2021-10-16 20:00 (토)
[박나룡 보안칼럼] 내 디바이스를 보호하라!
상태바
[박나룡 보안칼럼] 내 디바이스를 보호하라!
  • 길민권 기자
  • 승인 2021.08.19 12:14
이 기사를 공유합니다

디바이스들에 대한 보안 설정 살펴봐야

개인정보보호를 생각하면 기업이나 조직에서 가진 정보자산을 보호하는 관점으로 생각하기 쉽지만, 실질적으로 개개인에게 가장 큰 영향을 미칠 수 있는 부분은 개인들이 사용하고 있는 디바이스에서 발생할 수 있는 사생활 침해 이슈를 간과할 수 없다.

조직에서 보관하고 있던 개인정보가 유출되면, 개인의 입장에서는 ‘많은’ 사람의 나의‘일부’ 정보가 유출되는 것이지만, 개인의 디바이스에서 유출되는 정보는 그 ‘개인의 거의 모든 정보’가 유출될 수 있다.

휴대폰을 생각해 보면, 그 안에 개인정보를 포함한 훨씬 광범위한 개인의 프라이버시가 담겨있는 경우가 대부분이다.

카카오톡을 사용한다거나, 건강정보, 사진, 동영상, 사이트 접속기록, 통화기록, 문자 메시지 등등 모든 정보들이 소홀히 할 수 없는 개인의 민감한 정보를 담고 있다.

또한, 집에서 사용하는 패드나 PC는 어떤가?

일반적으로 개인, 가족에 관한 더 많은 정보들이 담겨 있을 수 있다.

특히, 클라우드 환경과 연동되는 디바이스들은 사용자가 설정을 하거나, 하지 않더라도 기본적으로 클라우드 속에 보관될 수 있다.

이런 디바이스들에 악성코드가 감염되거나 제로데이 취약점을 통해 악의적인 사용자에게 통제권이 넘어간다면, 개인의 프라이버시 침해는 기업에서 정보가 유출된 것과는 비교도 되지 않을 정도로 치명적이다.

이런 개인의 프라이버시 영역에 관련된 디바이스나 서비스들은 인증과 관련된 충분한 보안 기능을 고려해서 제공해야 한다.

인증이 뚫리면 다른 수단으로 보호하는 부분은 크게 의미가 없어지기 때문이다.

디바이스 접근 시 핀번호나 지문인증과 같이 한 가지 방식의 간단한 인증방식을 지양하고 이중인증을 기본으로 제공하는 것을 고려해봐야 한다.

특히, 얼굴인식이나, 지문인증의 경우 가까운 사람에게는 무용지물일 수 있다.

아이폰의 경우, ‘Face ID 사용 시 화면 주시 기능’을 제공하는 것과 같이 다른 사람이 인증하지 못하도록 하는 최소한의 추가 수단을 제공하는 것이 필요하다.

디바이스 제공자만의 노력으로 충분한 보호가 되지 않기 때문에 사용자들의 주의도 필요하다.

원치 않는 사람이 나의 디바이스에 접근 할 수 있다는 전제에서 본인의 디바이스에 대한 인증방식이나 보안 설정을 적용할 필요가 있다.

보호 수준은 당연히 보호할 만한 정보가 얼마나 있는지 중요도에 따라 달라질 수 있지만, 개인의 디바이스에는 프라이버시와 관련된 수많은 정보가 담겨있을 수밖에 없고, 가장 가까운 사람도 보게 되면 부담스러운 상황이 될 수 있다.

특히, 정보보호 담당자들의 휴대폰과 디바이스에는 이메일이나 조직의 중요 정보가 저장되어 있을 수 있기에 더욱 관리에 신경을 써야 한다.

이를 보호할 수 있는 전통적인 방법으로, 영화에서 스파이들이 가장 많이 사용하는 태우기(?)기법을 활용할 수 있다.

비밀번호나 중요 정보가 적힌 종이를 본 후에 즉시 불 속에 넣어 태우거나, 입으로 삼키는 장면처럼, 메신저나 저장된 정보를 확인하고 즉시 삭제하는 방법. 이 경우 본인의 기억력이 뒷받침 되야 하는 단점이 존재한다.

그리고 수시로 불필요한 정보를 삭제하는 방법이 있을 수 있다.

카톡 내용이나, 접속기록, 기존에 보관된 임시 파일 등에 대해 디바이스에서 제공하는 삭제 기능을 활용하여 주기적으로 삭제하는 방법도 활용할 수 있다.

박나룡 소장
박나룡 소장

혹시라도 내 디바이스가 원치 않는 누군가에게 통제권이 넘어가거나, 엿보기를 통해 사생활이 노출될 경우 심각한 프라이버시 침해가 예상된다면, 지금 당장이라도 휴대폰과 자신이 가진 디바이스들에 대한 보안 설정을 살펴보기 바란다.

[글. 박나룡 보안전략연구소 소장 / isssi@daum.net]

★정보보안 대표 미디어 데일리시큐!★