소기업 웹사이트를 위한 온라인 보안 기초

CIO
소규모 업체에서 웹사이트를 운영할 경우 온라인 보안이 무척이나 중요하다. 자칫 피해자를 넘어 가해자의 도구로 악용될 수도 있다. 제한된 인력과 자원 속에서 스스로를 지킬 수 있는 방법을 정리한다.

우선 안티바이러스 및 스파이웨어 차단 소프트웨어를 설치해 가정 및 외부에서의 컴퓨터 사용을 안전하게 해야 한다.

기기를 안전하게 지켜줄 유명 안티바이러스, 안티맬웨어, 레지스트리 프로그램으로는 AVG 프리, 스파이봇 서치&디스트로이(Spybot Search&Destroy), 마이크로소프트 시큐리티 에센셜(Security Essentials), 맬웨어바이트 안티-맬웨어, 그리고 피리폼 C클리너(piriform CCleaner) 등이 있다.

마이크로소프트와 AVG 프로그램은 둘 다 훌륭하지만, 전자는 광고가 없고 업데이트가 자주 없어 덜 성가시다. 두 프로그램 모두 스파이웨어 보호에 훌륭하지만 맬웨어 심층 탐색에는 맬웨어바이트가 한 수 위다. C클리너는 필자가 아는 한 가장 안정적인 레지스트리 클린 프로그램이다. 이들 프로그램은 전부 무료지만 AVG를 비롯한 몇몇 프로그램들은 유료 버전도 있다.

호스팅 보안을 돕는 VPN과 SFTP
호스팅 서비스 제공자에도 신경써야 한다. ‘워드프레스(WordPress)’는 훌륭한 콘텐츠 관리 시스템이지만, 해커의 공격에 매우 취약하다는 단점이 있다.

워드프레스 설치를 안전하게 하기 위해서는 턴키 인터넷(Turnkey Internet) 같은 호스팅 서비스를 가상 사설 네트워크(VPN)과 함께 사용해볼 만하다. 각 호스팅 제공자를 확인해 봐야겠지만, VPN을 사용하면 여러 가지 방법으로 설치 과정을 보호할 수 있다. 예를 들어, 데이터베이스 백업을 쉽게 하는 c패널(cPanel)을 제공하는지 꼭 확인해 봐야 한다.

서버에 파일을 업로드 할 때는 시큐어 파일 트랜스퍼 프로토콜(Secure File Transfer Protocol, SFTP)를 사용하는 것이 좋다. 이 작업에 적합한 프리웨어 프로그램으로는 WinSCP가 있다.

또, 강력한 비밀번호를 설정하고 주기적으로 바꾸는 것도 중요하다. 사용하는 SFTP 프로그램이 허용한다면, 키보드상의 모든 글자를 사용해 16자 이상의 조합으로 비밀번호를 설정해라. 예를 들면 Y(^&)/E%#V^(!d+dk 등이다.

비밀번호 보호 프로그램을 사용하라

요즘같이 인터넷을 많이 쓰는 때에는 자주 사용하는 비밀번호를 모두 기억하는 것도 쉽지 않다. 얼마 지나지 않아 너무 많은 비밀번호를 기억하지 못하게 된다. 이럴 때 비밀번호 보호 프로그램이 유용하게 쓰인다. 필자의 경우 로보폼(Roboform)과 라스트패스(LastPass)를 사용한다.

컴퓨터에 패스워드를 저장해 두는 대신 플래시 드라이브를 사용해 패스워드를 텍스트 파일로 저장해둘 수도 있다. 패스워드를 사용해야 할 때는 텍스트파일로 저장된 것을 복사해오면 된다. ‘USB용 로보폼 투 고(Roboform 2go for USB)’도 이런 용도로 사용되는 많은 프로그램 중 하나다.

이 방법의 장점은 패스워드를 복사, 붙여 넣기 할 경우 키로깅(keylogging) 맬웨어가 낚아채지 못한다는 것이다. 반면, 공용 컴퓨터에서 사이버카페를 이용할 경우 그 컴퓨터가 맬웨어에 감염돼 있을 수도 있음을 알아야 한다. 만일 공용 컴퓨터를 꼭 사용해야 한다면, 사용 직후 반드시 플래시드라이브가 감염되진 않았는지 스캔 해봐야 한다.

사기(Rogue) 소프트웨어를 멀리하라
요즘 가장 빠르게 성장하는 온라인 사기 수법에는 ‘사기 소프트웨어(rogue software)라 불리는 가짜 안티맬웨어 소프트웨어가 있다. 이런 프로그램들은 대게 진짜 보안 소프트웨어같이 보이도록 광고를 한다. ‘드라이브클리너,’ ‘어드밴스드 PC 트위커,’ ‘PC클리너 2008’처럼 그럴듯해 보이는 이름도 가지고 있다.

이들 사이트에 방문하면 컴퓨터를 스캔해 스파이웨어가 있는지 확인하라고 부추긴다. 그리고 거기에 넘어가 스캔을 할 경우 컴퓨터가 감염이 되었으니 소프트웨어를 구입해 이를 제거해야 한다고 겁을 준다.


이러한 가짜 소프트웨어들은 컴퓨터의 속도를 느리게 한다. 게다가 구매한 적도 없는 서비스나 소프트웨어에 대한 요금이 청구될 수도 있다. 환불을 받는 건 거의 불가능하다. 이런 업체들은 이름과 주소를 자주 바꾸기 때문이다. 최악의 경우 신원 도용의 피해자가 될 수도 있다.

따라서 사기 소프트웨어는 어떻게 해서든 피해야 한다. 앞서 언급한 이들 외에도 수많은 사기 소프트웨어가 있음을 알아야 한다. 의심스러워 보이는 프로그램이나 업체가 있다면, 아마도 직감이 맞을 것이다.

스팸, 이메일 사기로부터 스스로를 보호하라
모르는 사람으로부터 온 이메일에 담긴 링크를 클릭할 때도 마찬가지다. 수상쩍은 링크일 경우 클릭하면 안 된다. 운이 좋으면 그저 스팸 메일을 보낸 사람에게 당신의 주소가 전달돼 더 많은 스팸 메일을 받게 될 뿐이지만, 최악의 경우 바이러스나 맬웨어를 다운받을 수도 있다.

스팸 메일 수신을 줄이는 한 방법으로는 당신의 웹사이트에 이메일 주소가 공개되는 방식을 변경하는 것이다. 이메일 주소가 youremailaddress@yourhost.com 같은 형식으로 돼 있다면, 스팸 발신자들의 좋은 표적이 된다. ISO 십육진법(hexadecimal notation)을 사용해 이메일 주소를 암호화 해주는 ‘스팸킬러(SpamKiller)’같은 웹 기반 프로그램을 사용하면 이런 문제를 해결할 수 있다.
 

16진법을 사용해 이메일을 암호화 하면 주소 수집을 어렵게 할 수 있다. 스팸 메일의 대상에 포함될 가능성이 낮아지는 것이다.

또 다른 이메일 사기로는 악명 높은 ‘나이지리언 스캠(Nigerian scam)’이 있다. 소문에 따르면 이 스팸 메일들은 나이지리아에서 발신된 이메일로 나이지리아에서 돈을 가져오기 위해 도움이 필요하다는 내용을 담고 있다. 자신을 도와줄 경우 상당한 사례금을 주겠다고 제안한다.


 ‘나이지리언 스캠’ 이메일은 수천 달러의 돈을 먼저 송금하면 나중에 답례로 수백 만 달러의 돈을 주겠다고 말한다. 물론 거짓말이다.

이 이메일에 답장을 할 경우, 관련 정보와 문서를 받게 된다. 실제로 이들에게 돈을 보내면 추가 ‘비용’이 발생했다며 더 많은 돈을 보내달라고 요구한다. 계속해서 돈을 주면 줄수록 그들은 정도를 모른 채 당신의 돈을 갈취하려 할 것이다. 개중에는 송금을 위해 외국에 오라고 권유하는 경우도 있다. 미 국무부는 이들의 말에 따를 경우 폭행, 위협, 심지어는 살해당할 위험이 있다고 경고하고 있다.

마지막으로 주의해야 할 이메일 사기 행각은 바로 피싱이다. 주로 당신이 익숙한 기관의 이름을 빌어 금융 정보를 요구한다. 다음의 절차를 밟으면 이런 종류의 사기를 면할 수 있다.
 
-금융 정보를 요구하는 그 어떤 이메일, 문자, 혹은 팝업 메시지에도 절대 답장하지 마라.
-그런 메시지에 포함돼 있는 어떤 링크도 클릭해서는 안 된다.

-브라우저에 주소를 복사해 붙여 넣기 하는 것도 위험하다. 자신도 모르는 사이에 피싱 가해자의 웹사이트로 이동될 수 있다.

-의심스러울 경우, 주소를 직접 브라우저 창에 쳐서 접속하거나, 더욱 안전을 기하려면 실제 금융 기관에 전화로 문의를 하면 된다.

-메시지에 나온 전화 번호로 전화 걸지 마라. 금융 기관에서 알려준 번호로만 연락하라.

-거래하는 금융 기관의 사생활 관련 정책을 읽어보고 고객의 개인 정보를 어떻게 다루는지 확인해라. 은행에서는 절대 요구하지 않겠다고 했던 정보들을 요구하고 있다면 피싱일 확률이 매우 높다.


보트(Bots)나 좀비 컴퓨터가 되는 것을 피하는 방법
보트 프로그램이나 좀비 컴퓨터도 위험하기는 마찬가지다. 스패머들은 인터넷에서 보안이 제대로 안 된 컴퓨터를 찾는다. 그러다 적당한 표적이 나타나면, 그 컴퓨터를 장악해 익명으로 스팸을 보내거나 로봇 네트워크, 또는 ‘봇넷(botnet)’을 생성한다. 봇넷의 또 다른 이름은 ‘좀비 군대’이다. ‘납치’당한 수백, 수천 대의 컴퓨터는 스패머에 의해 수백 만 통의 메시지를 보내게 된다.

특히 보안 소프트웨어의 보호를 받지 않는 컴퓨터는 쉬운 타깃이 된다. 이 경우 스패머들은 손쉽게 컴퓨터에 맬웨어를 설치해둔다. 때로는 그저 감염된 사이트에 들어가는 것 만으로도 맬웨어를 다운로드 받게 된다. 다운된 맬웨어는 자동으로 설치돼 컴퓨터를 보트(bot)로 바꾼다. 이메일도 주의해야 한다. 수상쩍은 첨부 파일에는 악성 코드가 포함돼 있을 수 있다.

악성 코드는 이미지에도 담겨있다. 이런 종류의 감염의 예시로는 스카이프 바이러스(Skype virus)가 있는데, 요즘 빠르게 번지고 있다. 스카이프에 접속하면 팝업 창이 뜨면서 “프로필 사진 바꿨어? 링크 클릭해봐”라는 메시지가 뜬다. (지난 몇 달간 페이스북 채팅방과 트위터를 통해서도 비슷한 방식의 수법이 유행했다.)

이 때 무슨 일이 있어도 링크를 클릭해선 안 된다. 당신에게 그런 메시지가 왔다는 건 당신 지인의 계정이 해킹 당했다는 뜻이다. 만일 클릭하게 되면, 프로필 이미지가 바뀌었다는 팝업 창이 뜰 것이다. 또한 ‘랜섬웨어’로 알려진 바이러스도 다운로드 될 것이다. 무엇보다 컴퓨터 사용을 못 하게 한 채 200 달러의 ‘몸값’을 요구하고, 컴퓨터를 ‘보트’로 바꾼 뒤 당신의 패스워드까지 훔쳐간다. 심지어 키로깅을 시도할 수도 있다.

수표 초과지불 사기 수법을 주의하라
이 사기 방식은 특히 온라인에서 물건을 사고파는 사람들을 대상으로 한다. 사기꾼은 주로 해외에 거주한다고 스스로를 소개하고 구매자인 척 다가가 현금 수표나 머니 오더(money order), 개인 수표, 기업 수표(corporate check) 등으로 지불을 하겠다고 나선다.

또 구매하려는 아이템을 배송하는 데 얼마나 많은 돈이 들어가는지에 대해서도 빼놓지 않고 얘기할 것이고, 세관을 통과하는 데 추가 비용이 들어갈 수도 있다는 식으로 얘기해 애초에 합의한 가격보다 훨씬 더 많은 금액을 주겠다고 제시해 올 것이다.

더 많을 돈을 주겠다는데, 문제될 것 없어 보인다. 그렇지 않은가? 사기꾼은 빨리 필요한 물건이라 최대한 빨리 보내달라고도 얘기할 것이다. 이것이 바로 위험 신호이다. 당신이 받은 수표나 머니 오더는 부도 처리될 확률이 매우 높다. 수표를 확인하기 전에 물건을 먼저 보낸다면 물건을 공짜로 줘버린 것이나 다름 없다. 은행 수수료와 배송료를 떠안는 것은 물론이다.

이와 비슷한 종류의 사기 수법으로, 물건이 배송된 후 당신에게 가격 차이에 해당하는 돈을 전보로 보내달라고 하는 경우도 있다. 마찬가지다. 만일 수표를 확인하기 전 물건을 보내게 되면, 그 수표는 아마도 부도처리 될 것이고 피해자는 판매 물품을 잃게 될 뿐 아니라 은행 수수료, 배송료, 차액까지 전부 부담하게 된다.

온라인에서 물품을 판매하는데 누군가가 위와 같은 방식으로 접근해 온다면, 거래를 당장 끝내야 한다. 특히 돈을 회전해달라는 요구를 한다면 더더욱 그렇다.

온라인 절도로부터 디지털 자산을 보호하라
온라인 소매업자라면 디지털 자산이 안전한 지 몇 가지 절차를 통해 확인할 필요가 있다.

DL 가드(DL Guard)를 이용하면 당신의 다운로드 프로그램을 훔칠 목적을 가지고 접근하는 이들로부터 스스로를 보호할 수 있다. DL가드는 다운로드 링크 공유를 못하게 막는다. 특히, 다운로드에 시간 제한을 두거나 당신의 제품을 다운로드 할 수 있는 횟수에 제한을 둘 수 있어 소프트웨어 저작권 침해를 통제할 수 있다. DL가드는 또 누군가가 부당한 방식으로 구입을 할 경우 도메인을 차단할 수 있도록 해 준다.

유일한 단점이라면 DL가드는 다운로드 된 후의 콘텐츠 절도까지 예방해 주지는 못한다는 것이다.

상습적으로 제품이나 서비스를 구매한 뒤 일정 기간 후에 이를 반품하는 이들이 있다. DL가드와 클릭뱅크(ClickBank)라는 프로그램을 사용하면 이 문제를 해결할 수 있다.

디지털 문서를 보호하는 한 가지 방법으로는 어도비 아크로뱃(Adobe Acrobat)을 통한 패스워드 보호가 있다. 이 방법을 통해 문서가 어떻게 사용될 지 원하는 대로 제한할 수 있다. 그렇지만 패스워드 보호라고 해서 만능은 아니며, 깨질 수도 있다는 점에 주의해야 한다.

불행하게도, 출판된 책에 대해서는 아무런 보호 방법이 없다. 심지어 어떤 작가의 책을 불법으로 스캔해 PDF 파일로 저장한 후 작가에게 아무런 통보나 허락 요청도 없이 이를 판매한 사례도 있었다. 이 사건은 작가 본인이 마케팅 패키지(marketing package)를 받고 자신의 작품을 절도한 이가 있었음을 알게 되면서 세상에 알려졌다. 이 경우, 부당한 거래에 대한 정지 명령을 내릴 수 있지만 이미 퍼져버린 PDF 파일은 어쩔 수가 없었다.

여기서 알 수 있듯, 온라인 비즈니스를 위협할 수 있는 보안 문제들이 너무나 많다. 무엇을 조심하고 어떻게 대비해야 할 지 알고 있는 것 만이 최선의 방어책이다. 언제나 의구심을 버리지 말고 주의 해야 함은 물론이다. 온라인에서는 오로지 조심, 또 조심하는 것이 살 길이다.

*Nathan Segal은 프리랜서 기고가다. ciokr@idg.co.kr