[보안] 내가 해킹 당한 적 1번도 없는 이유 - 아이디와 비밀번호 관리, 인터넷 이용시 주의사항

당신이 꼭 기억해야 할 3가지 법칙

  • 편리함과 보안은 반비례한다. (당신이 편리할수록 보안성은 낮아진다.)
  • 불편함과 보안은 비례한다. (당신이 불편할수록 보안성은 높아진다.)
  • 보안과 관련하여 100% 안전은 세상에 존재하지 않습니다. 다만 100% 안전에 가까워지려고 노력하는 것 뿐입니다.

개인의 안전은 개인 스스로

저는 개인정보보호와 보안을 매우 중요하게 생각하여 개인이 실행할 수 있는 최대한의 방법으로 스스로를 지키려고 노력하고 있습니다. 물론 개인 차원에서 실행하고 있는 방법이기 때문에 조직적으로 누군가 저를 타겟을 삼거나 제 스스로 인지하지 못한 상황에서 발생할 수 있는 부분에 대해서는 보안의 한계가 있음을 미리 밝힙니다.

이번에는 보안과 관련된 내용 중 ID와 Password 관리, 로그인 등과 관련된 부분만 적고 재미있고 알고나면 신기한, 흥미로운 따분하고 방대한 기술적인 부분은 제외합니다. 다음 편에 개인정보보호와 관련하여 글을 적을까 하며 이 글이 개인정보보호의 기본이 되는 내용이긴 합니다. 제가 실제로 하고 있는 내용이기도 하고 최대한 보수적으로 관리를 하기 때문에 그대로 따라하시면 매우 불편할 수는 있으나 그만큼 보안성이 높아집니다. 이런 것이 있구나라고 참고만 하셔도 좋지 않을까 싶어 작성해봅니다.


ID, Password 는 다음과 같이 생성 및 관리

  • 아이디 및 패스워드는 각 사이트마다 각각 모두 다르게 합니다.

아이디 및 패스워드가 사이트마다 모두 같다면 1개의 사이트가 해킹으로 인해 계정 정보가 유출된 경우를 상상해 보세요. 생각보다 많은 사람들이 아이디 및 패스워드를 똑같이 사용하고 있습니다.

  • 패스워드는 가급적 해당 사이트에서 허용하는 최대의 길이로 영문 대소문자, 숫자, 특수문자를 혼합하여 랜덤하게 만들어 사용합니다. 본인만의 패스워드 생성 규칙을 만들어 사용할 수도 있겠으나 저는 계정관리 프로그램을 이용하여 패스워드를 생성하고 관리하는 것이 효율적이라고 생각합니다.

사이트마다 패스워드의 최대 길이가 15자, 20자, 30자 등으로 길이를 제한하거나 특수문자 사용을 제한하는 경우가 있습니다. 패스워드를 생성할 때 사이트에서 제한한 기준을 확인하고 최대한의 기준으로 패스워드를 생성합니다.

ZUdR#&WVJEN'sPt%LCb@*G@@'7JwUR(바람직한 패스워드의 좋은 샘플)

간단하게 랜덤 패스워드를 생성하고 싶거나 어떤 패스워드가 좋은 예인지는 다음의 사이트들을 통해 알아 볼 수 있습니다. Random 1 / Random 2 / Random 3 / Random 4
계정관리 프로그램을 이용하면 다양한 방법으로 랜덤 패스워드를 생성하고 아이디와 패스워드의 관리가 그룹별, 용도별로 관리되어 더 편리하고 효율적입니다.


  • ID 및 Password를 위해 계정관리 프로그램을 이용합니다.

앞서 말한 2가지의 방법으로 관리를 하면 본인 스스로의 아이디와 패스워드를 기억하지 못하는 상황이 발생합니다. 그래서 계정관리 프로그램을 사용하게 되는데 크게 2가지 종류로 나뉘며 유료 또는 무료로 사용 가능합니다. 대체적으로 온라인으로 관리되는 프로그램은 유료입니다. 물론 엑셀파일에 잘 정리해서 암호화시켜 사용할 수도 있습니다만 비효율적입니다.

당신이 꼭 기억해야 할 3가지 법칙을 지금도 기억하고 계십니까? 복습 한번 해보겠습니다.

  • 편리함과 보안은 반비례한다. (당신이 편리할수록 보안성은 낮아진다.)
  • 불편함과 보안은 비례한다. (당신이 불편할수록 보안성은 높아진다.)
  • 보안과 관련하여 100% 안전은 세상에 존재하지 않습니다. 다만 100% 안전에 가까워지려고 노력하는 것 뿐입니다.

온라인에서 관리되는 프로그램은 컴퓨터, 모바일 기기마다 클라우드 서버에 저장되며 각 단말기에 동기화되기 때문에 사이트마다 접속시 간단하게 아이디와 패스워드가 입력되는 등의 편리함이 있습니다. 매우 유명하고 많은 사람들이 사용하는 유료 프로그램인 Lasspass는 지난 2015년 해킹되어 패스워드 DB가 유출된 사례가 있으며 더불어 유명한 1Password의 개인정보 유출 가능성이 제기된 사건 등과 같은 일련의 불안감으로 저는 온라인으로 관리되는 프로그램을 비추천합니다.

이렇듯 유료로 온라인에서 관리되는 프로그램도 믿을 수 없어서 당연히 저는 "오프라인 로컬"에서 관리되는 오프라인 계정관리 프로그램(무료)을 사용하고 있습니다. 오프라인 계정관리 프로그램(무료)은 아이디와 패스워드가 저장되는 DB파일이 컴퓨터에에 저장되어 관리되며 DB 파일은 강력한 알고리즘으로 암호화되어 있습니다. 오프라인 계정관리 프로그램(무료)은 유료로 온라인에서 관리되는 프로그램에 비해 다소 불편하지만 단축키를 활용하여 아이디와 패스워드를 자동으로 입력하는 등의 편리함은 가지고 있습니다.

  • 여러 사람이 사용하는 공용 컴퓨터를 사용할 때는 가급적 단순 정보 검색 용도로만 사용하며 크롬에서는 시크릿 모드 사용(단축키 Ctrl + Shift + N), 익스플로러에서는 InPrivate 모드 사용(단축키 Ctrl + Shift + P), Firefox에서는 사생활보호 모드(단축키 Ctrl + Shift + P)로 사용합니다. 공용 컴퓨터 및 신뢰되지 않는 상황에서는 절대 아이디와 패스워드를 입력하는 행동은 하지 않습니다.

겸사겸사 항공권 구매 팁도 알려드리자면 이 방법은 저렴한 항공권 구매할 때 사용해도 좋은 방법입니다. 보통 항공권 구매할 때 사용자 쿠키를 통해 잦은 접속과 잦은 검색을 해당 항공권 및 노선에 관심있는 것으로 서버에서 인식하여 가격을 점점 올려 보여주는데 그것을 방지할 수 있습니다.

  • 중요한 자료가 있는 컴퓨터라면 본인 이외에 다른 사람이 사용할 수 없도록 합니다. 컴퓨터를 다른 누군가가 사용할 일이 필요하다면 반드시 사이트나 프로그램에서 Logout(logoff) 합니다. 인터넷 사용기록(방문기록, 쿠키, 캐시)까지 삭제합니다.

  • 아이디와 패스워드를 입력할 때는 가급적 CCTV가 촬영할 수 없게, 주변의 사람이 볼 수 없도록 조치를 취합니다.

에드워드 스노든처럼 담요를 뒤집어 쓰고 타이핑하는 것이 가장 좋은 방법이지만 이렇게 하기에는 많은 용기(?)가 필요하기 때문에 계정관리 프로그램 사용을 추천합니다. 실제로 가끔 담요 같은 것 뒤집어 쓰고 입력하는 사람 여기 있습.... 프로그램이 아이디와 패스워드를 매크로 프로그램처럼 자동으로 입력하기 때문에 입력되는 패스워드를 손가락이나 키보드를 보고 유추할 수가 없습니다. 모니터를 본다면 아이디는 볼 수 있겠습니다.

  • 번거롭고 귀찮더라도 주기적으로 비밀번호를 변경합니다. 방법은 앞서 설명드린 방법과 동일합니다.

  • 살다보면 아이디와 패스워드를 누군가에게 잠깐이라도 빌려줄 때가 있습니다. 온라인으로 아이디와 비밀번호를 보내지 마세요. 보내지 마세요. 정말 정말 보내고 싶다면... 그리고 메신저를 통해 보내고 싶다면 암호화된 메시지 창에서 아이디는 A 메신저로~ 패스워드는 B메신저로~ 분할해서 보내세요. 그리고 이용이 끝나면 바로 패스워드를 변경하세요.


SSL(Secure Sockets Layer) 확인

  • SSL은 공개키 암호나 비밀키 암호, 디지털 증명서, 해쉬함수 등의 보안기술을 통해 데이터의 도청이나 위변조를 방지할 수 있습니다.

  • 최소한 로그인만이라도 SSL이 적용된 사이트를 이용합니다. 가급적 SSL 미적용 사이트 이용을 지양합니다.

  • 구분하는 방법은인터넷에서 접속할 때 주소칸(URL)에서 자물쇠 모양의 아이콘과 프로토콜이 http://가 아닌 https://로 시작한다면 SSL이 적용된 것입니다.

  • HTTPS Everywhere 웹브라우저 확장 프로그램 사용을 권장합니다.
    EFF(Electronic Frontier Foundation)에서 제공하는 웹브라우저 확장프로그램이며 암호화되지 않은 http를 사용하는 사이트를 접속할 때 https(SSL)로 접속한 것과 기술을 적용해줍니다.
    Install : Chrome / Firefox / Opera / Android(Firefox)


<HTTPS Everywhere 적용 전 ↑>


<HTTPS Everywhere 적용 후 ↑>

테스트를 위해 적합한 사이트를 찾던 중 해당 사이트가 예제로 보여주기 적합하여 첫 페이지만 테스트한 결과입니다. 첫페이지부터 SSL을 적용시키는 사이트도 있으며 로그인시부터 SSL을 적용하는 사이트도 있습니다. 해당 사이트는 첫페이지는 SSL이 적용 안되었지만 로그인시 SSL이 적용되어 안전함을 확인하였습니다. 해당 사이트에 제가 아이디를 가지고 있지 않아 로그인 이후는 확인하지 못했습니다.


VPN(Virtual Provate Network) 사용

  • VPN 또는 가상 사설망이라고 하며 이해하기 쉽게 설명하면 두 대 이상의 장치 간의 보안 터널입니다. VPN은 스누핑, 간섭 및 정부의 검열로부터 개인적인 웹 트래픽을 보호하는 데 사용됩니다. IP 주소를 숨기거나 접속하고 있는 위치를 숨깁니다. 두 장치간에 오고가는 데이터를 암호화하기 때문에 해킹으로부터 보호됩니다.
  • 사람들이 쉽게 알고 있는 내용은 중국과 같은 나라에서 특정 사이트에 접속을 제한하는 경우 VPN을 이용하여 접속이 하거나 한국에 Netflex가 진출하기 전에는 VPN을 이용하여 미국의 Netflex를 접속하여 시청하기도 했답니다. 무료로 직접 구축해서 사용하거나 다른 곳에서 제공하는 서비스를 무료로 이용 가능하지만 유료에 비해 서비스나 성능이 떨어지는 편입니다.
    ExpressVPN(유료 VPN제공회사 중 하나, 프로그램 이름)에서 말하는 VPN 에 대한 설명 이미지를 참고해주세요. (다소 부족하지만 쉽게 설명된 이미지가 이 회사 이미지라서 저작권 때문에 링크만 걸었습니다.)

각종 보안과 관련된 프로그램 사용

  • Anti Virus(Bitdefender, Kaspersky Lab, McAfee, Avira, Avast, ESET 등등)
  • Firewall(Windows 7 이상부터 기본 내장되어 있기도 하고 사용하는 Anti Virus 프로그램에 따라 기능이 포함될 수도 있습니다.)
  • AD Guard(광고차단, 트래커 차단, 브라우징 보안, 웹사이트 신뢰성 제공 등등)

온라인 해킹으로부터 99.99......% 안전한 방법

  • 컴퓨터, 노트북이라면 인터넷 랜선을 뽑으세요. Wifi Off 하세요.
  • 휴대폰이라면 Airplane Mode(비행모드)로 하세요. 물론 비행모드에서도 Wifi On 하시면 안됩니다. ^^

소제목이 너무 자극적일지 몰라도 농담반, 진담반입니다. 해킹으로부터 100%에 안전한 방법에 다가서려면 이렇게 어렵습니다.


@flightsimulator
이외에 더 적을 것이 있는데 일부러 안적는 것인지, 지금 당장 생각이 안나 안적는 것인지 모르겠습니다. 글로 적은 내용을 말로 설명하면 금방 끝나는데 글로 적으면 왜 이렇게 몇시간씩 소요되는지 모르겠습니다. 지금 제 메인 페이지에는 "Flight, IT, Eassay"라고 적혀있는데 지금까지 IT 관련 내용이 없어서 당분간은 IT 관련하여 글을 올릴까 합니다.

IT업종에 몸 담는 사람이 아니기 때문에 전문적은 글을 작성하지 못하고 일반인으로서의 그냥 얕은 지식을 적어보니 틀린 내용이 있거나 부족한 내용이 있더라도 양해 부탁드립니다.


2018년 2월 8일 11:04(UTC+9) 아래 내용 추가
곰곰이 생각해보니 이 글과 조금 관련 있는 제가 며칠 전부터 진행중인 ESET Smart Security 정품 프로그램 나눠드리는 [이벤트] 정품 프로그램 사용 권장 및 팔로워 100명 감사 이벤트가 조금 도움이 될까 싶어요. 혹시라도 참가 하실 분은... 이제 남은 시간이 1시간 밖에 남지 않았네요.

H2
H3
H4
3 columns
2 columns
1 column
57 Comments