Google에서 데이터를

안전하게 보호하는 방법

해킹, 피싱에서 멀웨어에 이르기까지 사이버 범죄자는 사용자 계정을 도용하기 위해 다양한 방법을 사용합니다. Google의 슈테판 미클리츠와 타덱 피에트라스젝은 범죄자의 위협을 차단합니다.

피에트라스젝 씨와 팀원들은 사용자 계정을 안전하게 보호하는 업무를 하시잖아요. 어떻게 해커가 액세스하지 못하도록 막는 건가요?

타덱 피에트라스젝 사용자 계정 보안 수석 소프트웨어 엔지니어: 먼저 초기 공격을 감지하는 것이 중요합니다. 이를 위해 의심스러운 활동을 식별하고자 100가지가 넘는 변수를 사용합니다. 해외에 자주 나가지 않고 독일에 거주하는 사용자의 계정으로 누군가 다른 국가에서 액세스를 시도했다고 가정해 봅시다. 그럼 즉시 경보가 울리게 됩니다.

슈테판 미클리츠 Google 개인정보 보호 및 보안팀 엔지니어링 디렉터: 그래서 가끔 Google에 등록한 전화번호 또는 계정 소유자만 알고 있는 다른 정보를 확인하도록 요청하는 것입니다.

타덱 피에트라스젝(왼쪽)은 피싱이 가장 큰 온라인 보안 위협 중 하나라고 말합니다.

피싱 공격은 얼마나 자주 발생하나요?

피에트라스젝: 매일 수십만 건의 사이버 공격이 시도됩니다. 가장 큰 문제는 해킹된 웹사이트에서 유출된 수많은 사용자 이름과 비밀번호 목록이 인터넷에 존재한다는 점입니다. 많은 사용자가 여러 계정에서 동일한 비밀번호를 사용하므로 이러한 목록 중에는 Google 계정 로그인 데이터도 포함되어 있게 됩니다.

그러한 목록이 가장 심각한 보안 위협인가요?

피에트라스젝: 매우 그렇습니다. 노출된 목록과 전통적인 피싱 공격이 가장 위험합니다. 거의 모든 사람들이 범죄자가 계정 비밀번호를 탈취하기 위해 보낸 이메일을 받습니다. 물론 Google에서는 이러한 위협을 방지하기 위해 노력합니다. 사용자의 받은편지함으로 수신되려는 이메일이 의심스러워 보이면 Google에서는 사용자가 더 주의해서 살펴보도록 경고를 표시하거나 자동으로 필터링합니다. Chrome 브라우저에서는 사용자가 피싱 웹사이트로 알려진 사이트에 방문하려고 하면 경고를 표시합니다.

미클리츠: 기본적으로 피싱에는 2가지 유형이 있습니다. 하나는 범죄자가 로그인 데이터를 최대한 많이 수집하기 위해 사용하는 대량 메일이고, 다른 하나는 특정 사용자의 계정을 타겟팅하는 '스피어 피싱'입니다. 스피어 피싱은 수개월이 걸리는 상당히 정교한 작업으로 준비 기간 동안 범죄자는 피해자의 일상생활을 세밀하게 관찰하여 표적 공격을 실시합니다.

"사용자의 Gmail 받은편지함으로 수신되려는 이메일이 의심스러워 보이면 Google에서 경고를 표시할 수 있습니다."

타덱 피에트라스젝

사용자를 사이버공격의 위협에서 보호하기 위해 Google에서 어떤 지원을 하나요?

피에트라스젝: 한 가지 예로 2단계 인증 시스템이 있습니다. 많은 사용자가 온라인 은행 계좌를 사용하므로 이런 종류의 시스템에는 익숙할 겁니다. 예를 들어 송금하려고 하면 비밀번호와 문자로 전송받은 코드를 모두 입력해야 하는 것이죠. Google은 이미 2009년에 다른 주요 이메일 제공업체보다 일찍 2단계 인증을 도입했습니다. 더불어 휴대전화 번호를 등록한 Google 사용자는 의심스러운 로그인 시도가 있을 때 자동으로 비슷한 수준의 보호 조치를 받습니다.

미클리츠: 2단계 인증은 좋은 방법이기는 하나 공격자가 문자 메시지 코드마저 가로챌 수도 있습니다. 예를 들어 범죄자가 사용자의 이동통신사에 연락하여 보조 SIM 카드를 받아내려고 시도할 수 있습니다. 따라서 블루투스 송신기, USB와 같은 실물 보안 토큰을 이용한 인증이 훨씬 더 안전합니다.

피에트라스젝: Google은 고급 보호 프로그램의 일환으로 이러한 리소스를 사용하고 있습니다.

고급 보호 프로그램이 무엇인가요?

피에트라스젝: 고급 보호 프로그램은 2017년 Google에서 언론인, CEO, 반체제 인사, 정치인 등 더욱 심각한 해킹 위협에 놓인 분들을 위해 도입한 프로그램입니다.

미클리츠: 실물 보안 키와 더불어 키를 분실한 경우 사용자 본인이 맞는지 반드시 확인하는 추가 단계를 도입하여 서드 파티 앱에서 데이터에 액세스하는 것을 제한합니다.

슈테판 미클리츠
Sicherheitsschlüssel

엔지니어링 부문 이사 슈테판 미클리츠는 Google에서 전 세계 개인정보 보호 및 보안을 책임지고 있습니다. 뮌헨 공과대학교에서 컴퓨터 공학을 공부했으며 2007년 말부터 Google 뮌헨 지사에서 근무하고 있습니다.

주요 사이버 공격 사례 및 그러한 공격에 어떻게 대응했는지 말씀해 주실 수 있나요?

피에트라스젝: 2017년 초에 한 공격 사건이 있었습니다. 해커들이 피해자의 Google 계정에 액세스하기 위해 악성 프로그램을 만들어 사용자의 연락처로 가짜 이메일을 전송한 것이죠. 이러한 이메일에서 피해자는 가짜 Google 문서에 액세스 권한을 부여할 것을 요청받았습니다. 자신도 모르게 멀웨어에 액세스 권한을 부여한 피해자는 자신의 주소록에 있는 연락처로 동일한 가짜 이메일을 자동으로 전송했습니다. 그렇게 바이러스가 급속도로 퍼져나갔습니다. Google은 이러한 상황에 대비한 비상 대책이 있습니다.

미클리츠: 이 경우 Gmail 내에서 이러한 메일이 배포되는 것을 차단하고 프로그램에 부여된 액세스 권한을 취소한 후 계정을 보호했습니다. 그뿐만 아니라 앞으로 비슷한 공격이 성공하지 못하도록 시스템 차원의 보호 장치도 추가했습니다. Google 계정이 끊임없이 공격받긴 하지만, Google의 자동화된 시스템은 이에 맞서 가장 효과적인 보호 기능을 제공합니다. 이는 물론 보조 이메일 주소 또는 전화번호 등 Google 계정 이외의 수단을 통해 사용자에게 연락을 취할 수 있는지에 달려있습니다.

"사실 몇 가지 기본적인 규칙만 따르면 됩니다."

슈테판 미클리츠

일반 사용자에게 보안이 얼마나 중요한가요?

피에트라스젝: 많은 사람들이 보안의 중요성은 인지하지만, 필수 보안 주의사항을 지키는 것은 지루한 작업이 될 수 있습니다. 따라서 여러 계정에 같은 비밀번호를 사용하는 경우를 어렵지 않게 발견할 수 있는데, 이는 결코 해서는 안 되는 실수입니다. 저희의 일은 사용자에게 최소한의 노력으로 계정을 보호하는 방법을 알려드리는 것입니다. 그렇기에 Google 계정에서는 보안 진단 기능을 제공하여 사용자가 간편하게 설정을 확인할 수 있도록 합니다.

미클리츠: 사실 몇 가지 기본적인 규칙만 따르면 됩니다.

어떤 규칙이 있나요?

미클리츠: 여러 서비스에 같은 비밀번호를 사용하지 않고 보안 업데이트를 설치해야 하며 의심스러운 소프트웨어는 피해야 합니다. 전화번호나 보조 이메일 주소를 등록하여 다른 연락 수단을 마련하세요. 또한 인증되지 않는 사람이 액세스하지 못하도록 휴대전화의 화면 잠금 기능을 사용 설정해야 합니다. 이러한 규칙만으로도 순조롭게 시작할 수 있습니다.

사진: 코니 미르바흐

사이버 보안 강화

Google이 그 누구보다 많은 온라인 사용자를 안전하게 보호하는 방법을 알아보세요.

자세히 알아보기