감기를 막는 생활습관 네 가지 습관 있듯이
해킹 막는 보안습관 네 가지도 널리 전파해야

[보안뉴스 문가용] 겨울만 되면 어디선가 감기가 유행처럼 번지기 시작한다. 바이러스는 빠른 속도로 진화하고 변태한다. 그리고 매년 3백만에서 5백만이 건강을 잃거나 심지어 목숨까지 잃는다. 아시아 독감, 홍콩 독감, 스페인 독감 등 그 동안 악명을 떨치던 독감들은 전부 100만명 이상의 인명 피해를 냈다. 2009년 발생한 스와인 독감(swine flue)은 멕시코 베라크루즈에서 시작해 천만 명에서 2억 명을 감염시켰다. 그러나 엄청난 피해를 일으킬 거라고 예상됐던 것과는 달리 0.03%인 18500여 명의 인명피해만을 발생시키고 잠잠해졌다.

감기라는 건 이처럼 해마다 엄청난 피해를 입히는 질병이지만 그다지 심각하게 여겨지지도 않는다. 몇 가지 기본적인 생활수칙만 지키면 생각보다 쉽게 예방이 가능하기 때문이다. 기손을 자주 씻고, 기침할 때 입을 가리고, 아픈 사람과의 접촉을 피하는 것만으로도 상당한 확률로 감기 걸릴 확률을 줄일 수 있는 건데, 이중 가장 중요한 건 바로 손을 자주 씻는 것이라고 한다. 백신 역시 감기 발병 혹은 전염 확률을 크게 줄일 수 있는 수단이라고 알려져 있다. 이미 눈치 챘겠지만 ‘감기’를 ‘정보보안’과 대체해도 정확히 들어맞는다.

사이버범죄는 사람을 직접 죽일 수 없다는 점에서 감기보다는 덜 심각하다고 볼 수 있다. 그러나 비용적인 면에서의 피해는 사이버범죄가 감기보다 훨씬 더 치명적일 때가 많다. 또한 독감이 발생하면 온 나라의 보건국이 바쁘게 움직이지만 유출 및 정보보안 사고는 당사자들끼리만 쉬쉬하며 알고 있을 때가 많다. 그러다보니 보건국과는 달리 덜 조직적이며 효과도 떨어진다. 아직 보안업계는 조직적으로 움직인다는 것에 덜 익숙해져 있고, 잘 하지도 못한다. 일반인들 역시 감기 조심은 하면서 사이버 범죄 조심까지는 잘 하지 못하고 있다.

일반인들에게 매일 할 수 있는 작은 습관이 감기 예방에 얼마나 중요한지 알리는 것처럼, 일반 사용자들이 습관처럼 해야 하는 보안철칙 역시 홍보하고 알려야 한다. 손 씻는 사람이 많아지면 많아질수록 감기 자체가 잘 퍼지지 않는 것처럼 정보보안을 흐트러트리는 존재(해커나 멀웨어) 역시 각자의 작은 습관으로 크게 줄일 수 있기 때문이다. 감기에도 잘 대응하는 우리가, 왜 사이버공격에는 무기력해야만 하는가. 난 그럴 이유가 전혀 없다고 본다.

작은 변화부터 시작해야
해마다 독감 때문에 미국에서 발생하는 비용은 870억 달러 정도라고 미국 국립보건원이 발표한 적이 있다. 사이버범죄자들이 작년 한 해 훔쳐낸 건 얼마일까? 이보다 6배나 더 많다(물론 전 세계적으로). 맥아피는 매년 세계적으로 사이버범죄 때문에 입는 피해에 대해 5억 달러라고 보고 있으며 미국 한 곳에서만 20만 명의 사람들이 직장을 잃는다고 한다. 사이버범죄와의 전쟁에서 우리는 좀처럼 승전보를 울리지 못하고 있다.

그렇다고 속 시원한 해결책이 있는가, 하면 그렇지도 않다. 네트워크/시스템의 가장 약한 곳을 해커는 귀신 같이 노리기 마련인데, 그 약한 곳이란 게 일정하지가 않으니까. 즉 방어를 하는 기업이나 조직 입장에서는 약한 곳이 하나도 없도록 모든 기기, 서버, 앱 , 시스템, 로그인 정보, 사용자를 공평하고 똑같이 중요하게 보호해야 한다. 물론 그중 아무거나 하나만 노려도 되는 해커와 비교했을 때 굉장히 불공평한 것이 사실이다.

생각의 전환이 필요한 게 바로 이 지점이다. 네트워크에 달린 기기나 사용자가 전부 보호해야 할 취약점이라는 생각에서 전쟁의 가장 최전선에 보낸 나의 군대라고 상상해보라. 혹은 정찰대일 수도 있다. 막중한 임무를 띤 그들을 맨 몸으로 보낼 수 있을까? 또한 혹여 전쟁이 길어질 때를 대비해 스스로 위생 관리하는 법을 가르쳐주지 않고도 보낼 수 있을까. 사용자 한 사람 한 사람이 최고의 보안수칙을 매일 지키며 살아간다고 생각해보라. 지금 우리가 아는 인터넷이란 공간이 얼마나 깨끗해질지.

그런 수칙이란 별 거 없다.
1) 자주 사용하는 기기와 소프트웨어만이라도 업데이트를 꾸준히 한다. 요즘은 소프트웨어 개발사나 펌웨어 제작사 모두 버그 패치를 주기적으로 하는 추세다. 회사 내 이 ‘업데이트’에 대한 사칙이 없다면 대단히 큰 공격거리가 될 공산이 크다.

2) 세계에서 가장 인기가 높은 암호는 123456이다. 물론 암호 일일이 외우는 게 쉽지 않은 일임은 분명하다. 중요한 로그인 정보 잊어버리느니 외우기 쉽게 하겠다는 사람이 아직도 의외로 많은데, 왜 암호관리 프로그램을 사용하지 않는지 모르겠다.

3) 이중인증을 널리 활용하라. 해커가 당신 암호 하나 훔치는 건 매우 간단한 일이다. 그러니 암호를 하나 더 건다거나 다른 인증요소를 적용해 해킹의 난이도를 높인다. 암호도 훔치고 스마트폰 기기도 훔치고 토큰도 한꺼번에 다 훔칠 수는 없는 일이다.

4) 이메일을 확인할 땐 상식적으로 하라. 아무 예고도 없이 날아온 첨부 파일은 폭탄 소포와 같다. 또, 아무런 친분도 없는 이가 당신 이메일 주소를 어떻게 알았겠는가? 이메일을 멍한 상태로 열지만 말자.

세수하고 손에 소독약 바르자고 여기저기서 캠페인처럼 알리듯이 위의 네 가지 기본적인 사항만이라도 일반 사용자들에게 알려보자. 사이버 세계가 어떻게 달라지는지. 의학 세계가 항상 복잡하고 전문적인 게 아니듯 정보보안이라고 해서 늘 복잡하고 어려울 필요가 없다.
글 : 더그 송(Dug Song)


Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>