"일주일에 한번씩 스마트 폰(휴대전화) 재부팅" 미 첩보기관 NSA 경고

"일주일에 한번씩 스마트 폰(휴대전화) 재부팅" 미 첩보기관 NSA 경고

미 국가안전보장국(NSA)이 미국인의 스마트폰을 감시하고 있는 것은 아닐까 우려하고 있는 사람도 있지만, NSA는 제로클릭 공격(사옹자가 「한 번도 클릭하지 않아도」피해에 입을 가능성이 있는 공격기법)등을 걱정하는 iPhone과 Android의 사용자를 향해서, 「1주일에 한 번, 전원을 오프로 하고 나서 다시 온으로 하자」라고 하는 현명한 방법을 권고하고 있다.

너는 스마트폰을 얼마나 자주 꺼놓았을까? 이는 대기 상태로 만드는 것이 아니라 완전히 껐다가 다시 켜는 것이다.OS의 업데이트등이 필요할 때만이라고 하는 사람도 많은 것은 아닐까. NSA에 의하면 그것은 큰 실수일 가능성이 있다.

■ NSA가 권장하는 최고의 활용 방법
NSA는 모바일 기기의 최고 활용방법(Best Practice)을 상세하게 설명한 자료에서 제로클릭 공격을 방어하기 위해 매주 한 번은 재부팅을 할 것을 권장하고 있다.

이용자는 악성코드나 스파이웨어를 설치하는 것으로 이어지는 '스피어 피싱'이라 하는 사기행위에 의한 위협도 이 간단한 조작에 의해 줄일 수 있다. 다만, 이 재부팅으로 공격을 막을 수 있는 것은 「가끔」이라고 NSA는 경고하고 있다.

"모바일 기기에 대한 위협은 더 넓게 확산되게 됐고, 대상 범위도 복잡함도 커지고 있다"고 NSA는 설명했고, 스마트폰의 일부 기능은 "편리함과 기능을 제공하는 대신 안전을 희생하고 있다"고 경고했다. 즉, 자신의 장치와 데이터의 안전성에 관해 사전에 대비하는 것과 관련해서 말한다면, 무언가 하는 것이 아무것도 하지 않는 것보다 절대로 낫다는 것이다.

주의해야 할 것은, 이 권고는, 보안상의 문제를 모두 해결하는 특효약은 아니다라고 하는 것이다. 실제로 NSA 문서에는 각 전술이 여러 위협에 대해 어느 정도 효과적인지를 나타낸 표가 포함돼 있다. 일반적인 권고로서는 좋지만, 재부팅시에 다시읽기하도록 프로그램된, 보다 고도의 맬웨어나 스파이웨어의 위협의 대부분에 대해서는, 전원을 끄고 다시 켜도 아무런 도움이 되지 않을 것이다.

■ 편리함과 안전성의 균형
NSA는 또 스마트폰 사용자에게 사용하지 않을 때는 블루투스를 비활성화할 것, OS나 애플리케이션 업데이트가 가능해지면 가능한 한 빨리 단말기를 업데이트할 것, 불필요할 때는 위치정보 서비스를 비활성화할 것을 권고하고 있다. 이미 알고 있듯이, 이러한 권고의 대부분에는 「편리성보다 보안(security)」라고 하는 취지가 있다. 
공공의 Wi-Fi 네트워크는 사용하지 않는다, 공공의 충전 스테이션은 사용하지 않는 등과 같은 대책은 많은 보안전문가가 실제로는 효과가 희박하다고 생각하고 있으며, 많은 이용자도 그러한 행위를 멈추지는 않을 것이다.

공공의 Wi-Fi에 관해서는 존재할 수 있는 리스크와 실제로 개인이 위험에 노출되는 것 사이에 차이가 있다. 범죄자가 안전하지 않은 네트워크를 악의적인 목적을 위해 이용하는 것은 가능하지만, 이는 보통 철도회사나 공항, 커피숍이 제공하는 와이파이 핫스팟을 사용하는 것이 아니라 사용자를 속여 자신의 와이파이 핫스팟에 접속시키는 것을 수반한다. 
SSID 혼란 공격(SSID confusion attack)이라고 하는 취약성은 이것이 어떻게 기능하는지를 보여주는 좋은 예다. 이 공격은, 특정의 상황하에서 VPN을 무력화 해, 실제로는 보안 네트워크에 접속하고 있지 않은데, 마치 접속하고 있는 것처럼 보이게 할 수 있다. 그러나 반복되지만 대부분의 보호받지 못하는 공중 WiFi 네트워크는 일반적인 활동에 사용하기에는 안전하다. 

영국의 국가사이버보안센터(NCSC)는 모바일 4G 또는 5G 네트워크를 사용하도록 권장하고 있는데, 이는 예를 들어 온라인 뱅킹 등 기밀성이 높은 활동을 할 때는 이치에 맞다. Reddit(레딧)에는 더 상세한 정보를 얻기 위해 사실을 파헤친 멋진 스레드가 있다.

그렇다고 해도, 전원의 온·오프를 반복한다고 하는 권고에는 진심으로 동의한다. 실제로 그렇게 하려면 몇 분밖에 걸리지 않으니 취침 전 일과로 매일 재부팅하는 습관을 들이는 것이 좋다.

NSA는 또 강력한 잠금화면의 비밀번호와 비밀번호를 사용해야 한다며 스마트폰이 10번 잘못되면 자동으로 지워지고 5분간 입력이 없으면 자동으로 잠기는 설정에서는 최소 6자리의 비밀번호를 사용할 것을 권장하고 있다. 사이버보안 관련 기업인 사이버낫의 올리버 페이지 CEO는 비밀번호 관리자를 통해 계정마다 강력하고 독특한 비밀번호를 만든다며 자주 사용하는 문구나 사전적 단어, 여러 계정에 걸친 같은 비밀번호 재사용을 피해야 한다고 말했다.

NSA는 또 송신자가 합법적으로 보일 경우에도 e메일 첨부파일이나 링크를 여는 것은 피하라고 경고하고 있다. e메일 발송자 주소를 확인하고 웹사이트 URL을 확인하며 e메일 내용에 가공 흔적이 없는지 정밀 조사해 피싱 여부를 가려내는 법을 배워야 한다고 페이지는 말했다.

기밀성이 높은 대화나 메시징에 관해서는 비록 그 내용이 일반적인 것이라고 해도 NSA는 개인 소유의 디바이스에서 이것들을 하지 않도록 경고하고 있다. 우리 중 많은 사람들이 스마트폰을 그것을 위해 사용하고 있다는 것을 생각하면, 이것은 조심스럽게 말해도 조금 제한적이다. 그러나 스팸메일이나 메시지에 답신하는 소셜엔지니어링 수법에 걸린다면 얘기는 전혀 다르다.

「기밀정보를 요구하는 스팸메일에 회신하는 소셜 엔지니어링 수법에 걸리면 계정 유출이나 개인정보 도난으로 이어질 가능성이 있습니다. 이 같은 피싱 시도는 대부분 합법적인 단체를 모방해 개인을 속여 기밀 정보를 누설하도록 만듭니다」라고 페이지는 말하고 "확인 없이 전화나 메시지를 신용하면 사기범이 피해자를 조종해 기밀 정보를 공개하게 하거나 보안을 위협하는 행동을 취하게 하기 때문에 심각한 결과로 이어질 수 있습니다"라고 덧붙였다.

■ 미국 연방통신위원회의 권고
미국 정부의 독립기관인 연방통신위원회(FCC)도 스마트폰 사용자에게 적절한 보안에 관한 조언을 제공하고 있다. 서로 다른 정부기관이나 법 집행기관이 제공하는 조언에는 중복되는 부분도 많지만, FCC의 조언 중 몇 가지는 여기서 언급할 가치가 있다.

 

예를 들면, 스마트폰의 보안 설정을 변경하지 않는 것이다. FCC는, 「스마트폰의 공장 출하시의 설정을 만지작거리거나 수정하거나 루트화하면, 무선·서비스나 스마트폰이 제공하는 내장된 보안 기능이 손상되어」 공격을 받기 쉬워진다고 충고하고 있다. 편리성을 위해 보안설정을 비활성화하지 않는다는 가르침에는 나도 동의한다. 그러나, 보안에 관한 트러블이 실제로 몸에 닥치지 않는 한, 편리성이 전부라고 생각하는 대부분의 사용자는 그 가르침을 무시할 가능성이 높을 것이다.

FCC는 또 악의적인 앱 개발자는 '앱 접근 허용' 설정을 악용해 특정 보안 기능을 우회할 수 있기 때문에 해당 설정에 대해 이해를 높이는 것이 중요하다고 경고하고 있다. 다행히 최신 운영체제(OS)는 이 같은 접근 허용의 투명성을 어느 때보다 높이고 있지만 그래도 경계는 필요하다. 「스마트폰 상의 개인정보에 대한 액세스를 애플리케이션에 허용하거나 애플리케이션에 스마트폰의 기능을 실행시키는 것은 주의가 필요하다」라고 FCC는 말하고 있다.

OS의 진화에 따라, 더욱더 간단해진 또 하나의 대책은, 도난이나 분실한 스마트폰으로부터 원격조작으로 데이터를 소거한다고 하는 것이다. 다만 최악의 사태가 발생할 경우에 대비해 이 설정을 사전에 해둘 필요가 있다. FCC의 가이던스에 따르면 스마트폰을 두고 내린 경우 몇몇 애플리케이션은 스마트폰이 자동 모드로 되어 있어도 큰 소리의 알람을 작동시킬 수 있다. 이런 앱은 분실 시 스마트폰의 위치를 파악하고 회수하는 데도 도움이 된다고 한다.

그리고 마지막으로 한마디. 스마트폰을 팔거나 또는 기타 방법으로 처분하기 전에는 반드시 장치에서 데이터를 지우고 공장 출하 시 설정으로 리셋하는 것을 잊지 말자.

(forbes.com 원문) NSA Warns iPhone And Android Users To Turn It Off And On Again
https://www.forbes.com/sites/daveywinder/2024/06/01/nsa-warns-iphone--android-users-to-turn-it-off-and-on-again/?sh=201c4df96c95

*재미있거나 도움이 되셨다면 '구독' 꾹 눌러 주시기를 부탁드립니다. 늘 행복하세요.