보다 안전한 온라인 생활을 위한 제안 1: 구글 계정 보안 향상

안녕하세요. 

 

요즘 우리의 많은 일상 속 일들은 휴대폰, 컴퓨터, 이메일, 소셜메디어 등 디지털 온라인 도구들에 의존을 하고 있습니다. 하지만 그에 따라 이를 노리는 범죄들도 늘고 있는데요. 개인의 이메일, 소셜 미디어 계정 탈취 부터 거대한 기업의 서버를 해킹하는 등 정말 많은 사건 사고들이 일어나고 있습니다. 이에 어떻게 하면 우리를 이런 범죄로 부터 조금이라도 보호할 수 있을지에 대해서 써 보려고 합니다. 

 

사실 이글을 쓰기까지 상당히 많이 망설였는데요. 우선 전 보안의 전문가가 아니기도 하고 또 이런 유사한 대화에서 제가 어떤 제안을 했을때 건설적인 토론이나 대안을 제시하기 보다는 어차피 그래도 이러이러한 방법으로 털려요라는 반대를 위한 반대를 많이 들었었기 때문인데요. 네, 당연히 완벽한 보안은 없습니다. 제가 말씀드리고자 하는 것은 누군가 나의 계정을 털고자 했을때 그 과정을 어렵게해서 포기하고 더 쉬운 상대로 가도록하는 것이 주요한 목적입니다. 어디까지나 관심이 많은 일반인 관점에서 쓰여진 것이므로 비난보단 더 나은 방법이 있다면 댓글로 남겨주시면 많은 분들에게 도움이 되는 기회가 되지 않을까 합니다. 

 

일단 제가 생각하는 가장 중요한 원칙 하나는 (내가 심한 부담을 느끼지 않는 선에서) 최대한 분리한다입니다.  한마디로 Do not put all your eggs in one basket 을 실천하는 것인데요. 우리의 삶은 회사, 가족/친구들과의 관계, 금융, 쇼핑, 동호회 등 많은 일들로 이루어져 있는데 이를 분리하는 것입니다. 각각의 일에 다른 이메일, 다른 휴대폰 번호를 사용하는 등등 하는 것이죠. 한군데에서 문제가 생기더라도 그 여파가 다른 생활에 영향을 미치지 않도록이요. 

 

사실 주변분들과 이야기하다보면 의외로 회사에서 지급한 휴대폰, 랩탑 등을 개인 용도로 쓰신다는 분들도 많이 계시고 하나의 이메일/전화번호를 모든 일에 사용하시는 경우를 많이 봅니다. 얼마전 큰 뉴스였던 패스워드 매니져 Lastpass가 털린것도 개발자 개인 컴퓨터에 깔린 plex의 취약점을 타고 해킹된 것으로 드러나기도 했었죠. 재택도 많아지고 그 어느 때보다도 생활의 분리가 중요한 시기가 되지 않았나 싶습니다.   

 

서론이 너무 길었는데요. 그래서 오늘 제가 제안드리는 딱 하나는 이 분리의 일환으로 가장 쉽게 털리는 쇼핑 관련 계정, 이메일, 전화번호를 내 메인 계정에서 분리하자는 것입니다. 온라인은 물론이고 일반 가게에서도 이메일/전화번호 등을 주면 쿠폰을 준다든지 하는 일이 많은데 이를 내가 메인으로 쓰는 이메일/전화를 주는 것은 어찌 관리될지도 모르는데 바람직하지 않죠. 보통은 다 거부하지만 그래도 혜택이 좋은 경우 등 나름 쓸모가 있을 수 있겠고요. 

 

그래서 이 글에서는 새롭게 구글 계정과 구글 보이스 번호을 만들고 어떻게하면 이를 어택에서 보호할 수 있을지에 대해 자세히 써보고자 합니다. (물론 프라이버시 등 측면에서 보자면 구글 서비스는 최악의 선택이긴 하지만 gmail의 편의성, 훌륭한 서치 결과 등이 저같은 경우 이런 목적으론 최적이라 생각되어 선택하게 되었습니다.)

 

구글 계정 새로 만들기 

앞으로 새롭게 사용하게 될 구글 계정과 이메일을 만들고 이를 Advanced Protection Program (https://landing.google.com/advancedprotection)을 사용함으로써 계정 탈취를 아주 어렵게 만드는 것을 단계별로 소개해 드리고자 합니다. 

 

우선 아래 링크로 가셔서 구글 계정을 생성합니다. 

https://accounts.google.com/signup

이때 비밀번호는 물론 기존에 쓰시던 것과는 다르고 긴 강력한 비밀번호를 사용하셔야 합니다. 비밀번호 메니져 프로그램을 꼭 쓰셔야 하는 이유이기도 하고요. 저는 개인적으로 Bitwarden을 사용하는데 기회가 되면 다른 글에서 한번 다룰 기회가 있으면 합니다. 추가로 비밀번호는 PSWD: Password Generator라는 아래의 앱을 사용합니다만 다양한 플랫폼에서 강력한 비밀번호를 추천을 해 주니 그를 사용하셔도 되겠습니다.

https://apps.apple.com/us/app/pswd-password-generator/id1541482816

 

 

다음은 전화번호를 넣는 화면입니다. 현재 사용하시는 휴대폰 번호를 넣으시면 되는데 저는 이 번호를 나중에 계정 recovery 용으로는 사용하지 않음으로 social engineering (https://en.wikipedia.org/wiki/Social_engineering_(security))에 의한 계정탈취를 막을 생각입니다. 

 

 

 

이제 생일과 성별을 넣습니다. 마찬가지로 휴대폰 번호와 복구용 이메일은 넣지 않았습니다. 

 

 

 

다음은 프라이버시 관련된 내용입니다. 여기에는 웹서치, 광고, 유튜브 관련 히스토리, 액티비티를 기록할 것인가 하는 것인데 필요하지 않은 것이라 저는 전부 no를 선택하였지만 원하시는대로 하시며 되겠습니다. 

 

 

 

이러면 계정 생성이 완료되었습니다. 이 계정으로 gmail도 사용가능하게 되습니다. 이제는 보안 관련한 설정을 하게 될 텐데요. 저는 아주 강력히 Advanced Protection Program 설정을 하실 것을 권장드립니다. 과거 마모 게시판에도 보면 크롬, gmail 등이 탈취되어서 고통 받으시는 분들이 많이 계셨는데요. 개인적으론 사용자 에러가 있었다고 생각하고 이를 최소화하는데 Advanced Protection이 꼭 필요하다고 봅니다. 최근 WSJ에 나와서 화제가 되었던 아이폰 passcode만으로 iCloud 계정 탈취가 가능했었던 것 (https://youtu.be/QUYODQB_2wQ  정말 중대한 문제니 꼭 보세요)이 사실 안드로이드폰에서도 똑같은 방법으로 구글 계정을 탈취할 수가 있어서 문제가 되지만 Advanced Protection을 사용하고 계시다면 보호가 됩니다. 

 

구글 Advanced Protection은 기존의 2-step verification의 확장판이라고 보시면 됩니다. 보통 2FA (2 factor authentication) 방법으로 SMS나 휴대폰 프롬프트 등 여러가지를 사용할 수 있지만 Advanced Protection은 꼭 하드웨어 키를 사용해서 인증을 하도록 합니다. 앞서 말한 방법은 여러분의 휴대폰을 탈취당하거나 sim swap (https://en.wikipedia.org/wiki/SIM_swap_scam) 등의 공격을 당할 시에는 너무 쉽게 뚤리는 방법이기 때문에 추천드리지 않습니다. (아직도 2FA 방법으로 SMS만 제공하는 금융기관들 반성해야 합니다!) 

 

그래서 이를 위해서는 물리적인 하드웨어 시큐리티 키가 최소 2개가 필요한데요. 매우 다양한 키가 있지만 제 추천은 Yubikey 5 series 중 5C NFC 입니다. 요즘 어느 기기나 USB-C가 대중화되어 있고  NFC를 이용해서 아이폰 등 USB-C가 없는 휴대폰에서도 사용 가능하죠. 그리고 이런 하드웨어 시큐리티 키를 지원하지 않고 time based OTP만 지원하는 웹사이트에서도 Yubikey authenticator를 사용해서 이 키가 꼭 있어야지만 6자리 숫자 OTP를 생성할 수 있도록 할 수도 있기 때문에 매우 유용합니다.  

https://www.yubico.com/store/#yubikey-5-series

 

 

 

만약 Yubikey 5 series가 너무 비싸다고 느끼시고 웹사이트들의 2FA 용도 전용이라면 U2F를 지원하는 더 저렴한 여러 키들을 사용할 수가 있겠습니다. 하지만 앞으로 지원될 완전한 passwordless login을 위해서는 FIDO2가 지원되는 키를 추천드립니다. (현재 제가 쓰는 것중엔 Microsoft 밖에 지원을 안 하지만 모든 빅테크회사들이 협력해서 지원하기로 했으니 계속 늘어날 것이라 봅니다) 어떻든 추가 비용이 들어가는 것이라 분명 이 시점에서 상당한 저항감을 느끼실 분들이 많을 것이라 생각합니다만 저는 꼭 필요한 투자라고 생각합니다. 추가로 여러분의 휴대폰을 이 하드웨어 시큐리티 키의 하나로 사용할 수 있다고 나중에 나오게 될텐데 위험 요소의 분산이라는 차원에서 저는 비추드리겠습니다만 필요하시다면 그렇게 사용하실 수도 있겠습니다. FIDO2를 지원하는 하드웨어 키 중에 한국산도 있습니다. 저는 NFC가 없어서 구입을 하지는 않았지만  USB-A 혹은 C로 해결이 다 되신다면 매우 저렴한 좋은 선택이 될 수 있을 것 같습니다.

https://www.trustkeysolutions.com/store

 

그럼 Advanced Protection을 적용시켜 보겠습니다. 

https://landing.google.com/advancedprotection/

그럼 위의 웹사이트를 방문하시고 Get started를 누르세요. 

 

 

 

여러 설명이  나오고 그럼 실제 시큐리티 키를 등록해 보겠습니다. 하나의 키를 잃어 버리는 경우를 고려해서 꼭 두개 이상의 키를 등록하셔야 합니다. 

 

 

 

그러면 passkey나 하드웨어 시큐리티를 등록 하실 수 있습니다. 

 

 

이제 두개의 키 등록이 완료되었습니다.

 

 

그러면 이제 마지막으로 Advanced Protection을 등록하기 위한 안내가 나오는데요. 앞으로 이 등록된 시큐리티 키를 잃어 버릴 경우 추가 단계가 필요하다는 안내와 구글앱이 아닌 다른 앱에서 이 계정을 사용하는데 어려움이 있을 수 있다는 경고가 나옵니다. 이것은 검증되지 않은 이상한 앱이나 서비스에 이 계정을 연결해서 사용하는 것을 막아주기 때문에 저는 추가 보너스라고 생각합니다. 

 

 

 

그럼 이제 모든 곳에서 로그아웃이 되었기때문에 다시 비밀번호와 하드웨어 시큐리티 키를 사용해서 로그인을 하게 됩니다.

 

 

 

그러면 이제 비밀번호를 넣고 다시 좀 전에 등록한 하드웨어 키를 삽입해서 인증을 하게 됩니다. 여기서 만약 현재 사용하고 계신 컴퓨터가 개인용이라면 사용의 편의성을 위해서 앞으로는 이 하드웨어 키를 사용한 인증을 더 이상 요구하지 않을 수도 있습니다. 집에서 사용하시는 기기라면 사용성을 위해서 이정도는 허용할 수 있다고 생각합니다. 하지만 이제부턴 다른 기기에서는 앞서 등록한 하드웨어 키가 없다면 비밀번호를 알더라고 이 계정으로 로그인하는 것은 불가능에 가깝게 됩니다. 그래서 이 하드웨어 키를 사용한 인증 방법이 그 어떤 2FA 방법보다 안전합니다.

 

앞서 저희는 아래 보시는 바와 같이 recovery를 위해서 휴대폰 번호와 이메일을 넣지 않았는데요. 저는 이 상태를 추천드립니다. 사실 가장 뚫리기 쉬운 것이 social engineering을 통한 방법이라 생각하는데 이를 원천적으로 막을 수 있겠습니다. 물론 등록하신 시큐리티 키를 잘 보관하셔야지 만약 두개 다 잃어 버리신다면 계정 복구할 방법이 없어집니다. 하지만 그래도 문제가 별로 없으실 정도로 이미 생활의 분리가 되어 있으시겠죠. 

 

 

 

자 이제 이 새로운 구글 계정이 만들어졌으므로 쇼핑 관련 웹사이트는 이 이메일 주소로 바꾸시면 되겠습니다. 앞으로 이 이메일은 쇼핑 전용으로만 사용하고 (물론 그럴 가능성은 거의 없습니다만) 혹 털리더라도 이 용도 외의 곳으로의 피해는 최소화할 수 있겠습니다. 

 

여기서 좀 더 신경을 쓰신다면 등록하시는 웹사이트마다 다른 이메일 주소를 사용하는 것도 가능합니다. 그 예로 가장 편한 것이 애플 Apple의 Hide My Email 서비스인데요. 비용을 지불하시고 iCloud 서비스를 사용하신다면 기본적으로 따라오는 기능입니다. 그러면 가입하시는 웹사이트마다 랜덤하게 만들어진 고유한 이메일을 만들어서 가입하실 수 있고 이 이메일로 오는 메일은 지금 만드신 쇼핑 전용 메일로 forward하실 수가 있습니다. 저는 개인적으로 잘 사용하고 있고 추천드립니다. 간혹 꼭 등록된 이메일로 support ticket 같은 걸 보내야하는 경우가 있어서 애매할 수도 있지만 이것도 해결법이 있고요. 언제 기회가 되면 한번 글을 써보도록 하겠습니다.

 

자 이제 이메일을 새로 만드셨으니 쇼핑을 위해서 사용할 전화번호를 만들어 보겠습니다. 현재 많은 금융 기관들이나 웹사이트들에서 SMS를 이용한 2FA를 사용하고 있기 때문에 나의 휴대폰 번호를 보호하는 것은 그 어느 때보다도 중요합니다 (https://en.wikipedia.org/wiki/SIM_swap_scam). 그래서 통신사들에 sim swap protection 같은 서비스들이 생기기도 했고요. 물론 각 용도마다 다른 휴대폰 번호를 가지고 있는 것이 좋겠지만 쇼핑 웹사이트들은 voip 번호도 크게 가리지 않기때문에 좀 전에 생성한 계정으로 Google voice 번호를 만들어서 이를 앞으로는 사용해 보도록 하겠습니다. 

 

https://voice.google.com

 

 

 

전화번호는 원하시는 것으로 아무것이나 선택하시면 되겠습니다.

 

 

기본적으로 여기서 선택한 번호로 오는 전화와 문자를 실제 내가 사용한 전화로 forward 해 주는 방식으로 작동하는 것이라 실제 전화번호가 있기는 해야합니다. 하지만 앞으로는 위에서 선택한 번호만으로 문자 등을 받고 보낼 것이기 때문에 나의 실제 번호는 보호가 됩니다.

 

이제 이 구글 계정을 휴대폰 Google voice 앱에 연결을 해 보겠습니다.

https://apps.apple.com/us/app/google-voice/id318698524

 

 

아이디 패스워드 다음에 앞서 등록한 시큐리티 키가 있어야 정상적으로 등록을 할 수가 있고요. Google voice에서는 do not disturb를 활성화 하겠습니다. 이 번호는 쇼핑 용도로 사용하므로 직접 전화를 받나 통화할 일은 거의 없고 문자를 받는 정도로만 사용을 하게 되겠죠. 물론 필요하다면 이 번호로 전화를 거는 것도 가능합니다. 같은 방법으로 gmail 앱에도 이 계정을 추가시키면 됩니다. 

 

 

그러면 모든 이메일과 전화번호 세팅이 끝났고 원래 사용하시던 쇼핑 웹사이트들에서 이메일/전화번호를 방금 새로 생성한 것으로 바꾸면 되겠습니다. 그리고 만약 직접 리테일 스토어에 가시는 경우 이메일/전화번호 주시는 것을 피하셔야겠지만 만약 정말 거부하기 어려운 딜이 있다면 이 이메일/전화번호를 주시면 되겠고요. gmail, google voice 이미 사용하고 계시는 분들도 많으실텐데 위와 같은 방법으로 보안 향상을 꾀하실 수도 있을 것 같네요.

 

물론 패스워드 매니져를 사용해서 비밀번호 재사용 안하기, 이상한 앱/익스텐션 설치하기 안하기, 이상한 링크 누르지 않기, 2FA 무조건 활성화 등 기본적인 것들을 실천하는 것은 기본이겠죠. 그러면 조금이라도 도움이 되었기를 바라며 글을 마치겠습니다.