모바일 기술 발달로 어디서나 일 할 수 있게 된 현대인들
집에서 일할 경우가 많은데...우리집 네트워크 어떻게 청소해야 할까?

[보안뉴스 문가용 기자] 봄이 어느 새 우리 옆으로 왔다. 물론 아직도 아침 저녁으로 쌀쌀하긴 하지만 조금 있으면 여기 저기서 봄꽃을 테마로 한 축제들이 열린다는 소식이 사람들 입을 오르내린다. 게다가 프로야구도 이미 개막했으니, 정말로 봄은 봄이다.


봄과 함께 시작되는 것이 있으니 바로 대청소다. 겨우내 꼭꼭 닫아두었던 창문을 열어 공기도 바꾸고, 두꺼운 옷들은 구석에 개어 넣고 얇은 옷들을 장에 꺼내 놓는다. 또한 모바일 환경이 발달한 덕에 프리랜서가 아니더라도 집에서 어느 정도 업무를 감당해야 하는 현대인들에게 있어 IT 환경 역시 봄맞이 청소 대상이다. 프리랜서나 재택근무자만이 아니라, 가끔이라도 집에서 회사 네트워크나 이메일, 클라우드에 접속해야하는 사람이라면 모두 빗자루를 챙기자.

정보시스템감사통제협회(ISACA)의 중소기업 사이버 보안 총괄인 프랭크 다운즈(Frank Downs)ㅇ의하면 “집에서 근무를 하거나 회사 업무를 처리해야 하는 사람들은, 보안의 측면에 있어서는 회사 사무실에서 하는 것과 동일하게 행동하고 정책을 지켜야 한다”고 강조한다. 프리랜서라도 계약된 회사의 보안 정책을 준수해주는 것이 옳다고도 덧붙였다.

“각종 모바일 기술로 연결되어 회사와 뭔가를 주고 받는 사람이라면, 자신이 지금 머물러 있는 환경에 대해 잘 알고 있어야 합니다. 자기가 보안 담당자가 되어야죠. 그리고 회사가 정한 보안 정책을 회사에서처럼 지켜야 하며, 수상한 메일을 열거나 링크를 클릭하는 일을 자제해야 합니다. 출처가 확실치 않은 이동식 드라이브를 함부로 꼽는 것도 하지 말아야 하고요.”

미국의 국가 사이버 보안 연맹(National Cyber Security Alliance)에서 총괄을 맡고 있는 러셀 슈레이더(Russell Schrader)는 이러한 ‘사이버 봄맞이 청소’에 대해 “기기들을 깨끗하게 청소해내는 것도 중요하지만, 그런 청결도를 항상 유지해야 하는 것이 더 중요하다”고 강조한다.

“기기의 청소는 1회성 작업이 아닙니다. 사이버 공격이 들어오는 타이밍에 맞춰서 미리미리 청소할 수 있다면야 좋지만, 그 타이밍을 우리가 아는 게 아니니까요. 그래서 ‘공격이 이미 들어와 있다’고 생각하는 것이 요즘 보안 업계의 추세입니다. ‘지금 공유되고 있는 이 문서나 동영상이 누군가의 공격 시도는 아닐까?’하고 의심하고, 확인하고, 그 후에 열어봐야 하는 것이죠.”

슈레이더는 “실제 청결을 유지하는 것과 사이버 환경을 깨끗하게 지키는 것은 상당히 비슷하다”고 말한다. “집이나 자기 책상을 깨끗하게 유지하는 사람들과 그렇지 못한 사람들의 차이는 무엇일까요? 습관 차이입니다. 치우는 게 습관이 되어 있으면 조금이라도 어질러져 있는 걸 민감하게 알아채고 행동을 곧바로 취하게 됩니다. 그리고 깨끗하니까 더러운 게 더 눈에 잘 띄고요. 사이버 환경도 똑같아요.”

ISACA의 다운즈와 NCSA의 슈레이더는 본지에 애플리케이션을 어떻게 최신 버전으로 유지하는지, 공공 핫스팟은 어떻게 처리해야 하는지, 가정용 라우터는 어떤 식으로 관리하는지 등 사이버 환경 청소를 위한 8가지 실전 팁을 제공해 주었다.

1. 회사의 보안 정책을 알아두라
회사에 보안 정책이 있는지 먼저 알아보자. 대부분 노동 계약이나 근로 조건은 민감하게 들여다보지만 보안 관련 계약 사항들에는 그 반만큼도 관심을 갖지 않는다. 집에서 근무해야 할 일이 생겼을 때, 모바일 기기로 상사가 시도 때도 없이 연락을 해서 나를 반 강제적으로 재택근무자로 만들었을 때, 혹은 프리랜서로서 특정 회사와 프로젝트 계약을 했을 때, ‘내가 지켜야 할 보안 실천 사항들’을 묻거나 조사하는 것이 습관처럼 자리 잡아야 한다. 회사에서 제공하는 기기 혹은 데이터를 활용해야 하기 때문이다.

사실 회사가 “집에서나 원격에서 근무할 때는 회사가 제공한 기기와 장비만 사용해야 한다”고 정해주는 게 회사나 직원 입장에서 가장 편리하다. 회사가 설정해주고 실험까지 마친 컴퓨터로, 회사 네트워크에 접속해 회사 데이터를 가지고 일을 하면 - 직원이 스스로 장비를 해킹하지 않는 이상 - 가장 안전하다.

하지만 집에서 아무렇게나 굴러다니는 컴퓨터나 노트북, 배우자의 스마트폰 등으로 오피스 365나 구글 앱스를 실행시키는 것이 대부분 현실이다. 회사 데이터를 가지고 작업한 컴퓨터로 가족 중 누군가는 쇼핑도 하고, 온라인 게임도 하고, 이메일도 보낸다. 한 장밖에 없는 소중한 사진을 거실에 놓고 이 사람 저 사람 아무렇게나 보고 만지게 하는 것과 다름없다. 회사가 ‘특정 기기’ 혹은 ‘특정 소프트웨어’만 사용하라고 정하면, 불편하더라도 지켜야 한다. 당신이 다루는 그 데이터가 회사 입장에서는 함부로 다룰 수 없는 소중한 자산이다.

또한 보안 관련 정책들을 지키지 않으면 대부분의 경우 계약 위반이 된다. 일부러 법을 어기는 사람도 많지만, 몰라서 지키지 못하고 벌금을 내거나 벌을 받는 사람들도 수두룩하다. 노동력을 제공하면서 범법자가 되지 않기 위해서라도 직원이나 프리랜서로서 반드시 지켜야 하는 보안 사안들을 숙지하는 건 늘 1순위다. (그리고 정말 회사에서 ‘회사가 제공한 기기만 업무에 사용해야 한다’고 정했다면, 상사가 밤에 일을 시켜도 할 수 없다고 말할 수 있다.)

2. 모든 시스템의 최신화
보안의 기본 중 기본은 업데이트 및 최신화다. 그리고 이는 보안에 대한 특별한 전문지식이나 기술이 없는 일반 사용자가 할 수 있는 가장 중요하고 효과적인 보안 실천 사항이다. 여기서 말하는 건 회사 업무에 사용하는 소프트웨어 업데이트만이 아니다. 집에서 사용하고 있는 컴퓨터 OS는 물론, 그 컴퓨터에 설치된 모든 소프트웨어를 말한다. 오피스나 아래한글만 업데이트 해봐야 해커들은 다른 구멍을 통해서 침입할 수 있다.

현재 만들어지고 배포되는 소프트웨어 업데이트란 대부분 ‘보안 업데이트’ 성격을 가지고 있다. 단순 기능 추가면 ‘애드온’이라는 용어가 더 널리 사용된다. 현대의 해커들은 이미 널리 알려진 취약점들 중 패치가 안 된 것을 주로 파고들기 때문에 제조사가 배포한 패치를 얼른 얼른 해내는 건 실제로 방어에 탁월한 효과를 가지고 있다. 그저 일반 사용자가 할 수 있는 게 업데이트 버튼 누르는 것뿐이라 업데이트를 강조하는 게 아니다.

업데이트만큼 중요한 건 시스템 보안 스캐닝을 주기적으로 하는 것이다. 최소 한 달에 한 번 전체 시스템 스캔을 해보도록 하자. 시간이 적지 않게 들 것이다. 하지만 가치는 분명하다. 시스템 스캔을 스스로 할 수 없다면, 이 날만큼은 회사에 방문해 IT 부서에 맡기도록 하자.

3. 내가 있는 현재 환경 이해하기
프리랜서나 원격 근무자의 로망 중에 하나는 커피숍에서 노트북으로 우아하게 작업하는 것이다. 하지만 보안의 제1 원칙은 스타벅스에서 제공하는 공공 핫스팟을 절대로 사용하지 말라는 것이다. 스타벅스의 핫스팟을 사용하고 싶다면 반드시 VPN을 사용해야 한다. 누구나 사용이 가능한 공공 핫스팟 망, 암호화되지 않은 핫스팟에 올라타면, 데이터 탈취 가능성이 크게 올라가기 때문이다.

또한 스타벅스에서 근무할 때 지켜야할 제2 원칙도 있다. 바로 물리적인 기기 도난에 주의하는 것이다. 사람 북적한 커피숍에서 자리 잃지 않기 위해 잠깐 기기들과 짐가방을 두고 화장실에 갔다 왔더니 몽땅 없어졌다는 이야기를 몇 번 들어봤을 것이다. 특히 범죄율이 높은 지역으로 출장을 간 경우, 이런 식으로 컴퓨터와 데이터를 잃는 임직원들이 많다. 내가 지금 있는 곳이 어디인가를 잘 이해한다는 건 물리적인 요인도 포함하는 얘기다.

4. 네트워크 알기
공공 핫스팟이나 집에서 일할 때, 연결된 네트워크 상태를 알아두는 것도 중요한 일이다. 특히 와이파이 쪽 아이콘에 낯선 SSID가 팝업창처럼 뜨는지 눈여겨봐야 한다. 즉, 지금 내가 이상한 네트워크에 연결되어 있는 건 아닌지 항시 확인해야 한다는 것이다. 공공 장소는 여러 와이파이 서비스가 얽혀 있기 때문에 나도 모르게 의도치 않은 네트워크에 접속되는 때가 있다. 해커들은 이 점도 노릴 수 있다.

여기에 부록처럼 따라붙는 또 다른 주의 사항이 있다. 내가 사용 중에 있는 애플리케이션들도 잘 알고 있어야 한다. 나도 모르는 보안 애플리케이션이 갑자기 화면에 뜨더니 시스템을 스캔하기 시작하면 뭔가 이상하다는 생각을 해야 한다. 그 외에도 내가 못 본 프로그램에서 경고를 보내서 사용자보고 클릭하라고 유도한다거나, 잘 아는 프로그램인데 평소와 다른 경고 메시지를 내보낼 때도 수상하다는 걸 느껴야 한다.

5. 컴퓨터 속 캐시 정리하기
캐시는 전부 제거하는 게 가장 안전하다. 인터넷 브라우징 시 사용되는 캐시가 저장되어 있으면 인터넷 사용이 조금 더 편해질 수는 있지만, 그 정도가 크지 않다. 그 약간의 편리함을 위해 수개월 동안 캐시를 저장해둘 필요가 없다. 캐시에 저장된 것들이 많으면 많을수록 멀웨어는 숨을 곳이 많아진다. 또한 캐시를 제거하면서 가장 최신화된 웹사이트를 방문할 수도 있게 된다. 이 역시 보다 안전한 생활습관이다.

6. 쿠키 삭제하기
페이스북의 프라이버시 스캔들 때문에 난리가 난 상황이라는 건 지금쯤 대부분 사용자들도 알고 있을 것이다. 솔직히 그런 프라이버시 침해와 사용자 추적을 해온 건 페이스북만이 아니다. 우리가 아는 어지간한 업체들 전부 그러한 일들을 행해오고 있다. 느껴지지 않아서 그렇지 지금은 프라이버시 침해의 시대라고 해도 과언이 아니다. 그러므로 추적당하기 싫은 사용자라면 브라우저 내 쿠키를 선택적 혹은 전체적으로 지우는 것이 현명하다. 쿠키 정보는 누군가에게 굉장히 큰 값어치가 있을 수 있다.

하지만 어떤 웹사이트들은 쿠키가 있어야지만 원활한 사용이 가능하다. 예를 들어 페이스북과 같은 경우 서드파티 쿠키를 전부 차단하면 사용할 수 없게 된다. 그러므로 쿠키를 차단하거나 특정 웹 서비스를 포기하거나, 선택해야 할 때가 있다. 이는 전적으로 사용자 자신의 문제다. 추적을 허용하면서까지 이용할 가치가 있는가 꼼꼼하게 생각해보라.

7. 비밀번호 다시 보고, 이중 인증 고려하고
수년 동안 보안 전문가들은 비밀번호를 어렵게 사용하고, 자주 바꾸라고 권장해왔다. 하지만 바로 작년 NIST는 비밀‘번호’가 아니라 비밀‘문장’을 사용하라고 이를 정정했다. 또한 문장이 길면 길수록 강력하다고도 설명했다. 비밀‘문장’을 사용하면 해커들이 크랙하기가 더 어려워지고, 동시에 사용자는 기억하기가 더 용이해진다.

자신이 좋아하는 시구나 노랫말 가사로 비밀‘문장’을 정해도 되지만 보안 전문가들은 ‘보다 개인적이고, 자기만 알 수 있는 내용’을 더 추천한다. 누구나 아는 유명한 문장보다 나만 알고 있는 문장을 깨는 게 더 어려운 건 당연한 일이다. 또한 은행이나 회사 데이터베이스 로그인과 같은 경우는 이중 인증을 고려하는 것도 좋다. 실제로 금융권은 거의 대부분 이중 인증 체제를 굳힌 상태이기도 하다.

8. 라우터 확인하기
주로 집에서 많이 근무하고, 기업과 주기적으로 연락을 주고 받는 직원이라면 라우터 비밀번호를 주기적으로 바꾸는 습관이 필요하다. 또한 그 라우터가 2~3년 이상 된 것이라면 통신사에 연락해 새 것으로 교체해달라고 요청하는 것도 좋다. 이중 대역이 가능한 모델이라면 더 좋다. 최신식 이중 대역 모델 라우터를 사용하고, 한 달에 한 번은 비밀번호를 바꿔놓자. 이 때 라우터를 직접 고를 수 있다면 펌웨어 업데이트가 잘 되는 회사 것을 고른다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>