하드웨어든 소프트웨어든, 모든 디지털 도구는 안전해야 한다. 즉, 당신을 감시로부터 보호하고, 당신의 기기가 다른 사람에 의해 통제되는 것을 막아야 한다. 안타깝게도 현실은 그렇지 않다. 당신은 특정한 보안 기능을 제공하는 프로그램이나 장치가 필요할 수 있다. 이 가이드에서 사용하는 예시는 PGP와 같이 당신이 메시지를 암호화할 수 있는 소프트웨어를 포함한다.
그러나 많은 회사와 웹사이트에서 보안이 되는 프로그램 혹은 하드웨어를 제공하고 있는데, 당신에게 맞는 것을 어떻게 선택할 수 있을까?
보안은 구매가 아니라 과정이다
사용하는 소프트웨어를 바꾸거나 새로운 도구를 사기 전에 기억해야 할 것은 우선 어떠한 도구도 모든 상황에서 당신을 감시로부터 완벽하게 보호할 수 없다는 것이다. 암호화 소프트웨어는 일반적으로 다른 사람이 당신의 통신 내용이나 컴퓨터 파일을 읽는 것을 어렵게 할 수 있다. 하지만, 디지털 보안에 대한 공격은 항상 당신의 보안 관행에서 가장 약한 부분을 찾아낸다. 새로운 보안 도구를 사용할 때, 그것을 사용하는 것이 누군가 당신을 공격하는 다른 방식에 어떻게 영향을 줄 것인지 생각해야 한다.
예를 들어, 당신의 휴대전화가 공격 대상이 될 수 있다는 것을 알고 보안이 되는 문자 발송 프로그램을 사용하기로 했을 때, 이 프로그램을 사용한다는 사실 자체가 공격자에게 당신이 민감한 정보에 관해 얘기하고 있다는 단서를 제공할 수 있다.
둘째, 당신의 위협 모델을 생각하라. 당신의 가장 큰 위협이 인터넷 감시 도구에 접근할 수 없는 사설탐정에 의한 물리적인 감시라면, “NSA로부터 안전”하고 비싸게 암호화된 전화 시스템은 필요하지 않다. 혹은 암호화 도구를 사용했다는 이유로 반체제 인사를 구금하는 정부에 대항하고 있다면, 노트북에 암호화 소프트웨어를 사용했다는 증거를 남기는 것보다, 사전에 약속된 암호를 사용하는 것과 같이 간단한 속임수가 더 적합할 것이다.
이러한 점들을 고려할 때, 어떤 도구를 내려받거나, 구매하거나, 사용하기 전에 다음과 같은 것에 대해 질문해볼 필요가 있다.
그것은 얼마나 투명한가?
디지털 보안이 대부분 비밀스럽게 보존하는 것에 대한 것처럼 보이지만, 보안 연구자들 사이에서는 공개성과 투명성이 더 안전한 도구를 만든다는 강한 믿음이 있다.
디지털 보안 공동체에 의해 사용되고 권고되는 대부분 소프트웨어는 자유/오픈소스이다. 즉, 그것이 어떻게 작동하는지 알 수 있는 코드가 투명하게 공개된다. 그래야 다른 사람들이 검토하고, 수정하고, 공유할 수 있기 때문이다. 프로그램이 어떻게 작동하는지 투명하게 공개함으로써, 이 도구의 제작자는 다른 사람들이 보안 허점을 찾고 프로그램의 개선을 도울 수 있도록 초대한다.
공개 소프트웨어는 더 나은 보안 기회를 제공하지만, 보안을 보장하는 것은 아니다. 오픈소스의 장점은 실제 코드를 검토하는 기술 공동체에 일정하게 의존하는데, 작은 프로젝트의 경우(혹은 대중적이지만, 복잡한 프로젝트의 경우) 이를 달성하는 것이 힘들 수 있다. 어떤 도구의 사용을 고려할 때, 소스 코드가 공개되어 있는지, 코드의 보안 성능을 확인할 독립적인 감사를 받았는지 봐야 한다. 최소한 소프트웨어 혹은 하드웨어는 다른 전문가들이 조사할 수 있도록, 그것이 어떻게 작동하는지에 대한 기술적 설명이 있어야 한다.
제작자가 도구의 장단점에 대해 얼마나 명확히 밝히는가?
어떤 소프트웨어나 하드웨어도 완벽하게 안전하지는 않다. 제품의 한계에 대해 정직한 제작자나 판매자는 자신들의 제품이 당신에게 적합한지 훨씬 많은 정보를 줄 것이다.
[box type=”info”]이 코드는 “군사용”이라든가 “NSA로부터 안전”하다는 등 과대광고를 믿어서는 안 된다. 이는 아무런 의미가 없으며, 역으로 제작자가 자신의 제품을 과신하고 있거나 실패할 가능성을 고려하고 싶지 않아 한다는 것을 보여줄 뿐이다.[/box]
공격자는 도구의 보안을 깰 새로운 방법을 발견하려고 항상 노력하기 때문에, 소프트웨어와 하드웨어는 새로운 취약점을 수정하기 위해 종종 업데이트할 필요가 있다. 명성에 흠이 갈까 봐, 혹은 문제를 해결할 시스템이 없어서, 제작자가 이것을 하지 않으려는 것은 심각한 문제이다.
당신은 미래를 예측할 수 없지만, 도구 제작자가 미래에 어떻게 할 것인지는 과거의 행태를 보면 알 수 있다. 소프트웨어의 마지막 업데이트가 얼마나 오래되었는지와 같이, 관련 웹사이트에서 기존에 어떤 문제가 있었는지, 그리고 정기적인 업데이트와 정보에 대한 링크를 제공한다면, 그들이 미래에도 이러한 서비스를 계속 제공할 것이라는 신뢰를 더 가질 수 있을 것이다.
보안 도구의 제작자 자체가 보안에 위협이 된다면 어떻게 될까?
보안 도구 제작자가 소프트웨어와 하드웨어를 제작할 때, 그들은 (당신과 마찬가지로) 명확한 위협 모델을 가지고 있어야 한다. 가장 좋은 제작자는 어떤 종류의 공격자로부터 당신을 지켜줄 수 있는지 문서에 명확하게 서술한다.
그러나 많은 제작자가 생각하고 싶지 않은 공격자가 하나 있다. 제작자인 그들 자신이 공격을 당했거나, 혹은 그들이 자신의 이용자를 공격하려고 한다면 어떻게 될까? 예를 들어, 법원이나 정부는 기업이 개인 데이터를 제공하도록 하거나, 그 기업이 만든 도구가 제공하는 보호를 제거할 수 있는 “백도어”를 만들도록 할 수 있다.
당신은 제작자가 어느 법적 관할권에 기반울 두는지 고려할 필요가 있다. 당신이 이란 정부로부터 위협을 받고 있다면, 예를 들어, 미국 기반의 회사는 이란 법원의 명령을 거부할 수 있을 것이다. 그 회사는 미국 법원의 명령은 따라야 하지만 말이다.
제작자가 정부의 압력에 저항할 수 있다고 하더라도, 공격자는 소비자를 공격하기 위해 도구 제작자의 시스템을 해킹함으로써 같은 결과를 얻으려고 할 수도 있다.
위험에 가장 잘 대처할 수 있는 도구는 이 역시 발생 가능한 공격으로 고려해서, 이로부터 보호할 수 있도록 설계되어야 한다. 사적인 데이터에 접근하지 않을 것이라는 제작자의 약속을 믿기보다, 실제로 그것에 접근할 수 없음을 보여주는 코드를 찾아야 한다. 개인 데이터 보호를 위해 법원의 명령에 싸운 명성을 가지고 있는 기관을 찾아야 한다.
리콜과 온라인 평가를 체크하라
물론 제품을 파는 업체들과 그들의 최신 소프트웨어를 열렬히 홍보하는 사람들은 오도될 수도, 오도할 수도, 명백한 거짓말을 할 수도 있다. 처음에는 안전했던 제품이 나중에 심각한 결함이 있는 것으로 드러날 수도 있다. 항상 당신이 사용하는 도구에 대한 최신 뉴스에 주의를 기울여야 한다.
당신은 당신과 같은 도구를 사용하는 사람을 알고 있는가?
한 사람이 어떤 도구에 대한 최신 뉴스를 항상 파악하고 있기는 힘들다. 당신이 특정한 제품이나 서비스를 이용하는 동료가 있다면, 그들을 통해 최신 동향을 파악할 수 있다.
이 가이드에서 언급한 제품들
우리(EFF)는 이 가이드[footnote]EFF가 만든 Surveillance Self-Defence를 의미한다.[/footnote]에서 언급한 소프트웨어와 하드웨어가 위에서 제시한 기준에 부합하는지 확인하기 위해 노력했다. 우리가 디지털 보안에 대해 현재 알고 있는 것에 기초하고 있고, 어떻게 운영되는지(그리고 어떤 실패가 있었는지)에 대해 대체로 투명하며, 제작자 자신이 위협이 될 가능성에 대한 보호 장치가 있고, 기술적 지식을 가지고 있는 넓은 이용자 기반을 갖고 현재 운영되고 있는 제품들의 목록만 제공하려고 선의의 노력을 기울였다.
이 글을 쓰는 시점에, 그 제품들은 그것들의 결함을 검토하고 있는 많은 이용자를 가지고 있고, 재빨리 공중에게 우려 사항을 제기한다고 믿는다. 그러나 우리가 그 제품들의 보안에 대해 검토하거나 독립적인 보증을 할 수 있을 정도의 자원을 가지고 있지는 않다. 우리가 이 제품들을 지지하는 것은 아니며, 완벽한 보안을 보증할 수는 없다.
어떤 전화기, 어떤 컴퓨터를 사야 할까?
보안 교육자가 받는 가장 많은 질문 중 하나는 아래와 같은 것들이다.
“안드로이드를 사야 하나요? 아니면 아이폰을 사야 하나요?”
“PC를 사야 하나요? 아니면 맥을 사야 하나요?”
“어떤 운영 체제를 이용해야 하나요?”
이에 대한 간단한 답변은 없다. 소프트웨어와 기기의 상대적인 안정성은 새로운 결함이 발견됨에 따라, 옛 문제들이 해결되는 것에 따라 계속 변화한다. 회사들은 더 나은 보안을 제공하기 위해 서로 경쟁할 수 있고, 혹은 모두 보안을 약화 시키라는 정부의 압력에 놓여있을 수 있다.
그러나 일반적인 조언은 거의 항상 진실이다. 기기나 운영체제를 살 때, 현재의 소프트웨어 업데이트를 유지해야 한다. 업데이트는 종종 공격자들이 이용할 수 있는 과거 코드의 보안 문제를 해결한다. 보안 업데이트에도 불구하고, 오래된 전화기나 운영 체제는 더는 지원되지 않기도 한다.
특히, 마이크로소프트는 “윈도우 XP와 그 이전 버전의 윈도우는 심각한 보안 문제에 대한 수정을 받지 못할 것”이라고 명확히 했다. 당신이 XP를 사용하고 있다면 공격자로부터 안전할 것이라고 기대하기 힘들다. (맥이라면 10.7.5 혹은 “Lion” 이전의 OS X 역시 마찬가지다.)
[box type=”note”]이 글은 EFF의 Choosing Your Tools(2014년 11월 4일 마지막 업데이트)를 기초로 한 것입니다.[/box]