본문 바로가기

파워인터뷰/전문가 초대석

백신 설치, 그게 최선입니까? 확실해요?

사람들은 컴퓨터에 백신 프로그램만 설치하면 바이러스나 악성코드에 감염되지 않을 것이라고 생각한다. 안철수연구소 보안전문가 박제석 팀장(서비스운용팀)은 일반들의 이러한 통념이 잘못되었다고 지적한다. 안철수연구소 대학생기자 워크숍에 참석해 정보보안의 기본 상식을 설명한 그가 전달하려는 메세지는 간단 명료했다.
“완벽한 보안은 없다.”
백신 프로그램을 설치하는 것에 우리의 올바른 보안습관이 더해져야 비로소 최적 수준의 보안을 유지할 수 있다는 것. 다음은 강의 요약문.


CIA(정보 보호의 3요소)에는 기밀성, 가용성, 무결성이 있다. 보안이 잘 이루어지고 있는지는 이 3요소를 통해 판단할 수 있다. 먼저, 기밀성은 정보가 공개 / 노출되는 것을 방지하는 것이다. 기밀성이 높은 정보의 대표적인 예가 암호이다. 만약, 누군가 정보를 얻는다고 하더라도, 그 정보의 내용을 파악할 수 없다면 기밀성이 높다고 할 수 있다. 
다음으로 가용성이란, 정보의 사용이 허가된 사람은 언제라도 정보 시스템에 접근, 사용할 수 있다는 것이다. 얼마 전 사회적으로 큰 이슈가 되었던 DDos가 가용성을 떨어뜨리는 예라고 할 수 있다. DDos는 무한히 많은 작업을 컴퓨터에게 부여하여 정작 사용자가 원하는 작업을 할 수 없게 만들었다.

마지막으로, 무결성은 정보의 변조 및 파괴를 방지하는 것이다. 허가되지 않은 사용자는 정보에 대한 수정을 수행할 수 없다. 무결성은 은행 보안에서 강조된다. 누군가 통장의 잔액을 늘리거나 변경을 하는 등의 금융정보 수정을 못하게 은행은 철저한 보안관리를 하고 있다.


위에서 설명한 정보 보호 3요소가 모두 높은 수준으로 구성된다면 가장 이상적일 것이다. 하지만, 현실적인 정보 보호 업무에서는 기밀성과 무결성을 중요히 여기지만, 가용성 부분은 상대적으로 소홀히 여기는 경향이 있다.


정보 보호를 구축할 때, ‘철벽보안’을 하려면 기밀성과 무결성을 높이면 된다. 그러나 두 요소를 높이면 가용성이 떨어지게 된다. 가용성이 떨어지면 사용할 때 편리성이 떨어진다. 다시 말해, 보안의 수준을 극도로 높인다고 무조건 좋은 것이 아니라 그에 따른 가용성의 손실을 따져서 최적의 보안 적정선을 찾아야 한다. 비유하면 1차선 도로에서 경찰이 음주단속을 하면 보안수준(기밀성, 무결성 강화)은 올라가겠지만 그에 따른 교통체증과 시간 지연에 대한 비용(가용성 저하)이 상당할 것이다.

실생활에서 볼 수 있는 좋은 예로 ‘아이폰 탈옥’이 있다. ‘아이폰 탈옥’이란 iOS를 보다 자유롭게 사용하기 위해 잠금장치를 해제(해킹)하는 것이다. 아이폰을 자유롭게 사용할 수 있다는 점에서 가용성이 높아지지만, 기존 OS에 비해 보안수준이 떨어지게 된다(기밀성, 무결성 저하). 따라서 대부분의 ‘스마트 뱅킹’ 앱들은 ‘탈옥’된 폰에서 실행이 안 된다. 결국 보안을 높인다는 이유로 사용자가 원하는 기능을 이용하지 못하는 상황에 직면하게 된다.
 
‘사용자 보안 습관’을 어렵게 생각하는 사람이 많은데, 손쉽게 따라 할 수 있는 보안 습관을 소개한다.

1. PC나 인터넷 사이트의 로그인 계정 비밀번호는 단순한 배열(ex: 1111, 사전식 용어)을 삼가한다.
2. 윈도우에서 Guest 계정을 삭제한다.
3. 백신 프로그램을 설치하고 정기적으로 업데이트를 한다.
4. 윈도우 패치 업데이트를 정기적으로 한다.
Ahn


대학생기자 김재기 / 한양대 안산 컴퓨터공학과