[기고] 보안전문가의 솔선수범 보안 대책

차민석 안철수연구소 책임연구원

매달 둘째주 수요일 윈도우 정기 업데이트가 발표되는 날이면, 필자는 회사용 컴퓨터 3대와 가상환경의 윈도우 업데이트에 오전시간을 모두 할애한다. 이렇게 보안 업데이트에 신경 쓰는 이유는 업데이트를 적용하지 않으면 악성코드의 공격 받을 가능성이 높기 때문이다.

여기까지는 일반적인 사용자들도 하는 일이다. 하지만 필자는 보다 안전한 컴퓨터 환경을 위해 ‘가상화’, ‘습관’, ‘고민’이라는 세 가지 방법을 추가한다.

재작년부터 컴퓨터 안에 ‘가상화’ 프로그램을 이용해 또 다른 컴퓨터 환경을 구축해 뒀다. 이 가상환경을 ‘업무’, ‘인터넷 서핑’, ‘인터넷 뱅킹’, ‘웹하드’, ‘악성코드 분석' 등으로 나눴다.(실제 이 글도 가상환경에서 작성 중이다.)

공격자 입장에선 가상 환경을 장악한 후에 주요 정보가 있는 실제 컴퓨터를 또 장악해야 하므로 공격이 까다로워지는 셈이다. 단 이를 위해선 여러 대의 가상환경을 돌릴 만큼 시스템이 성능이 뒷받침돼야 한다.

‘업무’ 환경은 회사 메일 확인과 문서 작업이 가능하게 해뒀고, 주요 악성코드 감염 경로인 PDF 뷰어, 플래쉬 플레이어 등은 '인터넷 서핑' 환경에만 설치했다.

또 주요 자료는 실제 시스템에 보관해 혹시 가상환경 시스템이 악성코드에 감염돼도 접근할 수 없도록 해 정보 유출 가능성을 최소화했다.

가상환경 구축만큼 중요한 건 사용 ‘습관’이 아닐까 싶다. 가상화를 구축해도 정작 하나의 가상환경에서 회사 업무도 보면서 인터넷 서핑도 하고 문서 작업도 한다면 악성코드 감염 가능성이 그만큼 높아진다.

따라서 가상환경을 용도별로 잘 분류해서 해당 용도에만 사용하는 습관이 가상환경 구축만큼 중요하다.

처음에는 다소 불편하지만 회사 메일 확인 등을 하는 업무 가상환경에서는 특별한 경우가 아니면, 인터넷 서핑을 하지 않고 외부에서 받은(회사 직원이 보낸 메일이라도) 문서를 열어보지 않는 습관을 들여야 한다.

하지만 공격자들도 사용자 시스템을 장악하기 위해 여러 가지 방안을 마련하고 있다. 때문에 최신 공격 방식을 파악하고 좀 더 효과적인 대응 방안을 계속 ‘고민’해야할 필요가 있다.

시스템 보안뿐 아니라 암호도 마찬가지이다. 언론에서 어려운 암호를 사용해야 한다고 계속 보도되고 있지만, 아무리 어려운 암호도 동일하게 사용한다면 해킹된 다른 사이트를 통해 수집한 아이디와 암호를 대입하는 방식으로 쉽게 뚫릴 수 있다.

이렇게 보안에 신경을 쓴다고 해도 공격자가 공격할 수 있는 허점은 존재한다. 어떤 가상환경을 사용하는지 알 수 있다면 가상환경 프로그램 자체의 취약점을 이용해 실제 시스템으로 접근할 수도 있다. 암호 역시 대부분은 일정한 규칙으로 만들기 때문에 1-2개의 암호만 알아 낸다면 다른 암호도 비교적 쉽게 추정할 수 있다. 이에 암호 알고리즘을 더 어렵게 만든다면 정작 본인이 기억하지 못하는 상황이 발생한다.

가상공간 아니면 인터넷을 사용하지 않으려는 필자가 '보안염려증'에 걸린 것으로 비쳐질 수 있다. 그러나 나 하나로 인해서 회사 보안이 뚫리는 경우를 가정해본다면, 지금의 시대에 '보안불감증'보다는 이런 ‘보안염려증’이 필요하다고 확신한다.

<차민석 안철수연구소 책임연구원>

후원하기 기사제보