예전에는 개인이 조심만 하면 인터넷이 안전하다고 생각할 수 있었다. 그러나 지금은 상황이 달라졌다. 사용자가 잘못하지 않아도 데이터가 유출될 수 있고, 비밀번호가 유출될 수 있으며, 악성코드의 희생양이 되기 쉽다.

2025년에는 온라인 공격이 더 흔해질 것이다. AI 사용이 지속적으로 늘어나면서 공격의 속도와 정교함을 가속화하는 추세는 결코 느려지지 않을 것이다.

해킹 등의 위협을 방지하기 위해 전반적으로 어떤 소프트웨어를 대비해야 할지, 광범위한 보호를 위한 기본 권장 사항을 정리했다.

바이러스 백신

Jim Martin / Foundry

아무리 조심한다 하더라도 피싱 사이트, 악성코드, 랜섬웨어, 기타 위협에 노출될 가능성은 그 어느 때보다 높다. 따라서 좋은 백신 소프트웨어를 사용하는 것이 중요하다.

가장 기본적인 수준부터 시작하자면, 마이크로소프트 윈도우에 내장된 보안 백신 소프트웨어를 활성화해야 한다. (보통은 활성화되어 있어야 한다.) 최근 마이크로소프트의 안티바이러스 보호 기능은 신뢰할 만큼 발전했다. 백그라운드에서 눈에 띄지 않게 실행된다.

노턴 360 디럭스 같은 유료 안티바이러스 소프트웨어는 추가적인 도움을 제공한다. 다크 웹 모니터링, VPN 서비스, 비밀번호 관리자 등의 추가 기능을 제공해 광범위한 보안 방어 체계를 단순화해서 단일 인터페이스로 통합한다.

비밀번호 관리자

Martyn Casserly / Enpass

바이러스 백신 패키지의 일부든 독립적인 서비스든, 웹에서 강력하고 고유한 로그인을 추적하기 위해서는 비밀번호 관리자가 필요하다. 그러나 마찬가지로 중요한 것은, 웹에 저장되는 개인 데이터의 양을 최소화하는 데 도움이 된다는 것이다.

예를 들어, 개별 쇼핑 사이트가 신용카드 정보나 실제 주소를 파일에 보관하게 놔두지 말고, 비밀번호 관리자에 이러한 세부 정보를 저장해 개인 정보 보호(및 보안)를 유지할 수 있다. 타인이 계정에 무단으로 로그인해 신용카드를 사용해 물건을 구매할 수 없게 되거나, 유출된 데이터를 기반으로 한 개인화된 사기를 당할 위험이 줄어든다.

가장 간단한 선택은 구글이나 애플에서 제공하는 비밀번호 관리자다. 더 많은 플랫폼에서 사용할 수 있는 구글이 조금 더 우위를 점하고 있다. 기본 기능에 충실하면서도 취약한 비밀번호를 사용하려는 유혹(또는 더 나쁜 경우, 재사용하려는 유혹)에 맞서 싸우는 데 효과적이다.

비트워든이나 대시레인 같은 독립적인 서비스로 업그레이드하면, 비밀번호 공유 제한 없음, 가족용 공유 금고, 긴급 액세스, 손상된 비밀번호 모니터링 등 더 많은 기능을 이용할 수 있다.

2단계 인증 앱

IDG-Owned

이제 해커로부터 자신을 보호하기 위해 단순한 비밀번호 하나만으로는 충분하지 않다. 2단계 인증(일명 멀티팩터 인증)은 계정에 액세스하기 전에 통과해야 하는 두 번째 체크포인트를 추가한다. 즉, 해커가 비밀번호를 훔치거나 추론하더라도 성공적으로 로그인하는 데 필요한 모든 정보를 확보할 수 없다.

가능하다면 앱에서 생성된 일회용 코드를 사용하는 것이 2FA를 사용하는 가장 간단한 방법이다. 문자 메시지로 전송되는 코드보다 더 안전한다. 문자 메시지는 중간에 타인이 가로챌 위험이 있다. 오씨(Authy)는 여러 플랫폼에서 사용할 수 있고, PIN 또는 생체 인증을 통해 새로운 기기나 앱 액세스를 제한할 수 있기 때문에 인기가 높다.

기능이 그렇게 다양하지는 않지만, 구글 인증 도구도 괜찮은 대안이다. 코드를 클라우드에 백업하려면 구글 계정이 필요하다. 좀 더 신중한 사용자라면 에이지스(Aegis)와 라이보(Raivo)를 사용해 코드를 장치에 로컬로 저장할 수 있다(단, 휴대폰이 망가지면 코드를 백업해야 한다).

2FA 토큰을 비밀번호 관리자에 저장하는 방법보다는 두 개의 앱을 따로 사용하는 것을 추천한다. 혹시라도 보관함이 해킹당하더라도 공격자가 모든 계정에 대한 전체 액세스 권한을 얻지 못하도록 하기 위해서다.

휴대전화 또는 PC

Mark Hachman / IDG

때로는 주머니나 책상 위에 있는 기기가 강력한 보안 도구다. 비밀번호와 2FA가 싫다면, 휴대폰이나 PC를 사용해 다른 방식으로 계정에 로그인할 수 있다. 바로 패스키를 이용하는 것이다.

패스키는 빠르고, 쉽고, 비밀번호보다 훨씬 간단하다. 외울 필요도 없다. 패스키를 기기에 저장하기만 하면 된다. 게다가 패스키는 저장된 기기에만 연결되기 때문에 도난당할 위험이 없고 해커 패스키를 사용할 수도 없다. 패스키 사용 승인에 필요한 것은 생체 인증 또는 PIN뿐이다.

모바일 기기와 컴퓨터 모두 패스키를 지원한다. 휴대폰이나 PC 또는 둘 다에 저장할 수 있다. 패스키는 기기별로 고유하게 생성되지만, 웹사이트에서 허용하는 한 얼마든지 새로 생성할 수 있다.

안타깝게도 모든 사이트나 서비스가 패스키를 지원하는 것은 아니다. 구글, 애플, 마이크로소프트, 페이스북, 베스트 바이, 타겟 등 주요 웹 사이트의 대부분은 패스키를 지원한다. 그러나 웹 전반에 걸쳐 통합이 진행되고 있다. 따라서 다른 사이트의 경우에는 여전히 좋은 비밀번호와 2FA의 조합을 사용하는 것이 좋다.

이메일 마스크

PCWorld

계정에 고유하고 강력한 비밀번호를 사용해야 한다는 것은 모두 알고 있다. 임의의 고유 ID도 좋은 생각이다.

데이터 유출이 빈번한 요즘, 인증서 스터핑은 공격자에게 거의 효과가 없다. 공격자는 사용자가 즐겨 쓰는 ID(또는 이메일 주소)를 훔친 비밀번호와 함께 로그인 양식에 입력하고, 어떤 결과가 나오는지 확인한다.

좋은 비밀번호 관리자는 고유한 ID를 생성해 준다. 이메일 주소를 사용자 ID로 사용하는 사이트의 경우, 이메일 마스킹 서비스가 기본 계정으로 전달되는 일회용 이메일 주소를 생성해 준다.

이메일 마스크는 지메일이나 프로톤메일에서 제공하는 이메일 별칭과는 다르다. 이메일 별칭은 사용자 이름 뒤에 추가 텍스트를 추가하는 방식이다(예: 사용자 이름 randomaddition@gmail.com). 이들 주소 변형 방식은 수신 메시지를 필터링하는 데 도움이 되지만, 진정한 프라이버시를 제공하지는 않다. 실제 이메일 주소를 추론하는 것은 쉽다.

무료 이메일 마스킹 사이트도 많다. 덕덕고에서는 원하는 만큼 만들 수 있고, 파이어폭스 릴레이(Firefox Relay)에서는 5개의 무료 마스크를 제공한다. 유료 요금제를 살펴보면, 애플 아이클라우드+ 가입자는 회사의 내 이메일 숨기기(Hide My Email) 기능에 액세스할 수 있고, 심플로그인(SimpleLogin)은 더 다양한 기능(비트워든이나 프로톤패스 같은 비밀번호 관리자와의 통합 기능 포함)을 제공한다. 패스트메일(Fastmail) 같은 일부 이메일 제공업체도 마스킹된 이메일을 제공한다.

예산이 빠듯하다면, 최소한 가장 민감한 계정(금융, 의료 등)만이라도 이메일 마스크를 고려해 보라.

구글 보이스 번호

ared Newman / IDG

모든 웹사이트가 소프트웨어 기반의 2단계 인증 코드를 지원하는 것은 아니다. 일부 웹사이트는 SMS 코드만 지원하는데, 이 방법은 안전하지 않다. (은행이 가장 심한 편이다.) 해커도 이 사실을 알고 있기 때문에, 때로는 SIM 재킹을 통해 코드를 훔치기도 한다.

위험을 줄이기 위해, 금융 기관이나 의료 기관처럼 중요하거나 민감한 서비스에만 실제 전화번호를 공유하는사용자도 있다. 그 외의 모든 서비스에는 개인 구글 계정이 있는 사람이라면 누구나 이용할 수 있는 구글 보이스 번호를 사용하는 방법이다. 이 번호는 구글의 데스크톱 웹사이트나 모바일 앱을 통해 전화와 문자를 할 수 있는 미국 기반 전화번호다. 또한, 실제 번호로 걸려오는 전화를 이 번호로 착신 전환할 수도 있다. 휴대폰 사업자가 발급한 번호가 아니라는 것을 아무도 알 수 없다.
dl-itworldkorea@foundryco.com