상하이방

 
PC에 백신을 설치해 항상 띄워놓고 사용하더라도, 우리가 웹 서핑(Web Surfing)을 하는 한 피싱 사이트 사기나 악성 코드 실행으로 피해를 입지 말라는 법이 없다. 특히 최근 몇 년 사이 웹 서핑을 통한 피해가 급격히 증가하고 있는데, 아래와 같이 피해를 입는 주요 경로 3가지를 알아보고 안전한 웹 서핑 방법을 강구해 보자.

웹 브라우저의 보안 취약점 피해가기
지난번에 OS 윈도우 취약점 문제를 언급한 바 있는데, MS사에서 제공하는 윈도우 익스플로러 같은 웹 브라우저에도 보안 상 문제점이 존재한다. 악성 코드 제작자들은 이러한 웹 브라우저의 보안 취약점을 이용해 사용자들이 방문하는 웹사이트에 악성 코드를 삽입하며, 사용자들은 그 웹사이트에 단지 방문하는 것만으로도 악성 코드가 실행되는 것이다.

백신 회사에서 사용자에게 항상 윈도우 보안 업데이트를 강조하는 이유도 바로 이런 데 있다. 웹 브라우저에 취약점이 존재하더라도 평소 접속에는 문제가 없다 해도, 어느 순간 해당 취약점을 악용하는 공격을 받았을 경우 컴퓨터는 바로 악성코드에 감염된다. 따라서 자주 사용하는 프로그램의 경우 최신 업데이트 버전이 존재하는지 확인하는 습관이 중요하며, 무엇보다 사용하는 운영체제에 대한 보안 패치는 OS 제작사에서 공표가 되는 즉시 패치해 주어야 한다. .

참고로 윈도우 운영체계 제작사인 마이크로소프트사는 매달 두 번째 수~목요일에 보안 업데이트를 발표하므로 가급적 이 시점에 업데이트를 수행해 주는 것이 바람직하다.

액티브엑스(Active-X) 선별해 내려받기
웹 서핑 시 어떤 프로그램을 설치하라는 메시지 창이 자주 뜨는데, 이것은 마이크로소프트사에서 개발한 액티브엑스(ActiveX)라는 프로그램 기능의 일종이다. 액티브엑스는 꼭 필요한 경우에는 설치해야 하지만, 이것의 남발로 인한 사용자 불편 사례도 수없이 많다. 단순한 광고성 프로그램부터 악성 코드에 이르기까지 악용사례는 물론이고, 잦은 설치로 인한 PC 느려짐, 다운 현상, 프로그램 삭제 후에도 완벽히 지워지지 않고 찌꺼기 프로그램이 쌓이는 등 여러 부작용에 직면하게 된다.

사용자는 액티브엑스 설치 메시지 창을 접하면, 사실 어딘가 찜찜하고 귀찮음에도 불구하고, 그렇다고 설치를 안할 수도 없는 심리적 압박감(?)을 느끼는 신세가 된다.

만일 웹 서핑도중 액티브엑스를 실행 권고 창이 뜬다면, 무조건 [설치] 버튼을 누르지 말고 반드시 필요한 프로그램인지 파악한 후 설치할지 말지를 결정하기 바란다. 내가 지금 하려고 하는 작업과 설치하려고 하는 프로그램이 연관성이 있는 경우에만 설치하면 된다.

예를 들어, 메일을 쓰기 위해 접속한 경우인데 액티브엑스를 설치하라는 창이 뜬다면, 어떻게 해야 할까? 메일 편집기나 첨부 파일 업로드 기능을 이용해야 하는데 그와 관련된 것이라면 설치해야 하는 게 맞다. 하지만 이와 관계없는 PC 최적화 프로그램이나 쇼핑몰 도우미 같은 프로그램이라면 설치할 필요가 없다.

만일 인터넷 익스플로러에 나타단 보안 경고창(그림 참고)의 이름만 보고 판단하기 어렵다면, 파란색으로 된 이름 부분을 클릭하면 해당 액티브엑스 제작사의 홈페이지로 연결이 된다. 여기서 해당 액티브엑스가 어떤 프로그램이 확인할 수 있다.

▲ 인터넷 익스플로러(Internet Explorer)의 ActiveX 보안 경고창

아이디와 패스워드 유출 피해가기

인터넷 상에서 나의 정보 인증도구는 아이디(ID)와 패스워드이다. 아이디, 패스워드 유출 문제와 피해 사례는 워낙 많으므로 한정된 지면으로는 일일이 다루기도 벅차다. 결론만 말하면, 예방만이 대책이다.

▶첫째, 불편하더라도 복잡한 패스워드를 만들어 사용한다. 본인에 대한 정보 유추가 불가능한 복잡한 단어와 숫자를 섞는 것은 기본임을 명심하자.

▶검증된 사이트가 아니라면 자신의 패스워드를 절대 기록하지 말아야 한다. 실제 국내외에 유명 메신저에서 자신을 삭제한 친구 리스트를 보여준다는 사이트가 퍼진 적이 있다. 해당 페이지에 접속하면 메신저 아이디와 패스워드를 입력하라고 하는데 여기에 아이디와 패스워드를 입력하면 그 내용이 고스란히 저장된다. 이렇게 유출된 아이디와 패스워드를 이용해 공격자는 메신저에 로그인해 친구로 등록된 사람들에게 동일한 메시지를 보내고 그 메시지를 받은 사람은 또 다시 자신의 메신저 아이디와 패스워드를 입력하는 악순환이 반복되었다.

▶보안이 허술한 사이트가 의외로 많다는 점을 고려해 자신이 가입한 사이트마다 가급적이면 아이디와 패스워드를 달리 하여 사용하기를 권고한다. 어느 한 사이트가 공격 당해서 자신의 아이디, 패스워드가 유출되면 연쇄적으로 피해를 볼 수 있기 때문이다. 만일 모두 다른 아이디와 패스워드를 갖는 것이 번거롭다면 최소한 보안이 잘 되어 있다고 판단되는 사이트와 그렇지 않은 사이트를 구분해 각각 다른 패스워드를 사용하는 것도 좋다.

▷김현숙(안철수연구소 중국법인 총경리)