해커들은 우리의 개인 정보를 얻기 위해 수단과 방법을 가리지 않습니다. 일단 해킹에 성공해서 개인정보를 탈취하면, 직접 온라인으로 판매하거나 때로는 신분 도용, 협박, 랜섬웨어 공격 등 다른 목적으로 사용합니다. 이런 불법 해킹은 점점 극성을 부리고 있으며, 우리는 스스로 디지털 발자국을 보호하기 위한 조치를 취해야 합니다.
해커들은 데이터베이스 해킹을 통한 데이터 유출, 크리덴셜 스터핑,
피싱, 소셜 엔지니어링, 키로깅, 스푸핑 등 다양한 수법으로 개인 데이터를 탈취합니다. 데이터 유출(data breaches)은 해커들이 개인정보를 저장하고 있는 회사나 기관의 데이터베이스에 침입하여 이름, 이메일, 비밀번호, 신용카드 번호와 같은 정보를 빼내는 것을 말합니다. 해커들은 이렇게 빼낸 정보를 다른 범죄자에게 유출 또는 판매하거나 우리 계정에 접근하는 데 사용하게 됩니다.
크리덴셜 스터핑(credential stuffing)은 다른 곳에서 유출된 로그인 정보를 다른 계정에 무작위 대입해 타인의 개인정보를 빼내는 수법을 말합니다. 즉, 기존에 다른 곳에서 유출된 아이디와 패스워드를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 타인의 개인정보 등을 유출시키는 것입니다. 이는 이용자들이 아이디와 비밀번호를 다르게 설정하는 복잡함을 피해 대다수 서비스에서 동일한 아이디와 비밀번호를 쓴다는 사실을 악용한 것입니다.
피싱(phishing) 공격은 가장 흔한 사이버 범죄로 금융기관 등의 웹사이트나 거기서 보내온 메일로 위장하여 개인의 인증번호나 신용카드번호, 계좌정보 등을 빼내 이를 불법적으로 이용하는 사기 수법입니다. 사기성 이메일, 문자 메시지, 전화, 또는 웹사이트 등을 만들어 사용자를 속여 악성 소프트웨어를 다운로드하게 하거나 민감한 정보나개인정보를 공유하도록 만드는 것입니다.
소셜 엔지니어링(social engineering)은 인간의 취약한 심리, 감정, 신뢰, 권위 등을 이용해 피해자로부터 개인정보를 빼내거나 시스템에 침입하는 모든 종류의 공격 기술을 통합해 부르는 말입니다. 이를 위해 필요하다면 적절한 기술적 공격이나 악성코드를 조합해 사용하기도 합니다. 소셜엔지니어링은 사이버 보안 분야에서 가장 기만적이고 위험한 공격으로 손꼽힙니다. 피싱도 소셜엔지니어링의 한 예입니다.
키로깅(keylogging)은 '키스트로크 로깅(keystroke logging)'의 합성어로, 말 그대로 사용자의 키보드 입력을 추적·기록한다 뜻입니다. 사용자의 컴퓨터에 악성 소프트웨어를 설치해 사용자가 키보드로 입력하는 키 값을 몰래 가로채는 수법으로, 키보드로 입력하는 모든 내용을 훔칩니다.
스푸핑(spoofing)은 해커가 은행이나 신용카드 회사, 또는 신뢰할 만한 정부 기관처럼 보이는 가짜 웹사이트나 앱을 만드는 수법으로, 이러한 웹사이트나 앱에서 카드 정보나 다른 개인 정보를 입력하도록 속여서 개인정보를 탈취합니다.
개인과 기업이 이러한 사이버 범죄를 당하면 신분 도용, 신용카드 사기, 랜섬웨어 공격, 데이터 유출 등 큰 금전적 손실을 입게 됩니다. 그러므로 사이버 범죄 유형을 알고 사전에 예방하는 것이 개인이 취할수 있는 가장 기본적이고 중요한 보안조치라고 하겠습니다.
그렇다면 해커가 우리의 기기를 해킹할 때 어떤 데이터를 주로 훔쳐 갈까요? 해커가 우리의 개인 데이터를 탈취하는 방법 중 가장 흔한 것이 온라인 경험을 더 쉽고 빠르게 해주는 기능을 악용하는 것입니다. 여기에는 자동완성 양식, 쿠키, 디지털 지문, 스크린샷 등이 있습니다. 우리가 웹 브라우저에서 텍스트 입력란에 정보를 입력할 때면 한 글자만 쳐도 이전에 입력한 데이터가 쭈욱 나타나는 경우가 있는데, 나머지 데이터를 타이핑하지 않고도 마우스로 선택해서 한 번에 입력할 수 있습니다. 이 기능이 바로 자동완성 기능입니다. 이러한 기능이 가능하다는 것은 컴퓨터 어딘가에 그 정보가 저장돼 있다는 뜻입니다. 해커들은 바로 이렇게 저장돼 있는 데이터를 노리고 악성 소프트웨어를 퍼트립니다.
웹 브라우저와 서버 간에 정보를 주고받는 작은 텍스트 파일인 쿠키(Cookies) 역시 주요 탈취 대상 가운데 하나입니다. 이 파일은 사용자의 컴퓨터에 저장되며, 웹사이트를 다시 방문할 때 서버가 이전에 저장한 정보를 다시 불러올 수 있게 해줍니다. 쿠키는 사용자 편의를 높이기 위해 여러 가지 용도로 사용되며, 일반적으로 웹사이트의 사용성을 향상시키기 위해 사용됩니다. 해커가 쿠키에 접근할 수 있다면 악성 소프트웨어는 우리가 주로 사용하는 플랫폼들과 거기서 무엇을 하지는지를 알게 됩니다.
이제는 우리의 거의 모든 온라인 활동이 추적된다는 것을 알아야 합니다. 디지털 지문(digital fingerprint)은 사용자에 대해 수집된 데이터를 말합니다. 이는 보안과 추적, 사용자 인증 등 다양한 분야에 서 활용되며, 인터넷 브라우징, 소프트웨어 사용, 하드웨어의 특성 등을 통해 생성될 수 있습니다. 해커가 이 디지털 지문을 탈취하면 사용자의 행동을 상세하게 추적할 수 있게 됩니다.
이외에도 해커는 우리의 기기에 악성 소프트웨어를 심어서 기기 화
면을 스크린샷으로 캡처할 수도 있습니다. 스크린샷을 통해 비밀번호
및 로그인 정보, 금융정보, 개인 문서와 메시지 등을 빼내는 것입니다.
사이버 범죄의 표적이 되지 않기 위해서는 다음과 같은 여러 가지
보안 방법과 습관이 필요합니다.
●안티바이러스 및 방화벽: 안티바이러스 프로그램과 방화벽을 항상 커두고, 정기적으로 업데이트해야 합니다.
●소프트웨어 업데이트: 운영 체제, 브라우저, 플러그인 등 모든 소프트웨어의 업데이트를 지속적으로 확인하고 설치해야 합니다.
●비밀번호 관리: 강력한 비밀번호를 사용하고, 다양한 서비스에 같은 비밀번호를 사용하지 않도록 주의해야 합니다. 가능하면 비밀번호 관리자를 사용하는 것이 좋습니다.
●2단계 인증: 가능한 경우 2단계 인증을 설정하여 계정을 추가적으로 보호할 필요가 있습니다.
●안전하지 않은 링크 클릭 금지: 의심스러운 이메일이나 메시지에서 보낸 링크는 클릭하지 않도록 주의해야 합니다.
●피싱 이메일 조심: 은행이나 다른 중요한 기관에서 온 것처럼 보이는 이메일에는 개인 정보를 입력하지 않도록 주의해야 합니다.
●보안된 환경에서만 개인 정보 공유: 웹 사이트 주소가 'https://'로 시작하는 곳에서만 개인 정보나 금융 정보를 입력합니다. (http 다음에 'S'가 있음에 유의)
●안전한 결제 방법 사용: 신용 카드나 보안이 강화된 온라인 결제 서비스를 사용해야 합니다.
●알려진 웹사이트에서만 쇼핑: 알려지지 않은 혹은 의심스러운 웹사이트에서는 구매를 하지 않도록 합니다.
●SNS 설정: 소셜 미디어 계정의 프라이버시 설정을 철저히 검토하여 불
필요하게 개인정보가 노출되지 않도록 합니다.
●VPN 사용: 공공 와이파이를 사용할 때는 VPN을 통해 안전하게 인터넷을 사용하는 것이 좋습니다.
●데이터 백업: 중요한 개인 데이터는 외부 저장 매체나 클라우드에 정기
적으로 백업하는 습관을 길러야 합니다.
●디지털 지문에 주의: 브라우저의 인코그니토 모드를 사용하거나, 광고
추적을 차단하는 등의 추가적인 조치를 취합니다.
●보안 인식 교육: 사이버 보안에 대한 지식을 꾸준히 업데이트해야 합니다.