※본 글은 2020년도에 업로드한 게시글을 홈페이지 개편으로 인해 재업로드한 콘텐츠입니다. 참고 부탁드립니다.
전 FBI 소속 컴퓨터 책임자였던 랜디 파그만(Randy Pargman)은 “아이폰 사용자들은 자신들의 장비에 대한 자신감이 높은 편”이라며 “안드로이드와 비교할 때 거의 항상 먼저 보안을 앞세운다”고 말했습니다. 그러나 “iOS가 안전하다고 믿는 그 자신감에서 많은 부분이 간과되고 있으며, iOS의 취약점이 현재 그 어느 때보다 많다는 걸 잊지 말아야 한다”고 지적합니다.
1. 앱 다운로드와 정리
핸드폰에 설치되어 있지만 꽤 오랫동안 켜보지 않은 앱이 몇 개 있을 겁니다. 이 앱들은 저장 용량을 불필요하게 잡아먹고 있을 뿐만 아니라 그 자체로 보안 위협이 됩니다. 특히 그 앱들이 개발자들의 버림까지 받았다면, 그래서 보안 업데이트가 이뤄지지 않는 다면 불필요한 공격의 통로가 될 수 있습니다. 그런 앱들은 삭제하든가 업데이트를 해야 합니다. 업데이트가 더 이상 나오지 않는 버전이라면, 비슷한 기능을 가진 다른 앱을 찾는 게 좋습니다.
2. 앱과 iOS 업데이트를 주기적으로 확인하라
전문가들에게 보안 관련 팁을 요청하면 가장 많이 나오는 것이 업데이트입니다. 업데이트는 공개적으로 알려진 취약점을 막는 행위입니다. 자주 확인하는 게 어렵다면, 아예 모든 업데이트를 자동으로 설정해두는 것도 좋은 방법입니다.
디지털 셰도우즈(Digital Shadows)의 CISO인 릭 홀란드(Rick Holland)는 “한 번 사면 끝이라는 생각이 소비자들 마음에 있다”며 “예전 가전 장비의 경우에야 그 말이 틀리진 않지만 모든 것이 인터넷을 통해 연결되는 때라면 업데이트를 통한 꾸준한 유지와 관리가 필수”라고 강조합니다. “보안 업데이트만이 아니라 기능 업데이트도 꼬박꼬박 하세요. 많은 개발사들이 기능 업데이트에 보안 업데이트를 포함해 진행하기도 합니다.”
3. 손전등 앱인데 내 위치를 요구한다?
앱을 설치 할 때 사용자들에게 요구하는 권한을 찬찬히 읽어보면 이해하기 힘든 것들이 제법 있는 편이다. 전등을 켜는 앱일 뿐인데 위치 정보에 접근하게 해달라고 요청한다거나, 마이크로폰이나 카메라, 연락처 정보에까지 손을 대려는 앱들이 제법 있습니다.
프라이버시 전문가인 아틸라 토마셱(Attila Tomaschek)은 “기능 수행과 전혀 상관이 없는 앱들이면서 불필요한 정보를 요구하는 경우가 있는데, 이는 그런 정보를 서드파티에 판매함으로써 수익을 거두려는 것일 때가 많다”고 설명했습니다. “특히 손전등 관련 앱들이 이런 방면으로 악명이 높죠. 다 그런 건 아니겠습니다만.”
4. 숫자와 글자를 섞어 비밀번호를 만들어라
생체 인증에 익숙해진 상태이더라도 안전한 비밀번호를 설정한다는 건 대단히 중요한 일입니다. 시스템 엔지니어인 아메드 모하메드(Ahmed Mohamed)는 “지문이나 안면 인식 기술을 활용하고 있다고 해도 아이폰의 접근 제어 기능에 있어 가장 중요한 건 여전히 비밀번호 혹은 코드”라고 말합니다. 그러면서 “숫자와 알파벳을 조합하여 설정하는 게 중요하다”고 강조합니다.
“설정 옵션을 들어가 ‘터치 ID와 패스코드(Touch ID & Passcode)’나 ‘페이스 ID와 패스코드(Face ID & Passcode)’를 선택하십시오. 그런 다음 ‘패스코드 변경(Change Passcode)’을 선택하고 ‘패스코드 옵션(Passcode Options)’을 누르세요. 그러면 ‘Custom Alphanumeric Code’ 옵션을 선택할 수 있게 됩니다. 이를 통해 패스코드를 숫자와 알파벳 조합으로 설정하십시오. 그리고 어느 누구와도 이 암호를 공유하지 마세요.”
5. 비밀번호가 많을수록 보안은 강력
보안 전문가들이 강력히 권장하는 것 중 하나는 다중 인증입니다. 사이브러리(Cybrary)의 켄 언더힐(Ken Underhill)은 “많은 사람들이 생체 인증이 비밀번호의 대체품이라고 생각하는데, 이는 틀린 생각”이라고 말합니다. “오히려 사용자 ID의 대체품에 가깝습니다. 비밀번호가 대체되는 것도 아니고, 그래서도 안 됩니다. 강력한 비밀번호는 아직도 보안에 꼭 필요한 장치입니다. 그러니 생체 인증으로 대체할 생각을 하지 말고, 강력한 비밀번호를 설정해 관리하는 방법을 익히는 것이 좋습니다.”
비밀번호가 특히 강력한 빛을 발해야 하는 건 아이클라우드에서입니다. “다른 곳은 몰라도 아이클라우드에는 반드시 다중 인증을 적용하는 것이 좋습니다. 또한 아이클라우드 전용 비밀번호를 따로 설정해두시는 게 좋아요. 그래야 누군가 아이폰 해킹에 성공한다고 하더라도 소중한 정보에는 접근할 수 없게 되니까요.”
실제 많은 아이폰 보안 사고가 iOS나 앱을 직접 뚫는 것이 아니라 아이클라우드의 계정 비밀번호를 훔치는 것부터 시작합니다. “아이폰 사용자들이 아이클라우드와 아이폰 자체 비밀번호를 똑같이 걸어둔다는 걸 아는 거죠. 그래서 클라우드부터 공략하고, 그걸 통해 여러 데이터에 접근함으로써 아이폰을 해킹한 것과 비슷한 효과를 냅니다. 아이클라우드는 아이폰과 별개의 것으로 관리해야 합니다.”
룩아웃(Lookout)의 솔루션 책임자인 크리스 헤이즐튼(Chris Hazelton)은 “비밀번호는 풍부하면 할수록 좋다”고 말합니다. “비밀번호를 많이 사용해야 공격자들을 지치게 만들 수 있습니다. 단계별로 비밀번호를 뚫어내야 한다고 생각해보세요. 차라리 다른 곳으로 가고 말죠. 하지만 많은 비밀번호를 기억력으로만 관리할 수는 없습니다. 비밀번호 관리 앱을 사용하시는 게 좋습니다.”
6. 로그인 횟수에 제한을 걸라
아이폰을 훔쳐내는 데 성공한 공격자라면 제일 먼저 브루트포스 공격을 시도합니다. 비밀번호가 풀릴 때까지 로그인을 시도하는 것입니다. 이 시도의 횟수를 제한하는 게 가능합니다. 설정 옵션으로 가서 ‘터치 ID와 패스코드’를 선택한 후 맨 아래로 내려가 ‘데이터 삭제(Erase Data)’ 부분을 On으로 바꾸면 됩니다. 이런 경우 로그인 시도가 10번 연속으로 실패할 때 전화기 내 데이터가 지워집니다.
7. 사파리와 광고 옵션도 잊지 말자
일부 웹사이트들에서는 사용자들의 온라인 활동 패턴을 지켜보기 위해 ‘사이트 교차 추적(cross-site tracking)’이라는 것을 실시합니다. 사용자가 주로 어떤 곳을 방문하고, 따라서 어떤 서비스나 제품에 관심이 많은지 파악해 그에 맞는 광고를 내보내기 위해서입니다. 애플은 아이폰 사용자들이 이를 제어할 수 있도록 해두었습니다.
설정->사파리->프라이버시와 보안(Privacy & Security)로 들어가 ‘교차 사이트 추적 금지(Prevent Cross-Site Tracking)’ 옵션을 켜면, 광고 업자들이 당신의 브라우징 기록에 접근할 수 없게 됩니다.
사파리는 기본적으로 구글 검색 엔진을 활용하는데, 이 역시 사용자가 바꿀 수 있습니다. 프라이버시 기능이 강력한 검색 엔진으로는 덕덕고(DuckDuckGo)가 유명한데, 예를 들어 이를 설정하려면 ‘설정 -> 사파리 -> 구글’ 옵션을 선택해 변경하면 됩니다.
8. 클릭 조심
아무거나 클릭하지 말라는 건 이제 상식이 되었습니다. 그러자 공격자들도 수법을 바꾸고 있습니다. 모바일 문자를 통해 단축 URL을 보낸다거나 큐알코드를 보냅니다. 악성 링크를 이 두 가지에 숨겨서 전송하는 게 최근 모바일 환경에서 크게 유행 중에 있습니다.
헤이즐튼은 “현재 모바일 환경에서 가장 흔히 나타나는 공격 수법이 바로 피싱”이라며 “공격자들이 악성 링크를 보내 클릭을 유도하는 방법을 선호하는 이유는, 잘 통하기 때문”이라고 설명합니다. 그러면서 헤이즐튼은 “피싱 문자나 메시지에서 가장 많이 나타나는 힌트는 문법적 오류와 철자 오류, 조잡한 디자인”이라고 조언했습니다.
9. 이미지에서 추적용 데이터 삭제하기
각종 이미지들로 가득한 홍보나 광고 메일은 누구나 한 번쯤 받아봤을 것입니다. 그런데 이 이미지들에는 함정이 있습니다. 추적용 코드가 포함되어 있는 경우가 있는 것입니다. 광고를 보낸 기업이 해당 이메일이 열렸는지 알아보기 위해 이런 걸 숨겨두기 때문입니다. 그런데 이런 기술이 반드시 ‘이메일이 열렸는지 확인하기 위해서만’ 사용된다는 보장은 없습니다. 얼마든지 악용될 가능성이 높으며, 악용되는 순간 프라이버시 침해가 일어나고 보안 사고 가능성이 높아집니다.
“먼저 아이폰으로 이메일 열람을 자주 하는 사용자라면, 이메일 옵션 조정을 통해 이미지 다운로드가 자동으로 되지 않도록 만들어야 합니다. 악성 이미지를 잘못 다운로드 받을 경우, 민감한 정보가 마구 노출될 수 있습니다.” 타이코틱(Thycotic)의 CISO인 조셉 카슨(Joseph Carson)의 설명입니다. “대부분 이미지 다운로드가 자동으로 활성화 되어 있을 겁니다. 사용자가 직접 옵션에 찾아 들어가 이를 변경하는 걸 권장합니다. 이것 하나만으로도 리스크를 크게 낮출 수 있습니다.”
카메라 앱이 위치 정보에 접근할 수 있도록 설정되어 있을 때 아이폰으로 찍은 사진에 위치 데이터가 자동으로 삽입된다는 것도 기억해야 합니다. 그러니 사진을 어디론가 전송할 때도 이 점을 염두에 두어야 합니다. “사진 공유할 때, 옵션(Options) 창을 통해 위치(Location)를 비활성화 하면 됩니다.”
10. 공공 와이파이는 절대 안전하지 않다
보안 전문가들은 공공 와이파이를 그리 좋아하지 않습니다. 공공 와이파이에서 쇼핑 결제를 하거나, 송금을 하거나, 비밀번호를 입력해 로그인 하는 등 기밀성이 유지되어야 하는 행위를 하는 것에 큰 리스크가 있다는 것입니다.
포티넷(Fotinet)의 CISO인 르네 타룬(Renee Tarun)은 “모든 공공 와이파이가 위험이 득실대는 공간이라는 뜻은 아니지만, 자신이 마치 공공 와이파이 기지국인 것처럼 위장해 사람들이 연결하기를 기다리는 공격 수법이 흔치 않게 나타나는 게 사실”이라고 경고했습니다. “피해자가 이 가짜 기지국에 연결해 인터넷을 사용하면, 공격자가 데이터를 상당량 가로챌 수 있게 됩니다. 사용자로서 가장 간편한 건 와이파이 자동 연결을 해제하는 겁니다.”
만약 정말로 공공 와이파이로의 연결이 불가피하다면 어떻게 해야 할까? 타룬은 “VPN을 사용해 연결하라”고 권장합니다. “그런 경우 VPN이 트래픽을 암호화 하기 때문에 범죄자들이나 추적자들이 민감한 데이터에 접근하기 힘들어 집니다.”
출처 : 보안뉴스