swork.org [anti-hackers lab][정보보호] [에스테크스타닷컴]

인터넷/모바일 해킹방어 보안정보 사이트 [취약점 점검(모의해킹)] 서비스 문의 : isec70@stechstar.com

[주말판] 프라이버시 침해가 판치는 인터넷에서 살아남기

[주말판] 프라이버시 침해가 판치는 인터넷에서 살아남기

인터넷을 사용하면서 흔적을 완전히 감추는 건 불가능하지만
VPN 서비스 업체에 대한 큰 기대 버려야…토르는 사용성 낮아지기도 해


[보안뉴스 문가용 기자] 사이버 공격이 너무 심해 인터넷 공간은 할렘가나 정글로 비유되고 있다. 그러한 때 안전하게, 사생활 침해도 받지 않으면서 웹 브라우징을 하려면 어떻게 해야 할까? 제일 먼저 알아두어야 할 건, 그런 방법은 없다는 것이다. 

[이미지 = iclickart]


당신이 오늘 어떤 사이트를 방문했는지, 먼저 인터넷 업체가 알고 있다. 그리고 정부도 알고 있다. 한국 정부만이 아니라 다른 나라 정부도 알고 있다. 요즘엔 소셜 미디어 사이트와 광고 네트워크, 일부 앱들조차도 당신이 어떤 사이트에 들어갔다 나왔는지 알고 있을 가능성이 높다. 요즘 사이버 세상에서는 당신만을 위한 표적화된 광고가 유행이기 때문이다. 그게 뭐 대수냐고 생각할지도 모르지만, 웹 서핑 기록은 꽤나 민감한 개인정보에 포함된다. 어떤 사이트에 방문했느냐에 따라 당신의 건강 상태, 정치적 성향, 남에게 말하기 쉽지 않은 성적 취향 등이 드러날 수 있기 때문이다. 

누구든 웹사이트에 방문할 때마다 데이터라는 흔적을 남긴다. 이걸 전부 막을 수는 없다. 그게 인터넷의 기본 메커니즘이기 때문이다. 하지만 흘리고 다니는 데이터의 양 자체를 줄일 수는 있다. 그것이 인터넷 프라이버시를 지키는 방법이다. 이번 주말판에서 몇 가지 소개하고자 한다.

VPN은 신원을 감추는 데 도움이 되지만, 익명화를 보장하지는 않는다
아마 프라이버시에 관심이 있는 사람이라면 VPN에 대해 한 번쯤 들어봤을 것이다. 아무도 당신이 발생시키는 트래픽을 엿보거나 훔쳐낼 수 없게 한다는 것을 말이다. 하지만 꼭 그런 건 아니다. 정확히 말해 VPN은 당신이 발생시키는 모든 트래픽이 통과하는 전용 터널을 만든다. 이를 VPN 서버라고 한다. 그렇기 때문에 인터넷 제공업체가 트래픽을 볼 수 없게 한다. 

검열이나 감시가 심한 국가에 산다면 이게 큰 도움이 된다. 그게 아니라면 사실은 인터넷 제공업체 대신 VPN 제공 업체에 모든 트래픽을 보내는 것이나 다름이 없다. 인터넷 업체를 신뢰하느냐, VPN 업체를 신뢰하느냐의 문제일 뿐이라는 것이다. VPN 서비스들은 무료로 제공되는 경우도 많은데, 이 업체들이라고 프라이버시 보호에 대단한 사명감을 가지고 일하는 건 아니다. 결국 이들도 사용자의 데이터를 팔거나, 사용자에게 광고를 보여줌으로써 돈을 번다. 유료 VPN 서비스들은 어떨까? 사정이 별반 다르지 않다. 데이터에 대한 암호화를 제대로 하는 기업이 손꼽힐 정도다.

물론 잘 하는 VPN 기업들도 있다. 실제로 검열과 감시로부터 사용자들의 프라이버시를 보호하고자 진실된 노력을 하고, 그러므로 신뢰를 받는 서비스들이 존재한다. 그런 서비스들 중 하나가 와이어가드(WireGuard)다. 아이폰과 아이패드 등 다양한 종류의 장비와 시스템에서 작동한다. 앱 중에서 눈에 띄는 건 가디언 모바일 파이어월(Guardian Mobile Firewall)이다. 아이폰 전용이라는 단점이 있긴 하지만, 데이터를 완전 익명화하기 때문에 가디언 모바일 파이어월 개발 및 운영사도 트래픽을 볼 수도 없고 당신이 누군지도 모르게 된다. 또한 폰에 설치되어 있는 다른 앱들이 사용자를 추적하고 데이터에 접근하는 걸 막아주기도 한다.

IT 전문가인 로메인 딜레(Romain Dillet)는 “최고의 VPN 제공업체는, 사용자에 대한 모든 것을 사용자가 직접 제어할 수 있게 해준다”고 요약한다. 그런 의미에서 알고 VPN(Algo VPN) 서버가 권장할 만하다. 사용자가 자신의 알고 VPN 서버를 수분 만에 만들 수 있게 해주고 연결, 서버, 데이터 관리 등 사용자에게 많은 권한을 주기 때문이다. 유명한 보안 업체인 트라이얼 오브 비츠(Trial of Bits)가 직접 만들고 제공하는 서비스이기도 하며, 소스코드가 깃허브를 통해 공개되기도 했다. 소스코드가 공개된 상태이기 때문에 백도어를 코드에 몰래 넣는 게 어렵게 된다. 

안전한 DNS가 필요하다
다시 이야기를 처음으로 돌려보자. ‘인터넷 제공업체가 당신이 방문한 사이트를 알고 있다’는 건 결국 무슨 뜻일까? 인터넷이라는 거대한 구조 속에는 도메인 이름 시스템(DNS)이라는 게 있다. 이 시스템은 사람들이 입력하는 웹 주소를 컴퓨터가 읽을 수 있는 IP 주소로 바꿔주는 역할을 한다. 이렇게 웹 주소와 IP 주소를 연결해주는 걸 ‘리졸브(resolve)’라고 하며, 리졸브를 하는 시스템이나 기능을 리졸버(resolver)라고 한다. 

대부분의 장비들은 장비가 연결된 네트워크(보통은 인터넷 통신사)가 설정한 리졸버를 자동으로 사용하도록 설정되어 있다. 이 말은 인터넷 제공업체가 리졸브 과정에서 사용자가 방문한 웹사이트를 알 수밖에 없다는 뜻이다. 게다가 미국 의회는 최근 인터넷 제공업체가 사용자의 브라우징 기록을 광고 업체에 팔수 있게 해주는 법안을 통과시켰다.

그러니 이 DNS에서부터 프라이버시가 지켜져야 한다. 대부분의 사람들이나 조직들은 오픈DNS(OpenDNS)나 구글의 퍼블릭 DNS(Public DNS)와 같이 널리 공개된 서비스를 사용한다. 설치도 쉽고, 설정도 쉬우며, 이미 여러 컴퓨터나 장비, 가정용 라우터에 설치되어 있는 상태이기도 하다. 

안전한 DNS 서비스로는 클라우드플레어(Cloudflare)가 제공하는 안전 DNS 서비스가 있다. 이름은 다소 특이한, 1.1.1.1이다. 트래픽을 암호화하는 건 물론 개인의 데이터를 가지고 광고 행위에 사용하지 않는다. 또한 사용자들의 IP 주소를 24시간 이상 저장하지 않는다는 규칙도 가지고 있다. 클라우드플레어의 1.1.1.1 앱은 애플의 앱 스토어와 구글의 플레이 스토어 모두에서 다운로드가 가능하다. 

HTTPS를 친구로 만들기
개인 사용자에게 있어 최고의 프라이버시 지킴이는 HTTPS다. 사용자의 컴퓨터나 스마트폰에서부터 최종 웹사이트까지의 연결 트래픽을 암호화시켜주기 때문이다. 이미 대부분의 ‘메이저급’ 웹사이트들은 대부분 HTTPS 연결을 제공한다. 구글의 크롬 등 여러 브라우저들에서도 HTTPS 연결이 제공되는 사이트에는 안전하다는 표시를 해준다. HTTPS만 있어도 누군가 인터넷 트래픽이 흘러가는 걸 가로채고 데이터를 훔쳐내는 게 불가능에 가까워진다. 

브라우저에 초록색 불이나 자물쇠 표시가 뜨는 순간 HTTPS가 당신의 컴퓨터와 현재 방문하고 있는 웹사이트 사이의 트래픽을 암호화했다는 뜻이다. 공공 와이파이에 연결되어 있다고 하더라도 HTTPS를 기반으로 하고 있는 웹사이트에 방문하면 누구라도 사용자의 트래픽을 스누핑할 수 없다. 그래서 HTTPS 사이트가 늘어나면 늘어날수록 인터넷 전체가 더 안전해지는 건 사실이다. HTTPS만으로 완벽해지는 건 아니지만 말이다. 

하지만 아직도 HTTPS가 디폴트로 지원되지 않는 많은 웹사이트들이 존재한다. 이런 사이트들에 방문하면 암호화의 보호를 받을 수 없다. 그래서 등장한 것이 브라우저 플러그인인 HTTPS 에브리웨어(HTTPS Everywhere)다. HTTPS 기능을 가지고는 있지만 디폴트 지원이 되지 않는 웹사이트를 방문할 때 이 플러그인이 HTTPS 기능을 활성화시킨다. 가볍고 빠른 플러그인이라 한 번 설치하면 눈에 띄지도, 기억도 나지 않는다는 장점도 가지고 있다.

웹 플러그인 이야기가 나왔으니 말인데…
다음은 웹 플러그인들에 대해 이야기할 차례다. 플래시나 자바도 예전에는 별도의 플러그인을 설치해야만 사용이 가능하던 시절이 있었다. 지금이야 이런 기능들이 아예 브라우저에 탑재되어 있지만, 플래시나 자바들도 플러그인 출신들이다. 웹 페이지마다 움직이던 것들이 신기하게 박혀 있던 시절 전성기를 누리던 플러그인들이 주류 브라우저에 편입되어 오늘날의 웹 생태계가 완성된 것이다. 그러나 모든 것에는 쇠퇴기가 있기 마련인지라, 이 두 왕들은 HTML5라는 것에 자리를 내어주고 말았다.

플래시와 자바에는 또 다른 공통점이 있다. 보안 문제를 끊임없이 일으키는 요소로서 오랜 기간 악명을 쌓아왔다는 것이다. 둘 다에서 버그와 취약점이 다수 발견되었으며, 그래서 자바는 2015년 웹 브라우저들에서 플러그가 뽑혔으며 플래시는 2020년을 공식 사망일로 앞두고 있다. 한 때는 모든 웹 사용자들의 눈을 즐겁게 해주던 것들이지만, 더는 아니기에 역사책 속으로 사라지게 된 것이다.

실제로 이제는 일부러 자바와 플래시를 사용하는 사람이 아니라면 그 두 가지 프로그램을 삭제하는 게 좋다. 이 두 가지가 설치되어 있다는 것만으로 위험 부담이 생기게 된다. 윈도우와 맥에서 플래시를 삭제하는 데에는 1분도 걸리지 않는다. 자바도 마찬가지다. 모바일 기기에도 플래시와 자바가 설치되어 있다면 역시 삭제하는 것을 권장한다.

파이어폭스나 크롬 등 대부분의 웹 브라우저들은 별도의 기능을 추가하고 싶은 사람들을 위해 플러그인을 제공한다. 마치 스마트폰에 앱을 설치해 기계의 활용도를 높이듯, 브라우저에도 플러그인을 깔아 더 나은 경험을 추구할 수 있다. 하지만 스마트폰의 앱들이 그러하듯, 이 플러그인들도 사용자의 개인적인 정보나 시스템 정보에 대한 접근 권한을 필요로 한다. 이 때문에 악의적인 플러그인들이 시시때때로 등장한다. 각종 검사를 피해 사용자의 브라우저에 올라타는 것들도 있으며, 예전에는 좋았던 것들이 잘못된 업데이트 등을 통해 변질되는 사례도 있다.

그렇다고 플러그인을 깔지 말라고 할 수도 없다. 도움이 되는 정직한 플러그인들도 분명히 존재하기 때문이다. 나쁜 플러그인은 무엇이며, 좋은 플러그인은 무엇이라고 명확히 정의하기도 어렵고, 한 번 괜찮았던 플러그인이라고 영원히 신뢰할 수 있는 것도 아니다. 이는 전적으로 사용자 자신이 판단해야 한다. 플러그인이 요구하는 권한이 과도한 것은 아닌지 확인하는 것이 핵심이다. 또한 더 이상 필요하지 않은 플러그인이라면 삭제하는 것에도 부지런해야 한다.

반대로 프라이버시 보호에 도움을 주는 플러그인들도 있다. 대표적인 게 애드블로커다. 광고를 차단시켜주는 플러그인으로, 이런 광고들의 공격적이고 과도한 추적 행위를 중단시키기도 한다. 유블록(uBlock)은 인기가 높은 오픈소스 블로커로 메모리를 많이 소모하지도 않는다. 애드블록(AdBlock)도 유명하고 인기가 높지만, 메모리를 조금 더 많이 필요로 한다. 애드블로커를 사용하면 광고가 덜 노출되기 때문에 웹 브라우징이 더 빨라지는 효과도 나타난다.

사이트와 사이트 간 추적 행위를 차단해주는 플러그인들도 도움이 된다. 예를 들어 프라이버시 배저(Privacy Badger)는 웹 페이지에 작게 숨겨져 있는 1~2픽셀 크기의 트래커들을 찾아서 마비시킨다. 이 트래커들은 사용자들이 사이트들을 옮겨 다니더라도 그대로 남아있어 사용자들의 행위를 관찰하고 기록하며 데이터를 축적시킨다. 이것이 나중에 당신에게 꼭 맞는 표적형 광고가 된다. 프라이버시 배저를 사용하면 표적 광고를 하고 싶어하는 업체들에 있어 당신은 사라진 존재가 된다. 이런 부분에서 사용해봄직한 플러그인으로는 고스터리(Ghostery)가 있다. 이 두 가지 앱은 사용해볼 것을 권장한다.

사용하는 검색 엔진을 바꾸는 것도 안전한 웹 서핑을 위해서는 고려해볼 만하다. 구글이나 네이버보다 훨씬 더 ‘프라이버시’ 및 ‘개인정보 보호’라는 개념 위에 만들어진 것들이, 유명하지 않아도 존재한다. 그 중 하나가 덕덕고(DuckDuckGo)로, 사용자의 개인정보를 저장하지 않고, 광고를 위해 사용자를 추적하지도 않는다.

익명성이 중요한 상황이라면 토르를 사용한다
위의 것들에 더해 완전 익명성을 원한다면 토르(Tor)가 답이다. 토르는 사용자가 생성하는 인터넷 트래픽을 무작위 릴레이 서버들을 통해 연결시킨다. 세계 곳곳의 릴레이 서버들 여기저기로 트래픽을 반사시키고 이동시키기 때문에 흔적이 남지 않는다. 대부분의 장비나 라우터들에서 사용이 가능하다. 토르를 사용하는 가장 간단한 방법은 토르 브라우저를 사용하는 것이다. 토르 브라우저는 파이어폭스를 기반으로 한, 보다 안전하고 제한적인 브라우저로 웹상에서 프라이버시를 지킨다는 게 어떤 건지 체감할 수 있게 해준다.

토르를 사용하는 사용자의 웹 트래픽을 스누핑 하거나, 방문하는 웹 사이트를 파악하는 일은 불가능에 가깝다. 심지어 그 사이트에 접근한 사람이 당신이라는 사실도 알아낼 방법이 없다. 그래서 검열이나 감시가 심한 환경에서 기자들과 운동가들은 토르를 즐겨 사용한다. 

그렇다고 해서 토르가 모든 걸 해결해주는 건 아니다. 실제로 토르를 사용하는 범죄자들이 수사기관에 체포되기도 한다는 건 토르에도 결점이 있다는 뜻이다. 특히 토르라는 프로토콜을 가장 간편하게 사용하게 해주고, 실제로 보편적으로 활용되고 이는 토르 브라우저도 결국은 브라우저이기 때문에 다른 브라우저들처럼 취약점이나 버그가 아예 없을 수 없다. FBI는 이런 취약점들을 익스플로잇 함으로써 사이버 범죄자들을 체포해온 것으로 알려져 있다. 

그러므로 토르 브라우저를 사용하기로 했더라도 주기적으로 업데이트하고, 토르 브라우저가 내보내는 경고 메시지를 심각하게 받아들여야 한다. 그렇지 않다면 일반 브라우저를 사용하는 것보다 못한 결과를 낳을 수도 있다. 토르 기술을 유지, 관리하는 토르 프로젝트(Tor Project) 측도 사용자들에게 ‘브라우징 습관을 종종 바꾸라’고 권고한다. 

또한 토르 브라우저는 ‘웹 사용 경험’이라는 측면에서 이상적인 프로그램은 아니다. 영상 스트리밍 등을 위해서는 최적의 선택이 아닐 수 있다. 실제로 사용해보면 여러 가지 불편한 점이 생기는 걸 느낄 수 있을 것이다. 굉장히 위험한 처지가 아니라면, VPN 앱을 알아보는 편이 더 나을 수도 있다.

3줄 요약
1. 인터넷은 구조 상 사용자의 흔적이 남을 수밖에 없기 때문에 완벽한 프라이버시 보호는 불가능.
2. VPN, 안전한 DNS, HTTPS, 도움이 되는 플러그인을 복합적으로 사용하면 많은 흔적을 지울 수는 있음.
3. 익명화를 원한다면 토르가 알맞은 선택지인데, 인터넷 사용성이 떨어진다는 단점이 있음.
[국제부 문가용 기자(globoan@boannews.com)]

[출처] https://www.boannews.com/media/view.asp?idx=76270#

346 total views, 2 views today

Updated: 2019년 1월 20일 — 2:47 오후

댓글 남기기

This site uses Akismet to reduce spam. Learn how your comment data is processed.

swork.org [정보보호정보] [에스테크스타닷컴] © 2015 Frontier Theme
%d 블로거가 이것을 좋아합니다: