사람들은 보안에 그닥 관심이 없다. UAC 설정도 최저 옵션으로, 모든 보안 기능은 꺼두고 내가 요구한 대로 작동만 하면 된다는 사고방식은 '어차피 난 뭘 해도 안 되니 그냥 아무것도 안 하는 게 고민을 안 한다는 면에서 제일 가성비 좋다.'라는 마인드와 차이가 없다.

어차피 제로데이 취약점을 설계하고 이용할 정도의 뛰어난 해커와 싸우면 진다. 하지만 상황이 그렇다 하더라도 그를 위해 모든 문을 개방하고 내가 가진 모든 자원을 퍼줄 이유는 없다.

본 게시물에서는 위의 관점에서 일반인이 할 수 있는 대처법 위주로 보안 향상에 관한 팁을 망라한다. 아주 기나긴 잡설을 섞어서...

1. 서론

안티바이러스만 돌려 악의적인 공격자의 공격을 방어하는 시대는 이미 오래전에 끝났다. 언제? 연도로 특정하자면 2017년 말부터 2018년 초 사이, Microsoft의 Windows Defender 성능이 최상위권에 안착한 시점부터다.

추가 비용 지불 없이 윈도우즈에 내장된 자체 안티바이러스만으로도 Kaspersky, Bitdefender 같은 최상위 벤더들의 탐지 성능과 맞먹게 되며 이 시점부터 기존 유료 안티바이러스를 구매하던 사람들조차 구매를 꺼리거나 회사 등에서 키를 무료로 받지 않는 한 개인이 유료 안티바이러스를 사는 경우가 확연히 줄어들었다. 애당초 개인용 안티바이러스 시장은 돈이 잘 안 벌리는 분야였으나... (경쟁 심화로 인해 1년 이용권에 3만 원 안팎, 고객 서비스 센터를 운영하는 인건비가 더 들어감, 오죽하면 탑 티어 업체들이 6개월 이용권을 무료로 뿌릴 정도 - 이건 지금도 마찬가지. 아무 안티바이러스나 구글에 giveaway를 쳐보면 무료로 키를 뿌리는 게 어제 오늘 얘기가 아님을 알 수 있을 것이다.) 이때를 기점으로 더더욱 돈을 벌 수는 없게 되었다.

업체들은 각자도생하거나 인수합병 등을 거치고 개중 최악의 업체들은 돈이 없어 고객 개인정보를 거래하다 언론에 들키기도 하였으며, 안티바이러스 본연의 임무와는 상관없는 VPN, 암호화 소프트웨어를 끼워넣어 Ultimatum security pack이니 뭐니 장사를 시작했다.

원래 개인용 안티바이러스는 그전까지 2가지 기본 레벨로 분류된 티어표를 가지고 있었는데,

1) Antivirus (기본적인 기만 제공)

2) Internet Security (1의 요소에 벤더별 자체 방화벽이나 트래픽 감시 기능 등 추가)

이 기점을 이후로 다음과 같은 요소들이 추가된다.

3) Total Security (1, 2의 요소에 모바일 보호, VPN 정도 추가)

4) Ultimate/Premium Security (개인정보 유출 여부 확인 솔루션, 24시간 전문가 컨택 서비스 등등 추가)

당연하게도 3, 4와 2의 차이는 없으며 3, 4를 쓴다고 반드시 더 보안적으로 나아지지도 않는다. 그러니 돈이 있든 없든 2에서 멈추는 게 가장 현명하다.

2. Windows Defender의 성능

윈도우즈 디펜더 (현재는 마이크로소프트 디펜더로 개칭)의 성능이 최상위급인 건 이미 언급했고, 세부적인 동작 방식에선 차이가 있는데, 카스퍼스키나 맥아피 같은 유명한 사설 보안 업체들의 경우 초기 접근부터 감지해서 악성 소프트웨어 혹은 공격자의 공격 시도를 제거하지만, 윈도우즈 디펜더는 실행 시 감지해서 차단한다.

얼핏 들어서는 덜 안전한 거 아니냐 할 수 있지만 안전하다. 삼류 업체들은 돈을 받고 팔면서도 실행이 되든 안 되든 끝까지 감지 못하는 경우도 많으니, 이 정도면 정말 잘하는 거라고 할 수 있다. 실행되면 예외없이 처단하는 정책이고, 디펜더의 최근 성능으로 미루어보건대 초기 접근 시 디펜더가 감지를 안하는 것이지 못하는 게 아니라고 생각된다.

요지는 디펜더 성능이 매우 훌륭하다는 건데 초기 접근부터 막고자 한다면 맥아피, 비트디펜더 등을 고려할 필요가 있다. (카스퍼스키는 러시아 정보국과의 유착 관계에 대한 혐의가 있어서, 이 혐의가 여전히 확정적이진 않지만 쓰지 않는 걸 추천.)

사람들은 관심이 없어 잘 모르는 것 같지만 윈도우즈를 쓰면, 코어 격리 내 메모리 무결성 옵션, 그리고 랜섬웨어 프로텍션 (제어된 폴더 접근 보호)만으로도 대부분의 랜섬웨어에서 자유롭다.

랜섬웨어만을 위한 추가적인 솔루션을 구매할 필요가 없을 뿐만 아니라 잘 알려지지 않은 종류의 위협에서도 안전하다는 뜻이다.

특히 윈도우즈 10 1909 이상 버전에서는 윈도우즈 자체적인 체급이 상당히 많이 올랐기에 이전 버전의 윈도우즈와 결을 달리 한다. (광범위한 기업 시장, 병원, 백화점, 공공기관, 다수의 불특정 개인 등을 대상으로 한 랜섬웨어 공격은 1909 미만 버전을 대상으로 했음.) 따라서 보안 관점을 생각한다면 반드시 최신 운영체제를 설치할 필요가 있다. 이런 뻔한 얘기는 너무 많이 들어봤을 거고, 그보다 조금 더 중요한 부분은 최신 버전의 소프트웨어를 공격하는 것은 공격자 입장에서 난이도에 비해 비용이 너무 크고, 그 공격으로 인해 벌 수 있는 돈도 실질적으로 적기 때문에 구형 소프트웨어를 주로 노리는 것이다.

왜인지 모르겠다면 비유를 들어보겠다. 시장을 세 파이로 아주 간단하게 나눠보자.

A 그룹: 최신 소프트웨어에 민감하며 보통 최신 버전 배포 후 12시간 이내에 설치하거나 최신 버전 배포 이전에 (베타 버전 등) 설치하는 조기착수 성향의 사람들을 모아둔 그룹.

B 그룹: 최신 소프트웨어를 선호하지만 일부러 찾아서 설치하지는 않으며 소프트웨어 업데이트가 실행되면 실행되도록 내버려두는 일반적인 사용자 그룹.

C 그룹: 최신 소프트웨어를 전혀 선호하지 않고, 되도록 일부러 찾아서 늦추거나 업데이트가 되지 않도록 방지하며, 최신 소프트웨어가 설치되는 것에 반대하는 그룹.

각각이 상징하는 바는 다음과 같다: A 그룹=얼리어답터 개인, B 그룹=표준적인 사용자들, C 그룹=기업, 공공기관, 군대, 특수 목적 장비 운용자.

공격자의 입장에서 A 그룹과 B 그룹은 별로 선호되는 대상이 아니다. 해커 입장에서도 취약점을 찾아내 공격하는 것은 엄연히 품이 가는 일인데 패치를 꼬박꼬박 해버리는데다, A 그룹의 경우 쓸데없이 거추장스러운 보안 옵션 혹은 추적 시스템까지 켜 있는 탓에 골치 아프기 때문.

C 그룹은 자체적으로 운용하는 소프트웨어나 기업 내부 관리 목적 등의 사유로 최신 소프트웨어를 쓰면 금전적인 손실로 이어질 수 있다.

새 소프트웨어에는 새로운 보안 기술이나 탐지 기술이 필연적으로 들어가는데 이런 기술이 기존 시스템과 호환되지 않을 수 있다. 기업 입장에서는 이 '되지 않을 수 있다'는 점에 민감하여 반드시 소프트웨어 업데이트 전 테스트를 거쳐야 하고, 이 테스트에는 비용과 시간이 많이 들어간다.

결론적으로 기업은 어쩔 수 없이 C 그룹에 발이 묶여 있다. 그럴 수밖에 없다. 반대로 말하면 A, B 그룹적인 성향을 가진 기업의 경우 기업 보안 인력이 그 업데이트 속도를 따라가고도 남을 정도로 인력이 많거나, 소프트웨어에 별 관심이 없는 기업일 확률이 크다.

이런 이유로 시장에는 A, B의 (주로 개인) 선발대를 제외하고도 C라는 매우 큰 파이가 남아 있게 된다. 공격자는 이 취약군을 물고 늘어지려 하고, 아주 잘 물고 늘어진다. 몇 년 전 뉴스 헤드라인을 크게 장식했던 워너크라이 사태 또한 이 C군을 집중적으로 타겟팅한 결과였다. 감염된 PC 대부분은 윈도우즈 10 미만 OS, 그리고 윈도우즈 10을 사용하는 경우 레드스톤 5 미만 구형 운영체제를 사용했다. (그보다 상위 운영체제를 사용하는 경우 피해가 없거나 운영체제 취약점에 의한 것이 아니었음.)

즉 자신이 개인임에도 C 그룹적 성향이 강하다면 A, B 그룹으로 옮겨갈 필요가 있다는 뜻인데, 현실적으로 왜 그래야 하냐면, 사람들이 보안 패치를 너무 자주 한다고 불평하는 크로미엄 브라우저 혹은 윈도우즈 자체 취약점으로 개인이 피해를 입을 확률은 거의 없다. 당신이 중견 정치인이라거나 유명 언론사 직원 등 노려질 만한 특별한 개인이라면 문제가 되겠지만, 그런 게 아니라면 걱정할 필요는 없다는 뜻이다. 항상 문제가 되는 부분은 어도비 플래시, IE, SMB v1 같은 옛날 기술이면서 호환성 때문에 여전히 사용되는 녀석들 (특히 Embedded 시스템이나 개인의 경우도 은근히 IE, SMB v1를 여전히 많이 사용하며, 개인의 경우 패치는 되어 있더라도 찾아서 비활성화해놓은 경우가 드물다. 잠재적 취약점인 셈.)인데 사람들은 이 기술이 어디에 얼마나 퍼져 있는지 잘 알지 못한다.

극히 단순한 시스템에조차 컴퓨터가 들어가 있는데, 엘레베이터, 냉장고, 자동차는 물론이고 에어팟 프로에도 구형 아이폰과 필적하는 성능의 SoC가 들어 있다. SoC와 소프트웨어가 있는 대상이라면 무조건 취약점이 있고 그 취약점은 공격자에 의해 악용될 수 있고, 특히 공개된 취약점이라면 반드시 수정이 이루어져야 한다.

하지만 개발자나 기업의 현실적인 여력이 그 모든 취약점을 적시에 대응하기 어렵게 만들고 그 결과 공격당한 개인 혹은 집단의 유형적인 피해가 발생한다.

3. 개인의 선제적 대응

일반적인 개인이 PC에서 취할 수 있는 선제적인 대응법은 다음과 같다.

대원칙: EDR (XDR)과 오프라인 백업 매체의 사용 - 아래에 기술된 1)에서 5)까지의 방법은, 방법론적으로 이 대원칙보다 열등한 것이다.

애당초 EDR은 개인을 대상으로 하는 것이 아니고 최소 기업 단위의 보안 솔루션이다. 또한 시스템 내 모든 트래픽과 보안 상태, 저장소 내의 데이터를 클라우드에 전송한다는 점에서 그냥 집에서 야동이나 보는데 거추장스럽다고 생각한다면, 그리고 공격자가 자신의 시스템을 노릴 정도로 한가하다고는 생각하지 않는다면 EDR은 필요가 없다.

하지만 EDR은 필요하다. 안티바이러스는 알려진 위협만 잡기에 알려지지 않은 취약점 (제로데이 공격)에 대해 방어할 수 없다. EDR도 알려지지 않은 취약점을 무조건 잡는다고 보장하지 않는다. 대신 공격의 흔적을 기록하고 분석해서 사후에 활용하고, 공격자가 어떤 공격 방식을 취했는지 알아내도록 한다. 이 분석 기법을 기반으로 현재 시스템에 그 공격자가 여전히 자신의 도구를 실행시키고 있는지 탐지하는 종합적인 시스템이 EDR이다. 조금 더 극단적으로 표현하면 안티바이러스를 버리고 EDR을 써야 한다. (정확히는 안티바이러스와 EDR을 양립해서 사용해야 한다.)

안티바이러스 아무리 써도 해킹된다고 말하는 사람들 혹은 그러한 공격에 의한 경험이 있는 사람들은 이미 어느 정도는 EDR의 필요성을 인식하고 있는 것이다.

백업은 어느 날 시스템 전체가 날아가더라도 복원할 수 있을 정도로 완전하게 하는 것을 목표로 한다. 기본적으로는 시스템에 부착된 로컬 드라이브에 의한 이중 백업, 시스템으로부터 물리적으로 차단된 외부 드라이브에 의한 삼중 백업을 권장한다.

1) UAC의 사용

UAC는 비유를 들자면 현관문에 설치된 도어락이다. 흔히 말하는 사람 성가시게 하는 팝업이다. 반드시 최대 옵션으로 켜두고 사용할 것을 권장한다. 그 이유는 이미 관리자 권한이 악성 소프트웨어에 의해 넘어간 경우조차 이 UAC의 존재로 인해 구제할 수 있기 때문이다. 지극히 고도화된 경우에는 어려울 수 있지만.

사용법은 간단하다. 팝업이 뜨면 퍼블리셔를 확인한 뒤 예나 아니오를 누름으로써 다음으로 진행한다. 예, 아니오 어떤 것을 누르든 이것이 확실한 응답이라는 것을 인식할 필요가 있다. 뒤에서 보충한다.

대부분의 악성 소프트웨어는 관리자 권한을 획득하여 활개친다. UAC는 이 위협을 적절히 제어한다. 다만 퍼블리셔 (UAC 화면 내에서 확인되는, UAC 팝업을 뜨도록 만든 주체)를 제대로 확인하지 않으면 올바르게 이용한다고 볼 수 없다. 14시에 친구가 오기로 했다고 해서 그가 초인종을 눌렀을 때 얼굴을 확인하지 않고 집으로 들여보내준다는 가정은 있을 수 없다. 퍼블리셔를 확인하지 않고, 단지 내가 방금 실행한 요청이라 해서 무조건 예를 누르는 행위가 딱 이 행위와 같다.

요즘 들어 발생하는 취약점 악용 사례들 대부분도 UAC를 적절하게 사용하는 것으로 피해 감소가 가능했다. 얼마나 중요한지 조금 더 강조해서 설명하자면, 안티바이러스 프로그램을 설치해서 운영하는 것보다 UAC가 상황에 따라 더 효과적일 수 있다. 다만 악성 소프트웨어는 UAC 팝업에서 예를 누르는 경우 권한을 부여받고 (공격자의 의도대로) 행동하지만 아니오를 누른다고 해서 반드시 모든 위협을 막는다고 볼 수는 없다.

특히 이미 관리자 권한이 넘어간 경우 '아니오'를 누르는 것은 악성 소프트웨어로 하여금 '다르게 행동하도록' 할 가능성이 높다. 즉 '예'를 누를 경우 1의 수단으로 암호화, '아니오'를 누를 경우 2의 수단으로 암호화하는 식으로 작동한다는 것이다.

그래서 이런 경우 예, 아니오 중 어떤 것도 누르지 말고 컴퓨터를 강제종료하는 것이 상황을 타개할 수 있는 유일한 방법이다. 이것은 안드로이드나 iOS, 맥의 경우에도 동일하게 적용된다. 외부 프로파일이 설치된 경우, 설치하고 싶지 않은 소프트웨어가 설치된다며 팝업이 떴는데 아니오 버튼이 없는 경우, 99.9%의 유저는 멍청하게 예 버튼을 누른다. 이 글을 읽는 당신조차 십중팔구 그럴 것이다.

하지만 이 행위는 매우 위험천만하다. UAC는 당신의 응답을 기다리는 상태이다. 즉 최소한 내가 확실하게 응답하기 전까지 가만히 대기하고 있다는 것이다. 따라서 확실하지 않거나 원하지 않는 경우 이 요청에 예나 아니오로 응하지 말고 반드시 전원을 강제종료한 후 오프라인 상태에서 위협을 탐지한 뒤 프로세스를 처음부터 재실행해야 한다.

2) 적절한 탐지 소프트웨어와 기술의 사용

제어된 폴더 액세스 기능과 코어 격리는 매우 효과적인 도구이지만 대부분의 이용자가 잘 사용하지 않는다. 그저 켜두기만 하면 되는데 개인적으로는 왜 켜지도 않는지 알 수 없다.

제어된 폴더 액세스 기능은 윈도우즈의 기본 폴더에 일종의 샌드박스 성격을 부여한다. 대부분의 실행 파일은 이 기본 폴더에서 동작이 제한된다. 하지만 푸는 것도 간단하고 기존 소프트웨어와 양립해서 쓸 수 있기에 어떤 소프트웨어를 쓰든 이 옵션을 항상 켜둘 것을 권장한다.

이 제어된 폴더 액세스 기능의 동작 방식이 조잡하다고 생각한다면 맥아피나 비트디펜더 같은 써드파티 안티바이러스를 쓰는 것이 도움이 될 수 있다. (사설 프로그램의 경우 별도 기술을 사용하기에 조금 더 사용성에서 편리한 측면이 있음.)

3) PC에 연결되는 모든 종류의 Wired/Wireless 연결에 대한 대책

NAS, 공유기, 모뎀, IoT 디바이스 등 어떤 종류의 장치든 연결되어 있다면 그것에는 반드시 관리 권한과 취약점에 대한 설정이 있다. 정기적으로 소프트웨어를 업데이트하고 보안 기술을 적용해야 한다.

Wi-Fi 환경에서는 반드시 WPA2-PSK 혹은 WPA3에 AES를 사용해야 하며 TKIP, WEP는 사용하지 않아야 한다. MAC, DHCP, Broadcasting 등의 기술은 보안상의 제어 효과가 없으므로 사용하지 않는 것을 권한다.

4) DNS 기술에 대한 정확한 이해

공유기에서 DNS를 자체적으로 설정 가능한 경우 가급적 NextDNS, Quad9, Cloudflare와 같은 신뢰할 수 있는 외부 DNS 업체로 설정해주는 것이 필요하다. 통신사 기본 설정으로 하는 것은 금물. 설정이 어렵지 않고 공유기 제조사마다 적용 방법이 천차만별이므로 생략한다.

공유기에서 적용했더라도 요즘에는 PC와 각각의 소프트웨어 개별적으로 DNS를 제어한다. PC의 경우 윈도우즈나 브라우저 설정에서 DNS를 따로 설정하지 않으면 기본적으로 의미가 없는 경우가 발생한다.

트래픽 흐름도

트래픽 (DNS: ????) → 공유기 (DNS: Quad9) → PC (DNS: KT) → 트래픽 (DNS: KT)

즉 공유기에서 아무리 DNS를 Quad9으로 잡았어도 PC에서 KT로 DNS가 잡혀 있기에 공유기 DNS 설정은 무용지물이다.

반대로 공유기에서 어떻게 잡았더라도 PC에서만 잡으면 PC에서 설정한 방향으로 트래픽이 잡히기에 공유기에서 DNS 설정이 의미가 없다고 볼 수도 있다. 사실 반은 맞고 반은 틀리다. 공유기에서 자체적으로 인터넷을 쓸 일이 없어 보이지만 공유기 업데이트 같은 특수한 상황에서는 통신한다. 따라서 어느 경우에도 DNS를 통신사가 아닌 외부 업체에서 끌어오도록 설정하는 것은 필요하다.

위에서는 PC를 적었지만 iOS, 안드로이드 등 모든 엔드포인트 말단 단말기에서 DNS 설정은 선택이 아닌 필수이다.

내 개인정보를 통신사가 볼 수 있는데 그 범위를 제어하는 게 어떻게 선택이라고 생각할 수 있는지 그 이유를 이해하지 못하겠지만, 어쨌든 사람들이 하나 착각하는 게 어차피 DNS를 적절한 써드파티 업체로 옮겨도 통신사는 개인이 어떤 시간대에 어떤 대역에서 어떤 웹사이트를 방문했는지 알 수 있다. 전체 트래픽에 막혀 제약이 심할 뿐이지 할 수는 있다.

인터넷을 이용하는 과정을 큼지막한 사전에서 단어를 찾는 과정에 비유하면 내가 찾고 싶은 단어가 있으면 사전을 꺼내 그 단어를 찾아본다.

여기에서 사전이 DNS에 해당한다. 어차피 내가 뭘 찾는지, 어떤 사이트에 언제 접속했는지 통신사는 알 수 있다. 다만 거기까지고 내가 그 사이트 내에서 뭘 했는지는 알 수 없다. 다만 어떤 경우에도 내가 통신사에서 제공하는 사전을 쓸 이유는 없다는 거다. 통신사 DNS를 쓰지 말아야 할 가장 결정적인 이유 하나를 꼽자면 느리다는 것이다.

5) 소프트웨어의 작동 반경에 대한 이해

다소의 지식이 필요하다. 내가 운영체제를 사용하는 레이어를 메인 레이어라고 치면 이 메인 레이어에서 내가 어떤 작업을 하든 타 레이어에 영향을 줄 수 없다.

이 원리를 이용해 민감한 데이터는 전부 타 레이어에 몰아놓고 나머지 주요 작업을 메인 레이어에서 하면 설령 문제가 생겨도 타 레이어의 데이터는 안전하다.

작업용 노트북을 따로 이용하는 사람은 어느 정도 이런 원리를 이해하고 있는 것이며, 삼성 단말의 Knox, 윈도우즈의 제어된 폴더 액세스 등은 모두 이름만 다를 뿐 어느 정도 이 아이디어의 모조품이다.

정말 보안을 중요하게 생각한다면 윈도우즈에서 기본 계정을 Users 권한으로 하향시켜 두고, 관리자 계정을 별도의 패스워드로 생성한 뒤 평소에는 Users 계정으로만 사용하는 것이 큰 도움이 된다.

공격자가 설령 Users 계정의 권한을 탈취했더라도, 이 계정은 관리자 계정이 아니기에 관리자 권한을 애당초 부여받을 수 없다. 따라서 데이터 유출을 우회하거나 피해를 최소화할 수 있다.

그 외에는 뭐, 브라우징 세션 간에 핑거프린팅을 방지하기 위해 적절한 타이밍에 한두 번쯤 브라우저를 완전히 껐다 켜라든지, uBlock Origin 같은 오픈소스 광고 차단기를 가급적 사용하라든지 하는 내용이 있다. 랜섬웨어가 광고를 통해서도 퍼지기에 결론적으로 광고 차단기의 성능이 그만큼 중요해진 것은 사실이지만 길게 쓰지 않는 이유는 결국 위에서 언급한 대원칙과 랜섬웨어 대책 선에서 대응이 되기 때문.