전문가가 전하는 보안에 대한 '오해와 진실'

전문가가 전하는 보안에 대한 '오해와 진실'

- AhnLab 보안정보  2015년 4월 7일 -

일반인들의 보안 인식 수준은 어느 정도일까? 

정확한 이해와 피해 예방을 위해 사람들이 흔히 알고 있는 오해에 대해 보안 전문가가 진실을 전한다.

정보기술의 발전은 평범한 개인도 정보보안에 대해 고민하게 만든다. 보안취약점, 악성코드, 해킹사고 등 보안 이슈는 개인뿐만 아니라 국가의 안전을 위협하는 요소로 발전하고 있다. 게다가 북대서양조약기구인 나토(NATO)는 사이버 공격을 전쟁의 한 종류로 규정하고 교전 수칙을 제정하는 단계에 이르렀다. 반면 일반 사람들은 국내외 언론 및 온라인 매체들을 통해 매우 복잡하고 고도화된 사이버 공격 사례를 많이 접해서인지 자신의 정보기기를 지키기 위해 할 수 있는 일은 거의 없다고 느낀다. 이에 일반 사용자의 정확한 이해와 피해 예방 및 보안 인식 제고를 위해 정보보안에 대한 오해와 진실을 전한다.

1. 비밀번호는 별로 중요하지 않다?

대부분의 사람들은 대형 보안 사고가 발생할 때마다 자신과는 상관없다고 생각한다. 개인적인 사익을 노리는 해커는 대부분 기관이나 기업을 타깃으로 하기 때문이다. 그렇다면 개인은 타깃 공격에서 자유로울까? 틀린 말은 아니지만 꼭 그런 것만도 아니다.

일반 사용자를 대상으로 한 공격은 불특정 다수에게 무작위로 배포되는 악성코드거나 취약점 공격일 가능성이 높다. 이와 같은 공격은 일반적으로 개인정보 탈취를 통한 금전적 이득이 목적인 만큼 강력한 비밀번호와 2단계 인증을 사용하면 예방할 수 있다. 예를 들어 평소에 사용하는 웹사이트의 계정을 ‘패스워드 매니저 툴’에 저장하고 이 툴에서 생성하는 1회용 비밀번호(OTP)를 통해 웹사이트에 로그인하는 것도 하나의 방법이다. 또한 2단계 인증(예 : 비밀번호 + 문자메시지 인증)을 사용하여 이메일이나 SNS에 로그인하는 것도 효과적이다.

강력한 비밀번호는 대문자, 소문자, 숫자, 특수문자 조합으로 최소 8자리 이상으로 구성된 길고 복잡한 문자열로 구성하는 것이다. 귀찮다는 핑계로 간단한 비밀번호를 사용하는 이들이 다음의 표를 본다면 왜 복잡한 비밀번호를 설정해야 하는 지 이해가 빠를 것이다. 

▲ 패스워드를 깨는데 걸리는 시간    출처: https://howsecuritymypassword.net

2. 새로 구입한 노트북은 안전할까?

보안 관련 오해 중에는 새로 구입한 기기는 안전하다고 생각하는 것도 있다. 최근 레노버사는 노트북에 ‘슈퍼피시(Superfish)’라는 애드웨어(Adware)를 심어 판매했던 사실이 알려져 큰 이슈가 됐다. 슈퍼피시는 자체 루트(root) 인증서를 심어 사용자의 온라인 활동을 동의 없이 모니터링하기 때문에 백도어(back door)로 악용될 가능성이 높다. 지난 3월 초 발견된 ‘SSL FREAK’ 취약점은 1990년대 미국정부의 해외 수출용 암호화 키 길이 제한에서 비롯됐고 한국을 포함한 전세계를 떠들썩하게 했다.

결국 새로 구입한 노트북의 안전은 내부에 설치된 소프트웨어의 보안성에 달려 있다. 윈도 OS와 같은 소프트웨어는 수백만 줄의 코드로 구성돼 있는데 그 복잡성을 감안하면 보안 무결성을 보장하는 것은 거의 불가능하다. 개발자는 소프트웨어 전체에 단 한 개의 버그가 없도록 노력해야 겠지만 해커는 단 한 개의 취약점만 찾으면 된다. 따라서 소프트웨어는 항상 버그가 있고 그 중 영향력이 큰 것은 보안에도 막대한 영향을 미친다는 점을 염두에 둬야 한다. 또 새로 구입한 노트북이나 기기도 소프트웨어를 설치할 때 보안 패치나 백신 설치를 하면 좋다.

3. 백신 프로그램은 보안의 종결자?

많은 사람들이 오해하고 있는 것 중에는 백신 프로그램을 설치하고 업데이트만 하면 보안이 해결된다고 생각한다. 물론 어느 정도 보안에 도움이 되는 것은 사실이지만 완벽한 해결책은 아니다. 백신은 알려지지 않은 악성코드에 대한 선제적 예방 솔루션이 아니라 알려진 악성코드에 대한 대응적 방어책이기 때문이다.

일반적으로 백신은 각 보안업체에서 분석한 악성코드의 정보를 바탕으로 악성코드의 ‘블랙리스트’를 만들고, 이를 백신에 반영한다. 이를 기반으로 백신이 설치된 PC를 스캔하고 ‘블랙리스트’에 해당하는 악성코드를 검출해내는 방식을 사용한다. 즉, 백신의 악성코드에 대한 대응은 1)새로운 악성코드 접수 및 수집 2)악성코드 분석 3)악성코드 리스트 업데이트 및 백신 엔진에 업데이트하는 단계를 거친다. 대부분 악성코드 접수에서 엔진 반영까지 시간 차가 발생할 수밖에 없다. 해커는 타깃으로 삼은 기업의 백신이 잡지 못하는 악성코드를 찾아내 공략하기 때문이다. 하루 평균 15~50만개 사이의 신·변종 악성코드가 만들어지고 있어 백신 업체는 매일 악성코드와의 전쟁을 치르고 있다고 해도 과언이 아니다.

최악을 피하는 차선책은 많은 보안 전문가들의 조언처럼 백신 프로그램을 설치하고 최신 엔진으로 유지하는 것이다. 이는 보안의 기본이면서도 가장 중요한 예방책이다.

​

4. 그러면 백신은 아무 소용 없다?

이러다 보니, 일각에서는 지능형 위협 공격(APT)에 대해 백신이 소용 없다고 생각하는 경우가 많다. 하지만 이는 대단히 위험한 발상이다. 백신은 이미 알려진 보안 위협에 대한 기본적인 방어책이다. 백신이 없다면 인터넷에서 쉽게 구할 수 있는 매우 낮은 단계의 해킹 툴 등에도 개인의 PC나 조직의 방어막이 쉽게 뚫릴 수 있기 때문이다.

또한 3.20 사태와 같이 최근의 APT 공격은 기업 및 조직의 서버나 네트워크에 직접 침투하는 것이 아니라 개인 PC에 먼저 침투하고, 내부 중요 IT인프라에 침입하는 방식이 주를 이루고 있다. 이러한 경향에 기반해 많은 전문가들은 최초 감염단계가 APT 공격에서는 매우 중요하게 생각한다. 따라서 백신은 소용 없는 것이 아니라 백신만으로는 부족하다라는 의미로 이해해야 한다.

위에서 언급했던 것처럼 백신이 보안을 100% 완벽하게 해결해 주진 못하지만 기본 방어막은 될 수 있다. 따라서 사용자는 항상 백신을 최신 엔진으로 유지하고 사용 중인 소프트웨어의 보안 패치도 새롭게 추가될 때마다 적용해야 적어도 알려진 악성코드에 대해서는 안전하다.

​

<참고 사이트>

http://gizmodo.com

- AhnLab  ASEC 대응팀 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?curPage=1&menu_dist=2&seq=23519&dir_group_dist=0>