. 그리고 웹 기반 프록시 자체가 이용자의 접속 내역을 기록하기 때문에 이것이 우려된다면 사용하지 않는 것이 좋겠습니다. 프록시와 유사하게 영리/비영리적인 가상 사설 네트워크(VPN)라는 것도 동일한 기능을 제공합니다.

 

토르(Tor)

PC 혹은 스마트폰에서 토르 브라우저를 사용하는 방법도 있습니다. 토르는 이용자의 익명성을 보장하는 브라우저입니다. 이용자의 트래픽이 분산된 서버 네트워크를 돌고 돌아서 전송이 됩니다. 보통 웹 사이트에는 여러 분들의 IP 주소가 기록되는데, 토르를 이용하면 여러 분들의 IP 주소를 숨길 수 있습니다. 즉, 차단된 사이트를 접근할 때에만 이용되는 것이 아니라, 자신의 IP 주소를 남기고 싶지 않을 때에도 이용할 수 있습니다. 즉, 기업이나 정부의 감시로부터 피할 수 있는 것이죠. 다만, 토르를 이용할 때 약간 느릴 수 있습니다.

토르를 이용하려면 토르 브라우저를 설치해야 하는데, 자세한 설치 방법은 <윈도에서 토르(Tor) 사용법>을 참고하세요.

위에 설명한 것은 지금 접속차단된 사이트에 접근하기 위한 방법이지만, 아예 특정 사이트가 접속 차단되지 않도록, 정부의 검열을 철폐하는 것이 근본적인 해결 방법이겠지요.

 

 

결국 테러방지법이 국회를 통과했습니다. 국정원의 15년 숙원이 풀렸네요. 덕분에(?) 우리가 보안에 신경써야 할 이유가 하나 더 늘었습니다. 열심히 공부합시다.

한편, 미국에서는 테러사건 용의자의 아이폰 데이터를 수집할 수 있도록 iOS 운영체제를 수정해 달라는 FBI의 요구를 애플이 거부한 사건이 뜨거운 이슈가 되고 있습니다. 어쨌든 애플의 아이폰의 보안이 나름 훌륭하다는 것은 검증이 된 셈이네요. (물론 그 ‘보안’이 애플에 대해서도 안전하다고 할 수는 없습니다만.) 안드로이드 스마트폰을 가지고 계신 분들도 반드시 스마트폰 ‘기기 암호화’를 하시기 바랍니다.

지난 번에는 하드디스크 보안 조치에 대해 다뤘었는데요. 이번에는 스마트폰의 데이터를 보호하는 방법, 특히 스마트폰 데이터의 안전한 삭제에 대해서 알아보고자 합니다.

 

스마트폰데이터의 완전한 삭제는 어렵다!

스마트폰이 저장장치로 쓰는 SSD(Solid State Drives) 드라이브, 혹은 플래시 드라이브 등은 기술적인 특성으로 인해 완전한 삭제가 힘들다고 합니다. USB나 스마트폰의 보조 저장장치로 쓰이는 SD 카드 역시 마찬가지입니다. 이는 웨어레벨링이라는 기술을 쓰기 때문인데, 자세한 내용은 디지털 보안 가이드의 <데이터의 안전한 보호 및 삭제>를 참고하시기 바랍니다.

 

스마트폰 데이터의 안전한 삭제 방법

정보 수사기관의 내 민감한 데이터에 접근하지 못하게 하기 위해서 뿐만 아니라, 스마트폰을 교체할 때 내 중고 스마트폰을 쓰게 될 사람이 혹시라도 내 데이터를 보지 못하게 하기 위해서라도 스마트폰의 데이터를 안전하게 삭제할 필요가 있습니다. 그러나 앞서 얘기했듯이 스마트폰 데이터를 복구 불가능하게 완전히 삭제하는 것은 힘듭니다. 공장초기화를 하더라도, 데이터는 쉽게 복구될 수 있습니다.

그러나 방법이 없는 것은 아닙니다. 바로 스마트폰을 암호화한 후 공장초기화를 하는 것입니다. 이렇게 하면, 설사 데이터를 복구하더라도 데이터에 접근할 수 없겠죠.

 

 
그래도 불안하다면, 이 과정을 몇 번 반복해주면 됩니다. 외장 SD카드 역시 마찬가지의 방법으로 지우면 됩니다.

아이폰의 경우, 3GS 이후의 모든 아이폰은 하드웨어 암호화를 한다고 합니다. 그래서 아이폰 내의 데이터를 안전하게 삭제하기 위해서는 아이폰의 ‘삭제’ 기능을 이용해도 된다고 합니다. 이를 위해서는 우선 아이폰에 암호 설정을 해두어야 합니다. 이에 대해서는 <아이폰을 암호화하는 방법>을 참고하세요. 아이폰의 삭제 기능은 ‘설정→ 암호 → 데이터지우기’에 있습니다.

 

일부 데이터의 안전한 삭제

플레이 스토어에서 검색을 해보면 데이터를 완전히 삭제해주는 앱을 몇 가지 찾을 수 있습니다. 시큐어불도저(Secure Bulldozer), 에스브러시(S-Brush), 컴플릿와이프(Complete Wipe) 등이 그것입니다. 이러한 앱들이 삭제 효과가 전혀 없다고 할 수는 없지만, 데이터가 완전히 삭제되었다고 믿어서는 안됩니다. (이 앱들을 사용하지 말라는 것은 아닙니다. 다만, 저희는 이러한 앱들의 신뢰성을 보증할 수 없습니다. 앱은 계속 업데이트되기 때문에, 앱을 선택하기 전에 앱에 대한 평가를 읽어보시는 것이 도움이 될 것입니다.)

 

 

지난 2010년 국무총리실 산하 공직윤리지원관실이 민간인 불법 사찰을 했다는 사실이 드러났습니다. 그러나 검찰의 압수수색에 대비해, 공직윤리지원관실은 ‘디가우저’라는 장비를 이용해 관련 자료를 완전히 삭제했었죠. 18대 대선이 진행 중이던 2012년 12월에는 국정원의 인터넷 댓글 조작을 통한 선거개입 사건이 논란이 되었습니다. 당시 민주통합당 직원들이 자신의 오피스텔을 방문하자, 국정원 직원인 김하영은 자신의 노트북에서 파일 187개를 복구 불가능한 방식으로 삭제했었죠. 이 사건의 증거물 분석을 담당했던 서울지방경찰청 역시 사건을 축소, 은폐하기 위해 ‘MooO(무오) 데이터 회복방지기’라는 프로그램을 사용하여, 증거자료를 삭제한 것이 드러났습니다. 데이터 보안에 솔선수범 모범을 보이고 있는 한국의 국가기관들입니다.

국가 감시로부터 자신의 프라이버시를 보호하기 위해, 혹은 조직이나 단체의 데이터의 원하지 않는 유출을 방지하기 위해 시민과 활동가도 데이터 보안에 보다 신경쓸 필요가 있습니다. 압수수색을 통해 하드디스크를 빼앗길 수도 있고, 해킹을 당할 수도 있으며, 관리 부실로 단체 자료가 포함된 하드디스크를 삭제하지 않고 쓰레기통에 넣어버릴 수도 있기 때문입니다.

 

데이터 보안을 위한 세 가지 방법

데이터 보안을 위해 크게 세 가지를 생각해볼 수 있을 것입니다. 첫째, 데이터의 백업. 바이러스 감염이나 해킹을 통해, 혹은 하드디스크 장애와 같은 사고가 발생하여 원하지 않게 소중한 자료를 잃을 수 있습니다. (아마도 대다수 사람들이 한번쯤은 경험해보지 않았을까요?) 이를 대비하기 위해서는 미리 미리, 정기적으로 백업을 해두어야 하겠죠. 둘째는 보안이 필요한 자료들을 암호화하여 권한이 없는 사람들이 접근하지 못하도록 할 수 있습니다. 셋째, 어떤 경우에는 복구되지 않도록 데이터를 완전하게 삭제할 필요도 있습니다. 공직윤리지원관실과 국정원이 그랬던 것 처럼요. 하드디스크를 폐기할 때도 누군가 데이터를 복구할 수 없도록 완전 삭제한 후에 폐기해야 하겠죠.

 

하드디스크 암호화

휴대전화 암호화와 마찬가지로, 하드디스크 안에 있는 자료들도 암호화하여 보호할 수 있습니다. 디스크 전체를 암호화할 수도 있고, 특정한 파일이나 디렉토리를 암호화할 수도 있습니다. 충분히 복잡하고 긴 암호라면, 하드디스크를 압수한다고 해도 자료에 접근하기 힘들겠죠. 하드디스크를 암호화하는 프로그램이 많이 있습니다. <윈도 기기 암호화 – DiskCryptor 사용법>에서 윈도용 암호화 프로그램인 DiskCryptor의 자세한 사용법과 함께, 다른 운영체제에서 사용할 수 있는 프로그램도 소개하고 있습니다.

 

데이터의 완전한 삭제

파일을 휴지통에 넣으면 삭제된다고 생각하시는 분들도 있습니다. 그러나 심지어 휴지통을 비우더라도, 파일이 완전히 삭제되는 것은 아닙니다. 우리 눈에 보이지 않을 뿐이지, 파일 복구 프로그램을 이용하면 복구될 수도 있습니다. 오랜 기간이 지나서 다른 파일로 덮어쓰지 않았다면요.

데이터가 복구될 수 없도록 안전하게 삭제하는 몇 가지 방법이 있습니다.

• 덮어쓰기(override) : 삭제된 데이터 공간을 소프트웨어를 통해 난수로 덮어씀으로써 기존 데이터를 복원하지 못하도록 하는 기법
• 로레벨 포맷(low level format) : 하드디스크를 물리적으로 포맷한다. 알고리즘 자체는 덮어쓰기 기법과 비슷하다.
• 자기적 삭제(magnetic erasing) : 커다란 자기장을 이용하여 하드웨어를 물리적으로 손상시키는 기법.
• 물리적인 파괴, 분쇄

보 통 포맷을 하면 데이터가 삭제된다고 믿고 있지만, 포맷을 해도 데이터를 복구할 수 있다고 합니다. 특히 ‘빠른 포맷’은 쉽게 말하면 ‘목차’만 지우는 것이기 때문에, 데이터 자체를 안전하게 삭제한다고 볼 수 없고, 로레벨 포맷을 해도 일부 데이터가 복구될 수 있다고 합니다. 완전한 삭제를 위해서는 로레벨 포맷을 여러 번 해주거나, 혹은 데이터를 암호화한 후에 로레벨 포맷을 해주는 것이 좋겠죠.

파일의 안전한 삭제를 지원하는 프로그램은 삭제된 데이터 공간을 난수로 덮어쓰는 것입니다. 윈도용 안전 삭제 프로그램으로는

‘BleachBit’가 있습니다. 공직윤리지원관실이 사용한 디가우징은 자기적인 삭제 방법입니다. 이 외에 하드디스크를 아예 박살내는 방법도 있습니다.(^^)

 

그러나 하드디스크 전체를 완전히 삭제하는 것이 아니라, 특정한 파일을 안전 삭제 프로그램으로 삭제했다고 하더라도, 그 흔적이 어딘가에 남아있을 수 있습니다. 국정원의 인터넷 댓글 조작을 통한 선거 개입을 일부나마 찾아낼 수 있었던 요인 중 하나는 국정원 직원이 노트북의 데이터를 완전하게 삭제한다고 했음에도, 메일에 첨부되었다가 자동 삭제된 txt 파일을 복구할 수 있었기 때문입니다.

데이터의 안전한 삭제와 관련된 보다 자세한 내용은 <데이터의 안전한 보호 및 삭제> 부분을 참고하시기 바랍니다.

지난 번 글에서 ‘압수수색과 감청에 안전한 메신저 사용법’을 소개했는데요, 이번 글에서는 감청으로부터 안전한 통신방법 두번째, 전화와 인터넷을 중심으로 설명하도록 하겠습니다. 메신저와 마찬가지로 감청으로부터 안전하기 위해서는 통신하는 과정에서 암호화가 되어야 합니다. 그래야 감청을 하더라도 메시지 내용을 알 수가 없겠죠. 이것을 ‘종단간(end-to-end) 암호화’라고 했습니다.

 

암호화 지원 (음성)통화 앱

일반 전화나 휴대전화 통화시에는 종단간 암호화가 되지 않습니다. 정보, 수사기관은 현재 휴대전화 감청이 되지 않기 때문에 통신사에 감청설비를 의무화하는 법안을 제출한 상태입니다만, 과거에 국가정보원은 자체 장비를 통해 휴대전화 감청을 한 바가 있고, 또 언제든지 통신사를 통한 감청이 가능해질 수 있습니다. 그래서 감청으로부터 안전한 통화를 하기 위해서는 통신사 조차도 감청을 할 수 없도록 종단간 암호화를 지원하는 프로그램(앱)을 이용할 필요가 있습니다.

일반적인 휴대전화보다는 무선인터넷전화(mVoIP)를 사용하는 것이 좋습니다. 가장 많이 쓰이는 앱으로는 스카이프(Skype)나 구글 행아웃(Hangout)이 있죠. 이 앱들도 전송 과정에서 암호화를 제공하기 때문에 통신사를 통해서도 감청이 힘들 수 있습니다. 다만, 스카이프나 구글과 같은 서비스 제공자를 통한 감청으로부터 안전하지는 않겠죠.

스카이프나 행아웃이 불안하다면, 레드폰이나 시그널과 같은 종단간 암호화를 제공하는 인터넷 전화를 사용할 수 있습니다. 레드폰과 시그널은 서로 통화가능하고, 앱만 설치하면 연락처 목록에서 레드폰이나 시그널을 설치한 이용자를 확인할 수 있기 때문에 사용하기가 어렵지 않습니다. 레드폰이나 시그널을 사용하면 통화 품질이 약간 떨어질 수 있으나 사용할만 합니다. 그리고 항상 사용할 필요는 없고 보안이 필요할 경우에만 사용하면 되기 때문에 큰 불편은 없을 것입니다.

암호화 지원하는 문자메시지 앱

표준 문자 메시지(SMS)는 암호화를 제공하지 않습니다. 그래서 암호화된 문자를 보내고 싶다면, 종단간 암호화를 지원하는 앱을 사용해야 합니다. 대표적인 앱은 안드로이드용 앱인 텍스트시큐어(TextSecure)입니다. 상대편이 텍스트시큐어를 사용하고 있다면 암호화된 문자를 보낼 수 있고, 그렇지 않다면 일반적인 문자 메시지도 보낼 수 있습니다. 텍스트시큐어는 전송 중 암호화 뿐만 아니라, 암호화된 형태로 저장할 수도 있습니다. (설정 → 개인정보보호 → 암호사용 On → 암호설정) 화면 캡쳐도 할 수 없도록 하고 있습니다.

설치하는 방법 : 구글 플레이스토어에서 다운로드 → TextSecure에 전화번호 등록 → SMS 인증 → 기존 문자 메시지 가져오기(선택) → 기본 문자 메시지로 사용 (선택)

암호화된 웹 이용

PC나 휴대전화로 인터넷을 이용할 때에도 ‘패킷감청’을 통해 내가 보고있는 콘텐츠가 감청될 수 있습니다. 암호화된 웹 접근을 위해서는 HTTPS 라는 프로토콜을 사용해야 합니다. 보통 홈페이지 주소가 HTTP로 시작되는 것을 알고 계실 것입니다. HTTP의 암호화된 통신이 HTTPS입니다. 이를 SSL이라고도 하며, 웹서버와 웹브라우저 사이에서 암호화된 통신을 제공합니다. 이렇게 하지 않으면 우리가 인터넷을 사용할 때, 통신사나 무료 와이파이 제공자, 혹은 수사기관이 웹사이트 글, 웹메일 내용 등을 중간에 가로챌 수 있는거죠. 우리가 보통 온라인 뱅킹을 할 때 이러한 프로토콜을 사용합니다만, 일상적인 경우에도 보안을 위해 사용하는 것이 좋습니다. 물론 우리가 접근하고자 하는 홈페이지가 HTTPS를 지원해야 합니다. 특정한 웹사이트가 SSL 혹은 HTTPS가 적용되었는지 확인하기 위한 방법은 https:// 로 시작하는 웹주소를 주소창에 입력해보면 됩니다. SSL로 연결이 되면, 웹주소 옆에 자물쇠 표시를 볼 수 있습니다.

특히, 웹메일을 이용할 때 HTTPS를 이용하는 것이 좋겠죠. 지메일, 야후 등의 웹메일이 HTTPS를 지원합니다. 진보넷 웹메일도 HTTPS를 지원합니다. 네이버 메일은 HTTPS를 지원하지만, 다음(Daum) 메일은 지원하지 않는 듯 합니다. 최근 다음 메일의 보안 수준이 0%라는 기사도 나왔었네요.

이메일 제공자가 HTTPS 를 지원하지만, 기본설정이 아닐 경우, URL 주소의 HTTP를 HTTPS로 바꾸고 페이지를 다시 읽어들여야 합니다. 당신이 사이트에서 항상 HTTPS를 사용하고 싶다면, 파이어폭스나 크롬 확장 프로그램(add-on)인 HTTPS Everywhere를 다운로드 해서 설치하면 됩니다.

 

종단간 암호화가 할 수 없는 것

어떠한 보안 조치가 무엇을 할 수 있고, 무엇을 할 수 없는지를 이해할 필요가 있습니다. 위에서 설명한 종단간 암호화는 전송 중간에 가로채는 행위로부터 보호하기 위한 것입니다. PC나 스마트폰에 저장된 자료들은 보호할 수 없겠죠. (그래서 이를 위해서는 스마트폰의 기기암호화나 PC 데이터의 암호화를 해야하는 것입니다.) HTTPS를 지원하는 웹메일이라고 할지라도 메일 서버 안에서는 암호화되지 않은 상태로 저장이 되겠죠. 그럼 웹메일 서비스 제공자나 수사기관이 저장된 메일에는 접근할 수 있을 것입니다.

또한, 통신 기록은 남을 수 있습니다. 당신이 언제, 누구와 통화했는지, 웹사이트에 접근했는지와 같은 로그기록 말입니다. (한국의 통신비밀보호법은 이를 ‘통신사실확인자료’라고 부릅니다.) 이 역시 매우 민감한 정보라고 할 수 있습니다. 예를 들어, 어떤 기자나 정치인의 통화 기록을 조회하면 통화 내용 자체는 모르더라도 누가 기밀 정보를 제공했는지 정보원에 대한 추적이 가능해질 수 있는 것이죠.

그럼에도, 위에서 설명한 종단간 암호화는 ‘감청’을 막기 위해 중요합니다. 이번 달에는 위에서 설명한 앱들을 설치해보고, 종단간 암호화 통신을 해보시기 바랍니다.

 

파리를 비롯한 연이은 테러로 국제적인 지탄을 받고 있는 IS가 주요 통신 수단으로 ‘텔레그램’을 사용하고 있다는 보도가 있었습니다. 또한, IS가 주요 메신저 앱의 보안 등급을 가장 안전, 안전, 보통, 불안전 등 4단계로 평가했다는 보도도 있었습니다. 이에 따르면, 사일런트서클, 레드폰, 오스텔, 챗시큐어, 시그널 등이 ‘가장 안전’ 등급을 받았습니다. 텔레그램은 ‘안전’ 등급입니다. 아이메시지, 구글 행아웃, 페이스북 메신저 등은 ‘보통’ 등급을 받았고, 네이버 라인이나 카카오톡은 ‘불안전’ 등급을 받았습니다. 구체적인 평가 근거는 모르겠지만, 다른 곳에서 내린 메신저 보안 등급과 대체적으로 다르지 않습니다. 레드폰, 챗시큐어, 시그널 등은 우리 <디지털 보안 가이드>에서도 추천하는 앱입니다. EFF의 메신저 보안 평가에서도 비슷한 평가를 내리고 있습니다.  테러와 암호화 테러리스트들이 보안 메신저를 쓰는 것에 대해서 세계적인 논란이 벌어지고 있습니다. 각 국의 정보, 수사 기관은 IT 기업들의 보안 조치가 테러범에 대한 수사를 어렵게 한다고 불평하고 있습니다. 정보, 수사기관이 메시지에 접근할 수 있도록 소위 ‘뒷문(back door)’을 제공해야 한다는 요구도 합니다. 그러나 IT 기업들과 시민사회는 이에 반발하고 있습니다. 정부 기관에 제공하는 ‘뒷문’이 인터넷 전체의 보안을 오히려 위태롭게 할 수 있다는 것이지요. 문 앞 카펫 아래에 열쇠를 숨겨 놓고 정부에게 그 위치를 알려준다면, 과연 그 정보가 도둑들에게 새어나가지 않으리라 보장할 수 있을까요? ‘뒷문’이 존재하는 한, 정부 뿐만 아니라 언제든지 도둑(악의적인 해커)들도 들어올 수 있는 것이지요. 무엇보다 정부도 언제든지 내 집에 들어와 수색할 수 있는데 정부를 믿을 수 있을까요? 아무도 모르게 전 세계 통신을 대량 감청한 미국의 국가안보국(NSA)이든, RCS라는 해킹 소프트웨어를 사용한 한국의 국가정보원이든 정부를 믿을 수 없도록 만든 것은 그들 자신입니다. 강도가 칼을 사용한다고 칼을 금지할 수 없듯이, 테러리스트가 암호를 사용한다고 암호에 허점을 만들어서는 이용자의 안전과 프라이버시를 더욱 위협하게 될 것입니다. 이용자들은 자신의 프라이버시를 지키기 위해 IT 기업에 더 나은 보안을 요구하고 있습니다. 더 나은 보안을 제공하지 않는 IT 기업은 이용자들에게 외면 받을 것입니다.   종단간 암호화와 보안 메신저 인터넷을 사용할 때, 전화를 할 때, 메신저를 사용할 때 누군가 엿듣기를 원하지 않는다면, 통신 내용을 ‘암호화’ 해야 합니다. 메시지가 내 기기에서 출발하여 상대편 기기에 도착할 때까지 암호화되어 있어야 합니다. 이를 종단간(end-to-end) 암호화라고 합니다. 애초에 카카오톡은 종단간 암호화를 하지 않았습니다. 카카오톡 서버와 내 휴대전화 사이에서는 암호화되지만, 카카오톡 서버에는 암호화되지 않은 상태로 저장이 됩니다. 그래서 카카오톡 서버 압수수색을 통해서 수사기관이 이용자들의 메시지에 접근할 수 있는 것입니다. 지난 2014년 카카오톡 압수수색 논란 이후, 카카오톡도 ‘종단간 암호화’ 기술을 적용하는 프라이버시 모드를 도입하였습니다. 이는 1:1 비밀대화 기능에 먼저 적용되었고, 이후 그룹 채팅방으로 확대 적용되었습니다. 프라이버시 모드를 사용하면, 서버에 암호화된 형태로 저장된다고 합니다. 그러나 카카오톡은 서버가 국내에 있기 때문에, 일반 채팅의 경우에는 여전히 압수수색 (및 감청) 위협에 노출되어 있습니다. 해외 인권활동가들은 앞서 안전하다고 평가받은 레드폰, 챗시큐어, 시그널 등을 사용할 것을 권장하고 있습니다. (이에 대한 소개는 <디지털 보안 가이드>를 참고하세요.) 문제는 메신저는 사회적인 도구라는 것이죠. 나 혼자 사용하는 것이 아니라, 다른 사람들도 사용해야 합니다. 따라서 내가 소통하고자 하는 사람들 다수가 함께 새로운 보안 메신저로 옮겨가지 않는 한, 아무리 보안이 좋아도 큰 의미가 없을 수 있습니다. (물론, 필요하다면 챗시큐어 등 보안 메신저로 소통하고자 하는 그룹 전체가 결의하여 옮겨가는 것도 하나의 방법입니다. 그 그룹 내에서만 해당 메신저를 쓰고 다른 사람과는 다른 메신저로 소통하면 되니까요.)     텔레그램 사용시 주의점 국내에서 카카오톡 대신 많이 쓰는 보안 메신저는 텔레그램입니다. 텔레그램은 앱도 있고, PC용 프로그램도 있으며, 웹으로도 접속할 수 있어서 편리하죠. 텔레그램 역시 종단간 암호화를 제공합니다. 서버가 해외에 있어서 국내 수사기관이 접근하기 쉽지 않으며, 비밀채팅을 사용하면 서버에도 남지 않는다고 합니다. 그러나 주의해야 합니다! 텔레그램을 사용한다고 모든 면에서 보안이 되는 것은 아닙니다. 예를 들어, 여러분의 스마트폰을 압수 당할 경우 텔레그램 메시지가 그대로 노출될 수 있습니다. (그래서 휴대전화 암호화를 해야합니다.) 메시지를 삭제하거나 방을 폭파해도, 혹은 아예 텔레그램 앱을 삭제해도 (눈에는 보이지 않아도) 스마트폰 안 어딘가에 그 내용이 저장되어 있어서 포렌식을 통해 복구될 수도 있습니다. 한국의 수사기관이 사용하는 포렌식 프로그램이 텔레그램 복구 기능을 갖고 있는지는 모르겠으나, 필요하다면 언제든지 만들 수 있을 것입니다. PC의 텔레그램 프로그램에서도 함부로 접근하지 못하도록 암호 설정을 해두는 것이 좋겠죠. (Settings → Advanced 에서 ‘turn on local password’를 클릭하여 암호 설정을 합니다.) 더욱 보안이 우려된다면, PC의 텔레그램 프로그램은 사용하지 않아야 하겠죠.

편집자주 : 진보네트워크센터에서 「디지털 보안 가이드」를 발간했습니다. 컴퓨터와 휴대폰에는 나에 대한 거의 모든 것을 알 수 있는 수천 장의 사진, 내가 읽거나 작업한 문서들, 통화 기록과 다른 사람과 주고받은 메시지들이 포함되어 있지만, 우린 너무 보안에 무관심합니다. 분명 보안 조치를 취하는 것은 당장 눈에 보이는 이익보다는, 이해하기 어렵고 실행하기 귀찮은 일임에 틀림없습니다. 어느 순간 악성 코드에 감염되어, 혹은 휴대폰을 압수당해서, 내 삶의 자료들을 누군가에 넘겨준 다음에 후회해도 늦습니다. 한꺼번에 다 하려고 생각하지 맙시다. 네트워커에서는 매월 한편씩 디지털 보안을 위한 안내를 하겠습니다. 한 달에 하나씩만 보안조치를 취해봅시다!     컴퓨터가 일반적으로 사용된 지도 20년이 넘었습니다. 누구나 한번쯤 컴퓨터 바이러스에 감염되어 소중한 데이터를 날리거나, 아예 컴퓨터가 먹통이 된 경험이 있을 것입니다. 당하고 나서는 백신 프로그램을 설치할걸 하고 후회합니다. 바이러스만 있는 것이 아닙니다. 내 컴퓨터의 정보를 빼가는 스파이웨어나 내 컴퓨터를 통해 다른 컴퓨터까지 감염시키는 웜과 같은 것도 있습니다. 나도 모르는 사이에 내 컴퓨터가 디도스(DDos) 공격에 활용되는 ‘좀비’로 이용되기도 합니다. 바이러스, 웜, 스파이웨어 등을 모두 악성 소프트웨어(혹은 멀웨어)라고 합니다. 크래커(악의적 해커)와 사기꾼들만 악성 소프트웨어를 배포하는 것은 아닙니다. 정보기관 혹은 수사기관도 기밀 정보 취득과 감시를 위해 악성 소프트웨어를 이용하고 있습니다. 최근에 국가정보원이 이탈리아 업체인 해킹팀(Hacking Team)이 만든 RCS라는 스파이웨어를 구매, 이용한 것이 드러나서 논란이 되었죠. 이렇게 각 국의 정보, 수사기관에 악성 소프트웨어를 판매하는 업체들이 해킹팀만 있는 것은 아닙니다. 스파이웨어를 통한 감시나 정보 수집은 각 국가에서 논란이 되고 있습니다.   ‘악성소프트웨어’ 대응 방법 악성 소프트웨어를 100% 차단하는 것은 거의 불가능할지 모릅니다. 엄청난 수의 새로운 악성 소프트웨어들이 매일 만들어지고 있습니다. 다른 사람의 컴퓨터에 침투하고자 하는 사람들은 우리가 사용하는 소프트웨어의 새로운 취약점들을 찾아내어 공격할 방법을 찾으려 하기 때문이죠. 그러나, 100% 차단이 불가능하다고 손을 놓고 있으면 안되겠죠. 악성 소프트웨어에 대한 기본적인 대응 방법은 아래와 같습니다. 정기적으로 운영체제와 프로그램 업데이트 바이러스/스파이웨어 방지 소프트웨어 설치 방화벽 프로그램 설치 NoScript 브라우저 확장 프로그램 설치 정기적으로 운영체제와 프로그램을 업데이트하는 것은 해당 프로그램 개발업체에서 새로운 보안 취약점을 개선한 버전을 계속 내놓기 때문입니다. 이를 업데이트하지 않으면, 이미 알려진 보안 취약점에도 노출될 수밖에 없겠죠. 또한 악성 소프트웨어를 탐지, 제거할 수 있는 소프트웨어(국내에서 통상 ‘백신’이라고 불립니다만, 사실 원래 백신과는 그 의미가 다르기 때문에 악성 소프트웨어 탐지 혹은 방지 소프트웨어라고 하는 것이 맞겠죠.)를 설치해야 합니다. 웹 이용 과정에서 실행되는 스크립트에 의해 감염될 수도 있기 때문에, 브라우저마다 제공되는 ‘NoScript’ 확장 프로그램을 설치하는 것이 좋습니다.   멀웨어 방지 소프트웨어 설치 그럼, 악성 소프트웨어 방지 소프트웨어 혹은 백신 소프트웨어는 어떤 것이 좋을까요? 어떤 소프트웨어가 좋다고 한마디로 얘기하기는 힘듭니다. 백신 소프트웨어 업체에 대한 평가도 매년 달라집니다. 그래서 소프트웨어를 설치하기 전에 백신 소프트웨어들에 대한 최신 평가를 인터넷에서 찾아보는 것이 가장 좋습니다. 시민사회를 위한 보안 교육을 하고 있는 Tactical Tech Collective(TTC)라는 단체는 바이러스 방지 소프트웨어 AVAST!, 스파이웨어 방지 소프트웨어 Spybot, 방화벽 프로그램인 Comodo firewall을 추천하고 있으니 참고하시기 바랍니다.   바이러스 방지 소프트웨어를 여러 개 설치한다고 좋은 것은 아닙니다. 바이러스 방지 소프트웨어를 이용할 때 몇 가지 참고할 사항이 있습니다. 한 개의 바이러스 방지 소프트웨어만 이용하는 것이 좋습니다. 두 개 이상 설치할 경우 서로 충돌할 수도 있으니까요. 탐지할 수 있는 바이러스 목록은 계속 업데이트됩니다. 따라서 자동으로, 정기적으로 업데이트 되도록 설정해주세요. 컴퓨터에서 새로운 파일을 다운로드 받을 경우 자동으로 바이러스를 탐지할 수 있도록, 설정에서 ‘바이러스 탐지 기능’을 켜두는 것이 좋습니다. 정기적으로 모든 파일 검사를 하는 것이 좋습니다. 자세한 내용은 디지털 보안 가이드의 <어떻게 멀웨어(악성 소프트웨어)로부터 보호할 것인가?>를 참고하세요.   스마트폰에서 악성소프트웨어 방지 PC는 물론이고 스마트폰에서도 악성 소프트웨어를 차단할 수 있는 보안조치가 필요합니다. 몇 가지 조치들을 소개합니다. 출처를 알 수 없는 문자나 메일 속 인터넷주소(URL)는 클릭하지 않는다! 카페 등 공공장소의 와이파이(Wi-Fi) 사용 주의 블루투스·와이파이는 사용할 때만 On, 평상시는 Off! 앱 설치 전 접근권한 확인하기 : 서비스와 관계 없는 개인정보 수집을 요구하는 앱은 설치하면 안 된다. 스마트폰용 백신 앱 설치하기

편집자주 : 진보네트워크센터에서 「디지털 보안 가이드」를 발간했습니다. 컴퓨터와 휴대폰에는 나에 대한 거의 모든 것을 알 수 있는 수천 장의 사진, 내가 읽거나 작업한 문서들, 통화 기록과 다른 사람과 주고받은 메시지들이 포함되어 있지만, 우린 너무 보안에 무관심합니다. 분명 보안 조치를 취하는 것은 당장 눈에 보이는 이익보다는, 이해하기 어렵고 실행하기 귀찮은 일임에 틀림없습니다. 어느 순간 악성 코드에 감염되어, 혹은 휴대폰을 압수당해서, 내 삶의 자료들을 누군가에 넘겨준 다음에 후회해도 늦습니다. 한꺼번에 다 하려고 생각하지 맙시다. 네트워커에서는 매월 한편씩 디지털 보안을 위한 안내를 하겠습니다. 한 달에 하나씩만 보안조치를 취해봅시다!   어느 날 여러분이 경찰로부터 전화를 받습니다. 몇 달 전에 참여했던 세월호 집회에서 해산명령불응으로 조사를 받아야 한다는 겁니다. 그런데 집회 참가자의 신원과 연락처는 어떻게 알았을까요? 집회에서 경찰들이 채증을 하지만, 사진만으로 신원과 연락처를 알 수 있을까요? 먼저 ‘기지국 수사’를 한 것이 아닐까 의심해 봅니다. 즉, 집회 현장의 휴대전화 기지국을 털어서, 해당 시각에 기지국에 기록된 전화번호를 몽땅 입수하고, 이동통신사를 통해 해당 휴대전화 번호 가입자의 신원을 알아내는 것이죠. (물론 채증 사진과 휴대전화 번호가입자의 신원을 어떻게 연결하는지도 의문입니다만.)   ‘위치정보’ 편리함 이면엔 사찰 그림자 스마트폰은 사실상 전화 기능을 가진 컴퓨터라고 할 수 있습니다. 그러나 일반 PC와 가장 큰 차이점은 ‘위치정보’를 다양하게 활용 가능하다는 점이죠. 요즘에는 주소만 알면 스마트폰 지도앱을 이용해서 찾아갑니다. 지도 상의 목적지와 현재 내 위치가 표시되기 때문에 길을 찾는데 도움이 됩니다. 차량 전용 네비게이션 대신 네비게이션 앱을 쓰는 경우도 많습니다. 잃어버린 스마트폰의 위치를 찾는 기능도 제공됩니다. 내가 찍은 사진에는 위치 정보도 저장되어, 내가 어디에 갔었는지 지도에 사진과 함께 표시되기도 합니다. 내 위치를 파악하여 그에 맞게 다양한 정보를 제공하는 앱들도 늘고 있습니다. 무척 편리합니다. 그러나 이러한 편리함의 이면에는 나의 위치정보가 여기 저기에 기록되고 있음을 잊어서는 안됩니다. 그렇게 기록된 위치정보가 향후 나에게 어떠한 영향을 미칠지도 생각해봐야 합니다. 수사기관도 누군가를 감시하거나 범죄 증거를 확보하기 위하여 위치정보를 활용합니다. 지난 2013년 말, 철도노조 파업 중 경찰이 조합원 및 가족들의 휴대전화와 인터넷 사이트 접속 위치를 실시간으로 추적했던 사실이 드러난 바 있습니다. 2008년에도 수사기관이 촛불집회와 관련된 시민단체 간부의 휴대전화를 위치추적해 물의를 빚은 바 있습니다. 휴대전화의 실시간 위치추적은 통화시는 물론 통화하지 않는 대기모드(sleeping mode)인 경우에도 매 10~30분 간격으로 단말기의 위치가 자동으로 확인되고, 해당 기지국의 위치정보가 담당 수사관의 휴대폰에 문자메시지로 발송되는 방식으로 운영됩니다. 영화에서 보듯, 실시간 위치추적이 가능한 것이죠. 앞서 얘기한 ‘기지국 수사’ 기법도 활용됩니다. 특정 기지국에 특정 시간대에 기록된 모든 전화번호를 싹쓸이 가져가서 분석합니다. 집회 시위에 참가한 사람들을 파악하거나, 특정 장소에 모인 사람들을 식별하는데 활용될 수 있습니다. 실시간 위치추적과 기지국 수사 모두 현재 헌법소원이 제기되어 있습니다. 내 위치를 어떻게 파악하는가? 여러 가지 방법을 이용해서 내 위치를 알 수 있습니다. 첫째, 휴대전화가 켜져 있고 전화를 송수신 할 수 있는 상태라면(즉, 비행기 모드가 아니라면), 통신사는 언제든지 내 위치를 파악할 수 있습니다. 지금 통화를 하고 있지 않더라도, 항상 통신사의 주변 기지국과 내 휴대전화가 신호를 주고받고 있어야 언제든 내가 전화 수신을 할 수 있을 테니까요. 그래서 통신사는 항상 내 휴대전화의 위치 정보(즉, 나의 위치 정보)를 기록하고 있습니다. 앞서 얘기한 실시간 위치추적과 기지국 수사가 가능한 것도 이러한 이유 때문입니다. 둘째, GPS 위치정보를 활용할 수도 있습니다. GPS는 미국 정부가 공공 서비스로 운영하는 위성 신호를 분석하여 작동합니다. GPS 위성 자체가 모든 사람들의 휴대전화 위치정보를 추적하고 저장하는 것은 아닙니다. 내 휴대전화가 GPS 기능을 통해 자신의 위치를 파악하고, 이 정보를 관련된 앱(예를 들어, 지도앱)에 전달하는 것입니다. 그러나 이 앱이 자신에게 전달된 위치 정보를 앱 제작회사에 전달할 수 있고, 이렇게 앱 제작회사는 이용자들의 위치정보를 수집할 수 있는 것입니다. 위치정보를 활용하는 앱들은 대부분 GPS 위치정보를 활용합니다. 셋째, 와이파이나 블루투스 등을 통해서도 내 위치를 파악할 수 있습니다. 예를 들어, 와이파이 기능이 켜져있을 경우, 내 주변의 와이파이 제공자(무선 공유기 소유자)는 내 기기의 정보(모든 기기에는 MAC 주소라는 기기의 고유한 일련번호가 있습니다.)를 수집하게 됩니다. 그럼, 특정한 MAC 주소를 가진 기기 소유자가 얼마나 자주 이곳에 나타나는지 파악할 수 있게 되겠죠.   내 위치정보를 보호하는 방법! 휴대전화를 갖고 다니고 사용하는 이상, 위치 추적에서 벗어나기는 힘들다고 보면 됩니다. ㅠ.ㅠ 그래도 가능한 내 위치정보를 보호할 수 있는 방법을 찾아 봐야겠죠. 몇 가지 방법들을 소개합니다. 사용할 때를 제외하고는 ‘위치정보’와 관련된 기능은 꺼놓는 것이 좋습니다. 전화는 받아야 하니 모바일 신호(3G나 LTE와 같은) 자체를 끄기는 힘들겠죠. 비행기를 타거나 영화관에서 ‘비행기 모드’로 해 놓는 경우를 제외하고는 말이죠. 그러나 GPS, 와이파이, 블루투스 등은 꺼 놓을 수 있습니다. 지도맵을 이용하거나 주변 와이파이로 접속하는 등 필요한 경우에만 켜는 거죠. 좀 귀찮을지 몰라도, 위치 정보 수집이 우려된다면 감내해야겠죠. (물론 바이러스 감염 등 다른 보안 상의 이유 때문이라도, 자신이 신뢰할 수 없는 와이파이에는 접속하지 않는 것이 좋습니다. 예를 들어, 카페의 와이파이같은 곳) 안드로이드 폰이라면 기본적인 안드로이드 보안 설정을 참고하시기 바랍니다.   앱에서도 위치 정보를 기본으로 수집하지 않도록 설정해둘 필요가 있습니다. 예를 들어, 사진 설정에서도 기본적으로 위치정보 수집 설정을 꺼 놓는 것이 좋습니다.   보안이 필요한 모임에 간다면, 아예 휴대전화 자체를 꺼 놓거나 혹은 가지고 가지 않는 것이 좋겠죠. 모임 장소에서 휴대전화를 끈다면, 오히려 그 장소에서 모종의 일이 있음을 알리는 신호가 될 것입니다.   자신의 명의가 아닌 휴대전화를 사용하는 것도 보안 차원에서는 고려할 수 있습니다. 다만, 한국이라는 나라는 선불제든 후불제든 휴대전화 서비스를 이용하기 위해서는 본인 확인을 하도록 하고 있죠. (그래서 타인 명의의 휴대전화는 ‘대포폰’이라는 부정적 이름으로 불리고 있죠.) 인터넷 실명제만 있는 것이 아니라, ‘휴대전화 실명제’도 시행되고 있는 것이죠. 그러나 다른 나라에서는 (특히 후불제의 경우) 별도의 신원 확인없이 SIM 카드만 구매하면 휴대전화를 사용할 수 있는 곳도 많습니다. 한국의 휴대전화 실명제, 이 역시 폐지되도록 싸워야 합니다!

편집자주 : 진보네트워크센터에서 「디지털 보안 가이드」를 발간했습니다. 컴퓨터와 휴대폰에는 나에 대한 거의 모든 것을 알 수 있는 수천 장의 사진, 내가 읽거나 작업한 문서들, 통화 기록과 다른 사람과 주고받은 메시지들이 포함되어 있지만, 우린 너무 보안에 무관심합니다. 분명 보안 조치를 취하는 것은 당장 눈에 보이는 이익보다는, 이해하기 어렵고 실행하기 귀찮은 일임에 틀림없습니다. 어느 순간 악성 코드에 감염되어, 혹은 휴대폰을 압수당해서, 내 삶의 자료들을 누군가에 넘겨준 다음에 후회해도 늦습니다. 한꺼번에 다 하려고 생각하지 맙시다. 네트워커에서는 매월 한편씩 디지털 보안을 위한 안내를 하겠습니다. 한 달에 하나씩만 보안조치를 취해봅시다!  비밀번호, 제대로 관리하자! 비밀번호는 보안을 위한 가장 1차적인 수단입니다. 이메일이든, 휴대전화든, 웹사이트든 비밀번호가 뚫리면, 그 비밀번호로 접속해서 내가 사용가능한 모든 것이 누군가에게 모두 노출되기 때문입니다. 그런데 비밀번호만큼 허술하게 관리되는 것도 없습니다.   많은 사람들이 다른 사람이 쉽게 예측할 수 있는 비밀번호를 사용합니다. 예를 들어 주민번호나 전화번호, 애완동물 이름, 심지어 ‘123456789’ 이런 단순한 비밀번호 말입니다. 국정원에 해킹 소프트웨어를 판매한 이탈리아 업체 해킹팀(Hacking Team)이 최근 해킹을 당해, 그들이 사용했던 비밀번호도 유출된 바 있는데, 다음과 같은 비밀번호를 사용했다고 합니다. ‘HTPassw0rd’ ‘Passw0rd!81’ ‘Passw0rd’ ‘Passw0rd!’ ‘Pas$w0rd’ 해킹 소프트웨어 판매업체마저 이런 비밀번호를 사용했다니, 그만큼 보안이란 (귀찮고 비용이 들기 때문에) 쉽지 않다는 것을 역설적으로 보여주는 것이 아닌가 싶습니다.   피해야할 비밀번호 사용 습관 또한, 많은 사람들이 같은 비밀번호를 여러 곳에서 사용합니다. (혹은 몇 개의 비밀번호를 돌아가면서 사용합니다.) 서로 다른 비밀번호를 외우는 것이 한계가 있기 때문입니다. 대부분의 사람들이 여러 개의 계정을 사용합니다. 가장 기본적으로 이메일이나 SNS 사이트 계정부터 시작해서, 가끔씩 사용하는 쇼핑몰들, 1년에 한두달 사용할까말까 하는 사이트들의 계정까지… 어쩌면 수십 개에 달하는 이 모든 계정들의 비밀번호를 외우는 것은 불가능한 일입니다. 그러나 같은 비밀번호를 사용하면, 한 사이트가 뚫렸을 때 다른 사이트의 계정 역시 안전하지 않게 되니, 그만큼 보안이 취약해지게 됩니다. 누구나 강력한 비밀번호를 만드는 방법은 알고 있을 것입니다. 길고 복잡할수록 좋습니다. 예를 들어, ‘123123’ 이라는 비밀번호보다는 ‘ti8@klrp9!gp#aa’라는 비밀번호가 훨씬 강력합니다. 그러나 기억할 수 없어서 종이에 써갖고 다녀야 한다면 소용없습니다. 기억할 수 있을 만큼 실제적이면서도, 나와 관계된 단어를 사용하지 않는 것이 좋습니다. 기억하기 쉬운 여러 개의 단어 조합을 사용하는 것도 좋은 방법입니다.   ‘금고 프로그램’ 강력한 비밀번호 생성 기능도 또 하나의 방법은 비밀번호 관리자 혹은 비밀번호 금고라고 불리는 프로그램을 사용하는 것입니다. 말 그대로 자기의 비밀번호를 관리해주는 프로그램입니다. 자신이 사용하는 비밀번호의 목록을 여기서 관리합니다. 비밀번호 관리자는 강력한 비밀번호를 생성해주기도 합니다. 난 그것을 기억할 필요가 없습니다. 필요할 때 비밀번호 관리자를 열어, 비밀번호를 복사해서 필요한 곳에 붙여 넣으면 됩니다. (Copy & Paste) 나는 비밀번호 관리자에 들어갈 때 사용하는 ‘마스터 비밀번호’ 하나만 기억하고 있으면 됩니다. 물론 단점도 있습니다. 우선 비밀번호 관리자가 털리면, 내 비밀번호가 몽땅 털립니다. ㅜㅜ 그러니 ‘마스터 비밀번호’ 하나만은 아주 어려운 것으로 설정하고, 다른 사람에게 절대 얘기해서는 안 됩니다. 어떤 사이트를 사무실 PC에서도, 집의 PC에서도, 스마트폰에서도 접속할 경우, 내가 특정 사이트의 비밀번호를 기억하고 있지 못하면 불편하지 않을까? 비밀번호 관리자 파일을 복사해서 사무실 PC와 집의 PC, 스마트폰에 저장해서 사용할 수 있습니다. 비밀번호 관리자 프로그램만 있으면 어디서나 열 수 있습니다. 혹은 비밀번호 관리자 파일을 클라우드에 올려놓을 수도 있습니다. 클라우드 서비스를 믿을 수 있다면 말입니다. 비밀번호 관리자를 사용하는 것이 (외우는 것보다) 귀찮을 수 있습니다. 그러나 습관이 되면 괜찮습니다. 보안이란 조금 귀찮은 법입니다. 이런 저런 장단점을 생각해서, 자신이 비밀번호 관리자를 사용할지 결정하세요. 자주 쓰는 몇 개의 사이트(예를 들어, 이메일이나 자신이 관리하는 사이트의 관리자 계정과 같은)에서는 자신만 아는 어려운 비밀번호를 사용하고, 별로 사용하지 않는 사이트들은 비밀번호 관리자로 관리하는 것도 하나의 방법입니다. 「디지털보안 가이드」에서는 비밀번호 관리자로 KeePassX를 추천하지만, 다른 비밀번호 관리자 프로그램도 많이 나와 있습니다. PC에서 사용하는 비밀번호 관리자로는 <KeepassX>를 참고하세요. 안드로이드폰에서는<KeePassDroid>를 사용하면 됩니다. 또한 그 전에 <강력한 비밀번호 생성하기>를 읽어보도록 합시다.