현재 위치:   » 연재 » 디지털보안가이드 » 디지털보안가이드: 기초편 – 위협 모델링

디지털보안가이드: 기초편 – 위협 모델링

2016년 3월 2일 테러방지법 통과. 이제 바야흐로 털면 털리는 테러방지법 시대. 정부와 여당은 “국민보호”와 “공공안전”을 내세우지만, 야당과 시민사회에선 ‘국민 감시법’으로 부릅니다. 디지털보안가이드가 감시의 공포를 견딜 수 있는 작은 방패가 되길 바랍니다. (편집자)

디지털보안가이드 목차

  1. 디지털보안가이드: 기초편 – 위협 모델링
  2. 디지털보안가이드: 기초편 – 7가지 단계
  3. 디지털보안가이드: 기초편 – 나에게 맞는 보안 수단 선택
  4. 디지털보안가이드: 컴퓨터 보안 – 강력한 비밀번호 생성하기
  5. 디지털보안가이드: 컴퓨터 보안 – 킵패스엑스 사용법
  6. 디지털보안가이드: 컴퓨터 보안 – 어떻게 악성 소프트웨어로부터 보호할 것인가?
  7. 디지털보안가이드: 컴퓨터 보안 – 데이터를 안전하게 보관하기
  8. 디지털보안가이드: 컴퓨터 보안 – 윈도우 기기 암호화, 디스크크립터 사용법
  9. 디지털보안가이드: 컴퓨터 보안 – 데이터의 안전한 보호와 삭제
  10. 디지털보안가이드: 컴퓨터 보안 – 데이터 안전 삭제 프로그램, 블리치비트
  11. 디지털보안가이드: 통신 보안 – 종단간 암호화와 안전한 통신
  12. 디지털보안가이드: 통신 보안 – 암호화란 무엇인가
  13. 디지털보안가이드: 통신 보안 – 공개키 암호화와 PGP 소개
  14. 디지털보안가이드: 통신보안 – 보안 메신저 OTR + 피전(Pidgin)
  15. 디지털보안가이드: 통신 보안 – 이메일 보안 PGP (윈도우)
  16. 디지털보안가이드: 통신 보안 – 소셜 네트워크에서 자신을 보호하기
  17. 디지털보안가이드: 통신 보안 – 페이스북 보안 설정
  18. 디지털보안가이드: 통신 보안 – 온라인 검열을 우회하는 방법
  19. 디지털보안가이드: 통신 보안 – 윈도우에서 토르 브라우저 사용하기
  20. 디지털보안가이드: 휴대전화 보안 – 휴대전화와 관련된 보안 이슈
  21. 디지털보안가이드: 휴대전화 보안 – 기본적인 안드로이드 보안 설정
  22. 디지털보안가이드: 휴대전화 보안 – 아이폰을 암호화하는 방법
  23. 디지털보안가이드: 휴대전화 보안 – 데이터의 안전한 삭제
  24. 디지털보안가이드: 휴대전화 보안 – 킵패스드로이드 사용법 (안드로이드)

디지털 보안을 위한 단일한 해결책은 없다. 디지털 보안은 당신이 어떠한 도구를 사용하는가에 대한 것이 아니라, 당신이 처한 위협을 이해하고, 그러한 위협에 어떻게 대응할 것인가에 대한 것이다. 더 안전해지기 위해, 당신은 무엇을 보호할 것인지, 누구로부터 그것을 보호할 것인지 생각해야 한다.

위협은 당신의 위치, 당신이 하는 일, 누구와 함께 일하는지 등에 따라 달라질 수 있다. 따라서, 어떠한 해결책이 당신에게 가장 적합한지 결정하기 위해, 당신은 위협 모델링 평가를 수행해야 한다.

이러한 위협 모델링 평가는 개인 차원에서 뿐만이 아니라, 단체 차원에서도 수행할 필요가 있다. 디지털 보안이 필요한 것은 개인뿐만이 아니라, 회사나 비영리 단체 역시 마찬가지이며, 단체 차원에서 제기되는 위협과 보호해야 할 자원이 있기 때문이다. 단체 차원에서도 이러한 평가를 해보고, 그에 맞는 보안 정책을 구성원들이 함께 수립하고 이를 이행하기 위해 노력해야 한다.

안전 우선

스스로 물어야 할 다섯 가지 핵심 질문

  1. 무엇을 보호하고 싶은가?
  2. 누구로부터 보호하고 싶은가?
  3. 그것을 보호할 필요성이 얼마나 있는가?
  4. 실패할 경우 어떠한 나쁜 결과가 초래되는가?
  5. 나쁜 결과들을 막기 위해 얼마나 많은 어려움을 극복할 의향이 있는가?

첫 번째 질문, “무엇을 보호하고 싶은가?”에 대해 얘기할 때, 우리는 종종 ‘자산’ 혹은 당신이 보호하려는 것을 언급한다. 자산은 당신에게 가치가 있고 보호하고 싶은 어떤 것이다. 디지털 보안을 말할 때, 문제가 되는 자산은 주로 ‘정보’이다. 예를 들어, 이메일, 연락처, 메시지, 파일 등이 모두 자산이다. 당신의 기기 역시 자산이다.

당신이 가지고 있는 데이터의 목록, 그것을 어디에 보관하는지, 그것에 누가 접근할 수 있는지, 다른 사람이 그것에 접근하는 것을 어떻게 막을 수 있는지 적어보자.

두 번째 질문 “누구로부터 보호하고 싶은가?”에 대한 답을 위해, 누가 당신 혹은 당신의 정보를 공격하고자 하는지, 즉, 당신의 적이 누구인지 이해하는 것이 중요하다. 적은 자산에 대한 위협을 가하는 사람이나 기관이다. 예를 들어, 당신의 상사, 정부, 해커 등이 잠재적인 적이 될 수 있다.

누가 당신의 데이터나 통신을 가로채고 싶어하는지 목록을 만들어보자. 그것은 개인, 정부기관, 혹은 기업일 수 있다.

‘위협’은 자산에 대해 발생할 수 있는 나쁜 일이다. 적이 당신의 데이터를 위협할 수 있는 많은 방법들이 있다. 예를 들어, 적은 당신의 사적 통신이 네트워크를 통해 전송될 때 몰래 읽을 수도 있고, 데이터를 지우거나 변경할 수도 있다.

디지털보안가이드

적은 당신이 자신의 데이터에 접근하는 것을 방해할 수도 있다. 적들의 동기는 서로 매우 다르고, 공격 역시 그렇다. 경찰 폭력 비디오의 확산을 막고 싶은 정부는 그 비디오를 단지 지우거나 접근을 제한하는데 만족할 수 있지만, 정치적 반대자는 당신도 모르게 비밀 정보에 접근하거나 그것을 공개하기를 바랄 수 있다.

당신의 적들이 당신의 사적 정보를 가지고 무엇을 하고 싶어 할지 적어보자.

공격자의 능력 또한 고려해야 할 중요한 요소다. 예를 들어, 이동통신사는 당신의 모든 휴대전화 기록에 접근할 수 있으며, 따라서 그 정보를 당신에 불리하게 사용할 수 있는 능력이 있다. 공개 와이파이망의 해커는 당신의 암호화되지 않은 통신에 접근할 수 있다. 정부는 더 강력한 능력을 갖추고 있을 수 있다.

고려해야 할 마지막 요소는 ‘위험’이다. ‘위험’은 특정한 자산에 대한 특정한 위협이 실제 발생할 가능성이며, (공격자의) 능력과 관련이 된다. 이동통신사는 당신의 모든 데이터에 접근할 능력이 있지만, 그들이 온라인에서 당신의 명예를 훼손하기 위해 사적 정보를 올릴 위험성은 낮다.

‘위협’과 ‘위험’을 구별하는 것이 중요하다. 위협은 발생할 수 있는 나쁜 일이지만, 위험은 위협이 발생할 가능성이다. 예컨대, 건물이 무너질 수는 있지만(위협), 이것이 발생할 가능성(위험)은 지진이 자주 발생하는 샌프란시스코가 지진이 별로 없는 스톡홀름보다 훨씬 크다.

균열 지진 틈새 벽 건물

위험 분석의 수행은 개인적이며, 주관적인 과정이다. 모든 사람이 같은 방식으로 위협에 대한 똑같은 우선순위나 관점을 가지고 있는 것은 아니다. 많은 사람들이 어떤 위협은 발생 가능성(위험)이 어떻든 용납할 수 없다고 생각한다. 어떤 경우는 위협을 문제라고 보지 않기 때문에 발생 가능성이 커도 그것을 무시한다.

예를 들어, 군사적 맥락에서는 자산이 적국의 손에 넘어가는 것보다는 파괴되는 것이 나을 수 있다. 반대로, 민간에서는 기밀성보다는 이메일과 같은 자산을 손에 넣는 것이 더 중요하다.

위험 모델링 연습

자, 이제 위협 모델링을 연습해보자.

당신의 집이나 재산을 안전하게 지키고 싶다면, 다음과 같이 몇 가지를 질문해볼 수 있다.

  • Q. 문을 잠가야 하는가?
  • Q. 어떤 종류의 자물쇠에 투자할 것인가?
  • Q. 더 발전된 보안 시스템이 필요한가?
  • Q. 자산은 무엇인가?
    • Q. 내 집에서의 프라이버시인가?
    • Q. 내 집에 있는 물건인가?
  • Q. 위협은 무엇인가?
    • Q. 누군가 침입할 수 있다.
  • Q. 누군가 실제 침입할 가능성은 어느 정도 되는가?

자신에게 이러한 질문들을 해 본다면, 당신은 어떠한 조치를 할 것인지 평가할 수 있는 위치에 있게 된다. 당신의 재산이 소중하지만, 침입의 위험성이 낮다면, 당신은 자물쇠에 더 많은 돈을 투자하고 싶지 않을 것이다. 반대로, 위험성이 높다면, 시장에서 가장 좋은 자물쇠를 사고 싶을 것이며, 추가적인 보안 시스템을 구축할 것이다.

이 글은 EFF의 ‘An Introduction to Threat Modeling’(2015년 1월 12일, 마지막 업데이트)을 기초로 한 것입니다.

좋은 기사 공유하고 알리기
슬로우뉴스에 커피 한잔의 여유를 후원해주세요. 필자 원고료와 최소한의 경비로 이용됩니다.

필자 소개

초대필자, 진보네트워크 활동가

진보네트워크센터와 정보공유연대 IPLeft 활동가입니다. 인터넷 표현의 자유, 프라이버시 보호, 정보 공유, 망중립성을 옹호합니다. 해적들의 세상을 꿈꿉니다.

작성 기사 수 : 55개
필자의 홈페이지 필자의 페이스북 필자의 트위터

©슬로우뉴스 | 개인정보취급방침 | 청소년보호정책 | 슬로우뉴스 안내 | 제보/기고하기 | 제휴/광고문의
등록번호: 경기아51089 | 등록일자: 2014년 2월 10일 | 발행일: 2012년 3월 26일
주소: 경기도 성남시 분당구 동판교로 153 802-902 | 발행인: 김상인 | 편집인: 강성모 | 청소년보호책임자: 강성모

Scroll to top