Google에서 사용자의 데이터를 안전하게 보호하는 방법

피에트라셰크님과 팀원들은 사용자 계정을 안전하게 보호하는 업무를 하시잖아요. 해커가 계정에 침입하지 못하게 하려면 어떻게 해야 할까요?

타덱 피에트라셰크(사용자 계정 보안을 담당하는 수석 소프트웨어 엔지니어): 무엇보다 초기 공격을 탐지하는 것이 중요합니다. 저희는 의심스러운 활동을 식별하기 위해 100가지가 넘는 변수를 사용하고 있습니다. 독일에 거주하며 해외에 자주 나가지 않는 사용자의 계정으로 누군가 다른 국가에서 액세스를 시도했다고 가정해 보죠. 그럼 경보가 울리게 됩니다.

슈테판 미클리츠(Google 개인 정보 보호 및 보안팀 엔지니어링 디렉터): 그래서 가끔 Google에 등록한 전화번호 또는 계정 소유자만 알고 있는 다른 정보를 확인해 달라고 요청드리는 겁니다.

타덱 피에트라셰크(왼쪽)에게 피싱은 가장 큰 온라인 보안 위협 중 하나입니다.

이러한 공격은 얼마나 자주 발생하나요?

피에트라셰크: 매일 수십만 건의 사이버 공격이 발생합니다. 가장 큰 문제는 해킹된 웹사이트에서 유출된 사용자 이름과 비밀번호 목록이 인터넷에 엄청나게 많다는 점입니다. 여러 계정에서 같은 비밀번호를 쓰는 사용자가 많다 보니 이런 목록 중에는 Google 계정 로그인 데이터도 포함되어 있습니다.

이런 목록이 가장 큰 보안 위협인가요?

피에트라셰크: 네, 그렇습니다. 그리고 고전적인 피싱 공격도 마찬가지입니다. 계정 비밀번호를 빼내려는 범죄자들의 이메일을 받아보지 않은 사람은 거의 없을 겁니다. 물론 Google에서는 이러한 위협을 방지하기 위해 노력하고 있습니다. Gmail 받은편지함으로 오는 이메일이 의심스러워 보인다고 판단되면, Google에서는 사용자가 더 주의해서 살펴보도록 경고를 표시하거나 자동으로 필터링해서 차단할 수 있습니다. Chrome 브라우저에서는 사용자가 피싱 사이트로 알려진 사이트에 접속하려 하면 경고를 표시합니다.

슈테판: 피싱은 크게 두 종류로 나뉩니다. 하나는 범죄자가 로그인 데이터를 최대한 많이 수집하기 위해 사용하는 대량 메일이고, 다른 하나는 특정 사용자의 계정을 겨냥한 '스피어 피싱'입니다. 스피어 피싱은 몇 달에 걸쳐 진행되는 상당히 정교한 작업으로 준비 기간 동안 범죄자는 피해자의 일상생활을 세밀하게 관찰하고 표적 공격을 실시합니다.

"Gmail 받은편지함으로 오는 이메일이 의심스러워 보인다고 판단되면 Google에서는 경고를 표시할 수 있습니다."

타덱 피에트라셰크

Google은 사용자가 이러한 공격을 방지할 수 있도록 어떤 도움을 주고 있나요?

피에트라셰크: 한 가지 예로 Google의 2단계 인증 시스템을 들 수 있습니다. 많은 분들이 온라인 은행 계좌를 사용해 보셔서 이런 종류의 시스템에는 익숙하실 겁니다. 예를 들어 송금할 때 비밀번호와 함께 문자로 전송받은 인증 번호를 입력해야 하는 것처럼 말이죠. Google은 2009년에 이미 다른 주요 이메일 제공업체보다 일찍 2단계 인증을 도입했습니다. 또한 휴대전화 번호를 등록한 Google 사용자는 의심스러운 로그인 시도가 있을 때 자동으로 비슷한 수준의 보호 조치를 받습니다.

슈테판: 2단계 인증도 좋은 방법이지만 공격자가 문자 인증 번호도 가로챌 수도 있습니다. 예를 들어 범죄자가 사용자의 이동통신사에 연락하여 보조 SIM 카드를 받아내려고 시도할 수 있습니다. 블루투스 송신기, USB와 같은 실물 보안 토큰을 이용한 인증이 훨씬 더 안전합니다.

피에트라셰크: Google은 이런 실물 보안 토큰을 고급 보호 프로그램에서 활용하고 있습니다.

고급 보호 프로그램이란 무엇인가요?

피에트라셰크: 고급 보호 프로그램은 2017년 Google에서 언론인, CEO, 반체제 인사, 정치인 등 해킹 위험이 높은 분들을 위해 도입한 프로그램입니다.

미클리츠: 실물 보안 키 외에도, 키를 분실했을 때 사용자 본인이 맞는지 반드시 확인하는 추가 단계를 도입하여 서드 파티 앱에서 데이터에 액세스하는 것을 제한하고 있습니다.

엔지니어링 부문 이사 슈테판 미클리츠는 Google의 글로벌 개인 정보 보호 및 보안 업무를 총괄하고 있습니다. 뮌헨 공과대학교에서 컴퓨터 공학을 전공했으며 2007년 말부터 Google 뮌헨 지사에서 근무하고 있습니다.

대규모 사이버 공격 사례와 해당 공격에 어떻게 대응했는지 말씀해 주실 수 있나요?

피에트라셰크: 2017년 초에 발생했던 공격 사례가 있습니다. 해커들이 피해자의 Google 계정에 액세스하기 위해 악성 프로그램을 만들어서 사용자의 연락처에 있는 사람들에게 가짜 이메일을 보냈습니다. 이 이메일에서 수신자는 가짜 Google 문서에 대한 액세스 권한을 부여해달라는 요청을 받았습니다. 이를 수락한 수신자들은 자신도 모르게 멀웨어에 액세스 권한을 부여하고, 연락처에 있는 사람들에게 똑같은 가짜 이메일을 자동으로 보내게 됐습니다. 그렇게 바이러스가 급속도로 퍼져나갔습니다. Google은 이러한 상황에 대비한 대응 계획을 갖고 있습니다.

미클리츠: 이 경우 Gmail 내에서 이러한 메일이 배포되는 것을 차단하고 프로그램에 부여된 액세스 권한을 취소한 다음 계정을 보호했습니다. 그뿐만 아니라 앞으로 비슷한 공격이 성공하지 못하도록 체계적인 보호 장치도 추가했습니다. Google 계정이 끊임없이 공격받긴 하지만, Google의 자동화된 시스템은 이에 맞서 가장 효과적인 보호 기능을 제공합니다. 이는 물론 보조 이메일 주소 또는 전화번호 등 Google 계정 이외의 수단을 통해 사용자에게 연락을 취할 수 있는지에 달려있습니다.

"사실 몇 가지 기본 수칙만 지켜도 충분합니다."

슈테판 미클리츠

일반 사용자에게 보안이 얼마나 중요할까요?

피에트라셰크: 많은 분들이 보안이 중요하다는 걸 알고 계시지만 필수적인 보안 주의사항을 지키는 게 번거로울 수 있습니다. 그래서 여러 계정에 같은 비밀번호를 사용하는 경우가 많은데, 이게 가장 하면 안 되는 대표적인 실수입니다. 저희의 일은 사용자에게 최소한의 노력으로 계정을 보호하는 방법을 알려드리는 것입니다. 그래서 Google 계정에서는 보안 진단 기능을 제공하여 사용자가 간편하게 설정을 확인할 수 있도록 합니다.

미클리츠: 사실 몇 가지 기본 수칙만 지켜도 충분합니다.

그 수칙이 뭔가요?

미클리츠: 여러 서비스에 같은 비밀번호를 사용하지 않고, 보안 업데이트를 설치하고, 의심스러운 소프트웨어를 사용하지 않는 것입니다. 다른 수단으로 연락을 받을 수 있도록 전화번호나 보조 이메일 주소를 등록해 두세요. 그리고 인증되지 않은 사람이 액세스 권한을 얻지 못하도록 휴대전화의 화면 잠금 기능을 사용 설정해야 합니다. 이 몇 가지 조치만 실천해도 기본은 갖춘 셈입니다.

.

사진: 코니 미르바흐