우리는 지금 개인정보가 공공재가 된 시대에 살고 있다. 막대한 개인정보를 보유하고 있는 나태한 통신회사와 각종 스팸 그리고 크고 작은 회사들의 개인정보에 대한 빈약한 관리로 우리의 개인정보는 우리가 알든 모르든 꾸준히 새어 나가고 있다. 내가 제공하지 않은 개인정보를 최대한 제공하지 않는 것이 유출의 피해를 줄이는 방법이지만, 서비스 이용에 정보 제공은 필수인 경우가 많아서 선택이 선택이 아닌 경우가 흔하다. 뿐만 아니라 사용자 모르게 깔리는 백도어나 트로이 목마 같은 해킹 프로그램, 혹은 공유기 해킹 같은 일도 이젠 드문 일이 아니다.
문제는 과거에는 이와 같은 정보 유출이 소수의 해커들이 저지르는 일탈에 의해서 일어났다면, 지금은 국가 혹은 대기업 차원에서 개인정보의 수집과 유출이 일어나고 있다는 점이 다르다. 911 이후로 각국은 테러와의 전쟁에 돌입 했고 큰 규모의 테러 단체나 국지적인 자생 단체에 의한 각종 범죄에 대응하기 위해 인터넷과 모바일 등 각종 통신 라인에 대한 감시, 감독을 강화하고 있다. 특히 일부 국가에서는 경제적 힘을 앞세워 다국적 기업에게 압력을 넣고 각종 소셜 네트워크 서비스에 저장되어 있는 개인정보를 열람을 요구하는 일이 빈번하게 일어나다 보니, 개인이 아무리 패스워드를 관리하고 조심을 한다고 해도 한계가 있기 마련이다. 개인이 단말기 수준에서 벌이는 노력이 아무리 크다고 한들 서버를 열람해버리면 아무 소용이 없기 때문이다.
그럼에도 불구하고 여전히 개인이 정보 보호에 기울여야 하는 노력의 중요성은 여전히 크다. 국가나 전문 해커가 작정하고 들어오는 것은 막기 어렵다 할 지라도, 개인 수준에서 할 수 있는 모든 조치는 기본적으로 다 하는 것이 바람직하지 않겠는가?
다음은 개인이 할 수 있는 몇 가지 보안 조치들이다. 구체적인 방법까지 적지는 못하겠지만, 약간의 경각심이라도 얻어서 한번쯤 점검을 해본다면 유익이 있으리라 생각한다.
1. 공유기 기본 비번을 변경하라
가정에서 많이 쓰는 모뎀이나 공유기에는 기본적으로 공유기 관리를 위한 아이디와 비번이 지정되어 있는데, 몇 몇의 경우를 제외하고는 대부분 admin/admin으로 되어 있다. 공유기 관리 페이지는 기본적으로 랜이나 와이파이 혹은 외부망을 통해 진입이 가능하다. 그런데 공유기의 관리 아이디와 비번을 기본 상태로 두면 공유기 관리에 큰 허점을 방치하는 것이다. 공유기는 가정 내에서 혹은 가정에서 외부로 오가는 모든 정보가 거쳐가는 곳이므로 공유기가 탈취된다는 이야기는 가정 내 모든 기기를 오가는 정보가 탈취될 수 있다는 뜻이다. 그러므로 공유기를 세팅할 때, 가장 먼저 해야 하는 것이 공유기 관리 아이디와 비번을 변경하는 것이다.
수 년 전부터 공유기가 해킹 당하는 경우가 자주 일어나고 있다. 공유기가 해킹되면, 해커들은 파밍, DNS 변조 등을 통해서 사용자가 알지 못하는 사이에 위조된 사이트로 접속을 유도하여 사용자가 입력하는 모든 아이디와 패스워드, 금융정보와 개인 신상 정보까지 모두 가로챌 수 있게 된다. 그러므로 개인이 할 수 있는 방어의 첫번째 출발은 공유기를 지키는 것이다.
공유기의 기본 아이디와 비번을 변경하고, 보안 방식을 WPA2 이상으로 바꾸고, 와이파이를 가족용과 손님용으로 분리하여 손님에게는 내부망 접근을 차단해야 한다. 또한 DDoS 공격 방어와 관련된 설정도 켜놓는 것이 좋다. 조금 더 지식이 있다면 불필요하게 열려있는 포트는 모두 닫거나 기본 포트 외의 다른 포트로 돌려서 사용하는 것을 권장한다.
2. 패스워드 앱을 사용하라
패스워드는 일종의 열쇠이다. 만일 집, 사무실, 방, 금고, 자동차가 하나의 열쇠로 열리고 작동을 한다고 가정을 해보자. 이런 상황에서 안전하다고 느끼는 사람은 아무도 없을 것이다. 열쇠를 잃어버리면 집, 사무실, 차, 금고 중 언제 어디에 도둑이 들어 훔쳐갈 지 알 수 없고 방어도 어렵기 때문이다. 때문에 보통 물리키는 한 개의 열쇠로 한 곳만 열 수 있으며 한 개의 열쇠로 두 곳 이상을 열리도록 관리하는 경우는 거의 없다. 그런데 디지털 세계에서는 한 개의 열쇠로 적게는 두 세 곳, 많게는 수 십 곳이 열리게 관리하는 경우가 드물지 않다. 디지털 도어락이 보편화되면서 열쇠의 역할을 대신하는 숫자 암호를 여기 저기 돌려쓰는 경우도 흔하다. 이것은 마치 물리적 세상에서 열쇠 하나로 수 십 곳을 잠금해제할 수 있는 것과 마찬가지다. 더군다나 디지털 세계는 물리적 공간과 달리 접근이 간편하고 장소와 시간의 제한을 거의 받지 않는다. 그럼에도 위험하다는 느낌을 가지지 않는다면 인식을 바꿀 필요가 있다.
그러므로 기본적으로 물리적 세계에서 적용하는 원칙을 디지털 세계에도 그대로 적용하는 것이 좋다. 중요한 장소에는 크고 무거운 자물쇠를 이중, 삼중으로 해놓는 것처럼 길고 어려운 패스워드와 이중 인증을 함께 사용하고, 사소해 보이는 장소라 할 지라도 사이트, 앱 당 하나의 패스워드만 사용하는 것이다. 물론 이렇게 할 경우에는 기억력의 한계로 수 십 개 혹은 수 백 개에 달하는 암호를 모두 기억할 수 없기 때문에, 패스워드를 생성해주고 관리해주는 앱을 사용해야만 한다. 앱을 선택할 때에는 보안성, 확장성, 범용성, 신뢰성 등을 모두 고려해야 할 것이다. 앱을 구매할 여력과 지식이 없다면 OS에서 기본적으로 제공해주는 패스워드 생성 기능을 이용하는 것도 좋다. 패스워드 앱은 패스워드를 생성해주는 것은 물론이고 유출사고가 난 사이트를 알려주고, 중복 사용과 해킹 당하기 쉬운 비번 조합에 대해 경고 해준다. 요즘엔 기본 OS 패스워드 관리에서도 이와 같은 기능을 제공하는 경우가 많으니 잘 활용하면 좋을 것이다.
3. 맞춤광고는 거부하자
최근 각종 AI비서 서비스들이 기기에 도입이 되고, 홈 IoT에 대한 관심이 높아지면서 이용자도 늘고 있다. 이런 기기들의 상당수는 음성으로 동작하기 때문에 사용자의 음성을 인식하기 위해서 음성인식 모듈이 항상 동작 상태로 대기를 하게 된다. 즉, 사용자가 하는 말을 모두 듣고 있다는 이야기이다.
일부 회사에서는 이를 이용하고 있다는 의혹이 있다. 거실에서 특정 대화를 나누고 방에 가서 컴퓨터를 켜니 대화를 나누었던 제품이 추천 광고로 뜨더라는 다수의 경험담이 인터넷 상에서 떠돌고 있다. 대부분 꼼꼼하게 보지 않고 허락을 하는 맞춤 광고의 세부 약정 안에는 나 자신의 개인정보가 마케팅 용도로 활용된다는 조항이 있을 수도 있다.
비단 이런 사례가 아니더라도, 맞춤 광고를 허락한다는 것은 내가 방문한 사이트, 검색한 제품, 나의 현재 위치, 연락처 정보 등 다소의 차이는 있어도 나와 관계된 개인정보를 수집하도록 허락한다는 의미이다. 최근 애플 앱스토어에서 앱이 수집하는 정보를 구체적으로 명기하도록 정책을 변경한 후로 G사의 앱의 일부 앱들이 업데이트가 미루어지고 있다는 설도 있다. 앱 업데이트를 하면 그동안 백그라운드에서 사용자가 미처 인식하지 못하던 가운데 가져가던 개인정보를 모두 표기해야 하기 때문이라는 주장이다. 과연 낭설이기만 할까?
내가 이용하는 사이트나 앱에서 내 마음에 쏙드는 광고를 보고 싶은 게 아니라면, 어떤 식으로든 맞춤 광고 옵션을 거부하는 것이 개인보안 확보에는 도움이 된다는 점을 잊지 말자. (사용하는 순간 백도어를 오픈하고 정보를 솔솔 빼가는 옆 나라 제품들 생각하면 어찌되었든 물어 보기나 하면 양반이라 해야 하나.)
4. VPN을 믿지 말라
보안에 조금 관심이 있는 사람들은 VPN을 사용하기도 한다. VPN은 반드시 보안 때문에 사용하는 것은 아니지만, VPN을 사용하면 안전하다고 생각하는 사람들이 대부분이다. VPN은 보안에 도움이 되는가? 그럴 수도 있고 아닐 수도 있다. 대답은 VPN 제공자가 누구냐에 따라 달라진다. 개인이 VPN을 자신의 서버에 구성하여 사용하는 경우를 제외하면, 보통 VPN 제공업체를 통해 이용하기 마련이다. 여기서 VPN 제공업체의 신뢰성이 대단히 중요하다. 왜냐하면 나의 모든 개인정보가 VPN 제공업체의 서버를 경유하기 때문이다. 만일 불순한 의도를 가진 이들이 제공한 VPN을 이용하는 경우라면, 이용하지 않는 경우보다 더 안 좋은 결과를 초래할 수도 있다.
그러므로 VPN을 이용한다면 무료 VPN은 무조건 피해야 한다. 트래픽이 많이 발생하는만큼 비용이 증가하는 VPN 서비스를 무료로 제공한다는 것은 그들이 자선 사업가가 아닌 이상 무언가를 얻는 것이 있다는 이야기이다. 여러 사례에서 드러난 바와 같이 그들은 나의 개인정보를 팔아넘기고 있는 것이다. 세상에 공짜는 없다. 비용이 들더라도 공신력있는 VPN 제공업체를 이용해야만 한다.
