본문 바로가기

‘슬기로운 재택근무’의 시대, 당신의 디바이스는 안전한가요?


최근 코로나19가 장기화되면서 사무실에서 일하던 직장인 중 상당수가 갑작스런 재택근무를 경험했습니다.  사무실과 동일한 업무 효율을 집에서도 유지한다는 것은 쉽지 않은 일입니다. 그렇다면 코로나19에 대응하는 재택근무를 위해 선행되어야 하는 일은 무엇일까요.



원활한 재택근무를 위해 가장 필요한 것은 스마트폰을 포함한 업무용 디지털 기기의 데이터 안정성입니다. 코로나19 확산에 대한 불안감이 해커들의 공격에 악용되고 있기 때문인데요. 코로나19와 관련한 이슈로 주의를 환기시키는 이메일, 문자를 발송해 재택근무 컴퓨터나 스마트폰 등에 악성코드를 감염시키고 정보 탈취를 시도하는 공격이 대표적입니다.

 

사람들이 관심을 가질 만한 주제로 이메일을 발송하는 이른바 '스피어피싱'* 공격 또한 두드러지고 있습니다. '마스크 무료 배포' 같은 내용의 문자로 취약한 사이트에 접속하거나 악성 앱을 설치하도록 유도하는 사례가 나타났고 질병관리본부를 사칭한 이메일을 보내 계정 정보를 탈취하려는 시도도 최근 나타나고 있죠. 해커가 수신자의 회사 직원을 사칭해코로나19 대응을 주제로 악성코드를 포함한 이메일을 발송한 사례도 있었습니다.

 

*스피어피싱 : 특정한 개인이나 회사들을 대상으로 시도하는 피싱 (출처 : 위키백과)



블록체인과 양자화 기술을 통한 개인 정보 보호, 얼마나 가능할까?



스마트폰은 재택근무를 하는 사람들의 필수품이자, 개인의 모든 정보가 저장되는 기기입니다. SNS(소셜네트워크서비스)를 통한 외부 활동은 물론 소소한 사생활까지 거의 모든 것을 포함하는데요. 5G 통신망과 결합되면서 클라우드 서버로 개인 정보 공간이 확장돼 정보 보호 대상이 되려 늘어나고 있습니다. 이 같은 상황에서 해커의 공격에 스마트폰 내지 클라우드 서버 속 개인 정보가 외부로 유출될 경우의 충격은 이루 말할 수 없이 큽니다. 개인 정보 유출이 사회문제로 대두되며 스마트폰 보안에 대한 관심도 커지면서, 양자기술, 블록체인 등을 활용해 보안을 강화한 제품들이 속속 출시되고 있죠


삼성전자 '갤럭시A 퀀텀'은 기기 내에 '양자난수생성(QRNG, Quantum Random Number Generator)' 장치를 장착했습니다. 이 장치는 예측할 수 없는 불규칙한 숫자들을 생성하는 양자화 데이터 특성에 기반해 스마트폰 속 주요 자료를 보호합니다. 양자난수생성기는 과거 소프트웨어가 만들어내던 유사난수*와 달리 전용 칩에서 생성한 완전난수로 이뤄져 외부 침입에 의한 유출이나 변조가 불가능합니다.


사진 출처 : 시린랩스 공식 홈페이지

*유사난수 : 난수를 흉내내기 위해 알고리즘으로 생성되는 값 (출처 : 위키백과)

 

블록체인 기술을 접목한 스마트폰도 등장했습니다. 스위스 스마트폰 제조사 시린랩스의핀니는 콜드월렛, 토큰 변환 서비스(TCS) 등의 다층 사이버보안 기술을 갖춘 사용자의 악성 네트워크 접속을 차단합니다. HTC 엑소더스는 사용자의 모든 디지털 데이터 암호화 키를 스마트폰에 보관하는데요. 스마트폰을 분실, 도난 당했거나 키를 잊어버린 경우 고유한 복구 메커니즘을 통해 안전하게 복구할 수 있습니다.

 

이렇게 보면 갤럭시A 퀀텀이나 블록체인 스마트폰은 엄청난 보안 기술을 제공하고 있는 셈입니다. 하지만 갤럭시A 퀀텀에 내장되는 양자 보안 기술은 적용 범위가 제한적입니다. 특정 통신사에서 제공되는 서비스에만 양자 보안 기술이 적용되기 때문입니다. 일회용 비밀번호(OTP) 인증이 추가되는 이른바 이중 인증 수준이라고 볼 수 있겠네요. 통신사의 관련 서비스를 자주 쓰는 사람들이라면 유리하겠지만 그렇지 않으면 큰 의미가 없어 보입니다. 전용 스마트폰이 있어야 쓸 수 있을 뿐더러, 이중 인중은 구글 안드로이드와 애플 iOS 등 스마트폰 운영체제에서 지원하는 기본 기능이기도 하죠.



스마트기기 이중 인증, 이제는 필수!



삼성 갤럭시S 시리즈, 애플 아이폰 등 거의 모든 스마트폰은 기본적으로 지문인식, 얼굴인식 등 다양한 형태의 잠금 기능을 통해 1차적으로 외부인의 접근을 막습니다. 카카오톡 등 일부 앱은 추가 비밀번호 설정을 통한 잠금 기능을 제공하는데, 이 기능을 활성화할 경우 2차 보안이 가능합니다.

 

, 이중 인증(two-factor authentication, 2FA)은 스마트폰의 유용성을 희생하지 않으면서 개인 정보를 안전하게 보호하는 가장 좋은 방법인데요. 이중 인증은 해커로부터 지켜줄 수 있는 별도의 보호 계층을 제공하는 원리입니다. 사용자는 비밀번호 이외에 정보를 식별하는 두 번째 보호 장치, 이를테면고등학교절친이름은 무엇입니까?”와 같은 질문에 답하거나, 문자 메시지를 통해 수신된 인증 코드를 입력해야 접근 권한이 주어집니다.


사진 출처 : 애플 공식 홈페이지

애플 이중 인증의 특징은신뢰할 수 있는 기기를 활용한다는 점입니다. 새로운 기기에서 처음으로 아이클라우드에 로그인하려면 아이디, 비밀번호는 물론 신뢰할 수 있는 기기에 자동으로 표시되는 6자리 확인 코드를 입력해야 합니다. 예를 들어 해커가 나의 아이클라우드 아이디와 비밀번호를 알아냈더라도 나의 아이클라우드에 접속하려면 6자리 코드를 입력해야 한다는 의미인데요. 이 코드는 내가 보유하고 있는(이중 인증을 거친) 기기에 표시되기 때문에 해커가 아이클라우드에 접속할 방법이 사실상 없습니다. 애플에 따르면 6자리 이중 인증 코드는 SMS, OTP를 활용한 이중 인증보다 안전하다고 합니다.



안드로이드폰 사용자 또한 이중 인증을 활성화함으로써 허락하지 않은 해커 침입의 위험을 크게 낮출 수 있습니다. 구글 계정에 로그인할 때마다 비밀번호뿐만 아니라 6자리 인증 코드를 입력해야 합니다. 누군가 비밀번호를 해킹해도 안드로이드폰을 갖고 있지 않으면 계정에 접근할 수 없겠죠. 매번 인증코드를 입력하는 일이 귀찮을 수도 있지만, 하지만 구글 계정은 지메일, 사진, 연락처, 업무용 파일, 구글 플레이 구입 목록 등 모든 디지털 생활의 중심입니다. 따라서 구글 계정이 해킹되어버리면 정말 큰 문제가 발생할 수 있습니다.

 

또한, 이중 인증과 함께 통신사가 제공하는 보안 서비스도 개인 정보를 안전하게 지키는 한 방법입니다. LG유플러스에서는 고객들을 대상으로 스미싱 예방 서비스를 지원하고 있죠.



코로나19가 연일 뉴스 헤드라인을 장식하면서 많은 사람이 불안해하고 있습니다. 이 틈을 노린 스마트폰 내에 악성코드를 심어 정보를 탈취하는 해커 활동이 기승을 부리고 있는데요. 개인 정보 유출도 문제지만, 금융 정보를 빼돌려 금전적 피해로 이어졌다는 사례도 심심찮게 목격됩니다.

 

블록체인, 양자 보안 기술을 탑재한 개인 정보를 보호하는 새로운 스마트폰의 등장이 주목을 끄는 이유입니다. 다만, 일부 통신사와 서비스에 지원이 국한된다는 점에서 현재로서는 큰 의미가 없어 보이는 것도 사실입니다. 오히려 스마트폰 운영체제에서 지원하는 이중 인증이야 말로 의도하지 않은 데이터 유출, 피싱 공격 등의 '예측 불가능한 상황'을 방지하는 가장 강력한 '슬기로운 보안 생활'이라 할 수 있겠습니다.


[U+추천 포스팅 더 보기]

[...] 영롱한 색감의 LG 벨벳 오로라 핑크, 실물은 어떨까?