만약 해커가 마이크로소프트 계정에 침입한다면 원드라이브 파일을 다운로드하거나 윈도우 PC의 보안을 무력화할 수 있다. 심지어 GPS를 이용해 노트북의 위치를 추적하는 것도 가능하다. 하지만 계정 설정을 조정해야 하는 이유는 보안뿐만이 아니다. 일부 설정은 사용자의 일상적인 개인정보 보호와도 직결된다.

솔직히 말하면 필자 역시 마이크로소프트 계정 설정에서 예상치 못한 항목을 발견했기 떄문에 이 팁을 공유하려고 하는 것이다. 최근 필자는 마이크로소프트가 광고 관련 목적으로 서드파티 파트너와 개인 데이터를 공유하고 있다는 사실은 전혀 알지 못했다.

이번에 소개할 설정 팁 가운데 일부는 단순하지만, 다른 일부는 쉽게 눈에 띄지 않는다. 설정을 확인하려면 account.microsoft.com에 접속해 마이크로소프트 계정 정보로 로그인하면 된다.

데이터에 접근할 수 있는 앱 관리하기

사용자는 서드파티 앱에 마이크로소프트 계정 접근 권한을 직접 부여할 수 있다. 문제는, 2018년에 잠깐 실험했던 이메일 도구가 여전히 계정의 이메일에 접근할 수 있을지도 모른다는 점이다. 구글 계정을 비롯한 다른 온라인 계정 시스템도 마찬가지 방식으로 작동하며, 이를 오스(OAuth)라고 부른다.

Foundry

접근 권한을 가진 앱 목록을 확인하려면 왼쪽 메뉴에서 ‘개인 정보’로 이동한 뒤 ‘앱 액세스’를 클릭한다 각 앱 옆의 ‘세부정보’ 버튼을 클릭하면 해당 앱과 공유한 데이터 항목을 확인할 수 있다. 더 이상 공유하고 싶지 않다면 ‘공유 중지’를 눌러 계정 데이터 접근 권한을 해제할 수 있다.

엑스박스 게임 패스(Xbox Game Pass)로 여러 게임을 즐긴 사용자라면 이 목록이 길고 복잡하게 늘어져 있을 것이다. 필자의 경우 100개가 넘는 항목이 있었는데, 대부분이 게임 패스 게임이었다. 이렇게 되면 잠재적 보안 위협을 찾아내기가 쉽지 않다. 마이크로소프트가 더 나은 필터링 기능을 제공한다면 좋겠지만, 아쉽게도 그런 기능은 없다.

개인 맞춤형 광고 및 데이터 공유 비활성화

아직 이 설정을 변경하지 않았다면, 마이크로소프트가 사용자의 개인 데이터를 활용해 관심을 가질 만한 맞춤형 광고를 노출하고 있을 가능성이 크다.

이 설정을 끄려면 사이드바에서 ‘개인 정보’를 클릭한 뒤 스크롤을 내려 ‘광고 및 홍보 커뮤니케이션 관리’ 메뉴의 ‘개인 설정된 광고 설정’ 항목을 클릭한다. 여기서 ‘추천 광고 및 제안 보기’ 토글을 끄면 된다.

Foundry

필자는 개인 맞춤형 광고 자체에는 크게 신경 쓰지 않는다. 하지만 미국 계정에서는 마이크로소프트가 “마이크로소프트 서비스, 웹사이트, 앱과 연계된 사용자의 활동 데이터를 제3자와 공유한다”는 옵션이 있다. 이 설정을 비활성화하려면 같은 설정 페이지에서 ‘개인 맞춤형 광고를 위해 데이터를 제3자와 공유하기’ 토글도 끄면 된다.

이메일 스팸 거부하기

마이크로소프트로부터 홍보성 이메일을 받고 싶다면 그대로 두면 된다. 하지만 원치 않는다면 반드시 설정을 변경해야 한다. 기본값은 이메일 수신 동의로 설정돼 있기 때문이다.

이 옵션을 끄려면 사이드바에서 ‘개인 정보’ 항목을 클릭한 뒤 스크롤을 내려 ‘광고 및 홍보 커뮤니케이션 관리 → 홍보 커뮤니케이션’ 메뉴로 이동한다. 이곳에서 각 항목을 끄면 된다.

Foundry

참고로 필자는 여기서 또 다른 놀라운 사실을 발견했다. 계정이 이유도 모른 채 ‘마이크로소프트 365 릴레이션십 마케팅 프로그램(Microsoft 365 Relationship Marketing Program)’에 자동으로 가입돼 있었다.

정기 결제 항목 다시 확인하기

혹시 마이크로소프트가 몰래 청구하고 있는 서비스가 있지는 않을까? 이 기회에 확인해 보는 게 좋다. 엑스박스 게임 패스나 마이크로소프트 365처럼 구독 기반 서비스는 특히 주의해야 한다. 할인된 가격으로 구독했는데 갱신 시점에 마이크로소프트가 정가로 자동 결제해버릴 수도 있기 때문이다.

이를 확인하려면 사이드바에서 ‘구독’ 메뉴를 클릭하면 된다. 예상치 못한 항목이 보인다면 ‘관리’ 버튼을 누른 뒤 ‘정기 결제 해제’를 선택해 원치 않는 자동 결제를 막을 수 있다. 만약 일부 정기 구독을 유지할 생각이라면, 이왕 들어온 김에 결제 수단이 최신 상태인지 함께 확인하기를 바란다.

2단계 인증 활성화하기

2단계 인증은 어떤 온라인 계정이든 보안을 지키는 데 핵심적인 기능이다. 이미 여러 차례 들어봤을 내용일 수 있지만, 그만큼 중요한 만큼 다시 강조할 가치가 있다. 아직 활성화하지 않았다면 반드시 설정하는 것이 좋다.

이 기능을 켜려면 사이드바에서 ‘보안’ 메뉴를 클릭한 뒤 ‘로그인 방법 관리’로 이동한다. 스크롤을 내린 뒤 ‘추가 보안’ 항목에서 ‘2단계 인증’을 찾아 활성화하면 된다.

백업 이메일과 전화번호 등록하기

2단계 인증 상태를 확인할 때 백업 이메일 주소와 전화번호도 함께 등록해 두는 것이 좋다.

만약 백업 수단이 전화번호 하나뿐이라면 계정 접근이 차단될 위험에 노출될 수 있다. 따라서 마이크로소프트 계정에는 반드시 대체 이메일 주소와 전화번호를 함께 설정해야 한다. 또한 이 연락처기 실제로 본인 소유이고, 어느 때나 여전히 접근할 수 있는지 확인하는 것이 중요하다.

이미 설정한 경우라면 ‘로그인 방법 관리’ 페이지에서 설정해 놓은 본인 확인 수단을 확인할 수 있다. 여기서 이메일 주소와 코드 메시지를 보낼 핸드폰 번호가 최신인지 확인하면 된다. 새로운 방법을 추가하려면 ‘사용자를 증명하는 방법’ 하단의 ‘로그인하거나 확인한느 새로운 방법 추가’를 클릭해 등록한다.

계정 비밀번호 교체 (혹은 없애기)

마이크로소프트는 이제 비밀번호 없는 계정을 지원한다. ‘로그인 방법 관리’ 페이지에서 스크롤을 내린 뒤 ‘추가 보안’ 항목에서 ‘암호 없는 계정’을 켜면 계정 비밀번호를 완전히 제거할 수 있다.

이렇게 하면 더 이상 비밀번호를 사용하지 않으며, 앞으로는 다른 방식으로 인증해야 한다. 대체 인증 수단으로는 마이크로소프트 인증 앱(Microsoft Authenticator)이나 윈도우 헬로(Windows Hello)와 같은 기기 기반 생체인증이 제공된다.

Foundry

필자는 아직 이 방식을 선택하지 않았다. 이미 2단계 인증을 활성화해 두었기 때문에 공격자가 로그인하려면 비밀번호와 함께 휴대폰 같은 다른 인증 수단이 필요하다. 게다가 계정 복구 절차를 통해 공격자가 SMS나 이메일로 접근 권한을 탈취할 가능성도 여전히 존재한다. 따라서 비밀번호 없는 계정 방식이 겉보기만큼 철저하게 안전한 것은 아니다.

또 하나 우려되는 점은, 비밀번호 없는 계정을 사용할 경우 구형 애플리케이션에서 마이크로소프트 계정 로그인 시 호환성 문제가 생길 수 있다는 것이다. 비밀번호 없는 계정이 장기적으로는 대세가 될 가능성이 크지만, 아직 완전히 안정적으로 자리 잡은 것은 아니다. 따라서 지금 바로 전환할지, 아니면 조금 더 지켜볼지는 사용자의 선택에 달렸다.

활동 기록 정리하기

마이크로소프트는 사용자가 자사 앱과 서비스를 어떻게 사용하는지, 어떤 방식으로 검색하고 브라우징하는지를 포함한 활동 기록을 저장한다. 개인정보 보호를 중시한다면 이 기록을 주기적으로 정리하는 것이 좋다.

기록을 삭제하려면 ‘개인 정보’ 페이지에서 ‘생산성 강화’ 탭을 확인하면 된다. 여기에는 ‘둘러보기 및 검색’ 기록과 ‘앱 및 서비스’, ‘맞춤법 및 텍스트 데이터’를 관리할 수 있다. 각 항목을 클릭해 ‘모든 활동 지우기’를 선택하면 해당 카테고리의 기록이 모두 삭제된다.

Foundry

삭제를 완료하면, 마이크로소프트는 앞으로 데이터를 주기적으로 지울지 묻는다. 적당한 기간을 설정하면 시작 메뉴에서 앱을 실행하려다 실수로 실행했던 빙 검색 같은 기록이 10년치나 누적돼 저장되는 일을 막을 수 있다.

사용하지 않는 기기 목록 정리하기

마이크로소프트는 사용자가 로그인한 모든 PC와 엑스박스 기록을 저장한다. 이 목록을 보려면 사이드바에서 ‘장치’를 클릭한다. 만약 해당 기기에서 ‘내 장치 찾기’ 기능을 활성화했다면 인터넷에 연결돼 있고 전원이 켜져 있는 경우 원격으로 위치를 확인할 수 있다.

이 목록에 더 이상 소유하지 않는 기기가 오랫동안 남아 있을 가능성이 크다. 노트북을 전문적으로 리뷰하는 사람이 아니라도 마찬가지다. 따라서 이 목록을 꼼꼼히 살펴보고 이미 처분한 기기는 삭제해 두는 것이 바람직하다.

최근 로그인 기록도 확인하기

마이크로소프트 계정 설정을 살펴보는 김에 최근 로그인 기록도 점검해 보자. 이를 확인하려면 사이드바에서 ‘보안’을 클릭한 뒤 ‘내 로그인 활동 보기’ 메뉴로 들어간다.

여기서 표시된 기록을 확인하며 모르는 로그인 시도가 있는지 검토한다. 특별한 이상이 보이지 않는다면 계정이 안전하게 유지되고 있다는 뜻이다. 하지만 낯선 기록이 있다면 계정 보안을 한층 더 강화해야 할 시점이다. ‘잘 알지 못하는 활동인가요?’ 항목 아래에 있는 ‘계정 보안’ 링크를 클릭하면 마이크로소프트는 비밀번호 변경과 보안 설정 조정 과정을 단계별로 안내한다.

계정 설정에는 뜻밖의 항목이 숨어 있다

필자는 이번에 마이크로소프트 계정 설정을 살펴보다 놀라운 점을 발견했다. 서드파티 데이터 공유 옵션이 기본값으로 활성화돼 있었을 줄 전혀 몰랐다. 이런 경험은 사용자가 온라인 계정의 설정을 정기적으로 점검해야 한다는 사실을 다시금 일깨워 준다.
dl-itworldkorea@foundryco.com