*이 글은 외부 필자인 조슈아님의 기고입니다. 지난 6월, 흥미로운 보고서 한 편이 눈에 들어왔습니다. 비영리 정보보호단체 '쉐도우서버 재단'에서 발간한 '인터넷에 노출된 프린터 장비'입니다. 이 보고서는 2020년 6월 5일 기준, IPv4 전체를 조사했는데요. 인터넷에 직접 연결된 프린터가 가장 많은 나라는 놀랍게도 한국입니다. IPP프린터 3만6300대가 인터넷에 직접 연결된 것으로 나타났습니다. 2위인 미국이 7900대, 한국의 1/4 수준입니다. 인터넷에 노출된 취약 프린터 중 절반에 가까운 45%가 한국에 있다고 나타났습니다. 가장 많이 노출된 프린터 모델은 삼성 C48x 시리즈입니다. 두 번째도 삼성의 M2070이군요. 인터넷에 노출돼 있고 식별 가능한 프린터 상당수가 삼성과 HP 제품입니다.

*이 글은 외부 필자인 조슈아님의 기고입니다. 회사 네트워크 보안, 어떻게 해야 할까요? 언뜻 생각하기엔 매우 쉽습니다. 외부 공격자들은 차단하고, 직원들의 외부접속은 허용하면 됩니다. 실제로 많은 기업이 이 방식을 선택했습니다. 외부유입은 차단하고 외부접속은 허용하는 형태죠. 그런데 코로나19가 터지고, 회사 직원들의 재택근무가 시작했습니다. 이를 어쩌면 좋죠? 회사 네트워크 보안 때문에 집에서 일하는, 즉 외부에 있는 직원들이 회사 네트워크에 접속하기 힘들어졌습니다. 직원들은 네트워크에 접근하기 위해서 가상사설망(VPN)을 이용합니다. VPN이 유용할 때도 있습니다. 일부 유형의 공격으로부터 사용자들의 접속을 보호하거든요. 그러나 회사 입장에서는 VPN을 제대로 설정하고 사용하기 조금 어려울 수 있습니다.

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 여러분이 한 대학의 IT팀장이라고 가정해 봅시다. 코로나 같은 판데믹이 발생했습니다. 총장이 현재 대학 인프라로 100% 온라인 강의가 가능한지 물어봅니다. 아마도 “예"라고 대답하겠죠. 그리고 속으로 생각합니다. “적어도 IT팀에 한 명쯤은 총장의 주문을 구현할 수 있지 않을까?” 팀원 중 누구도 정규 IT 트레이닝을 받은 적이 없지만, 그건 팀장인 여러분도 마찬가지니 아마도 괜찮을 거라고 생각합니다. 여러분은 팀원들에게 앞으로 2주 내에 100% 온라인 강의가 가능하도록 준비해야 한다고 알려줍니다. 팀원들 역시 팀장에게 “아니오"라고 하기 어려우니 “예"라고 대답합니다. 하지만 누구도 시스템이 제대로 작동하리라 생각하지 않습니다. 시스템이 다운될 경우, 책임을 회피할 방법만 고민하고 있죠. 가장 손쉬운 방법은 책임 떠넘기기입니다. 이런 경우엔 시스템을 개발한 외주업체 탓을 하면 됩니다.

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 인터넷 업체들이 사용자 추적 목적으로 트래커를 사용한다는 건 이미 잘 알려져 있습니다. (참조 - 사용하지 않을 때에도, 페이스북은 우리를 지켜보고 있습니다) 하지만 업체들의 트래커만 사용자 프라이버시를 위협할까요? 우리의 프라이버시와 보안에 큰 영향을 미치는 존재가 또 있습니다. 바로 웹사이트입니다. 웹사이트 소유자가 가장 신경 쓰는 데이터는 자신이 보유하고 저장한 데이터입니다. 가장 가치 있기 때문에 보안에도 신경쓰죠. 관련 규제도 웹사이트가 이미 수집한 정보에 초점을 맞추고 있습니다. 유럽연합(EU)의 ‘일반 데이터 보호규정(GDPR)’ 역시 대체로 이미 저장된 개인 데이터에 대한 접근권과 권리를 규제하고 있죠. 그런데 이미 저장된 데이터만 집중하면 온라인 보안에서 아주 중요한 통신 보안을 놓치게 됩니다. 여러분이 방문하는 웹사이트 대부분은 통산보안 설정을 거의 하지 않았습니다. 이유야 여러 가지겠지만, 아마도 가장 큰 이유는 웹사이트 입장에서 여러분의 데이터는 ‘수집된 이후’에만 가치 있기 때문일 겁니다. 데이터를 수집하기 전에는 사용자가 요구하지 않는 한 사용자 통신을 암호화 같은 보안조치를 취할 인센티브가 적습니다.

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 개인정보가 유출됐는지 확인해본 적 있으시죠? 해킹이나 랜섬웨어 피해 경험은 없으신가요? 대규모 정보유출 사건이나 사용자를 온라인으로 추적한다는 보도가 매일 쏟아져 나옵니다. (참조 - 대한민국의 정보 보안 사고 목록) 새로운 사건이 발생할 때마다 내 데이터를 보호하기에는 너무 늦었나 싶기도 하죠. “내 개인정보는 이미 공공재이니 어쩌겠어...” 하지만 프라이버시와 보안에 ‘너무 늦었을 때’란 없습니다. 컴퓨터 천재가 될 필요도 없습니다. 다음 10가지 방법만 실천해도 충분히 자신을 보호할 수 있습니다. 1. 소프트웨어를 최신 버전으로 업데이트하기 가장 큰 효과를 볼 수 있지만, 안타깝게도 많은 분이 놓치고 있는 방법입니다. 컴퓨터와 휴대폰 소프트웨어를 최신 버전으로 업데이트하는 겁니다.

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 글로벌 IT 대기업들이 사용자 정보를 추적한다는 건 이제 놀라운 소식도 아닙니다. 여러분의 관심사, 다른 유저와의 관계, 클릭한 상품이나 콘텐츠 등을 시시각각 수집하고 분류하죠. 페이스북이나 구글 트래커를 사용하는 음란물 웹사이트가 늘어나고 있다는 연구 결과도 나올 정도입니다. 하지만 어떤 정보를 얼마나 추적하는지는 잘 알려지지 않았죠. 그동안 페이스북은 사용자 개인정보 무단수집과 유출로 여러 차례 물의를 일으켰습니다. ‘케임브리지 애널리티카 스캔들’로 CEO 마크 저커버그가 미국 상원 청문회에 출석하기까지 했는데요. (참조 - 페이스북은 어쩌다 민주주의 위협으로 전락했나) (참조 - 페이스북이 지금 가루가 되도록 까이는 이유) (참조 - “4개월이 어떻게 지났는지…” 페이스북 F8 키노트) 청문회 이후, 페이스북은 데이터 투명성 강화 조치를 여러 차례 내놨습니다. 최근 추가한 ‘페이스북 외부활동’도 그중 하나입니다. 페이스북이 다른 기업을 통해 사용자들의 온-오프라인 활동을 얼마나 추적하는지 보여주는 기능이죠.

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 마천루 사이를 매끄럽게 날아다니는 자동차 행렬! SF 팬이라면 한 번쯤 그려본 미래 도시 모습 중 하나입니다. (참조 - 하늘을 나는 차 ‘에어 모빌리티’를 알아보자) ‘플라잉카(Flying car)’의 매력을 꼽아볼까요? 지면 도로를 벗어난다는 건 도로 한가운데 움푹 팬 곳도 없고, 교통체증을 겪지 않아도 됩니다. 천천히 운전해서 추월당한 경험이 있다고요? 걱정하지 않아도 됩니다. 천천히 가고 싶으면 천천히 가고, 빨리 가고 싶으면 빨리 갈 수 있으니까요. 이 모든 게 도로 같은 인프라를 추가로 구축할 필요 없이 가능해집니다. 지금까지 ‘운송수단의 혁신’이라 하면 대체연료 모색, 효율성 증대, 자동화 같은 것을 떠올렸습니다. 이러한 혁신은 ‘자동차’와 ‘도로’라는 전제조건을 벗어나지 못했죠. 근본적인 운송 개념을 바꾸겠노라, 야심 차게 도전하는 업체가 있으니 바로 미국의 우버입니다. 우버 엘리베이트는 도심과 교외를 날아다닐 ‘플라잉 택시' 개발 프로젝트입니다.

*이 글은 외부 필자인 조슈아 제임스님의 기고입니다. 최근 뉴욕타임스는 UAE 정부가 ‘투톡’이라는 인터넷 영상통화(VoIP)앱을 쓰는 유저들의 모든 대화와 영상을 감시한다고 보도했습니다. 주장의 근거는 미국 국가안보국(NSA) 출신 해커 패트릭 와들의 분석 결과입니다. 투톡을 뜯어본 와들은 이런 결론을 내렸습니다. “투톡은 공개적으로 나와있는 기능만을 수행할 뿐, 그 외에 하는 건 없습니다.” “사실 이 점이 이 대규모 감시작전에서 가장 뛰어난 부분이기도 합니다.” “취약점, 백도어, 악성코드 같은 것을 사용하지 않고, 말 그대로 ‘적법한' 기능만을 이용해 국민 대부분을 깊이 있게 감시할 수 있다는 것이니까요.” (패트릭 와들) 쉽게 말해, 한 국가의 정보기관에서 유저 스스로 앱을 설치하도록 유도하고 그 앱을 통해 사람들을 감시한 겁니다. 적어도 현재까지 나온 정황상 투톡이 UAE 정부의 감시 도구라는 의혹이 있다는 거죠. (참조 - 뉴욕타임스 "중동산 채팅 앱 '투톡' 스파이 앱 의혹") 투톡만이 아닙니다. 미국 국방성은 최근 잘나가는 중국산 동영상 SNS ‘틱톡’이 “사이버 위협"이라며 미군 전체에 사용 금지령을 내렸습니다.