공공 와이파이의 역습

개방형 무선 인터넷을 사용할 때 해커의 침입을 막을 수 있는 보안조치는?

01
“개방형 와이파이에서 온라인 뱅킹은 금물이다. 올바른 툴을 사용하더라도 이용자가 원래 접속하려던 웹사이트 대신 해커의 사이트로 연결을 돌려놓는 길은 숱하게 많다.” / JOONGANG PHOTO

해킹당하는 가장 간단한 방법은 커피숍에 앉아 컴퓨터를 켜고 인터넷에 접속하는 것이다. 공공 와이파이 네트워크의 개념 자체가 해커를 포함해 누구든 그 접속 포인트를 이용하는 모든 단말기에 거의 즉시 접속할 수 있다는 의미다. 요즘 비행기·지하철·공공장소에서 와이파이가 보편화하면서 개인 단말기가 위험에 노출됐다는 사실을 비싼 수업료를 치르며 배우는 사람이 늘어나고 있다.

USA 투데이 신문 스티븐 페트로 기자가 지난 2월 24일자 칼럼에서 아메리칸 항공 여객기를 타고 3시간 비행하는 동안 고고(Gogo) 기내 와이파이를 이용한 뒤 누군가 그의 이메일 수신함을 모조리 읽고는 접근해온 사례를 소개했다. 고고의 주가는 곧바로 하락해 그날 10.48달러로 마감한 뒤 다음날 0.73달러 하락한 9.75달러로 오전장을 시작했다. 보안 전문가들은 페트로 기자가 기본적인 보안 절차를 따랐다면 이메일 해킹을 피할 수 있었겠지만 그래도 공격 표적이 됐을 가능성이 크다고 입을 모은다.

보안업체 멀웨어바이츠의 선임 보안 연구원 제롬 세구라는 “그가 취하지 않은 보안조치가 상당히 많았다”며 “기자는 어떤 일이 닥칠지 예상치 못했겠지만 아마 지금쯤 그 기사를 올린 걸 후회할 성싶다”고 말했다.

지난해 한 사이버보안 연구원이 미 연방수사국(FBI) 수사진의 조사를 받았다. 기내 엔터테인먼트 시스템을 통해 유나이티드 항공의 비행 경로를 통제하기가 얼마나 쉬운지 설명한 뒤였다. FBI는 그 연구원이 실제로 비행기의 항로를 바꾸게 했다고 의심했다.

보안 측면에서 고고 기내 와이파이의 사용은 스타벅스, 도서관 또는 공항 인터넷 허브에 연결하는 것 만큼이나 위험하다. 와이파이 업체 아이패스에 따르면 2015년 전 세계 공중 핫스팟(무선 랜 서비스 지역) 수가 5000만 개를 돌파했다. 2013년 대비 80% 증가한 숫자지만 2018년까지 세계적으로 선보일 것으로 예상되는 3억4000만 개의 공공 네트워크에 비하면 아무 것도 아니다.

뉴욕시만 해도 7500개의 초고속 인터넷 허브를 개설할 계획이다. 840만 뉴욕 시민에게 제공하는 인터넷 연결 서비스를 확대하려는 시도다.

이미 수많은 사람이 USA 투데이 기자와 같은 상황에 처해 있다. 아직 그런 줄 모를 뿐이다. 다행히 새로운 문제가 아니어서 과학자들에게 대비할 충분한 시간이 있었다.

“개방형 와이파이를 이용할 때는 모든 예방조치를 취했더라도 조금이라도 불안한 느낌이 드는 일은 어떻게든 피해야 한다”고 세구라 연구원은 말했다. “예컨대 온라인 뱅킹은 금물이다. 올바른 툴을 사용하더라도 이용자가 원래 접속하려던 웹사이트 대신 해커의 사이트로 연결을 돌려놓는 길은 숱하게 많다.”

02
요즘 비행기·지하철·공공장소에서 와이파이가 보편화하면서 비싼 대가를 치르고 공공 인터넷의 보안 위험을 깨닫는 사람이 늘어나고 있다. / NEWSIS

모든 작업을 암호화하라.: 어렵지 않다. 암호화는 사실상 온라인에서 무슨 일을 하든 특히 공공 네트워크에선 제일 첫 단계다. 페트로 기자는 SSL 암호화 기능을 제공하지 않는 구식 웹메일 서비스 어스링크를 이용했다고 털어놓았다. SSL 암호화는 이용자가 원하는 사이트로 연결을 보장하는 기능이다.

SSL 암호화 사이트인지는 브라우저 주소 입력창에 자물쇠 표시와 HTTPS가 있는지 확인하면 간단하다. 아직도 HTTP에 의존하는 사이트는 중간자공격(man-in-the-middle attacks, 암호통신을 도청하거나 개입하는 수법)에 취약하다. 해커가 이용자를 속여 진짜처럼 위장한 웹 페이지를 방문하도록 유도한 뒤 피해자가 입력하는 정보를 가로채는 수법이다. 일례로 중국 정부는 위장 애플 웹사이트를 개설한 뒤 방문한 모든 이용자에 관한 정보를 기록했다는 비난을 받았다.

요즘 이메일 서비스, 인터넷 뱅킹, 전자상거래 페이지를 비롯한 기타 대형 웹사이트는 대부분 SSL을 이용한다. 그 외 사이트는 공격에 취약하다.

단말기가 네트워크에 자동 접속하지 않도록 하라.: 시기와 장소를 가려 네트워크에 접속해야 한다. 수행하려는 작업이 집이나 사무실(희망컨대 WPA-2 패스워드 보안 조치를 이용하는)에 돌아가서 해도 되는 일인지 판단하도록 한다. 그럴 시간이 없는 경우엔 휴대폰이나 노트북에 저장된 공공 네트워크 기록을 삭제해야 한다. 해커가 단말기를 속여 위장 네트워크에 접속하게 만들 빌미를 주지 않기 위한 조치다.

“ID를 알면 비행기의 무선 네트워크에 접속한 뒤 네트워크 행세를 할 수 있다”고 사이버보안 업체 트립와이어의 선임 보안 연구원 트래비스 스미스는 말했다. “그러면 사람들이 진짜 네트워크인 줄 알고 내 위장 네트워크에 접속한다. 또한 다른 네트워크에 부하를 걸어 이용자들이 나를 통해 모든 정보를 보내도록 할 수 있다. 내가 관문 역할을 하면서 모든 데이터가 나를 통하도록 하는 방법이다.”

가상사설망(VPN)을 설정하라.: 모든 사람의 데이터가 해킹 표적이라는 인식이 확산되면서 VPN이 갈수록 인기를 끌고 있다. 직원들이 항상 네트워크에 접속해 있도록 하는 기업이 많아지면서 사내 VPN을 설치해 직원들이 인터넷에 연결할 때의 위험을 최소화하는 기업도 늘고 있다.

일면 VPN 사용은 공공 네트워크 연결을 통해 암호화 터널을 뚫는 식이다. 유출입 데이터를 은폐하는 프락시 서비스 덕분에 이용자의 모든 트래픽(방문한 사이트, 이메일 계정, 패스워드와 기타 정보)이 중간자공격을 꾀하는 어떤 해커에게도 드러나지 않게 된다.

“VPN의 가장 인기 있는 용도는 보안이 아니라 이용자 지리 정보의 변경”이라고 세구라 연구원은 말했다. “그 방법으로 다른 나라에서 송신되는 넷플릭스(동영상 스트리밍 서비스) 같은 콘텐트를 시청할 수 있다. 어쨌든 요즘 VPN은 필수적인 예방수단이다. 그리고 소비자 입장에서 VPN 이용료가 크게 낮아져 어떤 서비스든 연간 100달러 이하로 이용할 수 있다.”

– 제프 스톤 아이비타임즈 기자