통신사 해킹 대응 이용자가 취할 수 있는 실전 보안 전략

최근 SKT 해킹 사건은 완전히 안전한 시스템은 없다는 사실을 다시 한 번 떠올리게 만들었다. 작든 크든 해킹 사건은 계속해서 일어날 것이기 때문에, 속수무책으로 당하고만 있으면 안 된다. 이에 따라 개인이 할 수 있는 실천적 보안 전략에 대해서 알아보자.

대체로 사고가 터지면 전문가들이 해주는 보안 조언은, 2차 인증을 설정, 비밀번호 자주 바꾸기, 유심 교체 등이다. 이런 사항들은 급하게 현실적으로 처리하기 위한 것으로 중요하지만, 앞으로 일어날 사건을 대비하기 위해서는 한 발 앞선 사고방식과 습관의 변화를 가지는 것이 좋다. 

스마트폰과 유심이 있는 모습


번호 중심 인증에서 앱 기반 인증으로 변화하기


많은 금융기관과 플랫폼이 휴대폰 번호 인증(SMS) 중심으로 행동하고 있다. 그러나 이것은 현실적으로 위험하다. SKT 해킹 사태처럼 번호가 도용 될 경우에, 피해가 정보 유출을 넘어서 계좌 이체와 문자 인증, OTP 탈취 등으로 확대될 수 있기 때문이다.

이 문자메시지 인증의 대안은 앱 기반 인증(App-based Authenticator)이다. 널리 사용되고 있는 Google Authenticator를 비롯해서, Authy, Microsoft Authenticator 등의 앱으로 기기 고유 정보와 연동하여 인증 도구로 사용할 수 있다. 이러한 어플을 사용하면 번호가 유출되더라도 어느 정도 안심할 수 있다. 

따라서 인증 앱을 사용할 수 있는 서비스라면, SMS 인증을 비활성화하고 앱 인증으로 전환하는 것이 좋다. 은행, 메신저, 클라우드 서비스 등 광범위하게 바꾸는 것이 좋다. 또한 인증 앱도 1개만 쓰지 말고, 주요 계정은 두 개의 앱에 분산하여 저장하면 좋다. 주 인증기는 메인 폰으로 사용하고, 보조 인증기는 태블릿이나 오래된 공기계에 보관하면 복구 안정성이 높아진다.


유심 정보 보호보다 더 중요한 심독립적 인증 만들기


유심 정보가 유출되어 털리게 되면, 단순히 유심을 교체하는 것으로는 충분하지 않을 수 있다. 해커가 내 신원을 이미 가로채서 알아냈다면, 번호를 복원해도 사회적 신원(Social Identity) 자체가 위협을 받기 때문이다.

이에 대한 해결책으로는 심 독립적 인증 체계를 만드는 것이다. 은행이나 SNS, 메일 등 핵심으로 사용하는 계정마다 비상 이메일과 비상 전화번호를 설정하자. 이 비상 정보는 일상생활에서는 절대 쓰지 않는 전용 계정으로 만들어야 한다. 비상 용 전화번호는 통신과 무관한 데이터 SIM 기반 기기에 Google Voice, Skype Number 등으로 연동해서 사용할 수 있다.

하드웨어 보안 키(FIDO2 인증 USB)를 사용하는 것도 고려할 만하다. 이는 어떤 해커도 원격에서 복제할 수 없는 장치 기반 인증이다. 그리고 내가 해킹 당했다는 가정 하에 복구 루트를 미리 만들어보는 것도 좋다. 가짜 복구 시나리오를 작성하고, 실제로 복원 가능한지 테스트해 보면 나중에 사건이 터지고 나서 당황하지 않을 수 있으며, 취약점을 미리 찾아볼 수도 있다.


비밀번호보다 패턴 분산하기


많은 계정들이 있고, 다양한 형태를 요구하기 때문에 비밀번호는 사실상 기억하기 힘들다. 그래서 생기는 것이 패턴화 된 습관이다. 그런데 해커도 그걸 안다. 우리는 생각보다 예측 가능한 방식으로 비밀번호를 만들고, 바꾸고, 재 사용한다. 따라서 인간 랜덤 알고리즘을 설계하는 것도 좋은 방법이다.

예를 들어서, 이메일은 4글자+기억할 수 있는 연도+기호 조합으로 만들 수 있다. 금융 계정은 서비스 도메인 철자 뒤집기+!+자리 수, SNS는 본인 생일에 친구 생일을 합친 암호화된 패턴 등의 방식을 생각해볼 수 있다. 자신만의 규칙은 있지만, 타인이 추정하기 어려운 개인 맞춤형 알고리즘인 것이다.

암기식 패턴은 클라우드에 저장하지 말고, 손으로 적어서 안전한 곳에 보관하는 것도 하나의 방식이 될 수 있다. 디지털 보안의 약점은 디지털 그 자체일 수 있기 때문이다. 그렇다고 포스트잇에 암호를 적어서 모니터에 붙여두지는 말자. 


통신사를 믿지 말고, 통신 환경 이중화 하기


해커가 하나의 통신사를 뚫으면 그 사람의 모든 이동통신 기반 인증을 장악할 수 있다. 그래서 우리는 통신사 독립을 고려해야 한다. 이를 위해서 알뜰폰(MVNO) 회선을 별도로 하나 개통하여, 주 회선은 SKT, 비상 회선은 KT 기반 알뜰폰 등으로 구성해서 통신망을 이중화 할 수 있다.

특정 계정은 아예 다른 회선의 번호로 등록한다. 예를 들어서, 금융은 SKT, 클라우드는 MVNO 번호로 구분한면 해커는 한 번에 모든 정보를 훔칠 수 없게 된다. 이때 모든 인증과 복구 메시지가 주 회선으로 오지 않도록 분산하는 것도 좋은 방법이다. 


불안에 반응하지 말고, 위협에 구조화로 대응하기


끝으로 해킹 사태에 대해서 감정적으로 반응하지 않는 것도 중요하다. 공포와 분노는 해커의 무기라서, 감정에 빠지게 되면 단편적으로 유심 교체 같은 단기 대응에만 몰두하게 된다.

진짜 보안은 계획을 잘 세우는 것이기 때문에, 월 1회 보안 점검의 날을 정하거나 해서 계획적으로 대응하는 것이 좋다. 이 날 만큼은 평소 쓰지 않던 기기로 로그인 기록을 확인하거나, 비밀번호를 변경하고, 백업 테스트 등을 수행하는 것도 좋은 방법이 된다.

보안 노트를 만들어서 어떤 계정을 어떤 인증 방식으로 보호하고 있는지 구조화하여 살펴보는 것도 좋은 방법이다. 갑작스러운 해킹 사고가 일어날 경우 복구의 핵심이 된다. 즉, 해킹을 피할 수 없다면 뚫리기 쉽지 않은 사람이 되자는 것이다. 

SKT 해킹 사건 뿐만 아니라 많은 통신사들도 뚫렸던 사실이 있기 때문에, 이 통신사를 믿을 수 있는거라는 질문보다는, 내 정보는 어느 정도까지 분산 되어 있는가로 질문을 해보는 것이 좋다. 또한 유심을 교체해야 할까라는 질문보다는, 내가 복구할 수 있는 구조를 갖고 있는가라는 질문으로 대비를 해야 하는 것이다. 보안은 사실상 기술보다 태도와 계획에서 더욱 중요한 대비가 될 수 있다.