우리가 디지털 보안에 취약한 이유

해커들은 얼굴이 없는 범죄자예요. 개인이나 기업의 보안 시스템의 취약점을 찾아 데이터와 자원을 훔치고 침해하는 나쁜 사람들인데요. 해커들은 정말 똑똑하게 사기를 친다고 생각하는 분들이 있을 거예요. 하지만, 99%의 해킹 사기는 인간의 클릭으로 인해 발생한다는 사실을 생각해 보세요. 이런 걸 '인간 요소'라고 부르는데요. 이게 무슨 뜻인지, 오늘 포스팅에서 자세히 알아보겠습니다! :)

​

 

​해커가 직접 큰 조직 내부로 침투하는 건 사실 불가능에 가까워요. 정말 어렵습니다. 기업 시스템의 코드와 소프트웨어 그리고 기술 자체를 직접적으로 침투하는 건 아무리 똑똑한 해커라도 힘들어요. 악성 코드를 웹 페이지나 프로그램에 삽입하고 작동 방식을 변경할 수 있지만, 소프트웨어를 설득하여 데이터베이스 내부에 액세스를 제공하도록 할 수는 없습니다. 그렇기 때문에 해커들은 그 기업 내부에 있는 사람들을 대상으로 사기를 칩니다.

​

다시 말해, 해커들은 문에 머리를 부딪히면서 괜한 노력을 하지 않는다는 거예요. 대신 그 벽 뒤에 있는 사람들을 살살 꼬셔서 문을 열어줄 수 있도록 설득하는 겁니다. 누구나 실수를 할 수 있기 때문에 피싱이 해킹보다 훨씬 더 만연한 거예요.

​

 

해킹에 비해 피싱은 부드럽고 간단해요. 요즘 해커들은 주로 조직의 직원을 대상으로 피싱 공격을 맞춤화합니다. 이렇게 직원을 타겟으로 하는 해킹 시도를 '스피어 피싱'이라고 하고, 임원 및 높은 레벨의 직원들을 대상으로 하는 해킹을 '웨일링'이라고 합니다. 95%의 성공적인 비즈니스 네트워크 공격을 초래하는 치명적인 피싱 형태인데요. 직원들의 개인 정보를 사용하여 스피어 피싱 공격을 맞춤화합니다. 종종 직원들의 상사로 위장한 이메일을 보내거나 권위 있는 기관인 척하여 성공 확률을 높이는 거예요. 하루에 수백 건의 이메일이 왔다갔다 하는 기업의 경우에는 의심하지 않고 이메일을 받겠죠.

​

직원이 만약 상사로부터 이메일을 받았다고 상상해 볼게요. 만약 상사가 "이 링크에 지금 당장 들어가서 이걸 해야된다" 라는 식으로 링크가 포함된 이메일을 보내면 직원 입장에서는 당연히 링크를 클릭하겠죠. 상사가 내리는 지시이고, 긴급하게 끝내야 하는 업무라고 인식을 하기 때문이에요.

​

이러한 피싱 방법은 매우 효과적입니다. 요즘엔 이런 스피어 피싱 이메일이 자동화되고 있어요. 이는 사이버 공격이 해킹에서 사회 공학으로 향하고 있다는 증상입니다.

​

 

​개인 정보 보안에 대해 신경을 안 쓰면 해킹을 당할 확률이 높아져요. 우리가 사용하는 SNS에 일상 생활을 매일 공유하는 행위를 돌아봐야 합니다. 내 친구들 뿐만 아니라 친구들의 친구들, 그 친구들의 가족들과 그 가족들의 지인까지 내 일상 생활을 볼 수 있기 때문이에요. 요즘은 이렇게 모든 걸 공유하는 게 당연한 거라고 생각을 하는데, 이런 행위가 해커들에게 오히려 도움을 주는 거라고 인식을 못하는 분들이 많습니다.

​

우리는 SNS에 취미, 좋아하는 것, 자주 가는 식당, 방문했던 나라, 앞으로 여행 갈 나라, 내가 알고 있는 사람들 다양한 걸 공유하죠. 이런 데이터는 해커들이 사람들의 관심사에 맞는 스피어 피싱 이메일을 만들 수 있게 해줘요. 내가 페이스북이나 인스타에 올리는 자동차 사진, 내 엄마 이름, 반려동물 이름이나 생일 등 정보가 비밀번호를 해킹하는 데 도움이 됩니다.

​

 

​온라인 상의 개인 정보 보호는 궁극적으로 내 손에 달려있어요. VPN을 사용하면 완전히 익명이 돼서 절대 해킹을 당할 수 없다고 믿는 분도 있지만, 사실 인터넷 상에서 100% 익명성 보장이란 건 없어요. VPN은 매우 유용한 개인 정보 보호 도구로, 인터넷 서핑 시 추적을 피하는 데 도움이 될 수 있지만, 완전히 익명이 될 수 있는 방법은 없습니다.

​

VPN은 웹사이트에서 IP 주소가 내 기기가 아닌 VPN 서버로 되돌아가기 때문에 추적되지 않도록 할 수는 있습니다. 또한 내 인터넷 트래픽을 인터넷 서비스 제공자 (ISP)에게 보이지 않게 만들어 줍니다. ISP가 볼 수 있는 건 내가 VPN을 사용 중이라는 것 뿐이죠.

​

하지만! 내가 인터넷에서 수행하는 모든 다른 작업은 인터넷에 남아 있습니다. 웹사이트에 실제 이름과 성을 모두 포함한 이메일 주소를 사용하거나 신용 카드로 무언가를 구입한 경우엔 추적될 수 있습니다. 그래서 온라인 상에서 범죄를 언급하거나 범죄를 저지르면, VPN을 사용하더라도 결국 추적이 돼서 잡힐 수 있는 거예요.

​​

출처: 서프샤크 VPN

 

피싱 예방법

첫 번째 방법은 피싱에 대한 인식을 키우고 피싱에 대한 공부를 하는 거예요. 피싱 전술은 지속적으로 발전하고 있기 때문에 제대로 알아두는 게 피싱을 예방할 수 있는 방법입니다.

​

두 번째 방법은 직장 환경에서 직원들에게 피싱 교육을 하는 겁니다. 요즘은 피싱 교육이 필수입니다. 주의를 유지하기 위한 예방 교육과 모의 피싱 공격 연습을 하는 걸 추천드려요.

​

세 번째 방법은 모든 계정에 강력한 암호를 사용하는 겁니다. "asd1234"나 이름과 생년월일과 같이 추측하기 쉬운 약한 암호를 사용하지 마세요. 또한 개인 및 업무 환경에서 동일한 암호를 사용하지 마세요. 암호 관리자를 사용하고 강력한 단일 암호로 잠그는 걸 추천드려요.

​

네 번째 방법은 다단계 인증(MFA)을 활성화하는 겁니다. 해커가 암호를 알아채서 계정을 뚫어도 이중 인증은 내가 해야하기 때문에 해킹을 당할 확률이 낮습니다.

​

다섯 번째 방법은 수상한 이메일이나 링크를 클릭하지 않는 겁니다. 피싱을 당하지 않을 수 있는 가장 간단한 방법이죠!

​

 

온라인 개인 정보 보호하는 법

수상한 앱과 무료 서비스를 사용하지 마세요. 무료 서비스는 믿으시면 안돼요. VPN도 꼭 서프샤크 VPN처럼 유료 프리미엄 버전으로 쓰라고 하는 게, 무료 버전은 사용자들의 데이터를 제3자에게 팔고 있을 가능성이 높기 때문입니다.

​

앱의 개인 정보 설정을 관리하세요. 앱이 수집하는 정보가 적을수록, 매년 수천 건 발생하는 데이터 침해를 당할 확률도 낮아집니다.

​

소셜 미디어 계정을 비공개로 하세요. 개인 SNS 프로필을 전 세계에 공개로 하지 마세요. 해커가 여러분이나 여러분의 회사에 대한 정보를 활용하는 데 매우 유용합니다. 여기에 더해 SNS에 민감한 데이터를 공유하지 마세요. 가장 좋은 예방책은 공유하는 정보를 최소화하는 겁니다.

​

VPN을 사용하세요. VPN은 온라인에서 개인 정보 보안 수준을 높여주고, 여러분의 데이터가 팔리는 걸 막아줍니다.

​

위 방법을 잘 알아두고 실천하면 여러분의 보안과 개인 정보 보호가 크게 향상될 거예요. 온라인에서 100% 완전한 안전을 보장할 수 없지만, 프리미엄 백신과 VPN을 사용하면 거의 완벽하게 안전하게 데이터를 보호하실 수 있어요. 해킹과 피싱에 관해 최대한 많이 읽어보시고 공부를 하셔서 사이버 범죄의 피해자가 되지 않는 게 중요해요. 오늘부터 서프샤크 안티바이러스와 서프샤크 VPN으로 안전하게 인터넷 해요! :D