[보안] 내가 해킹 당한 적 1번도 없는 이유 - 아이디와 비밀번호 관리, 인터넷 이용시 주의사항
당신이 꼭 기억해야 할 3가지 법칙
- 편리함과 보안은 반비례한다. (당신이 편리할수록 보안성은 낮아진다.)
- 불편함과 보안은 비례한다. (당신이 불편할수록 보안성은 높아진다.)
- 보안과 관련하여 100% 안전은 세상에 존재하지 않습니다. 다만 100% 안전에 가까워지려고 노력하는 것 뿐입니다.
개인의 안전은 개인 스스로
저는 개인정보보호와 보안을 매우 중요하게 생각하여 개인이 실행할 수 있는 최대한의 방법으로 스스로를 지키려고 노력하고 있습니다. 물론 개인 차원에서 실행하고 있는 방법이기 때문에 조직적으로 누군가 저를 타겟을 삼거나 제 스스로 인지하지 못한 상황에서 발생할 수 있는 부분에 대해서는 보안의 한계가 있음을 미리 밝힙니다.
이번에는 보안과 관련된 내용 중 ID와 Password 관리, 로그인 등과 관련된 부분만 적고 재미있고 알고나면 신기한, 흥미로운 따분하고 방대한 기술적인 부분은 제외합니다. 다음 편에 개인정보보호와 관련하여 글을 적을까 하며 이 글이 개인정보보호의 기본이 되는 내용이긴 합니다. 제가 실제로 하고 있는 내용이기도 하고 최대한 보수적으로 관리를 하기 때문에 그대로 따라하시면 매우 불편할 수는 있으나 그만큼 보안성이 높아집니다. 이런 것이 있구나라고 참고만 하셔도 좋지 않을까 싶어 작성해봅니다.
ID, Password 는 다음과 같이 생성 및 관리
- 아이디 및 패스워드는 각 사이트마다 각각 모두 다르게 합니다.
아이디 및 패스워드가 사이트마다 모두 같다면 1개의 사이트가 해킹으로 인해 계정 정보가 유출된 경우를 상상해 보세요. 생각보다 많은 사람들이 아이디 및 패스워드를 똑같이 사용하고 있습니다.
- 패스워드는 가급적 해당 사이트에서 허용하는 최대의 길이로 영문 대소문자, 숫자, 특수문자를 혼합하여 랜덤하게 만들어 사용합니다. 본인만의 패스워드 생성 규칙을 만들어 사용할 수도 있겠으나 저는 계정관리 프로그램을 이용하여 패스워드를 생성하고 관리하는 것이 효율적이라고 생각합니다.
사이트마다 패스워드의 최대 길이가 15자, 20자, 30자 등으로 길이를 제한하거나 특수문자 사용을 제한하는 경우가 있습니다. 패스워드를 생성할 때 사이트에서 제한한 기준을 확인하고 최대한의 기준으로 패스워드를 생성합니다.
ZUdR#&WVJEN'sPt%LCb@*G@@'7JwUR(바람직한 패스워드의 좋은 샘플)
간단하게 랜덤 패스워드를 생성하고 싶거나 어떤 패스워드가 좋은 예인지는 다음의 사이트들을 통해 알아 볼 수 있습니다. Random 1 / Random 2 / Random 3 / Random 4
계정관리 프로그램을 이용하면 다양한 방법으로 랜덤 패스워드를 생성하고 아이디와 패스워드의 관리가 그룹별, 용도별로 관리되어 더 편리하고 효율적입니다.
- ID 및 Password를 위해 계정관리 프로그램을 이용합니다.
앞서 말한 2가지의 방법으로 관리를 하면 본인 스스로의 아이디와 패스워드를 기억하지 못하는 상황이 발생합니다. 그래서 계정관리 프로그램을 사용하게 되는데 크게 2가지 종류로 나뉘며 유료 또는 무료로 사용 가능합니다. 대체적으로 온라인으로 관리되는 프로그램은 유료입니다. 물론 엑셀파일에 잘 정리해서 암호화시켜 사용할 수도 있습니다만 비효율적입니다.
- "온라인 서버"에 계정정보가 저장되어 컴퓨터, 휴대폰을 비롯한 각종 모바일 기기에 동기화되어 사용 가능한 프로그램들(LastPass. Dashlane, 1Password, SafeInCloud Password Manager, RoboForm Password Manager, Sticky Password, Enpass 등등)
- "오프라인 로컬"(컴퓨터)에 계정정보가 저장되어 관리되는 프로그램 (KeePass, Password Safe 등등)
당신이 꼭 기억해야 할 3가지 법칙을 지금도 기억하고 계십니까? 복습 한번 해보겠습니다.
- 편리함과 보안은 반비례한다. (당신이 편리할수록 보안성은 낮아진다.)
- 불편함과 보안은 비례한다. (당신이 불편할수록 보안성은 높아진다.)
- 보안과 관련하여 100% 안전은 세상에 존재하지 않습니다. 다만 100% 안전에 가까워지려고 노력하는 것 뿐입니다.
온라인에서 관리되는 프로그램은 컴퓨터, 모바일 기기마다 클라우드 서버에 저장되며 각 단말기에 동기화되기 때문에 사이트마다 접속시 간단하게 아이디와 패스워드가 입력되는 등의 편리함이 있습니다. 매우 유명하고 많은 사람들이 사용하는 유료 프로그램인 Lasspass는 지난 2015년 해킹되어 패스워드 DB가 유출된 사례가 있으며 더불어 유명한 1Password의 개인정보 유출 가능성이 제기된 사건 등과 같은 일련의 불안감으로 저는 온라인으로 관리되는 프로그램을 비추천합니다.
이렇듯 유료로 온라인에서 관리되는 프로그램도 믿을 수 없어서 당연히 저는 "오프라인 로컬"에서 관리되는 오프라인 계정관리 프로그램(무료)을 사용하고 있습니다. 오프라인 계정관리 프로그램(무료)은 아이디와 패스워드가 저장되는 DB파일이 컴퓨터에에 저장되어 관리되며 DB 파일은 강력한 알고리즘으로 암호화되어 있습니다. 오프라인 계정관리 프로그램(무료)은 유료로 온라인에서 관리되는 프로그램에 비해 다소 불편하지만 단축키를 활용하여 아이디와 패스워드를 자동으로 입력하는 등의 편리함은 가지고 있습니다.
- 여러 사람이 사용하는 공용 컴퓨터를 사용할 때는 가급적 단순 정보 검색 용도로만 사용하며 크롬에서는 시크릿 모드 사용(단축키 Ctrl + Shift + N), 익스플로러에서는 InPrivate 모드 사용(단축키 Ctrl + Shift + P), Firefox에서는 사생활보호 모드(단축키 Ctrl + Shift + P)로 사용합니다. 공용 컴퓨터 및 신뢰되지 않는 상황에서는 절대 아이디와 패스워드를 입력하는 행동은 하지 않습니다.
겸사겸사 항공권 구매 팁도 알려드리자면 이 방법은 저렴한 항공권 구매할 때 사용해도 좋은 방법입니다. 보통 항공권 구매할 때 사용자 쿠키를 통해 잦은 접속과 잦은 검색을 해당 항공권 및 노선에 관심있는 것으로 서버에서 인식하여 가격을 점점 올려 보여주는데 그것을 방지할 수 있습니다.
중요한 자료가 있는 컴퓨터라면 본인 이외에 다른 사람이 사용할 수 없도록 합니다. 컴퓨터를 다른 누군가가 사용할 일이 필요하다면 반드시 사이트나 프로그램에서 Logout(logoff) 합니다. 인터넷 사용기록(방문기록, 쿠키, 캐시)까지 삭제합니다.
아이디와 패스워드를 입력할 때는 가급적 CCTV가 촬영할 수 없게, 주변의 사람이 볼 수 없도록 조치를 취합니다.
에드워드 스노든처럼 담요를 뒤집어 쓰고 타이핑하는 것이 가장 좋은 방법이지만 이렇게 하기에는 많은 용기(?)가 필요하기 때문에 계정관리 프로그램 사용을 추천합니다.
실제로 가끔 담요 같은 것 뒤집어 쓰고 입력하는 사람 여기 있습....프로그램이 아이디와 패스워드를 매크로 프로그램처럼 자동으로 입력하기 때문에 입력되는 패스워드를 손가락이나 키보드를 보고 유추할 수가 없습니다. 모니터를 본다면 아이디는 볼 수 있겠습니다.
번거롭고 귀찮더라도 주기적으로 비밀번호를 변경합니다. 방법은 앞서 설명드린 방법과 동일합니다.
살다보면 아이디와 패스워드를 누군가에게 잠깐이라도 빌려줄 때가 있습니다. 온라인으로 아이디와 비밀번호를 보내지 마세요. 보내지 마세요. 정말 정말 보내고 싶다면... 그리고 메신저를 통해 보내고 싶다면 암호화된 메시지 창에서 아이디는 A 메신저로~ 패스워드는 B메신저로~ 분할해서 보내세요. 그리고 이용이 끝나면 바로 패스워드를 변경하세요.
SSL(Secure Sockets Layer) 확인
SSL은 공개키 암호나 비밀키 암호, 디지털 증명서, 해쉬함수 등의 보안기술을 통해 데이터의 도청이나 위변조를 방지할 수 있습니다.
최소한 로그인만이라도 SSL이 적용된 사이트를 이용합니다. 가급적 SSL 미적용 사이트 이용을 지양합니다.
구분하는 방법은인터넷에서 접속할 때 주소칸(URL)에서 자물쇠 모양의 아이콘과 프로토콜이 http://가 아닌 https://로 시작한다면 SSL이 적용된 것입니다.
HTTPS Everywhere 웹브라우저 확장 프로그램 사용을 권장합니다.
EFF(Electronic Frontier Foundation)에서 제공하는 웹브라우저 확장프로그램이며 암호화되지 않은 http를 사용하는 사이트를 접속할 때 https(SSL)로 접속한 것과 기술을 적용해줍니다.
Install : Chrome / Firefox / Opera / Android(Firefox)
테스트를 위해 적합한 사이트를 찾던 중 해당 사이트가 예제로 보여주기 적합하여 첫 페이지만 테스트한 결과입니다. 첫페이지부터 SSL을 적용시키는 사이트도 있으며 로그인시부터 SSL을 적용하는 사이트도 있습니다. 해당 사이트는 첫페이지는 SSL이 적용 안되었지만 로그인시 SSL이 적용되어 안전함을 확인하였습니다. 해당 사이트에 제가 아이디를 가지고 있지 않아 로그인 이후는 확인하지 못했습니다.
VPN(Virtual Provate Network) 사용
- VPN 또는 가상 사설망이라고 하며 이해하기 쉽게 설명하면 두 대 이상의 장치 간의 보안 터널입니다. VPN은 스누핑, 간섭 및 정부의 검열로부터 개인적인 웹 트래픽을 보호하는 데 사용됩니다. IP 주소를 숨기거나 접속하고 있는 위치를 숨깁니다. 두 장치간에 오고가는 데이터를 암호화하기 때문에 해킹으로부터 보호됩니다.
- 사람들이 쉽게 알고 있는 내용은 중국과 같은 나라에서 특정 사이트에 접속을 제한하는 경우 VPN을 이용하여 접속이 하거나 한국에 Netflex가 진출하기 전에는 VPN을 이용하여 미국의 Netflex를 접속하여 시청하기도 했답니다. 무료로 직접 구축해서 사용하거나 다른 곳에서 제공하는 서비스를 무료로 이용 가능하지만 유료에 비해 서비스나 성능이 떨어지는 편입니다.
ExpressVPN(유료 VPN제공회사 중 하나, 프로그램 이름)에서 말하는 VPN 에 대한 설명 이미지를 참고해주세요. (다소 부족하지만 쉽게 설명된 이미지가 이 회사 이미지라서 저작권 때문에 링크만 걸었습니다.)
각종 보안과 관련된 프로그램 사용
- Anti Virus(Bitdefender, Kaspersky Lab, McAfee, Avira, Avast, ESET 등등)
- Firewall(Windows 7 이상부터 기본 내장되어 있기도 하고 사용하는 Anti Virus 프로그램에 따라 기능이 포함될 수도 있습니다.)
- AD Guard(광고차단, 트래커 차단, 브라우징 보안, 웹사이트 신뢰성 제공 등등)
온라인 해킹으로부터 99.99......% 안전한 방법
- 컴퓨터, 노트북이라면 인터넷 랜선을 뽑으세요. Wifi Off 하세요.
- 휴대폰이라면 Airplane Mode(비행모드)로 하세요. 물론 비행모드에서도 Wifi On 하시면 안됩니다. ^^
소제목이 너무 자극적일지 몰라도 농담반, 진담반입니다. 해킹으로부터 100%에 안전한 방법에 다가서려면 이렇게 어렵습니다.
@flightsimulator
이외에 더 적을 것이 있는데 일부러 안적는 것인지, 지금 당장 생각이 안나 안적는 것인지 모르겠습니다. 글로 적은 내용을 말로 설명하면 금방 끝나는데 글로 적으면 왜 이렇게 몇시간씩 소요되는지 모르겠습니다. 지금 제 메인 페이지에는 "Flight, IT, Eassay"라고 적혀있는데 지금까지 IT 관련 내용이 없어서 당분간은 IT 관련하여 글을 올릴까 합니다.
IT업종에 몸 담는 사람이 아니기 때문에 전문적은 글을 작성하지 못하고 일반인으로서의 그냥 얕은 지식을 적어보니 틀린 내용이 있거나 부족한 내용이 있더라도 양해 부탁드립니다.
2018년 2월 8일 11:04(UTC+9) 아래 내용 추가
곰곰이 생각해보니 이 글과 조금 관련 있는 제가 며칠 전부터 진행중인 ESET Smart Security 정품 프로그램 나눠드리는 [이벤트] 정품 프로그램 사용 권장 및 팔로워 100명 감사 이벤트가 조금 도움이 될까 싶어요. 혹시라도 참가 하실 분은... 이제 남은 시간이 1시간 밖에 남지 않았네요.
랜덤패스워드를 쓰거나 짧은 주기로 비밀번호를 갱신하면 보안성은 매우 높아지지만 사용성이 너무 떨어지죠. 패스워드 관리 프로그램의 도움을 받으면 조금은 불편함을 덜 수 있겠지만 개인용 장치를 사용할 수 없거나 네트워크 연결이 어려운 상황에서 패스워드를 알아야만 하는 일이 생긴다면 매우 곤란할 것입니다.
그래서 나온 절충안이 바로 문장형 패스워드입니다. 좋은 패스워드의 조건에 대한 의견은 보안 전문가들 사이에서도 갈리지만 문장형 패스워드는 랜덤 패스워드와 비교했을 때도 여전히 브루트 포스 공격으로부터 안전하고, 유출된 개인정보 등을 활용해 예상하기 어려운 반면, 사용자는 쉽게 기억할 수 있다는 확실한 장점을 가지고 있습니다.
만드는 법은 매우 간단합니다. 좋아하는 노래의 가사나 영화의 대사처럼 충분히 길지만 나는 쉽게 기억할 수 있는 문장을 고르기만 하면 끝입니다.
예를 들면 ThroughTheFishEyedLensOfTearStainedEyes 같은 문장이 될 수 있겠네요. 매우 복잡해 보이지만 제가 즐겨 듣는 Pink Floyd의 노래 Final Cut의 가사 첫 구절이기 때문에 전 아주 쉽게 기억할 수 있습니다.
이런 문장을 그대로 사용하셔도 좋고 서비스 제공자가 요구하는 조건에 맞춰 특문, 대소문자 등을 넣어 살짝 변형해서 사용할 수도 있습니다.
네, 좋은 의견 감사합니다. 말씀처럼 그런 문제가 분명 존재합니다. 그래서 제시해준 그런 절충안이 필요함에 동의합니다. 그래서 제가 소개해드린 본문 내용 중 랜덤패스워드 생성 Random4와 같은 경우 옵션을 "발음 가능"으로 체크하여 생성하게 되면 숫자와 특수문자를 제외하고 대소문자 문장으로 생성되어 사용이 가능하게끔 되어 있기도 합니다. 그래서 말씀처럼 특수문자와 숫자를 혼합한다면 더 보안성이 높아질 것입니다.
다만, 말씀하신 방법대로 하면 최소 수십개의 사이트를 이용함에 있어서 패스워드 관리가 힘들어지지 않을까 싶습니다. 그 모든 사이트의 비밀번호를 모두 같게 만들면 보안성이 결여되고, 각각 달리하면 일일이 다 암기 또는 연상해야 되고... 결국에는 다시 계정관리 프로그램으로 넘어가야 되지 않을까 싶은데요. 꼭 자주 접속하는 사이트는 말씀하신 방법대로 하는 것이 좋다고 생각합니다. ^^
본문에도 미리 서두에 밝혔듯이 저는 불편함을 최대한 감수하고 보안성을 극대화시키는 쪽을 선택했습니다. 그래서 말씀하신 단점들이 있음에는 제가 생활하는 범위 내에서는 감수하고 있습니다. ^^;;
저는 구글 드라이브에 저장해놨는데 영 불안하고 매우 찜찜합니다ㅋㅋ
저도 계정 관리 프로그램 써봐야겠어요.
근데 계정 관리 프로그램이 해킹당할 가능성도 있을까요?ㅎ 궁금해지네요ㅎㅎ
물론 제 원래 저장방식보다는 훨~씬 안전할 것 같아요ㅎ
구글 드라이브에 저장하시더라도 첨부파일 암호화를 강력하게 하고 저장하셨겠지요? ^^
그래서 저는 오프라인 계정관리 프로그램을 추천합니다만 온라인 프로그램보다는 다소 많이 불편합니다. ^^;
이중에... VPN은 씁니다 ㅎㅎ
VPN 쓰시니 안전에 한발짝 더 다가서셨습니다. 보안 경험치 +exp50
저는 비밀번호를 수시로 바꾸는것 이외에 더 복잡하게 이용하긴 여려울것같다고 생각합니다.
대부분 개인 개별을 노리는게 아니라 한 사이트에 서버를 노려 몽땅 털어가기 때문에 계정 관리 프로그램이 큰 효용이 없을거라 보거든요.
개인이 아무리 보안에 신경을 써도 개인정보가 한곳에 집중된 구조라면 큰 차이는 없다고봐요.
네, 맞습니다. 비밀번호를 수시로 바꾸기만 해도 훨씬 안전해는 것이 사실이죠.
다만, 혹시라도 모든 사이트마다 아이디와 비밀번호가 같다면 비밀번호만 수시로 바꾸면 그 효과가 줄어드는 것도 어쩔 수 없지 않을까 싶어요.
본문에 기술된 방법들은 조금이라도 보안성을 높여 최대한 해킹 당하지 않으려는 개인 수준의 각종 방법과 노력들이지 이거 안하면 해킹 당한다의 말은 아니니깐요.
똑같이 개인정보가 한 곳에 집중된 구조라고 하더라도 본문에 적힌 내용은 모두 그대로 실천하고 있다면... 최소한 아마 웬만한 국내 웹사이트의 보안 수준보다는 훨씬 나을겁니다.
서버 관리자 및 회사 의사결정자들이 최소한 이 정도의 관심 수준으로 보안에 신경을 쓰고 있다면 뉴스에서 나오는 해킹으로 인한 그 많은 개인정보 유출 사태, 암호화폐 거래소 해킹으로 인한 폐쇄 같은 어처구니 없는 일이 그렇게 비교적 쉽게 일어나진 않았을겁니다.
물론 서버 관리자 및 회사 의사결정자들이 결정해야 하는 수준은 당연히 여기서 거론되지 않은 각종 하드웨어와 소프트웨어, 전문 인력 부분이 추가되어야 하겠죠. ^^
역시 글로 써서 남겨둬야하겠군요...ㅎㅎ
ㅎㅎㅎ 눈치채셨나요? 역시~
그래서 테러단체들은 연락 주고 받을 때 이메일 주고 받을 때 PGP도 쓰고, Steganography 방식도 쓰고 그러는데...
또 도청 같은 것을 피하기 위해 아날로그적인 방식으로 비둘기를 통한 연락이러던가 글로서 연락한다거나 한다잖아요. ㅎㅎ
헉..... 비밀번호 일일이 설정하고 그거 다 외우고 있다가 자주 잊어버려서 고생했는데 이런 신비한 방법이 있었네요.....충격입니다...... 진심으로 사용을 고민해야겠어요. 근데 또 새로운 프로그램 사용 습관이 안들어서 아나 마나 될까 걱정입니다 ㅋ ^^
아, 이 글이 @brandonlee88님에게 도움이 되면 좋겠군요. ㅎㅎ
헉.. 저는 flightsimulator 님이 당연히 IT 쪽 일을 하시는 분이신 줄 알았어요... 대박
예시로 들어주신 비밀번호 정말 어렵네요 ㅋㅋ 저 정도는 되어야 하는 거군요! 좋은 정보 감사합니다!
사람마다 다 관심사가 다르니깐요~ 항공분야(여행 포함)와 IT분야가 주 관심사라서요~
본인도 외우지 못하는 비밀번호입니다. ㅎㅎㅎ 제가 제시한 랜덤사이트 중 Random4에 가시면 발음 가능한 랜덤 비밀번호를 생성해 줘서 그나마 외우기는 쉬운데 그냥 계정관리 프로그램이 속 편합니다. ^^
조금은 어렵더라도 모두가 봐야할 글입니다! @홍보해
과찬이십니다. 홍보 감사합니다. ^^
감사합니다. ^^
멋진 글 감사합니다.
예전에 아이디가 털린적도 있고..
팀뷰어 깔아쓰다가 팀뷰어에 원격으로 제 컴을 제어하는 장면을 운좋게(?) 목격해서 당장 컴터리셋해버린 경험도 있습니다..
요즘은 사이트마다 규칙을 정해 패스워드도 다르게 해놓고 쓰고 있죠..
말씀하신내용중에 시크릿탭, SSL 접속은 즉각 적용하였습니다.
정말 감사합니다.
팀뷰어는 정말 쓰지 말아야 할 프로그램이지요. 얘기들어보면 해킹으로 털린 사람이 한두명이 아닙니다. 도움이 될지 모르지만 팀뷰어 대신 RDP Wrapper 추천합니다. ㅎㅎㅎ
편해서 쓰고 있었는데, 어느날 설거지하고 들어와서 앉았는데 탐색기 창이 열려있는거에요..
그래서 '음.. 내가 띄웠었나?' 하고 생각하는 찰나, 마우스가 지혼자 움직이는거에요.
엇???? 그 순간 몸이 쭈뼛하면서 '이거 당한거구나!' 싶더라구요.
그순간 그냥 반사적으로 리셋 눌러버리고 랜선뽑고 다시 부팅을 했죠.
보니깐 바탕화면에 제 이름으로 된 이상한 파일이 하나 있고, 못보던 폴더가 있더군요. 안에 있는 툴을 검색해보니 브라우저에 저장된 아이디 비번 긁어오는 프로그램이더군요.
빼가고 지워버리고 도망가는 수법이었던것 같더라구요.
아오 그순간 인증서 신규발급에 모든 사이트 비번 다 바꾸고 쌩쑈를 했죠.
나름 컴쟁이라, 잘안다고 생각했다가 된통 당해서 어찌나 어이가 없던지요..... ㅎㅎ
그 이후로 브라우저에 비번 저장도 안하고, 그러고 있습니다.
안랩 다니는 선배는 맥쓰면서 윈도가 필요하면 가상머신 새로 만들어서 띄워 쓰고 다쓰면 없애버리더군요 ㅎㅎ;;; 역시...
RDP Wrapper 기억해놓겠습니다. 감사합니다.
맞습니다. 사용하는 프로그램의 취약점으로든 뭐든 타겟으로 해킹 당하면 답이 없는 것 같습니다. 그래도 역시 관련 업계에 계시니 반사적으로 가장 확실한 조치부터 취하셨네요~ 대단하십니다.
저도 맥북 사용할 때는 그렇게 사용하기도 했고 단순 외출할 때는 밖에서 언제 어떻게 필요할지 몰라서 외부에서 사용할 용도로 USB 부팅용 OS로 간단하게 하나 만들어 놓은 것도 있습니다.
저 병인가요? ㅠㅠㅎㅎㅎㅎ 철저하신거죠 ㅎㅎㅎ
보안관련해선 두번 세번 조심해도 나쁠거 없잖습니까 ㅎㅎ
이해해주셔서 감사합니다. ^^