[컴퓨터상식] 사용자가 알아야 할 '필수 보안 법칙'

[샐리☆]

[사용자가 알아야 할 '필수 보안 법칙'-①보안의 10대 불변 법칙 ]

보안의 중요성은 알아도 보안에 대해 전혀 아는 바가 없는 일반 사용자들이 이용하는 시스템에서 완벽한 보안을 기대하기는 어려운 일이다. 실제로 요즘 일어나는 많은 보안 문제들이 일반 사용자와 관련된 부분이 많다는 것을 보안을 공부하는 사람이나 일반 사용자 모두 느끼고 있다. 따라서 여기서는 일반 사용자들이 알아야 할 보안의 법칙을 알아보고 이를 바탕으로 생존 법칙을 모색해 보는 기회를 갖도록 하겠다.

정수현 (마이크로소프트웨어)

필자가 속한 보안 동아리에서는 매주 한 가지 주제를 가지고 세미나를 한다. 지금까지 공부한 주제들을 살펴보면 주로 시스템이나 프로그램의 기술적 문제점이 가장 많았고, 그 다음으로 보안의 정책적인 문제를 많이 다루었다. 이러한 주제들은 시스템 관리자나 개발자와 관련된 것들이었고 사용자 측면에서 알아야 할 것은 많이 다루지 않았었다.

사실 사용자가 숙지해야 할 점에 대해서는 동아리 회원 모두가 잘 알고 있기 때문에 잘 다루지 않은 점도 있지만, 일반 사용자가 지켜야 할 부분보다는 보안 전문가들이 알아야 하는 부분이 더 중요하다고 생각해서 자주 토론하지 못했던 것 같다. 실제 대부분의 보안 문제는 일반 사용자와 관련된 부분이 많기에 이번 글에서 일반 사용자가 짚고 넘어가야 할 보안 법칙에 대해 알아보도록 하자.


@@@ 보안의 10대 불변 법칙 @@@

자사의 소프트웨어로 인해 가장 많은 보안 문제점을 겪고 있는 회사가 마이크로소프트(이하 MS)이지만, 그만큼 보안에 대한 노하우도 많은 것이 MS이다. 이런 MS의 홈페이지에는 ‘보안의 10대 불변 법칙’을 주제로 하는 두 종류의 좋은 글이 있다. 하나는 보안 관리자를 위한 10대 불변 법칙이고, 다른 하나는 일반 사용자를 위한 10대 불변 법칙이다. www.microsoft.com/technet/columns/security/essays/10imlaws.asp의 일반 사용자를 위한 보안의 10대 법칙은 다음과 같다.


법칙 1 : 어떤 사람이 당신에게 준 소프트웨어를 실행했다면, 그 컴퓨터는 더 이상 당신의 것이 아니다.

법칙 2 : 어떤 사람이 당신 컴퓨터의 운영체제를 변경할 수 있다면, 그 컴퓨터는 더 이상 당신의 것이 아니다.

법칙 3 : 어떤 사람이 당신의 컴퓨터에 물리적으로 접근할 수 있다면, 그 컴퓨터는 더 이상 당신의 것이 아니다.

법칙 4 : 어떤 사람이 당신의 웹 사이트에 프로그램을 업로드할 수 있다면, 그 웹 사이트는 더 이상 당신의 것이 아니다.

법칙 5 : 어떤 철통 같은 보안도 비밀번호가 노출되면 소용없는 일이다.

법칙 6 : 관리자가 얼마나 믿을만한가에 따라서 기계의 보안 수준이 달라진다.

법칙 7 : 암호화된 데이터는 복호화 키만큼만 안전하다.

법칙 8 : 오래된 바이러스 백신을 사용하는 것은 바이러스 백신을 사용하지 않는 것과 거의 차이가 없다.

법칙 9 : 너무 많은 익명성을 보장하는 것은 별로 유용하지 않다. 실생활에서도 그렇고 웹에서도 그렇다.

법칙 10 : 기술은 만병통치약이 아니다.


보안 법칙이라 할 수 있는 것은 상당히 많지만 앞의 법칙은 실질적으로 느낄 수 있는 것들만 모아 놓은 것이기 때문에 간단하지만 알아두면 많은 도움이 되는 법칙들이다. 이 법칙이 실제로 어떻게 적용되는지 몇 가지 예를 들어 알아보자.



[사용자가 알아야 할 '필수 보안 법칙'-② 보안 법칙의 적용 ]


@@@ 보안 법칙의 적용

인터넷이 지금처럼 널리 보급되기 전에는 보안 법칙이 적용될 여지가 그렇게 많지 않았다. 가장 완벽한 보안이 이루어질 수 있는 환경이 되려면 외부 네트워크와 단절되어 있고 인증된 사용자만이 접근할 수 있도록 격리된 공간에 컴퓨터가 있어야 하는데, 과거의 환경이 이와 비슷했기 때문이다(많은 컴퓨터 업체들이 보안 기준으로 삼는 오렌지 북의 기준으로 따지면 초고속 네트워크 환경의 최신 컴퓨터보다 통신 장비를 갖추지 않은 옛날 XT 기종이 보안이 뛰어난 컴퓨터다).

하지만 지금 상황은 과거의 환경과는 사뭇 다르다. 세계 어디든지 인터넷과 연결되어 있으면 누구나 정보를 교환할 수 있는 상황이다. 다르게 이야기하면 전 세계 누구의 정보든지 인터넷에 연결되어 있으면 유출될 가능성이 있는 것이다.

먼저 법칙 1을 살펴보자. 남이 보낸 프로그램을 무턱대고 실행한다는 것은 보낸 사람에게 자신의 컴퓨터 제어권을 넘겨주는 것과 같은 행위라는 것인데, 이는 트로이 목마 프로그램 때문에 가능한 것이다. 일반 사용자가 가장 많이 사용하는 운영체제는 윈도우이며, 윈도우 공격 툴의 거의 대부분을 차지하는 것은 트로이 목마 프로그램이다. 트로이 목마 프로그램은 정상적인 소프트웨어로 가장하여 나쁜 일을 하는 프로그램으로, 98년에 해커 그룹 ‘Cult of Dead Cow’에서 발표한 백오리피스와 그 후속 버전인 백오리피스 2000이 유명한 트로이 형식의 공격 툴이다. 백오리피스는 후에 발표된 많은 트로이 공격 툴에 영향을 끼쳤고, 그 영향을 받은 프로그램들의 그 특징을 참고로 알아보면 다음과 같다.

① 서버/클라이언트 형태가 많다.

② 트로이 서버는 독립적인 프로그램일 수 있지만 일반적인 프로그램과 결합되어 배포될 수도 있다. 용량도 작아서 별로 눈에 띄지도 않는다.

③ 플러그인을 통해 기능을 추가할 수 있다.

④ 서버가 목표 시스템에 설치되면 모습을 감추기 때문에 찾아내기 어렵다.

⑤ 일단 트로이 프로그램이 설치되면 공격자가 시스템 주인과 동등한 권한을 가지고 시스템을 조작할 수 있다.


피해자가 트로이 프로그램을 설치하면 이 프로그램은 피해자의 권한으로 설치된 것이기 때문에 트로이 프로그램을 조작할 수 있는 공격자는 피해자의 권한을 얻게 된다. 따라서 공격자의 입장에서는 상대가 자신의 트로이 프로그램을 실행하게끔 만드는 것을 목표로 한다.

피해자에게 직접 보내서만 트로이 프로그램을 설치할 수 있는 것은 아니다. 법칙 4처럼 누구나 웹 사이트에 프로그램을 올릴 수 있다면, 그 사이트의 자료 중에는 트로이 프로그램이 있을 수 있다. 이렇게 되면 그 웹 사이트는 운영자의 사이트가 아닌 공격자의 사이트라 보아도 될 것이다. 물론 공격자가 웹 호스팅 서버 자체의 권한을 획득한 경우는 말할 것도 없다.

법칙 3과 같은 경우는 오래 전부터 안전할 수 없다고 알려진 것이다. 물리적으로 접근을 하더라도 보안 장치를 해두면 안전할 것이라고 생각하는 사람도 있을 것이다. 실제로 관련 장치도 많다. 하지만 끝내 이런 장치는 깨지게 되어 있다. 단지 깨질 때까지 시간을 벌어주는 역할을 할 뿐이다. 간단한 예를 들면, 메인 보드에 건 비밀번호는 메인 보드의 CMOS 리셋 점퍼만 만져줘도 날려버릴 수 있고, 윈도우의 로그인 암호는 도스로 부팅하여 SAM 파일만 지워도 리셋된다. 기타 보안 암호장치들도 충분한 시간과 노력을 들여서 리버스 엔지니어링을 하면 깨질 수 있다.

법칙 5의 비밀번호 보안은 많은 사람들이 인지하고 있는 내용이다. 비밀번호의 길이가 몇 자리 이상은 되어야 하고, 영문자와 숫자를 잘 섞어서 만들어야 한다는 등의 지식을 많은 사람들이 알고 있지만 모든 사람이 추측하기 힘든 비밀번호를 쓰는 것은 아니다. 어떤 연예인의 메일 계정이 해킹당해서 사생활이 드러나는 일도 있었고, 인터넷에서 비밀번호 관리를 잘못하여 계정을 잃는 경우도 부지기수다(특히 바이러스 백신이 깔려 있지 않은 PC방에서 게임하는 사람들 중에 트로이 프로그램을 확인하지 않아서 비밀번호가 유출되는 경우가 많다).

법칙 8을 보고 오래된 백신과 보안이 얼마나 연관이 있는지 궁금하게 여길 사람이 있을지 모르겠다. 바이러스·웜·트로이 목마가 모두 비슷한 특성이 있지만 모두 다른 것들이다. 일단 바이러스가 웜과 다른 점을 알아보자. RFC 1135 문서에도 설명되어 있는데 바이러스는 자신을 다른 파일에 복사하는 방식으로 증가하는 프로그램이며, 웜은 자신을 전파시키되 파일 감염보다는 네트워크를 통해서 다른 시스템으로 전파하고, 주로 메모리 상에 존재하는 프로그램을 말한다. 트로이 목마는 이미 설명한 바 있으며, 바이러스와 같은 방식으로 정상적인 프로그램에 숨어있을 수 있다. 그러나 자신을 복사하여 전파하는 능력은 없고 사용자가 실행해야 설치된다는 점이 바이러스나 웜과의 차이점이다. 현재 백신이 보편화되면서 웜이 주를 이루고 바이러스는 상대적으로 줄어드는 상태이며 비슷한 형태의 트로이 프로그램은 증가하고 있다. 백신은 바이러스나 웜만을 잡아내지 않고, 트로이 프로그램 검사에도 쓰이기 때문에 최신의 백신은 최신의 트로이 프로그램을 잡아낼 때 사용할 수 있다. 이런 이유로 백신은 최신 버전을 사용해야 한다는 것이다.

법칙 9는 인터넷을 접하지 않은 사람이라도 공감할 내용이 아닐까 싶다. 필자의 경우 고등학교를 졸업할 무렵에 전혀 전화번호를 알려주지도 않았는데도 어떻게 알았는지 각 학원에서 자기의 학원을 다니라고 집으로 전화가 와서 귀찮았고, 대학교에 입학하자 휴대폰으로 신용카드 만들라는 내용의 전화가 자주 와서 귀찮았었다. 필자 외에도 이런 경험은 누구나 있을 것이라 생각한다. 실생활에서 기본적인 개인정보도 지켜지지 못하는 것으로 보았을 때, 정보 수집이 쉬운 인터넷에서 개인정보가 안 돌아다닐 이유가 없다.

웹에서 신용 정보가 유출되는 방법은 다양하다. 어떤 사이트는 가입된 회원의 정보를 돈을 받고 팔기도 하고, 어떤 악의적인 사람은 유명한 웹 사이트와 비슷하게 꾸며서 일반 사용자들이 가입하도록 유도하여 비밀번호를 알아내는 경우도 있다. 이를 웹 스푸핑이라 한다. 이러한 위협 말고도 스팸 메일에 사용할 메일 주소를 얻기 위해 각종 게시판에서 메일 정보를 긁어오는 프로그램 때문에 메일 주소를 감추기 힘들고, 요즘은 이런 프로그램을 이용해서 얻은 메일 리스트를 돈 받고 팔겠다고 광고하는 메일도 심심찮게 볼 수 있다(메일링 리스트로 메일 리스트 광고를 하는 점이 재미있다).


[사용자가 알아야 할' 필수 보안 법칙'-③ 개인용 PC에 가능한 공격들 ]


@@@@@@ 개인용 PC에 가능한 공격들

개인용 PC에서 가장 많이 사용하는 운영체제인 윈도우는 보안 취약점도 사용자 수만큼이나 많다. 윈도우에 보안 취약점이 많은 이유는 너무 많은 기능을 한 곳으로 모으려고 했기 때문이다. MS가 익스플로러를 윈도우와 결합시킨 것은 경쟁 웹 브라우저인 넷스케이프를 따돌리기 위한 점도 있지만, 기능 통합으로 더욱 편리한 환경을 제공하려는 취지가 있었다. 실제로 파일 탐색기에서 URL을 입력하면 해당 사이트에 갈 수 있으며, 웹 브라우저 상태에서도 로컬 파일 이름을 입력하면 로컬 파일에 접근할 수 있다. 어떻게 보면 편리하기도 하다. 하지만 기능 통합으로 인해 웹 브라우저의 기능 추가를 쉽게 하기 위한 플러그인이 로컬 시스템에 영향을 줄 수 있게 되어 버렸다. 자바 애플릿이나 액티브X 컨트롤을 다운받아서 실행하게 되면, 로컬 시스템에 있는 파일을 삭제하거나 정보 유출이 가능한 것이다. MSN 메신저 웜도 이와 비슷한 맥락에서 해석되는 사례라고 할 수 있다.

이것 말고도 정보 유출의 위협은 어디서나 존재한다. 대부분의 웹 사이트에 로그인할 때는 아이디와 비밀번호가 암호화되지 않고 평문 형태로 전송된다. 이를 다른 사람이 중간에서 훔쳐볼 수가 있다. 스위칭 허브가 아닌 더미 허브에 여러 대의 컴퓨터를 물려 놓고 사용하게 되면 한 사람이 보낸 정보를 모든 사람이 볼 수 있다. 더미 허브로 네트워크가 구성되어 있다면, PC방이 아닌 회사 내에서도 업무 중에 통신하는 회사원들이 입력하는 정보도 훔쳐볼 수 있다. 이 정보를 훔쳐보는 것을 스니핑이라고 하며, 대표적인 스니핑 프로그램으로 윈도우의 IRIS, Sniffer Pro와 리눅스의 dsniff와 같은 것이 있다.

사실 IRIS나 Sniffer Pro 같은 프로그램들은 네트워크 도청이 궁극적인 목적이 아니고 네트워크 패킷을 캡처해 네트워크 상태를 분석하기 위한 도구로 판매되고 있지만, 기능상 악용할 수도 있어서 양날의 검이라 하겠다. 만약에 시용자의 네트워크 환경이 스니핑이 가능한 환경일 경우에는 모든 자료를 암호화해서 보내야 한다. 하지만 모든 자료를 암호화해서 보내는 것은 실질적으로 불가능한 일이다. [화면 2]는 MSN 메시지를 IRIS를 이용해서 캡처한 화면이다.

트로이 프로그램이 설치된 PC에서 작업해도 정보가 유출될 수 있다. 특히 PC방은 누구나 다녀가서 트로이 프로그램을 설치할 수 있으므로 주의해야 한다. <화면 3>은 한글판이면서 사용하기 쉽다는 이유로 우리나라의 많은 초보 크래커들이 애용한 넷버스이다. 넷버스 서버가 설치된 PC에 접속한 화면인데 메뉴를 보면 다양한 작업을 할 수 있음을 볼 수 있다. 이를 이용하면 쉽게 비밀번호가 유출될 수 있다. 이 밖에도 사용자의 정보를 위협하는 다양한 정보가 존재한다.


@@@@@@@ 사회공학의 중요성

매번 보안 문제가 터질 때마다 많은 사람들이 수근수근한다. 대책을 시급히 마련하고, 지원을 어떻게 해주어야 한다는 등의 이야기가 언론을 장식한다. 대다수의 사람들이 보안은 기술이 발전하면 더 완벽해진다고 생각한다. 기술이 중요한 것은 사실이다. 그러나 ‘디지털 보안의 비밀과 거짓말’의 저자 브루스 슈나이어의 말처럼 사람들이 발전한 기술을 잘 이용하지 못하고 있는 점이 오늘날 보안 문제의 핵심이다. 암호키의 길이가 128비트이건 1024비트이건 비밀번호 하나 제대로 관리하지 못한다면 모두 소용없는 것이다.

보안의 중심이 사람이라는 관점이 부각되면서 떠오르고 있는 것이 사회공학(Social Engineering)이다. 사회공학이란 보안의 기술적인 허점이 아닌 그것을 다루는 사람의 허점을 이용하는 방법을 말한다. 쉽게 얘기하면 사기를 치는 것이다. 한 때 세계의 유명한 기업과 연구소를 해킹한 혐의로 FBI가 가장 위험한 해커로 분류했던 전설적인 해커 케빈 미트닉은 사회공학자로 통한다. 다년간의 수감 생활을 마치고 지금은 보안 컨설턴트의 길을 걷고 있는 그가 경험담을 말하기를, 꽤 많은 수의 기관이나 회사는 고급 기술을 쓰지 않고 전화 몇 통화만으로도 비밀번호를 얻어낼 정도로 보안이 허술했었다고 한다.

사회공학은 백신이나 웜과 같은 부류에서 쉽게 찾을 수 있다. 사회공학적인 방법을 사용하는 널리 알려진 바이러스로 ‘I Love U’ 바이러스가 있다. 메일 제목에 ‘I Love U’라는 문구가 있어서, 필자처럼 외로운 발렌타인 데이를 보낸 사람은 혹해서 열어보기 쉽게 한 특징이 있었다. 지금은 워낙 널리 알려져서, 이 제목의 메일을 열어보는 사람은 별로 없을 것이다. 멜리사 바이러스도 같은 부류의 유명한 바이러스다. 사회공학이 엿보이는 비교적 최신 웜으로 MSN 웜이 있다. MSN에 등록된 친구로부터 출처를 알 수 없는 이상한 링크가 첨부되어 있는 메시지를 받고 호기심에 누르면, 다시 다른 사용자에게 전파되는 웜이었다. 피해를 주지 않는 웜이었기에 다행이었지만 그 피해 가능성은 다른 바이러스보다 떨어지지 않았다. 바이러스와 웜에 대한 설명만을 계속하는 것은 이 글의 주제와는 조금 벗어나므로 이 정도만 하겠다. 여기서 다룬 바이러스와 웜과 관련된 자세한 내용은 2002년도 6월의 본지 내용을 참조하기 바란다.

‘속지 않으려면 속이는 방법을 공부하라’는 것이 사회공학을 대비하는 필요한 핵심 개념이다. 사회공학에는 특별한 기술이 필요하지 않으며 사람에 대한 폭넓은 이해가 필요하다. 따라서 보안에 있어서 암호학과 더불어 심리학도 필수적인 학문이라 하겠다.


[ 사용자가 알아야 할 '필수 보안 법칙'-④사용자가 지켜야 할 생존 수칙]


@@@@ 사용자가 지켜야 할 생존 수칙

보안의 10대 불변 법칙과 사회공학에 대한 내용을 바탕으로 사용자가 지켜야 할 생존 수칙을 생각해 볼 수 있다.


@@@@@ 패스워드 관리법을 알자

사용자를 인증하기 위한 수단으로 이용되는 세 가지 요소가 있다.

신체적인 특징을 갖고 있는가(being factors), 무엇을 소지하고 있는가(possesion factors), 무엇을 알고 있는가(knowledge factors).

이 세 가지를 조합하면 가장 강력한 인증 방법이 된다. 강력한 인증 방법이 있음에도 불구하고,

인터넷에서는 앞의 두 가지를 이용하기 어렵기 때문에 전적으로 무엇을 알고 있는지에 대해 의존하여 사용자 인증을 하게 된다.

따라서 패스워드는 곧 그 사람을 의미하는 것이다. 그만큼 패스워드는 보안에 있어서 기본적이면서 중요한 요소라고 할 수 있다.

좋은 패스워드를 만들기 위해서는 패스워드 안의 요소들 사이의 우연성을 크게 해야 한다. 그러나 우연성이 클수록 외우기 어렵게 된다. 패스워드에 영어와 숫자를 섞는 것은 우연성을 증가시키기 위함이다. 영어와 숫자를 섞더라도 본인의 직접적인 정보와 관계된 것을 넣으면 안되는 것은 기본이다. 이름·주민등록번호·전화번호와 같은 것을 넣는 것은 자기 비밀번호를 알려주는 것과 비슷한 것이다. 비밀번호를 외우기 힘들다고 해서 모든 계정에 똑같은 것을 쓰는 것도 금물이다. 외우기 쉽게 하기 위해서 본인만이 아는 규칙을 정해서 약간씩이나마 바꾸는 것이 좋다.


@@@@@ 계정관리를 잘하자

보통 한 사람이 여러 계정을 갖고 있다. 온라인 게임 계정, 메일 계정, 동호회 계정 등을 다 합치면 10개 안 넘는 사람이 별로 없을 것이다. 계정이 많으면 비밀번호를 외우기도 힘들지만, 본인의 정보가 샐 확률이 더 높아지는 것이 문제가 된다. 따라서 꼭 필요한 사이트에만 계정을 만들어서 관리할 수 있는 범위를 줄이는 것이 좋다.

가입한 사이트 수가 적더라도 그 중에 신뢰하기 어려운 사이트가 있다면, 다른 계정들도 위험에 놓인 꼴이다. 문제는 어떤 사이트를 신뢰할 수 있느냐이다. 많은 사람이 가입되어 있다고 해서 신뢰할 수 있는 사이트라고 말할 수는 없고, 유명하다고 해서 믿을 수 있는 것은 아니다. 절대적인 기준을 세우기는 어렵지만, 최소한 법인 기업의 사이트이거나 개인적으로 아는 사람들끼리 만든 사이트라면 본인 판단에 따라 신뢰여부를 결정하기 용이할 것이다. 가입할 사이트의 신뢰성에 영향을 미치는 요소 중에 하나가 가입하고 나서 자유롭게 해지가 가능한가이다. 그리고 약관이 충실히 갖춰져 있고 사용자에게 신상정보와 관련하여 불리한 조항은 없는지 살피는 것도 중요하다.

웹에서 구하는 프로그램의 출처를 확인하라

웹에서 프로그램을 다운받을 때는 반드시 프로그램의 출처를 확인하도록 한다. 믿을 수 없는 개인 홈페이지에서 함부로 다운받아서는 안된다. 프로그램의 출처를 확인할 때는 프로그램이 올라와 있는 사이트만 가지고 판단해서도 안된다. 출처라 함은 프로그램을 올린 사람의 정보도 중요한 것이다. 출처가 확실하다고 생각되더라도 다운받은 프로그램은 꼭 백신으로 체크하여 트로이 목마 프로그램이 묻어있는 것은 아닌지 알아본다면 더욱 확실할 것이다. 이것저것 다 지키려면 할 일이 많지만, 정말로 안전을 중요하게 생각한다면 해야 할 일들이다. 요즘은 작은 크기의 메일은 바이러스 검사를 해주는 서비스 업체들이 있으니 그나마 편리하다.


@@@@ 최신 보안 정보에 관심을 가져라

매일 새로운 취약점이 발표되고, 패치가 발표된다. 그 수가 상당히 많기 때문에 사용자가 모든 취약점을 다 알고 대응할 수는 없다. 게다가 모든 취약점 정보가 중요한 것도 아니다. 이 문제를 해결하기 위해 사용자가 할 수 있는 일을 두 가지로 나누어 생각해 볼 수 있다.

하나는 직접 정보를 찾아서 관련 패치를 찾아 해결하는 방법이다. 최신 보안 정보가 가장 잘 정리되어 올라오는 사이트 둘을 든다면, www.securityfocus.com과www.cert.org를 들 수 있다. 이 곳의 내용은 상당히 빨리 업데이트가 되지만 약간 전문적이고 많은 내용을 다루기 때문에 일반 사용자들에게는 어려운 정보가 많다. 일반 사용자가 쉽게 보안 업데이트 정보를 살펴볼 수 있는 곳은 다음과 같다.

① 윈도우 XP 동호회, 리눅스 동호회와 같은 많은 운영체제 동호회 : 새로 발표된 취약점 뉴스가 잘 올라오고, 관련 링크를 따라가면 쉽게 패치를 찾을 수 있다.

② 백신 업체 홈페이지 : 최신 트로이 프로그램 정보와 바이러스, 웜 정보가 그때그때 업데이트가 된다.

③ www.microsoft.com/korea/windows/security/default.asp : 윈도우 버전별 로 보안 정보가 잘 정리되어 있다. 취약점과 패치도 버전별로 업데이트된다.

이와 같은 사이트를 돌아다니면서 필요한 패치를 하나씩 해주어도 되지만, 윈도우의 자동 업데이트를 이용하면 더욱 쉽게 패치할 수 있다. 윈도우 NT 계열은 보안 취약점 패치들과 기타 기능 향상 패치를 묶어서 서비스팩 형식으로 지원한다. 서비스팩을 이용하면 각종 패치를 한 번에 해결할 수 있다. 하지만 서비스팩이 자주 발표되는 것이 아니어서 재빠른 문제해결 방법은 될 수 없다.

어쨌든 사용자는 최신 보안 정보에 민감해야 한다.


많은 보안 관련 사이트들이 미리 취약점을 공개하는 이유는 재빠른 패치 개발을 통한 안정성 강화를 위해서다.

하지만 사용자들이 보안 정보에 무심하여 패치 하나 안 해준다면 취약점 공개의 의미가 무색해진다.

개인용 보안 프로그램을 활용하자

개인용 보안 프로그램을 잘 활용하는 것도 중요하다. 개인용 보안 프로그램을 잘 활용하면 사전에 공격을 막을 수도 있고,

공격을 당하더라도 빨리 알아챌 수 있다.

우선 시스템에 위협적인 트로이 프로그램을 검색하기 위해서 백신을 정기적으로 실행해 줄 필요가 있다.

백신을 구입했다면 구입한 백신을 이용하면 되고, 백신이 없는 사람은 온라인 백신 서비스를 이용하면 된다.

온라인 백신 서비스를 제공하는 대표적인 사이트로 터보백신을 제공하는 에브리존과 V3를 제공하는 안철수 연구소 홈페이지가 있다.

터보백신은 검사·치료가 무료로 가능하지만, V3는 검사만 무료로 할 수 있다.

치료를 하려면 개인 사용자용 백신을 받거나 구입해야 한다.

백신 프로그램은 트로이 프로그램 검사와 치료에 쓰일 수 있지만 방화벽 기능은 없다.

백신과 더불어 개인용 방화벽 프로그램을 사용하면 보안에 있어서 좋은 효과를 거둘 수 있다.

개인용 방화벽으로 추천할 만한 프로그램으로는 ‘존 알람(Zone Alarm)’이 있다.

존 알람은 블랙 아이스(Black Ice)와 더불어 개인용 방화벽의 대명사로 손꼽히고 있다.

이 프로그램은 개인 사용자가 무료로 사용할 수 있는 프리웨어이며 기능도 막강하다.

외부 침입을 발견하면 경고를 보여주고 차단할 수 있으며 메일 보호도 가능하다.


@@@@@@ 항상 의심하고 아무도 믿지 마라

참 서글픈 말이지만 필요한 말이다. 믿을 수 있는 사람이라도 비밀번호와 같은 정보는 알려주면 안되며,

알려주더라도 그럴 때는 신중해야 한다. 벤자민 프랭클린이 “세 사람이 완벽한 비밀을 지키려면 두 사람이 죽어야 한다”

고 말한 이유를 생각해 볼 필요가 있다.

인터넷에 떠돌아다니는 많은 자료들이 믿을만한 자료이긴 하지만 모두 믿을 수 있는 것은 아니다.

어떤 프로그램을 다운받더라도 안정성에 의문을 가져야 하며, 게시판에 올라온 글도 사실을 담고 있는지 의심해봐야 한다.

앞에서 설명한 개인용 보안 프로그램을 사용하는 것도 자료의 신뢰성을 측정하는데 도움이 되기 때문이다.

많은 사용자들이 무의식적으로 인터넷의 정보를 쉽게 받아들이는 것 같다.

이는 사회공학적인 시각에서 봐도 한 가지 허점이 더 생기는 것임을 알아야 한다.

비관적으로 바라보자는 이야기는 아니다. 한 번 더 생각하고 프로그램이든 자료든 받아들이자는 것이다.


[사용자가 알아야 할' 필수 보안 법칙'-⑤자신의 정보는 아무도 지켜주지않는다 ]


@@@@ 자신의 정보는 아무도 지켜주지 않는다

지금까지 사용자 레벨에서 알아야 할 보안 법칙과 생존 규칙에 대해서 알아보았다.

이 글을 쓰면서 독자들에게 전하고 싶었던 것은 사이버 공간이라는 곳은 생각보다 치열한 곳이라는 것이다.

다양한 친목 모임이 인터넷을 통해 이뤄지기도 하지만 그에 못지않게 독자의 정보를 돈벌이로 이용하려는 사람들도 많은 곳이

인터넷이다. 인터넷 뱅킹이나 인터넷 쇼핑과 같이 금전적인 문제가 걸려있는 경우는 물론이고, 친구들과 즐겁게 온라인 게임을

하려는 목적으로 컴퓨터를 이용하더라도 자신의 정보를 어떻게 하면 효과적으로 지킬 수 있을지 생각해 보았으면 한다.


사용자가 알아야 할' 필수 보안 법칙'-①보안의 10대 불변 법칙

사용자가 알아야 할' 필수 보안 법칙'-②보안 법칙의 적용

사용자가 알아야 할' 필수 보안 법칙'-③개인용 PC에 가능한 공격들

사용자가 알아야 할 '필수 보안 법칙'-④사용자가 지켜야 할 생존 수칙

사용자가 알아야 할' 필수 보안 법칙'-⑤자신의 정보는 아무도 지켜주지 않는다


[출처: 안철수연구소]