이젠 링크 누르지 않아도 해킹… '그놈'에게 안 당하려면 의심 또 의심

올해 들어 통신사, 금융사, 유통사 할 것 없이 사이버 공격을 당하고 있다. 고객들의 개인 정보가 유출되는 사건이 잇따르면서 피싱·해킹 등의 공격 대상이 되는 개인도 늘고 있다. 개인 정보 유출이 금전적 피해로 이어질지 모른다는 우려도 커진다. 최근에는 링크를 클릭하거나 파일을 열지 않아도 소프트웨어의 취약점을 찾아 침투하는 ‘제로클릭(zero click)’ 해킹까지 등장하면서 수법이 나날이 고도화되고 있다. 스마트폰 외에도 스마트TV, AI(인공지능) 스피커 등 스마트 기기가 일상화하면서 취약한 보안에 대한 우려가 더 커지는 상황이다.

해킹은 개인이 대응하기 사실상 어렵다. 경찰청조차 홈페이지에 “해킹을 완벽히 막을 수 있는 프로그램은 사실상 없다”고 안내할 정도다. 전문가들은 “식상하고 단순하겠지만, 기본적인 보안 수칙을 잘 지키는 것이 우선”이라고 말한다. 정부 기관 등의 가이드라인과 전문가 조언 등을 바탕으로 개인 정보와 자산을 보호하기 위해 지켜야 할 사이버 보안 수칙 7가지를 정리했다.

◇기본 중의 기본, 비밀번호 관리

①나만의 비밀번호 만들기

해커의 가장 기본적인 공격은 비밀번호를 알아내는 것이다. 허술한 비밀번호는 도둑에게 대문을 활짝 열어 놓고 훔쳐 가라고 독려하는 것과 같다. ‘1234′나 생일, 반복 패턴 같은 단순한 비밀번호는 금물이다. 영어 대문자, 소문자, 숫자, 특수문자를 조합해 가능한 한 길게 만들어야 한다. 수많은 비밀번호를 일일이 다 기억하기 어렵다는 이유로 같은 비밀번호를 여러 사이트에서 돌려 막기 하는 것도 위험하다. 하나의 비밀번호가 털리면 모든 비밀번호가 털릴 수 있다.

②2단계 인증(2FA) 의무화

전문가들은 아이디와 비밀번호가 언제든 유출될 수 있다는 가정하에 보안 계획을 세우라고 조언한다. 2단계 인증은 문자메시지나 별도의 인증 앱을 통해 추가적인 본인 확인을 거치게 한다. 이에 따라 1차 관문인 비밀번호가 뚫리더라도 계정 보호를 할 수 있다. 금융 정보와 개인 정보가 집약된 구글·네이버·카카오 등 플랫폼의 핵심 계정엔 반드시 2단계 인증을 설정하는 것이 좋다. 각 사이트의 설정 또는 ‘내 정보’ 메뉴에서 ‘보안’을 선택하면 2단계 인증을 어떻게 하는지 방법을 찾을 수 있다. 예를 들어 네이버의 경우 닉네임 옆 ‘내 정보’를 클릭한 후 보안 설정 탭으로 이동해, 2단계 인증 항목의 관리하기를 클릭하면 된다. 네이버앱 알림으로 인증이 가장 간편하다.

◇‘디지털 금고’ 스마트폰과 PC

스마트폰과 개인 컴퓨터는 개인 정보의 집합체다. 사실상 디지털 금고다. 스마트폰과 PC 역시 기본 보안 수칙만 지켜도 해킹 위험을 크게 줄일 수 있다고 전문가들은 지적한다.

③소프트웨어 업데이트 생활화

가장 기본적인 것이 소프트웨어 업데이트 생활화다. 귀찮다는 이유로 업데이트를 미루는 경우가 많다. 그러나 취약점을 드러내는 대부분 결함과 랜섬웨어(이용자 컴퓨터를 해킹하거나 데이터를 암호화하고 나서 돈을 요구하는 악성 코드)는 제조사가 배포하는 최신 소프트웨어 업데이트를 통해 대체로 해결할 수 있다고 전문가들은 말한다. 보안 프로그램도 최신 랜섬웨어 등에 대응해 만들어지기 때문에 수시로 업데이트하는 것이 좋다.

④휴대폰 보안 설정 활용, 앱 다운로드는 공식 마켓에서

스마트폰 제조사는 악성 앱과 외부 공격을 막기 위한 방어 기능을 내놓고 있다. 주요 기능을 활성화해 놓는 것도 해킹을 막을 강력한 수단이다.

삼성전자 스마트폰인 갤럭시 사용자의 경우 ‘보안 위험 자동 차단’ 기능이 있다. 스마트폰의 설정 앱에 들어가 ▷보안 및 개인 정보 보호를 누르고 ▷보안 위험 자동 차단을 활성화하면 출처 불명의 악성 앱 설치를 원천적으로 차단하는 역할을 한다. 또 USB 케이블로 전달되는 명령을 차단하고, 비공식 소프트웨어 업데이트도 차단 가능하다. 단말기 출시 때부터 활성화가 되어 있다. 보다 정교하게 사이버 공격을 차단하고 싶다면 ‘최대 제한’ 기능을 활성화하면 특별히 강화된 보안을 사용할 수 있다. 다만 이 기능을 켜면 스마트폰 일부 기능을 사용할 수 없다는 점을 고려해야 한다.

아울러 앱은 반드시 ‘구글 플레이스토어’나 ‘애플 앱스토어’ 같은 공식 마켓에서만 내려받아야 한다. 출처가 불분명한 파일을 설치하면 악성 코드가 숨어 있을 위험이 있다. 설정 앱에 들어가 ▷보안 및 개인 정보 보호를 누르고 ▷기타 보안 설정으로 들어가 ▷출처를 알 수 없는 앱 설치에서 설치 차단을 설정해 공식 스토어가 아닌 경로를 통해 내려받은 앱 설치를 막을 수 있다.

스미싱 등의 위험을 줄이고 싶다면 메시지 앱에 들어가 세로 점 세 개를 클릭해 설정에 들어가서 ▷추가 설정▷‘링크 열기 허용’ ‘연락처에서 보낸 웹링크 미리 보기’ 기능을 꺼 놓으면 악성 링크를 실수로 클릭하는 것을 막을 수 있다.

⑤공용 와이파이·PC 사용 주의

카페·공공장소 등의 공용 와이파이나 공용 PC로는 민감한 작업을 하지 않는 걸 추천한다. 공용 와이파이는 암호화되지 않을 경우가 많아 해커가 통신 내용을 가로채기 쉽다. 심지어 악성 코드가 침투한 뒤 다른 공용 와이파이를 통해 전파될 수도 있다. 공용 PC의 경우 사용자의 키보드 입력 내용이 해커에게 전송되는 ‘키로거’에 노출될 가능성을 주의해야 한다. 특히 소프트웨어가 아닌, PC와 키보드 사이에 작은 장치를 연결하는 하드웨어 형태일 경우 프로그램으로 감지할 수 없어 더 위험할 수 있다.

◇의심하고 또 의심해야… 피싱·스미싱 간파하기

⑥의심 링크 조심

전문가들은 문자메시지 등에서 다른 페이지로 이어지는 링크를 누르기 전에 일단 멈추고 생각해보라고 조언한다. 한국인터넷진흥원이 운영하는 카카오톡의 ‘보호나라’ 채널을 이용하면, 내가 받은 문자의 전문을 복사해 붙여 넣었을 때 피싱 가능성이 있는지 미리 판단해준다. 링크를 클릭했을 때 로그인 페이지 상단 주소창이 ‘http’로 시작한다면 의심해볼 필요도 있다. ‘https’와 다르게 ‘http’는 데이터를 암호화하지 않고 보내는 프로토콜이라 금융·쇼핑·로그인 등 민감한 정보가 오가는 사이트에서는 ‘https’를 쓰는 게 일반적이기 때문이다.

⑦복사한 개인 정보는 수시로 지우기

메시지에 복사해둔 개인 정보도 관리해야 한다. 메시지로 계좌 번호나 비밀 번호 등을 복사해 보내는 경우가 많은데, 이 내용은 ‘클립보드(복사한 데이터를 임시 저장하는 공간)’에 자동으로 저장되고 악성 프로그램의 표적이 될 위험이 있다. 이 때문에 클립보드 내 데이터는 정기적으로 지워주는 것이 좋다. 메시지를 보내는 곳에서 ‘클립보드’ 창을 선택해 삭제할 수 있다.