국내 최대 보안 카페로 유명한 바이러스 제로 시즌 2를 운영하시는 ViOLeT 매니저님이 "바이러스 제로 시즌 2 보안 캠페인 : 보안滿(만)렙의 비밀 (상)"이라는 멋진 4가지 보안 정보를 선정해 주셨습니다.
이에 블로그에서는 선정된 4가지 보안 정보 소개와 부가적인 설명을 통해 더욱 많은 분들이 악성코드 및 스미싱으로부터 안전하게 PC와 모바일을 보호할 수 있는 방법과 개인정보 보호를 위한 올바른 습관에 대해 살펴보도록 하겠습니다.
1. 첫 번째 비밀 : 블로그, 카페, 공개 P2P 등에 등록된 파일을 철저히 경계하고 필요한 프로그램은 반드시 공식 웹사이트에서 내려받기
해당 내용은 사용자의 올바른 습관을 통해 감염될 수 있는 악성 프로그램으로부터 PC를 보호할 수 있는 매우 핵심적인 내용입니다.
특히 국내에서는 조직적으로 대량의 스팸성 블로그를 통해 사용자들이 많이 설치하는 프로그램의 설치 파일을 다운로드하도록 유도하여 다수의 불필요한 프로그램(PUP, PUA)을 자동으로 설치하도록 하는 활동이 활발하게 이루어지고 있습니다.
▷ 제휴 프로그램을 통해 유포되는 온라인 게임 악성코드 유포 주의 (2013.12.2)
이러한 제휴 프로그램들 중에서는 정보 유출 기능이 있는 악성 프로그램을 설치하는 사례로 많이 발견되고 있으므로 블로그, P2P 등을 통해 파일을 다운로드할 때에는 매우 주의하셔야 합니다.
개인적으로 블로그에서 파일을 다운로드할 경우 95%의 확률이 악성 프로그램이 설치될 가능성이 있다고 판단하므로 절대로 다운로드하여 실행하는 일이 없도록 하시기 바랍니다.
2. 두 번째 비밀 : 운영체제, 인터넷 브라우저 및 자바, 플래시 플레이어, 문서 뷰어 등의 프로그램을 반드시 최신 버전으로 유지
사용자가 인터넷 상에서 파일을 직접 다운로드하여 실행하는 과정에서 악성코드에 감염될 수 있는 것과는 다르게 취약점(Exploit)을 이용한 유포 방식은 단순히 웹 사이트 접속 행위만으로도 자동 감염될 수 있습니다.
▷ Internet Explorer 웹 브라우저 취약점(CVE-2013-3897)을 이용한 악성코드 유포 방지 캠페인 (2013.11.7)
대표적으로 최근 Internet Explorer 웹 브라우저의 CVE-2013-3897 취약점을 이용한 악성코드 유포가 활발하게 진행되어 캠페인까지 이루어질 정도로 Exploit 방식의 유포는 사용자 PC에 설치된 소프트웨어를 제대로 관리하지 않는 경우 자신도 모르게 감염에 노출될 수 있습니다.
그러므로 Windows 운영 체제, 웹 브라우저, Adobe Flash Player, Oracle Java, Adobe Reader, 한컴오피스와 같은 각종 유명 소프트웨어는 반드시 업데이트 체크를 통해 최신 버전을 사용하시기 바랍니다.
3. 세 번째 비밀 : 모바일 이용자 또한 모바일 운영체제 및 애플리케이션을 최신 버전으로 유지하고 스미싱/사기 문자 주의
스마트폰이 대중화 됨에 따라 사이버 범죄자들은 특히 안드로이드(Android) 기반의 모바일을 대상으로 스미싱 문자를 발송하여 링크를 클릭할 경우 APK 악성앱을 설치하도록 유도하고 있습니다.
이를 통해 인터넷뱅킹, 소액 결제를 통한 금전적 피해를 유발하고 있으며, 스마트폰에 저장된 개인정보가 외부로 유출되어 제2의 피해를 유발할 수도 있습니다.
▷ <하우리(Hauri) 소식> [보안설정] 안드로이드 스마트폰 보안설정 메뉴얼 (2013.9.16)
위와 같은 안드로이드 스마트폰의 보안 문제를 해결하기 위해서는 기본적으로 단말기의 "알 수 없는 소스, USB 디버깅, 기기 관리자" 보안 설정 등을 통해 악성앱이 설치되지 않도록 할 수 있습니다.
또한 안드로이드 운영 체제 자체의 보안 취약점도 증가함에 따라 항상 최신 버전을 체크하여 업데이트를 하시는 것을 잊지 마시기 바라며, 사용자의 편의에 따라 신뢰할 수 없는 앱을 다운로드하여 설치하는 일이 없도록 모바일 백신을 함께 사용하시기 바랍니다.
4. 네 번째 비밀 : 웹사이트 계정의 비밀번호는 권장 12글자 이상(최소 8글자)으로 설정하되, 영문/숫자/특수문자를 포함할 것
인터넷 웹 사이트를 이용할 목적으로 회원 가입시 사용하는 비밀번호는 각 사이트별로 다르게 설정해야 한다는 기본적인 규칙을 여전히 많은 사용자들이 지키지 못하고 있습니다.
이로 인하여 대형 웹 사이트 한 곳이 해킹되어 계정 정보가 유출될 경우 도미노처럼 다른 웹 사이트 계정 정보도 함께 뚫릴 수 있는 문제가 발생합니다.
그러므로 웹 사이트 비밀번호는 "영문(대소문자) + 숫자 + 특수문자"가 모두 포함된 패턴으로 사이트별로 다르게 등록하여 주기적으로 비밀번호를 교체하는 습관을 통해 만약의 정보 유출시 피해가 최소화되도록 하시기 바랍니다.