|
미국 IT 기업 보안 전문가들은 최근 ‘핵로어를 멈춰라!(Stop Hacklore!)’라는 제목의 공개 서한을 통해 근거가 불충분하거나 시대에 뒤떨어진 보안 통념에 대해 경고했다고 니혼게이자이(닛케이)신문이 28일 보도했다. ‘핵로어(Hacklore)’는 해킹(Hacking)과 전통 문화(Folklore)를 합친 신조어로, ‘효과 없는 보안 조언’을 가리킨다.
지난 3일 기준 구글·마이크로소프트(MS)·깃허브·야후 등 주요 기업의 최고정보보안책임자(CISO)와 보안 담당 임원 등 99명이 이번 서한에 동의했다. 서한은 지난해 11월 24일 첫 공개됐으며, 당시 86명에서 시작해 동의자가 지속 증가하고 있다.
서한은 “업계·학계·정부 전반에서 실제 보안 침해가 어떻게 발생하는지 목격해 온 현직 및 전직 CISO들의 견해”라며 “일반인과 소규모 기업을 대상으로 온라인에서 널리 유포되는 디지털 위험에 관한 지속적인 신화를 바로잡기 위해 작성됐다”고 밝혔다.
전문가들이 지적한 대표적인 ‘핵로어’는 6가지다. 다시 말하면 보안과 관련해 잘못 알려진 대표적인 통설들이다.
공공 와이파이 사용 금지가 대표적이다. 서한은 “공공 와이파이를 통한 대규모 보안 침해는 현재 극히 드물다”고 밝혔다. 최신 제품들이 개방형 네트워크에서도 트래픽을 보호하는 암호화 기술을 사용하고, 운영체제와 브라우저가 신뢰할 수 없는 연결에 대해 경고하기 때문이다. 개인용 VPN(가상사설망) 서비스도 대부분 사용자에게 추가 보안이나 프라이버시 이점을 제공하지 못하며 가장 흔한 공격을 막지 못한다고 지적했다.
QR코드 스캔 금지도 마찬가지다. 전문가들은 “QR코드 스캔 자체로 인한 광범위한 범죄 증거는 없다”고 밝혔다. 진짜 위험은 사회공학적 사기이며, 이는 기존 브라우저와 운영체제 보호 기능과 웹사이트에 정보를 제공할 때 주의를 기울이는 것으로 완화된다는 설명이다.
공공 USB 충전 포트 사용 금지 역시 과도한 우려라는 게 전문가들의 판단이다. USB 포트를 통해 데이터를 훔치는 ‘주스재킹’(Juice Jacking·충전 포트에 악성 코드를 심어 기기 정보를 탈취하는 공격)이 근거로 제시되지만, 일반 사용자에게 영향을 미친 검증된 주스재킹 사례는 없다. 최신 기기들은 데이터 전송을 활성화하기 전 사용자에게 확인을 요구하고, 기본적으로 제한된 충전 모드로 설정되며, 연결된 액세서리를 인증한다.
|
블루투스와 근거리무선통신(NFC) 기능을 끄라는 조언도 과장된 것으로 나타났다. 서한은 “실제 무선 기능 취약점 공격은 극히 드물며 일반적으로 특수 하드웨어, 물리적 근접성, 패치되지 않은 기기가 필요하다”고 밝혔다. 최신 스마트폰과 노트북은 이러한 구성요소를 격리하고 페어링 시 사용자 동의를 요구한다.
쿠키를 정기적으로 삭제하는 것도 효과가 없다. 쿠키 삭제는 보안을 의미 있게 개선하지도 못하고 현대적인 추적 기술을 막지도 못한다. 현대의 추적 기술에는 쿠키 외에 식별자와 핑거프린팅이 포함되기 때문이다.
비밀번호 정기 변경도 이제는 폐기해야 할 조언으로 꼽혔다. 잦은 비밀번호 변경은 한때 일반적 조언이었지만 범죄를 줄인다는 증거가 없으며, 오히려 더 약한 비밀번호를 사용하거나 계정 간 재사용으로 이어지는 경우가 많다.
서한은 “이런 조언은 선의로 제공되지만 오해를 불러일으킨다”며 “사람들이 자신을 보호하기 위해 가진 제한된 시간을 소비하고, 실제 침해의 가능성과 영향을 진정으로 줄이는 행동에서 주의를 분산시킨다”고 지적했다.
전문가들은 핵로어 대신 △중요 기기와 애플리케이션을 최신 상태로 유지 △다요소 인증(MFA, 비밀번호 외 문자인증·생체인식 등 추가 확인) 활성화 △16자 이상의 강력하고 고유한 비밀번호 사용 △비밀번호 매니저(삼성 패스, 구글 비밀번호 관리자 등) 사용 등의 기본 대책 실천이 중요하다고 강조했다.
특히 비밀번호에 대해서는 “강력한 비밀번호는 길고(16자 이상), 고유하며(어떤 경우에도 재사용 금지), 무작위로 생성돼야 한다”고 강조했다. 같은 비밀번호를 두 곳 이상에서 사용하면 한 곳에서 유출 시 다른 곳도 즉시 위험해지기 때문에 고유성이 결정적으로 중요하다는 설명이다.
서한은 조직과 소프트웨어 제조사에 대한 권고사항도 포함했다. 조직에는 사람들이 실수할 때 치명적으로 실패하지 않는 시스템 구축을 요구했고, 소프트웨어 제조사에는 기본적으로 안전한 설계와 보안 취약점에 대한 완전하고 정확한 공개를 촉구했다.
서한은 “우리는 커뮤니케이터와 의사결정권자들에게 ‘핵로어’, 즉 그럴듯하지만 부정확한 조언을 홍보하는 것을 중단하고, 대신 피해를 의미 있게 줄이는 지침을 공유할 것을 촉구한다”며 “공공기관, 고용주, 미디어 조직이 사이버보안 조언을 실용적이고 균형 잡히며 현재 실상에 기반하도록 재구성할 수 있도록 돕기 위해 준비돼 있다”고 밝혔다.
|
Copyright ⓒ 이데일리 무단 전재 및 재배포 금지
본 콘텐츠는 뉴스픽 파트너스에서 공유된 콘텐츠입니다.
다음 내용이 궁금하다면?
광고 보고 계속 읽기
원치 않을 경우 뒤로가기를 눌러주세요
