디지털 보안, 무엇부터 시작해야 할까요?

 

지난 블로그 포스팅을 통해 ‘국가 감시 시대’에 내 정보 보안을 지킬 수 있는 방법을 소개하였습니다. (물론 자세한 내용은 이미 디지털 보안 가이드 홈페이지에 올라와 있으니, 필요하신 분들은 찾아보실 수 있을 것입니다.) 이번 글에서는 ‘디지털 보안’을 개괄하고, 자신에게 맞는 보안수단을 찾기 위해 필요한 몇 가지 근본적인 질문을 묻고자 합니다. 실용적인 내용은 아니지만, 오히려 중요한 내용일 수 있습니다.

 

“나를 위협하는 것은 무엇인가?”

사람들이 질문합니다. 아이폰을 써야 하는지, 안드로이드를 써도 괜찮은지? 메신저 보안을 위해서 어떤 프로그램을 쓰면 좋은지? 이러 저러한 보안 조치를 취하면 감시로부터 안심할 수 있는 것인지? 등등.

그런데 모든 사람에게 적합한 보안 방법은 애초에 없습니다. 우선 사람들마다 위협의 수준과 종류가 다르기 때문입니다. 현재 수배 중인 사람과 그렇지 않은 사람이 느끼는 위협의 정도는 다를 것입니다. 어떤 사람에게는 국가의 감시가 더 문제가 되지만, 또 다른 사람에게는 기업의 정보 수집이 더 문제될 수 있습니다. 보안이 더 필요한 메시지가 있는 반면, 덜 중요한 메시지도 있을 것입니다. 결국 자신이 필요한 상황을 스스로 분석하고, 이에 적합한 보안 조치를 취하는 것이 중요합니다. <디지털 보안 가이드>의 위협 모델링은 이에 대해 설명하고 있습니다.

 

내가 감당할 수 있는 것이어야 한다!

그래도 더 좋은 보안 조치를 취하면 좋은 것 아닐까? 예를 들어 금고를 생각해보죠. 여러 분이 1000원을 갖고 있습니다. 이를 보호하기 위하여 10,000원 짜리 금고를 사는 것이 타당할까요? 은행의 금고가 내가 갖고 있는 간이 금고보다 더 튼튼하고 안전한 것은 사실이겠지만, 그렇다고 모든 사람의 집에 은행의 금고를 두라고 할 수는 없겠죠. 자신의 위협 수준에 맞는 보안 투자를 하는 것이 적절할 것이고, 그렇기에 모든 사람에게 일률적인 보안 수준을 요구할 수 없는 것입니다.

또한, 보안에는 일정한 타협(trade-off)이 존재합니다. 보안은 일정하게 비용과 불편함을 수반하게 됩니다. 스마트폰에 비밀번호를 걸어 놓지 않으면 편리하지 않습니까? 비밀번호를 설정하더라도 12자리보다는 4자리 비밀번호가 간편하지요. 보안 통화를 위해 굳이 레드폰 앱을 찾아 통화하는 것도 귀찮습니다. 보안 조치를 취하는 것은 중요하지만, 본인이 불편하거나 힘들어서 감당할 수 없는 수준이라면 곤란합니다. 비용도 내가 감당할 수 있는 수준이어야 하고, 내가 실행할 수 있을 만큼 쉬워야 합니다. 일단 쉬운 것부터 습관으로 만드는 것이 중요합니다.

 

보안은 과정이다

보안 위협은 커뮤니케이션의 다양한 지점에서 발생할 수 있습니다. 예를 들어, 내 비밀번호가 유출되어 내 데이터에 누군가 접근할 수도 있고, 업체가 보관하고 있는 내 데이터를 수사기관이 압수수색할 수도 있습니다. 스마트폰을 압수 당할 수도 있고, 나도 모르게 감청될 수도 있습니다. 보안 조치를 이러한 일련의 과정을 고려해야 합니다. 창문을 열고 다닌다면, 문에 달아 놓은 좋은 자물쇠는 의미가 없어질 것입니다. 마찬가지로, 스마트폰 기기 암호화도 하고, 암호화 통신을 하지만, 비밀번호가 ‘1234’라면 어떤 의미가 있겠습니까?

또한, 각각의 보안 조치는 모든 것에 대한 보안이 아니라 특정한 위협에 대한 보안입니다. 거꾸로 말하면, 특정한 보안 조치를 취했다고 해도 다른 보안 위협이 있을 수 있다는 것이지요. 예를 들어, 스마트폰을 기기 암호화를 하면, 압수수색을 당했을 경우 스마트폰 내에 있는 데이터에 대한 보안은 되지만, 스마트폰으로 통화할 때 감청하는 것은 막을 수 없습니다. 감청을 막기 위해서는 종단간 암호화가 지원되는 보안 앱을 사용해야지요. 물론 이렇게 해도 통신사를 통해서 내 위치정보를 수집하는 것은 막을 수가 없겠죠? 스마트폰을 끄지 않는 이상.

모든 것을 완벽하게 하지 않으면 의미가 없다고, 여러 분께 스트레스를 주기 위해 하는 말이 아닙니다. ^^ 완벽한 보안이란 없습니다. 하나하나 쉬운 것부터 시작합시다. 다만, 하나의 보안 조치를 취했다고 완료된 것이 아니라는 것입니다.

 

아는 것이 힘이다

이렇게 자신에게 적합한 보안 조치를 취하기 위해서는 결국 위협과 보안 조치에 대한 이해가 필요합니다. 그렇기 때문에, 공부가 필요하죠. 누구나 보안 전문가가 될 필요는 없지만요. 진보넷과 디지털 보안 가이드의 내용만이라도 계속 주시하시고, 공부하시는 것도 좋은 방법입니다. ^^ 앞으로도 진보넷은 시민과 활동가에게 필요한 보안에 대해 앞서서 공부하고 알려드릴 예정입니다.

 

정치적 검열? 차단된 사이트 우회 접속하기!

 

방심위_차단-사이트-이미지지난 3월 24일, 방송통신심의위원회가 ‘노스코리아테크’라는 사이트는 국가보안법 위반으로 접속 차단했다고 합니다. 이 사이트는 외신 기자가 북한의 정보통신 기술 관련한 이슈를 전문적으로 전 세계에 전달하기 위해 2010년부터 6년째 운영하고 있는 학술, 보도 목적의 웹사이트라고 합니다. 이 사이트가 국가보안법 위반인지도 의문이거니와, 설사 북한을 찬양하는 내용을 포함하고 있다고 하더라도, 이렇게 행정기관이 사법적 결정도 없이 특정한 사이트의 접근을 차단하는 것은 ‘검열’입니다. 이용자들은 이 사이트에 접근해서 정보를 얻고, 이해하고, 나름대로 판단할 능력과 권리를 갖고 있습니다.

그러나 방통심의위가 이렇게 사이트를 차단해도 이 사이트에 접근할 수 있는 방법이 전혀 없는 것은 아닙니다. 이번 달 디지털 보안 가이드에서는 차단된 사이트를 우회해서 접근하는 방법을 소개합니다.

 

https://로 접속하기

예전 보안 가이드에서도 다루었습니다만, https 는 http 의 안전버전입니다. 웹 트래픽을 암호화해주는 것이지요. 때로 http 로 접속할 때 https 로 접속을 해보면 접속이 되는 경우가 있습니다. 위에서 사례로 든 ‘노스코리아테크’의 경우에도, 주소창에 https://www.northkoreatech.org/ 라고 치시면 사이트에 접근할 수 있습니다.

노스코리아테크-홈페이지-이미지

이와 유사한 방법은 모바일 페이지로 접근을 하는 것입니다. 예를 들어, http://twitter.com 대신 http://m.twitter.com 으로 접속을 해보는 것입니다. 이러한 방식이 가능한 것은 웹 사이트를 차단하기 위해 차단목록을 만들게 되는데, 이 차단목록에 웹사이트 주소의 다양한 변종이 포함되지 않았을 수도 있기 때문입니다.

물론 이렇게 접근 가능하기 위해서는 차단된 사이트에서 https 나 모바일 버전 등을 제공해야만 하겠죠.

 

프록시(Proxy)를 이용한 우회 접근

프록시와 같은 우회도구를 이용할 수도 있습니다. 우회 도구는 보통 당신의 웹 트래픽 등을 다른 컴퓨터를 통해 전송되도록 함으로써, 검열을 수행하는 장치를 우회합니다. 이 과정에서 당신의 통신을 유통하는 중간매개 서비스를 ‘프록시’라고 합니다. 즉, 중간에서 사이트를 실제 차단하는 통신사 입장에서는 당신이 차단된 사이트에 접근하는 것이 아니라, 프록시 서버와 통신하는 것으로 보이겠지요. 아래 그림을 보시면 이해가 쉬울 것입니다.

이미지 출처 : How to Bypass Internet Censorship - http://flossmanuals.net/bypassing-censorship/
이미지 출처 : How to Bypass Internet Censorship – http://flossmanuals.net/bypassing-censorship/

가장 편한 방법은 웹 기반 프록시를 이용하는 것입니다. 공개된 웹 기반 프록시에 접속하여, 여러분이 접속하고 싶은 사이트의 주소를 치시면 됩니다. 공개된 웹 기반 프록시 목록들은 http://proxy.org/ 에서 보실 수 있습니다. 아래는 atozProxy로 노스코리아테크를 접속했을 때의 화면입니다.

atozProxy를-통한-접속

물론 메신저 서비스와 같은 웹 서비스가 아닌 서비스를 이용할 경우에는 도움이 되지 않겠죠. 그리고 웹 기반 프록시 자체가 이용자의 접속 내역을 기록하기 때문에 이것이 우려된다면 사용하지 않는 것이 좋겠습니다. 프록시와 유사하게 영리/비영리적인 가상 사설 네트워크(VPN)라는 것도 동일한 기능을 제공합니다.

 

토르(Tor)

PC 혹은 스마트폰에서 토르 브라우저를 사용하는 방법도 있습니다. 토르는 이용자의 익명성을 보장하는 브라우저입니다. 이용자의 트래픽이 분산된 서버 네트워크를 돌고 돌아서 전송이 됩니다. 보통 웹 사이트에는 여러 분들의 IP 주소가 기록되는데, 토르를 이용하면 여러 분들의 IP 주소를 숨길 수 있습니다. 즉, 차단된 사이트를 접근할 때에만 이용되는 것이 아니라, 자신의 IP 주소를 남기고 싶지 않을 때에도 이용할 수 있습니다. 즉, 기업이나 정부의 감시로부터 피할 수 있는 것이죠. 다만, 토르를 이용할 때 약간 느릴 수 있습니다.

토르를 이용하려면 토르 브라우저를 설치해야 하는데, 자세한 설치 방법은 <윈도에서 토르(Tor) 사용법>을 참고하세요.

위에 설명한 것은 지금 접속차단된 사이트에 접근하기 위한 방법이지만, 아예 특정 사이트가 접속 차단되지 않도록, 정부의 검열을 철폐하는 것이 근본적인 해결 방법이겠지요.

 

페이스북, 안전하게 사용하기

페이스북, 트위터 등 소위 소셜네트워크서비스(SNS)는 온라인을 통한 소통의 주된 공간이 되고 있습니다. 자주 만나지 못하는 옛 친구와도 일상을 공유할 수 있고, 친구의 친구와 새로운 친구가 되어 인맥을 확대하기도 합니다. SNS를 통해 정보나 뉴스를 접하는 것이 일상화되면서, 기업, 언론, 단체 등에게는 SNS 활용 전략이 중요해졌습니다. ‘페이스북 혁명’이라는 말이 나올 정도로 사회운동가, 인권활동가들에게 이슈를 알리고 사람들을 조직하는 공간이 되고 있습니다.

그러나 SNS는 내 일거수 일투족이나 나의 사회적 관계, 나의 취향이나 생각을 드러내는 공간이기도 합니다. 그것도 스스로. 그래서 요즘은 입사 지원자 평가를 할 때에도 그 사람의 SNS 이용 기록까지 파악한다고 하죠. 자신이 과거에 SNS에 올린 게시물 때문에 나중에 해고된 사례도 있습니다. SNS 때문에 혁명의 위기를 겪은 권위주의 정부들도 이제 오히려 SNS를 정치적 반대자를 파악하는 수단으로 활용하고 있습니다.

지금 이 글도 SNS를 통해 접하신 분들이 대다수이겠죠. SNS를 사용하지 않는 것을 포함해서, 어떠한 선택을 하더라도 내가 SNS를 사용하는 것이 향후에 내게 어떤 영향을 미칠 수 있는지 제대로 이해할 필요가 있습니다. 그리고, 자신의 목적에 맞게 SNS를 적절하게 설정하고, 사용하는 방법을 익힐 필요가 있습니다. 내가 SNS에 어떤 글을 올릴 것인지를 포함해서요.

최근 대표적인 SNS는 페이스북입니다. 개인정보 침해 가능성이 가장 크기도 하지요. 출생지역, 직업, 학력, 친구관계, 취향 등을 다 보여줄 수 있으니까요. 또 그러한 정보들을 바탕으로 친구를 찾거나 관계를 확장할 수 있도록 하기 때문에 페이스북을 사용하는 한 어느 정도는 벗어날 수 없는 일이지요. 소그룹 내 소통을 위해서라면 굳이 페이스북을 쓸 이유가 없겠지요. 그럼에도 불구하고, 예기치 않은 위험성을 최소화하기 위해서는 ‘페이스북 설정’을 잘 들여다보고 신중하게 선택할 필요가 있습니다. 쫌 복잡하지만, 일단 한번만 설정하면 되니까 신경을 써봅시다. 여기서는 페이스북에서 어떤 설정이 가능한지만 간략하게 살펴보려고 합니다.

상세한 페이스북 보안설정은 ‘페이스북 보안 설정‘을 참고하시기 바랍니다.

 

페이스북 가입

페이스북은 실명 정책을 쓰고 있지만, 한국처럼 엄격한 본인 확인이 불가능하기 때문에 익명으로 가입하는 것도 방법입니다. 물론 나중에 계정이 차단되는 봉변을 당할 수도 있고, 또 친구들이 나를 찾지 못하는 문제가 있을 수 있습니다. 학교, 직업 등 많은 개인정보를 요구하는데, 개인정보가 많을 수록 친구 찾기가 쉬워지지만 꼭 입력해야 하는 것은 아니니 신중하게 판단해야 합니다.

보안 설정

기존에 사용하지 않던 기기로 로그인 시도가 있었을 때 ‘로그인 알림’을 이메일이나 문자로 받을 수 있습니다. 또한 보안 강화를 위해 생소한 기기로 접속했을 때 보안 코드를 입력하도록 할 수 있습니다. 내가 사용한 브라우저를 살펴볼 수 있고, 현재 페이스북에 접속한 세션을 보여주기 때문에 혹시 인터넷 카페에서 페이스북을 이용하고 로그아웃하지 않았다면, 나중에 그것을 지울 수 있습니다.

3.7_07
<페이스북 보안 설정화면>

공개범위 설정

앞서 언급했듯, 페이스북은 감시의 도구가 될 수 있으므로, 내 게시물을 누가 볼 수 있도록 할 것인지는 중요합니다. 내 게시물을 볼 수 있는 사람의 범위를 전체공개/친구만/나만보기/사용자 지정 중에 설정할 수 있습니다. 일반 설정을 이곳에서 하고, 나중에 개별 게시물마다 설정을 할 수 있습니다. 나에게 친구를 신청할 수 있는 사람, 내게 메시지를 보낼 수 있는 사람, 나를 검색할 수 있는 사람도 설정할 수 있습니다.

타임라인 태그 달기

페이스북에서 내 정보보안은 내가 어떻게 하느냐에만 달려있는 것이 아니라, 친구들로부터도 영향을 받습니다. 친구들이 내가 원하지 않는 정보들을 노출할 수 있지요. 페이스북은 친구들이 내 게시물이나 나를 태깅했을 때, 내 타임라인에 글을 썼을 때, 내 타임라인에서 보여줄 지 여부를 결정할 수 있습니다. 그러나 친구들의 타임라인에 보여지는 것을 막을 수는 없겠지요. 페이스북은 사진을 올릴 때 얼굴을 자동 인식하여 당신을 태그하도록 할 수 있는데, 이를 막을 수 있도록 설정할 수 있습니다.

기타 원하지 않는 게시글이나 사용자를 차단하고, 팔로워의 범위를 제한하고, 페이스북 앱 사용과 관련된 설정을 하고, 광고를 통제할 수 있도록 합니다. 페이스북은 나를 통해 내 친구들에게 광고하는 기법을 이용하기 때문에 이것이 불편하다면, 광고 설정에서 ‘비공개’되도록 할 필요가 있습니다.

마지막으로, 페이스북에 내가 올린 글들을 다운로드 받을 수 있습니다. 향후 탈퇴를 대비하여, 혹은 백업을 위해 가끔 다운로드 받아 놓는 것이 좋습니다.

 

휴대폰 데이터 안전하게 삭제하기

 

결국 테러방지법이 국회를 통과했습니다. 국정원의 15년 숙원이 풀렸네요. 덕분에(?) 우리가 보안에 신경써야 할 이유가 하나 더 늘었습니다. 열심히 공부합시다.

한편, 미국에서는 테러사건 용의자의 아이폰 데이터를 수집할 수 있도록 iOS 운영체제를 수정해 달라는 FBI의 요구를 애플이 거부한 사건이 뜨거운 이슈가 되고 있습니다. 어쨌든 애플의 아이폰의 보안이 나름 훌륭하다는 것은 검증이 된 셈이네요. (물론 그 ‘보안’이 애플에 대해서도 안전하다고 할 수는 없습니다만.) 안드로이드 스마트폰을 가지고 계신 분들도 반드시 스마트폰 ‘기기 암호화’를 하시기 바랍니다.

지난 번에는 하드디스크 보안 조치에 대해 다뤘었는데요. 이번에는 스마트폰의 데이터를 보호하는 방법, 특히 스마트폰 데이터의 안전한 삭제에 대해서 알아보고자 합니다.

 

스마트폰데이터의 완전한 삭제는 어렵다!

스마트폰이 저장장치로 쓰는 SSD(Solid State Drives) 드라이브, 혹은 플래시 드라이브 등은 기술적인 특성으로 인해 완전한 삭제가 힘들다고 합니다. USB나 스마트폰의 보조 저장장치로 쓰이는 SD 카드 역시 마찬가지입니다. 이는 웨어레벨링이라는 기술을 쓰기 때문인데, 자세한 내용은 디지털 보안 가이드의 <데이터의 안전한 보호 및 삭제>를 참고하시기 바랍니다.

 

스마트폰 데이터의 안전한 삭제 방법

정보 수사기관의 내 민감한 데이터에 접근하지 못하게 하기 위해서 뿐만 아니라, 스마트폰을 교체할 때 내 중고 스마트폰을 쓰게 될 사람이 혹시라도 내 데이터를 보지 못하게 하기 위해서라도 스마트폰의 데이터를 안전하게 삭제할 필요가 있습니다. 그러나 앞서 얘기했듯이 스마트폰 데이터를 복구 불가능하게 완전히 삭제하는 것은 힘듭니다. 공장초기화를 하더라도, 데이터는 쉽게 복구될 수 있습니다.

그러나 방법이 없는 것은 아닙니다. 바로 스마트폰을 암호화한 후 공장초기화를 하는 것입니다. 이렇게 하면, 설사 데이터를 복구하더라도 데이터에 접근할 수 없겠죠.

 

포렌식을 하더라도 하드디스크의 데이터를 읽을 수 없도록 안전하게 삭제 혹은 폐기하는 몇 가지 방법이 있다.

 

  • 1단계 : 데이터 삭제 전에 보관할 필요가 있는 데이터는 백업을 해두어야 하겠죠.
  • 2단계 : (안드로이드폰의 경우) 기기 암호화. 평소에 기기 암호화를 해두었다면 이 단계에서 시간을 절약할 수 있겠죠.
  • 3단계 : 공장초기화 (안드로이드폰의 경우 보통, 설정 → 개인설정 → 백업 및 초기화 → 초기화)
  • 4.4_01-

    통상적인 경우 여기까지 해도 충분합니다. 그러나 더 완벽한 보안을 원하신다면, 다음 단계까지 실행하세요.

  • 4단계 : 공장 초기화 된 휴대전화의 빈 공간을 필요 없는 파일로 가득 채웁니다. 예를 들어, 민감하지 않고, 용량이 큰 동영상 등으로 채우면 됩니다.
  • 5단계 : 다시 공장 초기화.

 
그래도 불안하다면, 이 과정을 몇 번 반복해주면 됩니다. 외장 SD카드 역시 마찬가지의 방법으로 지우면 됩니다.

아이폰의 경우, 3GS 이후의 모든 아이폰은 하드웨어 암호화를 한다고 합니다. 그래서 아이폰 내의 데이터를 안전하게 삭제하기 위해서는 아이폰의 ‘삭제’ 기능을 이용해도 된다고 합니다. 이를 위해서는 우선 아이폰에 암호 설정을 해두어야 합니다. 이에 대해서는 <아이폰을 암호화하는 방법>을 참고하세요. 아이폰의 삭제 기능은 ‘설정→ 암호 → 데이터지우기’에 있습니다.

 

일부 데이터의 안전한 삭제

플레이 스토어에서 검색을 해보면 데이터를 완전히 삭제해주는 앱을 몇 가지 찾을 수 있습니다. 시큐어불도저(Secure Bulldozer), 에스브러시(S-Brush), 컴플릿와이프(Complete Wipe) 등이 그것입니다. 이러한 앱들이 삭제 효과가 전혀 없다고 할 수는 없지만, 데이터가 완전히 삭제되었다고 믿어서는 안됩니다. (이 앱들을 사용하지 말라는 것은 아닙니다. 다만, 저희는 이러한 앱들의 신뢰성을 보증할 수 없습니다. 앱은 계속 업데이트되기 때문에, 앱을 선택하기 전에 앱에 대한 평가를 읽어보시는 것이 도움이 될 것입니다.)

 

국정원도 하는(?!) 하드디스크 보안 조치

 

지난 2010년 국무총리실 산하 공직윤리지원관실이 민간인 불법 사찰을 했다는 사실이 드러났습니다. 그러나 검찰의 압수수색에 대비해, 공직윤리지원관실은 ‘디가우저’라는 장비를 이용해 관련 자료를 완전히 삭제했었죠. 18대 대선이 진행 중이던 2012년 12월에는 국정원의 인터넷 댓글 조작을 통한 선거개입 사건이 논란이 되었습니다. 당시 민주통합당 직원들이 자신의 오피스텔을 방문하자, 국정원 직원인 김하영은 자신의 노트북에서 파일 187개를 복구 불가능한 방식으로 삭제했었죠. 이 사건의 증거물 분석을 담당했던 서울지방경찰청 역시 사건을 축소, 은폐하기 위해 ‘MooO(무오) 데이터 회복방지기’라는 프로그램을 사용하여, 증거자료를 삭제한 것이 드러났습니다. 데이터 보안에 솔선수범 모범을 보이고 있는 한국의 국가기관들입니다.

국가 감시로부터 자신의 프라이버시를 보호하기 위해, 혹은 조직이나 단체의 데이터의 원하지 않는 유출을 방지하기 위해 시민과 활동가도 데이터 보안에 보다 신경쓸 필요가 있습니다. 압수수색을 통해 하드디스크를 빼앗길 수도 있고, 해킹을 당할 수도 있으며, 관리 부실로 단체 자료가 포함된 하드디스크를 삭제하지 않고 쓰레기통에 넣어버릴 수도 있기 때문입니다.

 

데이터 보안을 위한 세 가지 방법

데이터 보안을 위해 크게 세 가지를 생각해볼 수 있을 것입니다. 첫째, 데이터의 백업. 바이러스 감염이나 해킹을 통해, 혹은 하드디스크 장애와 같은 사고가 발생하여 원하지 않게 소중한 자료를 잃을 수 있습니다. (아마도 대다수 사람들이 한번쯤은 경험해보지 않았을까요?) 이를 대비하기 위해서는 미리 미리, 정기적으로 백업을 해두어야 하겠죠. 둘째는 보안이 필요한 자료들을 암호화하여 권한이 없는 사람들이 접근하지 못하도록 할 수 있습니다. 셋째, 어떤 경우에는 복구되지 않도록 데이터를 완전하게 삭제할 필요도 있습니다. 공직윤리지원관실과 국정원이 그랬던 것 처럼요. 하드디스크를 폐기할 때도 누군가 데이터를 복구할 수 없도록 완전 삭제한 후에 폐기해야 하겠죠.

 

하드디스크 암호화

휴대전화 암호화와 마찬가지로, 하드디스크 안에 있는 자료들도 암호화하여 보호할 수 있습니다. 디스크 전체를 암호화할 수도 있고, 특정한 파일이나 디렉토리를 암호화할 수도 있습니다. 충분히 복잡하고 긴 암호라면, 하드디스크를 압수한다고 해도 자료에 접근하기 힘들겠죠. 하드디스크를 암호화하는 프로그램이 많이 있습니다. <윈도 기기 암호화 – DiskCryptor 사용법>에서 윈도용 암호화 프로그램인 DiskCryptor의 자세한 사용법과 함께, 다른 운영체제에서 사용할 수 있는 프로그램도 소개하고 있습니다.

 

데이터의 완전한 삭제

파일을 휴지통에 넣으면 삭제된다고 생각하시는 분들도 있습니다. 그러나 심지어 휴지통을 비우더라도, 파일이 완전히 삭제되는 것은 아닙니다. 우리 눈에 보이지 않을 뿐이지, 파일 복구 프로그램을 이용하면 복구될 수도 있습니다. 오랜 기간이 지나서 다른 파일로 덮어쓰지 않았다면요.

데이터가 복구될 수 없도록 안전하게 삭제하는 몇 가지 방법이 있습니다.

  • 덮어쓰기(override) : 삭제된 데이터 공간을 소프트웨어를 통해 난수로 덮어씀으로써 기존 데이터를 복원하지 못하도록 하는 기법
  • 로레벨 포맷(low level format) : 하드디스크를 물리적으로 포맷한다. 알고리즘 자체는 덮어쓰기 기법과 비슷하다.
  • 자기적 삭제(magnetic erasing) : 커다란 자기장을 이용하여 하드웨어를 물리적으로 손상시키는 기법.
  • 물리적인 파괴, 분쇄

보 통 포맷을 하면 데이터가 삭제된다고 믿고 있지만, 포맷을 해도 데이터를 복구할 수 있다고 합니다. 특히 ‘빠른 포맷’은 쉽게 말하면 ‘목차’만 지우는 것이기 때문에, 데이터 자체를 안전하게 삭제한다고 볼 수 없고, 로레벨 포맷을 해도 일부 데이터가 복구될 수 있다고 합니다. 완전한 삭제를 위해서는 로레벨 포맷을 여러 번 해주거나, 혹은 데이터를 암호화한 후에 로레벨 포맷을 해주는 것이 좋겠죠.

201601newsletter_digital-guide_insert1

파일의 안전한 삭제를 지원하는 프로그램은 삭제된 데이터 공간을 난수로 덮어쓰는 것입니다. 윈도용 안전 삭제 프로그램으로는

‘BleachBit’가 있습니다. 공직윤리지원관실이 사용한 디가우징은 자기적인 삭제 방법입니다. 이 외에 하드디스크를 아예 박살내는 방법도 있습니다.(^^)

 

그러나 하드디스크 전체를 완전히 삭제하는 것이 아니라, 특정한 파일을 안전 삭제 프로그램으로 삭제했다고 하더라도, 그 흔적이 어딘가에 남아있을 수 있습니다. 국정원의 인터넷 댓글 조작을 통한 선거 개입을 일부나마 찾아낼 수 있었던 요인 중 하나는 국정원 직원이 노트북의 데이터를 완전하게 삭제한다고 했음에도, 메일에 첨부되었다가 자동 삭제된 txt 파일을 복구할 수 있었기 때문입니다.

데이터의 안전한 삭제와 관련된 보다 자세한 내용은 <데이터의 안전한 보호 및 삭제> 부분을 참고하시기 바랍니다.

압수수색과 감청에 안전한 통신 – 전화와 인터넷

지난 번 글에서 ‘압수수색과 감청에 안전한 메신저 사용법’을 소개했는데요, 이번 글에서는 감청으로부터 안전한 통신방법 두번째, 전화와 인터넷을 중심으로 설명하도록 하겠습니다. 메신저와 마찬가지로 감청으로부터 안전하기 위해서는 통신하는 과정에서 암호화가 되어야 합니다. 그래야 감청을 하더라도 메시지 내용을 알 수가 없겠죠. 이것을 ‘종단간(end-to-end) 암호화’라고 했습니다.

 

암호화 지원 (음성)통화 앱

일반 전화나 휴대전화 통화시에는 종단간 암호화가 되지 않습니다. 정보, 수사기관은 현재 휴대전화 감청이 되지 않기 때문에 통신사에 감청설비를 의무화하는 법안을 제출한 상태입니다만, 과거에 국가정보원은 자체 장비를 통해 휴대전화 감청을 한 바가 있고, 또 언제든지 통신사를 통한 감청이 가능해질 수 있습니다. 그래서 감청으로부터 안전한 통화를 하기 위해서는 통신사 조차도 감청을 할 수 없도록 종단간 암호화를 지원하는 프로그램(앱)을 이용할 필요가 있습니다.

일반적인 휴대전화보다는 무선인터넷전화(mVoIP)를 사용하는 것이 좋습니다. 가장 많이 쓰이는 앱으로는 스카이프(Skype)나 구글 행아웃(Hangout)이 있죠. 이 앱들도 전송 과정에서 암호화를 제공하기 때문에 통신사를 통해서도 감청이 힘들 수 있습니다. 다만, 스카이프나 구글과 같은 서비스 제공자를 통한 감청으로부터 안전하지는 않겠죠.

스카이프나 행아웃이 불안하다면, 레드폰이나 시그널과 같은 종단간 암호화를 제공하는 인터넷 전화를 사용할 수 있습니다. 레드폰과 시그널은 서로 통화가능하고, 앱만 설치하면 연락처 목록에서 레드폰이나 시그널을 설치한 이용자를 확인할 수 있기 때문에 사용하기가 어렵지 않습니다. 레드폰이나 시그널을 사용하면 통화 품질이 약간 떨어질 수 있으나 사용할만 합니다. 그리고 항상 사용할 필요는 없고 보안이 필요할 경우에만 사용하면 되기 때문에 큰 불편은 없을 것입니다.

암호화 지원하는 문자메시지 앱

표준 문자 메시지(SMS)는 암호화를 제공하지 않습니다. 그래서 암호화된 문자를 보내고 싶다면, 종단간 암호화를 지원하는 앱을 사용해야 합니다. 대표적인 앱은 안드로이드용 앱인 텍스트시큐어(TextSecure)입니다. 상대편이 텍스트시큐어를 사용하고 있다면 암호화된 문자를 보낼 수 있고, 그렇지 않다면 일반적인 문자 메시지도 보낼 수 있습니다. 텍스트시큐어는 전송 중 암호화 뿐만 아니라, 암호화된 형태로 저장할 수도 있습니다. (설정 → 개인정보보호 → 암호사용 On → 암호설정) 화면 캡쳐도 할 수 없도록 하고 있습니다.

설치하는 방법 : 구글 플레이스토어에서 다운로드 → TextSecure에 전화번호 등록 → SMS 인증 → 기존 문자 메시지 가져오기(선택) → 기본 문자 메시지로 사용 (선택)

암호화된 웹 이용

PC나 휴대전화로 인터넷을 이용할 때에도 ‘패킷감청’을 통해 내가 보고있는 콘텐츠가 감청될 수 있습니다. 암호화된 웹 접근을 위해서는 HTTPS 라는 프로토콜을 사용해야 합니다. 보통 홈페이지 주소가 HTTP로 시작되는 것을 알고 계실 것입니다. HTTP의 암호화된 통신이 HTTPS입니다. 이를 SSL이라고도 하며, 웹서버와 웹브라우저 사이에서 암호화된 통신을 제공합니다. 이렇게 하지 않으면 우리가 인터넷을 사용할 때, 통신사나 무료 와이파이 제공자, 혹은 수사기관이 웹사이트 글, 웹메일 내용 등을 중간에 가로챌 수 있는거죠. 우리가 보통 온라인 뱅킹을 할 때 이러한 프로토콜을 사용합니다만, 일상적인 경우에도 보안을 위해 사용하는 것이 좋습니다. 물론 우리가 접근하고자 하는 홈페이지가 HTTPS를 지원해야 합니다. 특정한 웹사이트가 SSL 혹은 HTTPS가 적용되었는지 확인하기 위한 방법은 https:// 로 시작하는 웹주소를 주소창에 입력해보면 됩니다. SSL로 연결이 되면, 웹주소 옆에 자물쇠 표시를 볼 수 있습니다.

특히, 웹메일을 이용할 때 HTTPS를 이용하는 것이 좋겠죠. 지메일, 야후 등의 웹메일이 HTTPS를 지원합니다. 진보넷 웹메일도 HTTPS를 지원합니다. 네이버 메일은 HTTPS를 지원하지만, 다음(Daum) 메일은 지원하지 않는 듯 합니다. 최근 다음 메일의 보안 수준이 0%라는 기사도 나왔었네요.

이메일 제공자가 HTTPS 를 지원하지만, 기본설정이 아닐 경우, URL 주소의 HTTP를 HTTPS로 바꾸고 페이지를 다시 읽어들여야 합니다. 당신이 사이트에서 항상 HTTPS를 사용하고 싶다면, 파이어폭스나 크롬 확장 프로그램(add-on)인 HTTPS Everywhere를 다운로드 해서 설치하면 됩니다.

 

종단간 암호화가 할 수 없는 것

어떠한 보안 조치가 무엇을 할 수 있고, 무엇을 할 수 없는지를 이해할 필요가 있습니다. 위에서 설명한 종단간 암호화는 전송 중간에 가로채는 행위로부터 보호하기 위한 것입니다. PC나 스마트폰에 저장된 자료들은 보호할 수 없겠죠. (그래서 이를 위해서는 스마트폰의 기기암호화나 PC 데이터의 암호화를 해야하는 것입니다.) HTTPS를 지원하는 웹메일이라고 할지라도 메일 서버 안에서는 암호화되지 않은 상태로 저장이 되겠죠. 그럼 웹메일 서비스 제공자나 수사기관이 저장된 메일에는 접근할 수 있을 것입니다.

또한, 통신 기록은 남을 수 있습니다. 당신이 언제, 누구와 통화했는지, 웹사이트에 접근했는지와 같은 로그기록 말입니다. (한국의 통신비밀보호법은 이를 ‘통신사실확인자료’라고 부릅니다.) 이 역시 매우 민감한 정보라고 할 수 있습니다. 예를 들어, 어떤 기자나 정치인의 통화 기록을 조회하면 통화 내용 자체는 모르더라도 누가 기밀 정보를 제공했는지 정보원에 대한 추적이 가능해질 수 있는 것이죠.

그럼에도, 위에서 설명한 종단간 암호화는 ‘감청’을 막기 위해 중요합니다. 이번 달에는 위에서 설명한 앱들을 설치해보고, 종단간 암호화 통신을 해보시기 바랍니다.

 

압수수색과 감청에 안전한 메신저 사용법

백신 설치로 끝? 멀웨어는 취약점만 노린다!

휴대전화 보안의 가장 큰 위협: 위치 추적

복잡한 비밀번호 관리, 마스터 암호 하나로 OK!