공공 와이파이에 연결된 스마트폰 10대 중 무려 7대가 보안 위협에 노출된 경험이 있다는 조사 결과가 있습니다. 저도 이 수치를 접하기 전까지는 터미널이나 카페에서 무료 와이파이에 접속하면서 보안 같은 건 단 한 번도 생각해 본 적이 없었습니다. 그냥 "와이파이 잡힌다, 다행이다" 그 생각뿐이었으니까요.
가짜 와이파이, 내 눈에는 안 보여도 분명히 존재합니다
이걸 처음 알았을 때 솔직히 좀 무서웠습니다. 이블 트윈 공격(Evil Twin Attack)이라는 게 있는데, 여기서 이블 트윈 공격이란 해커가 공식 와이파이와 똑같은 이름의 가짜 네트워크를 만들어놓고 사용자가 자동으로 접속하도록 유도하는 수법을 말합니다. 예를 들어 터미널에 "KTX_Free_WiFi"라는 공식 와이파이가 있다면, 바로 옆에 "KTX_Free_WiFi2" 같은 이름을 만들어놓는 식입니다.
제가 직접 겪은 건 아니지만, 출장을 다니면서 터미널이나 공항에서 와이파이를 연결할 때 주변 직원한테 공식 와이파이 이름을 물어본 적이 단 한 번도 없었습니다. 그냥 신호 강도가 센 걸 골라 눌렀을 뿐입니다. 지금 생각하면 정말 무신경했습니다.
스마트폰의 자동 연결 기능도 문제입니다. 자동 연결 기능이란 이전에 한 번 접속했던 네트워크에 다음에 범위 안에 들어오면 자동으로 연결되는 기능입니다. 편리하다는 이유로 많은 분들이 켜두는데, 이 기능 때문에 자기도 모르는 사이에 가짜 와이파이에 연결될 수 있습니다. 저도 이 사실을 알고 나서 바로 공공 와이파이 자동 연결 설정을 꺼버렸습니다.
공공 와이파이를 사용하기 전에 확인해야 할 핵심 사항을 정리하면 다음과 같습니다.
- 해당 장소 직원에게 공식 와이파이 이름(SSID)을 반드시 확인할 것
- 스마트폰의 '알려진 네트워크 자동 연결' 옵션을 비활성화할 것
- 접속 후 접속된 네트워크 이름이 직원에게 확인한 것과 일치하는지 다시 한번 볼 것
- 파일 공유 기능(에어드롭, 블루투스 공유 등)은 반드시 꺼둘 것
개인정보 유출, 금융 결제할 때가 가장 위험합니다
저는 출장 중에 급하게 결제를 해야 할 일이 생기면 공공 와이파이에 연결된 상태로 그냥 비밀번호를 입력하고 결제를 눌렀습니다. 한두 번도 아닙니다. 이게 얼마나 위험한 행동인지 그땐 전혀 몰랐습니다.
중간자 공격(MITM, Man-In-The-Middle Attack)이라는 개념이 있습니다. 여기서 중간자 공격이란 해커가 사용자와 서버 사이에 끼어 들어가서 주고받는 데이터를 가로채는 방식입니다. 쉽게 말해 제가 은행 앱에 비밀번호를 입력하는 순간, 해커가 그 정보를 중간에서 그대로 가로채는 것입니다. 보안이 취약한 공공 와이파이에서는 이런 공격이 상대적으로 손쉽게 이루어질 수 있다고 전문가들은 경고합니다.
이와 관련해서 한국인터넷진흥원(KISA)은 공공 와이파이 사용 시 금융 거래, 중요 계정 로그인, 업무용 파일 전송은 반드시 모바일 데이터를 사용할 것을 권고하고 있습니다(출처: 한국인터넷진흥원). 제 경험상 이건 좀 번거롭더라도 지키는 게 맞습니다. 데이터 요금이 좀 나오더라도 개인정보가 털리는 것보단 낫습니다.
웹사이트를 이용할 때는 HTTPS 프로토콜이 적용된 사이트인지 꼭 확인하시기 바랍니다. HTTPS란 HTTP에 SSL/TLS 암호화 기술을 더한 프로토콜로, 쉽게 말해 사용자와 서버 사이를 오가는 데이터를 암호화하여 외부에서 쉽게 읽지 못하도록 보호하는 방식입니다. 주소창에 자물쇠 아이콘이 있으면 HTTPS가 적용된 것이지만, 그것만으로 완전히 안전하다고 볼 수는 없습니다. 사이트 자체가 신뢰할 수 있는지도 함께 따져봐야 합니다.
VPN, 과연 누구에게나 필요한 걸까요
VPN을 쓰라는 이야기는 많이 들었는데, 솔직히 저는 처음에 "그게 무슨 소용이야"라는 생각이었습니다. VPN(Virtual Private Network)이란 인터넷 접속 시 사용자의 실제 IP를 숨기고 데이터를 암호화된 터널을 통해 전송하는 기술입니다. 여기서 암호화 터널이란, 내가 보내는 데이터를 아무도 읽을 수 없도록 감싸는 가상의 통로라고 보면 됩니다.
공공 와이파이를 자주 사용하는 분들 중에는 VPN이 과도한 보안 조치라고 생각하는 분들도 있는데, 저는 출장이 잦아지면서 생각이 바뀌었습니다. 특히 해외 출장이나 장거리 이동 중 터미널 와이파이를 자주 쓰는 분이라면 VPN은 선택이 아니라 습관에 가깝습니다. 물론 VPN 서비스마다 신뢰도 차이가 있기 때문에, 어떤 서비스를 고르느냐도 중요합니다.
과학기술정보통신부에 따르면 국내 공공 와이파이 이용자 중 보안 설정을 전혀 하지 않은 비율이 상당히 높은 것으로 나타났습니다(출처: 과학기술정보통신부). 이 수치가 보여주듯, 대부분의 사람들은 공공 와이파이를 편의 수단으로만 여기고 위험은 남의 이야기로 넘깁니다. 저도 그랬고요.
의심스러운 팝업 페이지도 주의가 필요합니다. 공공 와이파이에 접속할 때 뜨는 캡티브 포털(Captive Portal)은 기본적으로 네트워크 인증을 위한 창입니다. 여기서 캡티브 포털이란 와이파이 연결 직후 사용자에게 로그인이나 약관 동의를 요청하는 웹 페이지를 말합니다. 문제는 이 페이지와 유사하게 만들어진 가짜 로그인 창이 존재한다는 것입니다. 이런 창에 이름, 전화번호, 이메일 같은 개인정보를 입력하면 그대로 유출될 수 있습니다.
결국 공공 와이파이는 없으면 불편하고, 무심코 쓰면 위험한 두 얼굴을 가진 도구입니다. 저처럼 그동안 아무 생각 없이 연결해 온 분들이라면, 지금이라도 자동 연결 기능을 끄고 금융 거래만큼은 모바일 데이터로 분리하는 것부터 시작해 보시기를 권합니다. 한 번 습관이 되면 그리 번거롭지도 않습니다. 범죄자들은 우리가 와이파이를 얼마나 편하게 쓰는지 정확히 알고 있습니다. 그 허점을 노리는 건 우리가 방심할 때입니다.
이 글은 개인적인 경험과 의견을 공유한 것이며, 전문적인 보안 조언이 아닙니다. 보다 정확한 보안 지침은 관련 전문기관의 공식 자료를 참고하시기 바랍니다.