보낸편지함의 개인정보

보낸편지함의 개인정보

Clear Umbrella Project #1
아이들과 함께 고민해야 할 정보보호 키워드 : 전자우편의 사용

 

신분증 사본 발송

인터넷통신사, 휴대전화통신사, 보험사 등의 계약을 해지하고자 할 때, 상담원이 전자우편/팩스를 통해 신분증 사본을 요구하는 경우가 있다.

스마트폰/카메라로 촬영하거나 스캐너를 이용해 파일의 형태로 만들어 전자우편으로 발송한 다음에는 모든 절차가 끝났다고 생각하기 쉽다.

하지만, 전자우편으로 발송한 메일은 별다른 설정이 없다면, ‘보낸편지함’에 보관된다. 신분증 사본을 전자우편으로 발송된 후에도 전자우편의 보낸편지함에 남아 있다는 뜻이다. 전자우편함이 해킹을 당했을 경우, 신분증 사본이라는 상당히 높은 레벨의 개인정보가 유출될 수 있다는 뜻이다.

전자우편으로 보내지 말아야 할 것들

전자우편으로 보내거나 받지 말아야 할 정보는 다음과 같다.

  • 신분증사본 (주민등록증, 자동차운전면허증, 소속직장ID카드 등)
  • 개인관련공문서 (주민등록등/초본, 인감증명서, 소득신고서, 원천징수영수증 등)
  • 은행관련 (계좌이체보안카드, 각종 은행상품신청서식 사본 등)
  • 기타 개인정보가 포함되었거나, 직접적으로 사용될 수 있는 문서

암호화와 관리

절차상 어쩔 수 없이 전자우편을 통해 발송할 때에는

  • 이미지 파일이 아닌 암호화 가능한 문서의 형태로 6자 이상의 알파벳+숫자로 암호화하여 보내고, 반드시 ‘음성’으로 암호를 필요에 따라 공유
    (워드 .hwp .docx .pptx .pdf 등의 암호화 가능한 파일로 첨부하거나, 압축파일 .zip 등으로 묶어서 암호 설정)
  • 전송하는 본문에 개인정보보호지침에 따를 것을 기재하여 상기시키고,
  • 전송한 뒤에는 반드시 보낸편지함을 삭제하는 것을 잊지 않도록 하자.

 

맥노턴의 킥!

(쉐프의 킥 패러디)

학교/교실/컴퓨터실의 PC는 공용PC라고 볼 수 있다. 결코 안전하지 않으며, 개인정보가 저장/활용되지 않도록 유의!

스캐너가 연결된 PC/스캐너의 저장장치에 임시로 보관된 신분증 사본도 반드시 삭제할 것.

보안카드를 스캔하거나 스마트폰에 저장하는건 절대 금지!

 

투명우산 프로젝트의 시작 : 맥노턴.

스마트폰 정보 빼내기, 스미싱…

피싱, 파밍에 이어, 오늘은 스미싱 이야기를 해볼까합니다…

국내 스마트폰의 종류를 크게 둘로 나눠도 무방할 겁니다.

  1. 구글의 안드로이드OS를 사용하는 삼성/LG/모토로라 등의 안드로이드 계열 스마트폰 진영
  2. 애플의 iOS를 사용하는 애플 아이폰 진영

이외에 블랙베리나, 윈도모바일(?)계열은 아직 파이가 작기 때문에 일단 뒤로.

스미싱은 스마트폰(스마트디바이스들)의 내부에 저장된 정보를 털어 악용하려는 해킹 기법입니다. 사진, 공인인증서, 문자메시지, 메모, 앱내부의 데이터까지 뭐든 털 수 있습니다.

스미싱을 성공시키기 위해서는 운영체제의 보안 장치를 해제하고 원격으로 제어할 수 있는 해킹 앱(app, application software)을 사용자의 스마트폰에 설치해야 합니다.

구글 안드로이드의 취약성

대부분, 문자메시지를 이용해 (무료쿠폰이라든가, 당첨확인) 링크 주소를 발송한 다음, 사용자가 이를 터치하여 연결을 시도하면, 프로그램을 전송하여 설치하는 방법을 이용합니다. (특히, 우리나라사람들… 내용도 안읽어보고 무조건 다음>> 다음>> 빨리빨리 습관 때문에 더 잘 낚이는 것일수도)

이런 악성코드를 이용한 시도는 iOS를 사용하는 아이폰에서는 무용지물이지만, 구글의 안드로이드를 사용하는 스마트폰들에서는 구글Play에서의 앱 관리 허술과 운영체제의 보안 취약성 때문에 아주 쉽게 먹힙니다.

본인은 안전한지 다같이 한 번 테스트해 보겠습니다. (LG,삼성 등 안드로이드계열을 사용하신다면)

스마트폰을 열어서,

  • 설정 > 보안 > 디바이스관리 > 알 수 없는 출처

항목을 살펴보세요.

혹시, 체크표시가 되어 있으신가요? 그렇다면, 구글Play 를 통하지 않고도 앱을 설치할 수 있도록 설정 하신겁니다. 스미싱 피해자이거나, 잠재적 피해자라고 보시면 되겠습니다.

지금 당장 체크 표시를 해제하여, 구글Play에서만 앱을 설치할 수 있도록 막아 놓으세요.

안드로이드에서 사용하는 앱 파일의 확장자는 .apk 입니다. 이 파일은 안드로이드에서만 실행/설치됩니다. 어플리케이션 프로그램이 압축되어 패키징 되어 있는 파일이죠.

문자 메시지의 URL 을 클릭하게 되면, 악성코드 .apk 파일이 스마트폰으로 내려받아지고, 설치하겠다는 메시지를 무시하고 진행하시면, 바로 설치됩니다.

이 때, 알 수 없는 출처의 앱을 사용하도록 허용하시면, 구글Play 사이트가 아니라 개인 사이트에서도 .apk 파일을 내려받아 설치할 수 있기 때문에, 설치 후 실행되는 순간부터 악의적 해커들의 먹잇감이 되는겁니다.

위에서 처럼 보안을 강화하시는 것이 우선이고, 알지 못하는 링크는 클릭하지 않는게 필수입니다. 그리고 구글Play에 올라와 있는 앱 중에서도 사용자를 속이는 앱이 있습니다. 무턱대고 설치하지 마시고, (공짜에 현혹되지 마시고) 꼭 필요한 앱만 이용하시길 바랍니다.

백신이 있다면 설치하셔도 많은 도움이 되겠지요. 다만, 주의하실 점은 백신은 악성코드가 나타난 다음에야 치료법이 나오기 때문에 먼저 피해를 당할 수 있으니 백신만 무조건 믿는 것도 바람직하지 않습니다.

자녀와 학생, 아이들에게 가르쳐야

한가지 짚고 넘어갈 부분이 있습니다. 이런 보안 문제는 본인의 실천보다 더 중요한 것이… 자녀분들이나 학생들에게 반드시 가르치셔야 합니다.

주변 사람들의 스마트폰을 열어보면, 자녀들이나 아이들이 만지작거리고 나서 악성코드가 설치되는 경우를 흔하게 봅니다.

판단이 부족한 아이들이 무료 게임으로 위장한 프로그램을 설치하거나 스미싱 문자메시지의 링크를 무작정 누르거나, 앞서 말씀드린 보안 설정을 해제하고 게임을 설치하는 등…

오늘부터 주변 사람들에게 널리 알리시고, 아이들의 스마트폰도 한 번 점검해보시고, 부모의 스마트폰을 아이들에게 맡기지 않는 것이 제일 좋습니다.

아이폰은 안전한가?

반면에… 애플의 아이폰에 사용되는 iOS는 MacOS를 기반으로 경량화하였기 때문에, 태생부터 매우 까다롭고 강력한 안전장치가 마련되어 있습니다…

  • 앱이 실행되는 공간을 엄격히 구분하여 다른 앱을 건드릴 수 없도록 되어 있기 때문에 악성코드가 설치되더라도 다른 공간의 정보를 빼내기 어렵게 되어 있고,
  • 앱스토어에 올라오는 앱은 애플사에서 일일이 확인하여 올리기 때문에, 악성코드를 미리 걸러낼 수 있는 장치가 마련되어 있습니다.

때로는 그 안전장치 때문에 아이폰이 불편하다고 느끼는 분도 계시지만, 불안전과 불편함 중에 선택하라면 저는 불편함을 택하겠습니다. 물론, 100% 안전하다고 보기는 어렵습니다만 사용자가 악의적 해커들의 타겟이 아닌 이상 안전하다고 보시면 됩니다.

다만, 탈옥이라 불리는 iOS 운영체제의 안정장치를 해제하는 방법을 이용하신다면, 스미싱 피해를 당할 수 있습니다.

보안에 자신이 없으시다면 탈옥하지 마시고 순정 상태의 아이폰을 이용하시면서 iOS 업데이트를 꾸준히 해주시기를 권장합니다.

아이든 어른이든

인터넷과 컴퓨터, 스마트디바이스들의 적극적 활용보다 더 중요한 것은
올바른 활용입니다.

장비와 앱을 능숙하게 다루는 것이 능력이 아니라,
장비의 동작을 충분히 이해하고 필요한 앱을 제대로 활용하는 것이 능력입니다.

 

 

피싱, 파밍… 개인정보도난 조심하세요.

피싱, 파밍…

최근 뉴스에 많이 오르내리는 기술 용어죠…

피싱은 해킹 기법 중에 나름 사회공학적(으로 사람을 속여서 정보를 획득하는)인 인간적인(?) 방법입니다.

전화로 은행을 사칭하고 개인정보와 비밀번호를 알아내는게 보이스-피싱이라면… 인터넷 웹페이지로 은행과 똑같은 가짜 사이트를 만들어 사용자를 낚은 다음, 개인정보와 비밀번호를 뽑아내어 악용하는게 웹사이트-피싱입니다.

그런데, 웹브라우저의 주소 입력란을 자세히 보거나 상태표시줄만 보아도, 가짜 피싱사이트 주소임을 알아낼 수 있다는 점이 걸림돌입니다. 그래서, 사용자의 컴퓨터에 악성코드를 심어서 가짜 주소를 진짜 주소로 속인 다음에 피싱을 시도하는 것을 파밍이라고 합니다.

예를들어 가짜 농협 사이트를 nornghyp.co.kr 이라고 만들어서 메일을 통해 접속을 유도하면… 대부분 의심없이 접속을 하게 되지만, 눈썰미 좋은 사용자는 nornghyup이 nonghyup과 다름을 알고 피해가게 됩니다. (혹시 nornghyup이 올바른 농협 사이트 주소라고 생각하시는건 아니겠죠?)

이 때, 악성코드가 먼저 동작하여 주소를 진짜처럼 nonghyup.co.kr 으로 보여지도록 할 수 있습니다. 그 기법이야 여러 가지겠지만, 결과적으로 사용자가 전혀 눈치챌 수 없게 속이는 거죠…

이 방법을 잘 이용하면 daum, naver? 의 비밀번호를 모조리 다 빼낼 수 있습니다. 설령 속아넘어가더라도 피해를 최소화 하기 위해, 평소 메일을 통해 개인정보나 신상정보를 관리하고 보관하는 습관을 완전히 정리하시기를 권장합니다.

아래 링크는 손대지 않은 daum.net 사이트의 복제(가짜) 페이지입니다.
http://www.mcnorton.com/daum.net/

여기서 주소를 파밍기법으로 은폐한다면… 감쪽같겠죠? 지금은 수술 전이라 페이지의 이미지들이 깨져서 제대로 보이지 않지만, 정보화 연수용으로 에러 코드들을 말끔히 수정하고, 아이디/비번을 도둑질하는 코드를 넣을 계획입니다.

아울러, 공공장소에서 사용하는 무료 Wifi 서비스로 금융서비스나 로그인, 메일 등을 이용하지 마세요. 해커의 노트북으로 만든 가짜 Wifi 존에 접속하게 되면, 개인정보 깨끗하게 도둑질 당하실 수 있습니다.

MS의 인터넷익스플로러 보다 구글크롬이나 파이어폭스를 이용하시는 것도 피싱/파밍을 예방하는데 나쁘지 않은 방법이 됩니다. (대한민국은 ActiveX 를 과도하게 이용하기 때문에 은행과 차세대나이스를 이용하기 위해서 어쩔 수 없이 인터넷익스플로러를 이용할 수 밖에 없지만…)

왠만한 포털이나 웹사이트는 표준화를 잘 지키고 있어서 구글크롬/파이어폭스로도 충분히 이용하실 수 있습니다.