하우리에서 일하는 바이러스 치료사를 만나 여러 가지 이야기를 나누다가 보안을 위해 가장 중요한 것이 뭐냐고 물었더니 바로 ‘업데이트’란다. 수많은 정보가 담겨있는 PC에 보안의 위협이 있는 것이야 당연하고 이를 아는 이용자들도 백신 하나 정도는 다 쓰고 있다. 다만 설치만 하면 끝이라는 생각 때문에 쉽게 치료할 수 있는 것에 피해를 보기도 한단다. 세계적인 백신 회사 시만텍에서 발표한 ‘보안솔루션에 관한 5가지 오해’를 짚어 보면서 우리가 흔히 가지고 있는 보안 제품에 대한 오해, 그리고 진실은 뭔지를 생각해 보자.
오해1. 보안 제품, 설치만 하면 끝이야!
시만텍이 2007년 상반기 동안 조사한 데이터에 따르면, 이 기간에 출현한 새로운 악성 코드 위협만 21만 개가 넘는다. 이렇듯 새로운 형태의 보안 위협이 그 어느 때보다도 빠르게 증가하는 요즘, 보안 제품 엔진이나 OS 패치를 업데이트하지 않는 것은 해커들에게 문을 활짝 열어놓은 것과 마찬가지다. 이를 두고 보안 전문가들은 ‘보안 제품 설치를 안 하느니만 못하다’고 한다. 예를 들어 2006년 3월에 보안 제품을 설치한 이후로 패치나 보안 엔진을 한 번도 업데이트하지 않았다면, 그 시기 이후에 출현한 보안 위협에 대해서는 전혀 무방비 상태인 셈이다. 실제 시만텍이 2005년 10월에 실시한 테스트에 따르면, 패치가 하나도 업데이트되지 않은 데스크탑 PC는 평균 1시간 12초 만에 감염된 반면, 모든 패치가 설치된 데스크탑은 감염되지 않았다. 특히 패치가 업데이트 되지 않은 경우, 37초 만에 보안 위협에 감염되는 사례도 있었다.
오해2. 안티 바이러스=만병통치약!
바이러스는 절대 단순하지 않다. 마찬가지로 단순히 안티 바이러스 제품이 모든 보안 위협을 막을 순 없다. 안티 바이러스 프로그램은 바이러스와 스파이웨어를 방어하는 제품일 뿐 최근 문제가 되고 있는 피싱이나 웹 브라우저를 통한 해킹 등을 예방하지는 못한다. 반면 다잡아, 스파이제로 등의 프로그램은 스파이웨어, 트랙웨어, 애드웨어 등의 유해 프로그램만을 전문적으로 치료하는 제품이라는 점에서 차이가 있다. 따라서 자신의 인터넷 사용 패턴을 정확하게 파악하고 이에 따라 필요한 기능을 갖춘 보안 제품을 확인하는 것이 매우 중요하다.
오해3. 은행 홈페이지에 접속할 때 설치되는 보안 프로그램만 있으면 돼!
특히 국내 은행, 증권, 포털, 공공 기관 등 대다수 사이트에 접속할 때 설치되는 보안 프로그램은 액티브 X를 기반으로 하고 있다. 그런데 악의적인 의도를 가진 해커가 이 액티브X 프로그램의 취약점을 활용하면 얼마든지 개인 정보를 빼내 범죄에 이용할 수 있다. 실제로 지난 11월 열린 국제 해커 컨퍼런스 'POC 2007'에서 이러한 해킹 과정이 시연되기도 했다. 따라서 인터넷 뱅킹이나 쇼핑 등을 이용하는 사용자들은 각 사이트에서 설치되는 보안 프로그램을 맹신해서는 안 되며, 정보 유출을 예방할 수 있는 보안 시스템을 반드시 갖추고 지속적으로 업데이트를 실행해야 한다.
오해4. 방화벽, 어떤 제품이든 다 똑같아!
보안 프로그램을 선택할 때 유의해야할 또 다른 요소가 바로 이중 방화벽이다. 많은 이용자들은 보안 프로그램에서 방화벽 유무만을 확인하는데, 일반적인 방화벽은 외부에서 PC로 침입하는 위협 요소만을 막을 수 있다. 그러나 이러한 경우 이미 PC에 숨어들어 있던 위협 요소가 외부 해커에게 전송하는 정보는 그대로 빠져나간다. 따라서 해커나 다른 침입자들이 PC에 접근하는 것은 물론, 은밀한 악성 프로그램이 사용자의 허락 없이 외부로 중요한 정보를 내보내는 것까지 모두 방어할 수 있는 이중 방화벽을 갖춘 보안 프로그램을 이용하는 것이 좋다.
오해5. 악성 코드? 치료하면 되지 뭐!
최근 발생하고 있는 보안 위협 요소들은 운영체제를 다시 설치하거나 하드웨어를 교체하는 수준의 피해를 유발하는 것에서 그치지 않고 개인 정보나 중요한 기밀 데이터를 몰래 빼내 금전적인 손해를 입히는 데까지 확대되고 있다. 따라서 이미 위협 요소가 PC에 침투한 이후에 검색해서 치료하는 방식으로는 정보 유출로 인한 피해를 막을 수 없다. 즉, 사후 대응이 아니라 사전 예방 개념을 기반으로 한 보안 제품을 설치하는 것이 보안 제품 선택의 기본이다.
결론은 정확한 지식을 가지고 관리만 잘 하면 ‘누가 누가 쓴 백신이 좋다더라’ 대신 어떤 백신이 나에게 필요한 것인지를 찾을 수 있다.