직장, 가정, 그리고 이동 중 디지털 기기의 보안과 관련해 모두가 알아야 할 가장 중요하고 기본적인 개념들귀중품은 자물쇠와 경보장치로 잘 간수해야 한다는 건 상식이다. 하지만 사이버 보안에 관한 한 어찌할 바를 모르는 사람이 많다. 이상할 게 없다. 사이버 보안 업계에서 사용하는 시스템과 용어가 랜섬웨어, DDoS 공격, 가상사설망(VPN) 또는 해싱(hashing)처럼 처음에는 이해하기 어려울 수 있기 때문이다. 여기서는 사이버 보안에서 모두가 알아야 할 가장 중요한 개념을 개괄적으로 살펴본다.

필요는 기술발전의 강력한 원동력이다. 요즘의 디지털 환경에선 사이버 보안이 필수 요소가 됐다. 세상의 위협 요인이 급증하면서 나날이 커지는 위험한 네트워크로 진화했다. 이는 기업을 겨냥한 사이버 공격과 데이터 유출의 급증에서 명백히 드러난다. 그러나 사이버 공격은 기업만 대상으로 하지 않는다. 디지털 기기를 소유하는 사람은 누구나 사이버 공격 피해의 위험을 안고 있다. 따라서 모두가 적어도 기본적인 사이버보안 조치에 좀 더 익숙해질 필요가 있다. 요즘엔 거의 누구나 어디를 가든 심지어 화장실에도 스마트폰을 들고 간다. 사람들은 금융정보와 사회보장 번호 같은 귀중한 데이터뿐 아니라 가끔 사적인 사진까지도 디지털 기기에 저장한다. 그 모두가 엉뚱한 사람 손에 들어가 공갈·협박이나 신용카드 도용에 사용된다고 상상해 보라. 이는 ‘만일’의 시나리오가 아니라 세계적으로 매일 일어나는 일이다. IT 전문가뿐 아니라 모두가 사이버 안전에 신경 써야 한다는 뜻이다.

사이버 보안이 복잡해 보일지 모르지만 모든 것을 다 알 필요는 없다. 정확한 작동 메커니즘을 몰라도 금고를 사용할 수 있는 것과 같은 이치다. 그것이 효과가 있는지만 알면 된다. 여기서 설명하는 것과 같은 기본적인 개념은 익히기 쉽다. 또한 디지털 기기를 사용하는 모든 사람이 알아야 할 만큼 중요하다. 거의 모두가 집에서든 직장에서든 평생에 적어도 한 번 이상 사이버 공격을 받는다. 이런 공격은 사기성 이메일 메시지부터 데이터를 훔쳐내고 기기를 장악하는 해킹 소프트웨어까지 다양하다. 이런 공격을 하는 이유도 각양각색이다. 돈을 훔쳐내거나 ‘인질’의 몸값을 뜯어내려는 사람이 있는가 하면 재미 삼아 그리고 그러고도 꼬리를 밟히지 않을 수 있는지 알아보려는 사람도 있다.

피싱(Phishing): 실행하기가 아주 쉬워 현재 가장 널리 사용되는 사이버공격 중 하나다. 피싱 공격은 소셜미디어부터 게이밍 포럼에 이르기까지 어떤 플랫폼에든 발송되는 메시지를 수반한다. 피싱 공격은 특정인을 타깃으로 삼거나(스피어 피싱) 더 일반적인 사기의 형태를 띨 수 있다. 대체로 이들은 수신자가 뭔가를 클릭하고 내려받고 또는 민감한 정보를 공개하도록 하는 수법을 수반한다.



멀웨어(Malware): 여러 가지 형태지만 이 용어는 단말기나 네트워크에 침투하는 온갖 유형의 소프트웨어를 가리킨다. 이 악성 소프트웨어는 다양한 방식으로 유포될 수 있다. 예컨대 합법적인 소프트웨어처럼 위장하거나 다른 감염 파일이나 기기를 통하는 식이다.



무작위대입공격(Brute Force Attacks): 이 또한 아주 보편적인 공격으로 해커가 로그인 정보를 추측하려 시도하는 방식이다. 자동화된 절차로 보통 널리 쓰이는 단순한 패스워드들을 이용한다. 이런 유형의 공격에선 해킹을 통해 빼돌린 인증정보도 종종 이용된다.



도청공격: 때때로 해커들은 네트워크를 이동하는 데이터를 가로채 네트워크 연결을 도청하려 한다. 도청자들은 언제든 네트워크로 유입되는 어떤 데이터든 ‘도청’하고 훔쳐낼 수 있다. 거기에는 신용카드 정보, 비밀번호 그리고 기타 개인 데이터 등이 포함될 수 있다. 해커와 온라인 사기꾼들은 개인용과 업무용 기기를 가리지 않는다. 그들은 누군가를 자신들의 덫에 걸리게 하는 데만 신경 쓴다. 이런 유형의 공격을 방어할 때는 포괄적인 접근법이 필요하다는 의미다.

직장에서 사이버 보안으로 업무 보호하기: 근무하는 회사에 보안을 담당하는 IT 부서가 있든 없든 자신에게 주어진 역할을 해야 한다. IT 부서가 회사 네트워크와 시스템의 안전을 지키는 데는 한계가 있으며 사람들이 온라인에서 무엇을 하는지는 그들도 통제하지 못한다. 개인 단말기를 이용할 때는 더 말할 필요도 없다. 기업의 보안은 항상 그곳 근무자들의 총체적인 노력으로만 가능하다. 직원과 동료들에게 그들이 직면한 위험에 관해 통지하고 몇 가지 사이버 보안 정보를 공유함으로써 그들을 보호하자.

· 조금이라도 의심스러운 이메일에는 답하지 말자. 마찬가지로 모르는 데서 온 파일을 내려받거나 링크를 클릭하지 말자.

· 모든 단말기와 계정에 고난도의 패스워드를 사용하고 가능하면 이중인증(2FA) 같은 추가적인 인증방식을 활용하자.

· 중요한 업무 데이터를 취급하는 기기에는 반드시 방화벽을 설치하고 항상 최신 파일로 업데이트하도록 하자.

· 항상 보안에 관해 IT 부서에 물어보자. 그들은 많은 경우 기꺼이 정보와 주의사항을 알려줄 것이다. 회사에 사이버 보안 정책이 수립돼 있지 않을 경우 그에 관해서도 물어보는 편이 좋을지 모른다.



가정의 사이버 보안: 자물쇠를 채우고 보안 카메라를 설치하는 것만이 가정 보안이 아니다. TV부터 냉장고에 이르기까지 인터넷에 연결되는 기기가 많아짐에 따라 가정 네트워크 보호도 그만큼 중요해졌다. 이런 기기들 자체는 대체로 안전하지 않다. 따라서 집주인이 전체 네트워크의 보안을 책임져야 한다. 프린터와 보안 카메라의 해킹은 이제 더는 새로운 뉴스가 아니다. 다행히 가정용 기기들을 보호할 방법이 있다.

· 암호화를 통해 가정용 네트워크를 도청 공격으로부터 보호한다. VPN 설치가 가장 쉽고 경제적인 방법이다. 가정용 라우터 또는 네트워크에 연결되는 모든 기기에 그 서비스를 설치해야 한다.

· 고급 방화벽 프로그램을 구입해 설치한다. 해킹 공격을 막는 1차 방어선이며 외부로부터의 원치 않는 네트워크 접근 요청을 차단한다.

· 인터넷에 연결되는 모든 기기 특히 보안 카메라와 아기 모니터의 기본설정 비밀번호를 변경한다.



개인 보안 문제: 사이버 보안은 가정이나 직장에서 끝나지 않는다. 개인의 문제이기도 하다. 사람들은 스마트폰·태블릿·스마트워치 같은 네트워크 연결 기기를 매일 휴대하며 거기에도 보안이 필요하다. 보유하는 모든 개인 단말기를 살펴 보안이 얼마나 잘 됐는지 평가해야 한다. 다음은 몇 가지 명심해야 할 점이다.

· 합법적으로 보일지라도 발신자를 모르거나 신뢰할 수 없는 소프트웨어 또는 앱은 내려받지 말자.

· 단말기의 앱과 프로그램 수를 최소화하고 사용하지 않는 것은 삭제한다.

· 앱과 소프트웨어를 정기적으로 업데이트해 발생할지 모르는 보안 문제를 피하도록 하자.

· 안티바이러스, 이메일 암호화 소프트웨어, 패스워드 매니저 같은 추가적인 보안 소프트웨어를 이용하자.

· 가능하면 항상 패스워드 보호와 ‘내 기기 찾기’를 설정해 놓자. 보안 유지는 디지털 생활의 모든 측면에 기본적인 사이버 보안 원칙을 적용하는 것을 의미한다. 이상의 지침이 많은 도움이 될 수 있지만 출발점에 불과하다. 정말로 안전한 라이프스타일을 위해서는 사이버 보안의 최신 트렌드 따라잡기는 필수다.

- 아이비타임즈 편집부

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지