중국 해킹 통신망 공격… 대규모 사용자 통신자료 빼내

‘종단간 암호화’ 첨단기술 앱 사용

통신 앱에 따라 보안 상태 달라

‘최상 보안’은 사용자 자신에 달려

특 정‘직업·신분’더 주의 지적

 

 

보안 기능이 허술한 메시지 앱을 사용하고 있다면 이제는 안전한 앱으로 변경할 때다.‘솔트 타이푼’(Salt Typhoon)으로 알려진 중국 해킹 집단이 미국 주요 통신망을 공격해 사용자들의 통신 정보를 빼 간 것으로 최근 공식 확인됐다. 피해 규모는 아직 밝혀지지 않았지만‘연방수사국’(FBI)과‘사이버 인프라 보안국(CISA·Cybersecurity and Infrastructure Security Agency)’은 불필요한 문자 메시지나 채팅 앱 사용을 자제하고, 보안 기능이 철저한 통신 앱으로 교체하라고 강력히 권고했다.

 

사용 중인 앱의 보안 기능을 잘 모르는 사용자가 대부분이다. 많은 사용자는 앱 또는 스마트 기기에 기본 보안 기능이 장착되어 있기 때문에 사적인 통신 정보가 보호되는 것으로 알고 있지만 그렇지 않다. 따라서 민감한 개인 통신 정보를 보호하려면 사용자가 스스로 주의하는 수밖에 없다.

 

■‘종단간 암호화’(E2EE) 기술

‘종단간 암호화’(E2EE·end-to-end encryption) 기술이 사용된 앱을 사용하면 안전하다. 이 기술은 메시지를 주고받는 모든 과정을 암호화하는 기술이다. 수신자와 발신자 외에는 대화 내용을 확인할 수 없다. 통신 서비스 업체, 기기 제조 업체, 메신저 업체 등은 대화 내용을 알 수 없다. 데이터 백업 기능을 사용하지 않으면 서버에도 대화 내용이 남지 않기 때문에 해킹에도 안전하다.

모든 종단간 암호화 기술이 동일한 보안 정도를 제공하는 것은 아니어서 사용 시 몇 가지 주의할 점이 있다. ‘클라우드’(Cloud) 백업 기능을 사용하는 경우 종단간 암호화 기술을 사용해도, 백업 서비스 제공 업체가 해당 파일에 접근할 수 있다.

또 종단간 암호화 기술이 적용된 앱이 특정 상황에서만 암호화하는 경우에도 모든 대화 내용이 보호되지 않는다. 예를 들어, 특정 ‘운영 체제’(OS)에서만 암호화하거나, 또는 그룹 메시지는 암호화하지 않는 경우 등이 해당된다.

일부 내용만 암호화하는 경우도 있다. 대화 내용은 암호화하지만 대화 대상, 시기, 장소와 같은 ‘메타 데이터’(Meta Data)는 암호화되지 않아 안전하지 않을 수 있다. 중국 해킹 집단 솔트 타이푼이 탈취한 정보도 대부분 메타 데이터였던 것으로 알려졌다.

 

■통신 앱에 따라 보안 정도 달라

대화 내용의 중요도가 낮거나 채팅 앱을 처음 사용하는 경우 친구나 가족들을 쉽게 찾을 수 있는 앱이면 적당하다. ‘시그널’(Signal), ‘왓츠앱’(WhatsApp) 등 대부분 앱이 문자 메시지와 통화 내용에 종단간 암호화 기술을 사용하고 있다.

보안 및 개인 정보 보호 단체 ‘일렉트로닉 프런티어 파운데이션’(Electronic Frontier Foundation)의 소린 클로소프스키 활동가는 “시그널은 초보자도 즉시 사용할 수 있도록 안전하게 제작됐다. 왓츠앱도 안전한 편이지만 다른 앱에 비해 메타 데이터를 많이 수집한다.”라고 평가했다.

시그널은 비영리단체가 제작한 ‘오픈 소스’(Open Source) 앱으로 컴퓨터, iOS, 앤드로이드 기기 등 여러 플랫폼에 설치할 수 있다. 메타(구 페이스북)가 운영하는 왓츠앱도 안전하게 여겨지지만 메타 데이터 수집을 원하지 않고 추가 보안이 필요하다면 백업 기능을 꺼야 한다.

애플 기기 사용자로 애플 기기를 사용하는 상대방과 주로 연락하는 경우 페이스 타임을 통해 메시지 기능을 사용하거나 와이파이 통화 기능을 사용해도 안전하다. 그러나 애플 기기나 iOS운영 체제를 사용하지 않는 상대방과 대화할 경우 대화 내용이 암호화되지 않을 수 있기 때문에 추가 보안을 위해, 대화 내용에 적용되는 iCloud 백업 기능을 해제해야 한다.

앤드로이드 운영 체제가 사용되는 구글 메시지 앱 사용자도 마찬가지다. 같은 앱을 사용하는 상대방과 나눈 대화 내용만 암호화되기 때문에 필요 시 백업 기능을 꺼야 안전하다. 페이스 북의 일대일 대화 메시지 앱은 지난해부터 종단간 암호화 기술을 기본 기능으로 설정했다.

 

■최상의 보안은 ‘사용자 자신’

해커와 여러 보안 기술의 허점도 주의해야 하지만 가장 주의해야 하는 것은 바로 사용자 자신이다. 상대방이 대화 내용을 ‘스크린샷’ 기능으로 촬영한 뒤 외부에 공개하면 아무리 철저한 암호화 기술도 이를 막을 방법이 없다. 따라서 외부에 공개되기 원하지 않는 내용이 있다면 문자 메시지를 통해 나누지 않는 것이 정보 유출 피해를 막는 방법이다.

스마트폰, 태블릿 PC, 노트북 등의 기기를 작동할 때 비밀 번호 외에도 ‘생체 인식 인증’(biometric security) 기능을 설정해야 안전하다. 이메일, 은행 계좌, 보험 계정 등 민감한 정보가 담긴 계정 역시 비밀 번호와 함께 ‘다단계 인증 기능’(multi-factor authentication)을 설정하도록 한다.

보안 기능이 우수하다고 평가된 앱을 사용하고 생소하거나 의심스러운 앱은 피한다. 보안 전문가들은 틱톡이나 X(구 트위터)에서 ‘직접 메시지’(Direct Message) 기능 사용을 주의하라고 조언한다. ‘슬랙’(Slack)이나 ‘팀’(Teams)과 같은 직장 채팅 앱은 고용주가 대화 내용을 추적하는 소프트웨어를 설치하는 경우가 있기 때문에 논란이 되거나 해고 소지가 될 만한 대화를 주의해야 한다.

시그널을 포함, 많은 앱은 일정 기간이 지나면 메시지를 삭제하는 기능을 제공한다. 메시지 삭제 기능을 설정하면 해킹 피해를 줄이고 대화 기록을 깔끔하게 관리할 수 있다. 애플 기기는 모든 메시지가 일정 기간만 저장되도록 설정하는 기능을 제공한다.

 

■특정 ‘직업·신분’ 더 주의해야

일상적인 대화 내용도 보안이 필요하지만, 특정 직업 또는 신분의 사용자는 데이터 보안에 각별히 신경 써야 한다. 언론인과 같은 민감한 직업을 가진 사용자, 정치·사회 활동가, 반체제 인사, 지역적 특수 상황으로 인해 공격받기 쉬운 성소수자 등이 해당된다. 누구나 자유로운 대화를 나눌 권리가 있지만, 디지털 기기를 통한 대화가 주를 이루는 요즘, 대화 내용을 보호하는 것은 기기 사용자의 몫이다.