안전한 장치
환경 격리의 중요성
높은 수준의 프라이버시가 필요한 상황에서는 일반적인 보안 조치만으로는 부족할 수 있습니다. 민감한 데이터를 다루는 언론인, 활동가, 내부 고발자, 변호사 등은 특별히 관리되는 "안전한 장치"를 별도로 운영해야 합니다. 이는 단순히 보안 설정을 강화하는 것이 아니라, 장치의 사용 목적과 방법 자체를 근본적으로 다르게 하는 것입니다.
안전한 장치란 무엇인가?
안전한 장치는 가장 민감한 데이터와 통신만을 위해 사용하는 격리된 기기입니다. 이 장치에서는 매우 제한된 작업만 수행하며, 일상적인 컴퓨터 사용은 절대 하지 않습니다. 민감한 문서 작성, 암호화된 통신, 중요한 파일 저장 등 특정 목적만을 위해 드물게 사용됩니다.
안전한 장치의 핵심은 공격 표면을 최소화하는 것입니다. 이메일 첨부파일을 열거나, 일반 웹사이트를 방문하거나, 소셜 미디어를 사용하는 등의 위험한 활동은 절대 이 장치에서 하지 않습니다. 이러한 작업은 별도의 일상용 장치에서 수행합니다.
안전한 장치 사용 원칙
1. 사용 목적을 엄격히 제한합니다
안전한 장치는 특정 작업만을 위해 사용됩니다. 민감한 문서 작성과 편집, 신뢰할 수 있는 사람과의 암호화된 통신, 중요한 파일의 안전한 저장만 허용됩니다. 출처를 확인할 수 없는 파일은 절대 열지 않으며, 신뢰할 수 없는 웹사이트는 방문하지 않습니다.
첨부파일이나 다운로드한 파일을 열어야 한다면, 반드시 다른 장치(일상용 장치)에서 먼저 확인합니다. 안전하다고 확인된 후에만 안전한 장치로 옮길 수 있습니다. 이 원칙을 어기는 순간 안전한 장치는 더 이상 안전하지 않게 됩니다.
2. 가능한 한 오프라인을 유지합니다
안전한 장치는 대부분의 시간 동안 인터넷에 연결되지 않아야 합니다. 오프라인 상태에서 작업하고, 필요할 때만 최소한의 시간 동안 연결합니다. 이때 가능한 한 Tor와 같은 익명 네트워크를 사용하되, 불가피하다면 신뢰할 수 있는 네트워크(집이나 사무실의 암호화된 Wi-Fi)만 사용하며, 공공 Wi-Fi는 절대 사용하지 않습니다.
파일 전송이 필요하다면 암호화된 USB 드라이브를 사용하거나, 종단간 암호화된 파일 전송 서비스를 이용합니다. 작업이 끝나면 즉시 네트워크를 차단하고, 가능하다면 Wi-Fi와 블루투스를 물리적으로 비활성화(비행기 모드 또는 하드웨어 스위치)합니다. 완전히 오프라인에서만 작동하는 "에어갭(air-gap)" 장치가 가장 이상적입니다.
3. 물리적으로 안전하게 보관합니다
안전한 장치는 사용하지 않을 때 물리적으로 숨겨진 안전한 장소에 보관해야 합니다. 이때 변조 여부를 확인할 수 있는 방법으로 보관합니다. 변조 방지 스티커나 봉인을 사용하여 누군가 장치에 물리적으로 접근했는지 감지할 수 있습니다.
공공장소나 사무실 같은 곳에서는 안전한 장치를 절대 사용하지 않습니다. 여행 중에도 가져가지 않으며, 집을 비울 때는 더욱 안전한 곳에 보관합니다. 장치를 운반해야 한다면 암호화와 함께 물리적 보안 조치(잠금 가방 등)를 추가합니다.
4. 보안 중심의 운영체제를 사용합니다
일반 운영체제(Windows, macOS)보다 보안에 특화된 운영체제를 사용하는 것이 좋습니다. Tails는 USB에서 부팅되며 모든 통신을 Tor를 통해 라우팅하고, 종료 시 모든 흔적을 지웁니다. Qubes OS는 각 작업을 격리된 가상 머신에서 실행하여 하나가 침해되어도 다른 작업에 영향을 주지 않습니다.
일반 운영체제를 사용한다면, 최소한의 소프트웨어만 설치하고 불필요한 서비스는 모두 비활성화합니다. 방화벽을 엄격하게 설정하고, 보안 업데이트를 활성화하되, 신뢰할 수 있는 소스에서만 업데이트를 받습니다. 전체 디스크 암호화는 필수이며, 강력한 암호 문구(최소 6단어 이상)로 보호해야 합니다.
5. 백업을 한다면, 암호화하고 안전하게 보관합니다
안전한 장치의 백업은 클라우드에 저장하지 않습니다. 암호화된 외장 하드드라이브나 USB에 로컬로 백업하고, 이 백업 매체도 안전한 장치와 별도의 안전한 장소에 보관합니다. 백업 암호도 안전한 장치의 마스터 암호와 다른 강력한 암호를 사용합니다.
일상용 장치와의 분리
대부분의 사람들은 안전한 장치 외에 일상용 장치를 별도로 사용합니다. 일상용 장치는 매일 사용하는 스마트폰, 노트북으로 일반적인 웹 브라우징, 이메일 확인, 소셜 미디어 사용 등을 합니다. 민감도가 낮거나 중간 정도의 데이터를 다루며, 적당한 수준의 보안과 프라이버시가 지켜집니다.
안전한 장치와 일상용 장치를 명확히 분리하는 것이 중요합니다. 안전한 장치에서는 절대 위험한 작업을 하지 않고, 일상용 장치에서는 매우 민감한 데이터를 다루지 않습니다. 이렇게 분리함으로써 각 장치가 침해될 위험과 그로 인한 피해를 최소화할 수 있습니다.
추가: 위험한 장치 - 샌드박스 전략
위험한 장치는 의심스럽거나 위험할 수 있는 작업을 수행하기 위한 격리된 환경입니다. 출처를 확인할 수 없는 첨부파일 열기, 신뢰할 수 없는 웹사이트 방문, 불분명한 파일 다운로드, 알 수 없는 소프트웨어 실행 등의 작업을 이 장치에서 수행합니다. 이 장치가 악성코드에 감염되더라도 다른 장치에 영향을 주지 않도록 완전히 격리됩니다.
또한, 언제든 누구나 이 장치에 물리적 접근(압수수색이나, 고문을 통한 강제적 접근)을 하더라도 문제 없어야합니다. 안전한 장치는 그 존재 자체를 남들이 알아선 안되며, 일상용 장치는 존재는 알되 그 안의 내용을 알 수 없게 해야하고, 위험한 장치는 안의 내용을 열어봐도 아무런 정보도 없게 유지하는 것입니다.
이 장치는 아래와 같은 원칙을 지켜야합니다. '안전한 장치'와 콘셉트는 비슷합니다.
1. 중요한 데이터를 절대 저장하지 않습니다
위험한 장치에는 중요한 문서, 사진, 정보를 저장하지 않습니다. 이 장치는 언제든 침해될 수 있다고 가정하고, 침해되어도 큰 손실이 없도록 구성합니다. 작업에 필요한 최소한의 데이터만 일시적으로 가져오고, 작업 후 즉시 삭제합니다.
2. 정기적으로 초기화합니다
위험한 장치는 정기적으로 완전히 초기화하여 깨끗한 상태로 되돌립니다. 최소 한 달에 한 번, 또는 특별히 위험한 작업을 수행한 후에는 즉시 초기화합니다. 특히, 포렌식이 어려워지도록 TRIM 기능이 있는 SSD를 저장장치로 이용하고, 초기화 전 모든 데이터 영역을 Dummy 데이터로 채운 후 초기화합니다.
3. 별도 환경을 사용합니다
물리적으로 별도의 컴퓨터를 사용하여 위험한 작업을 수행하는 것이 이상적입니다. Tails 같은 라이브 OS를 외장 SSD에서 부팅하여 사용하면, 재부팅 시 모든 흔적이 자동으로 삭제됩니다. 이는 안전한 장치의 사용법과 마찬가지입니다.
4. 네트워크를 격리하거나 제한합니다
가능하다면 위험한 장치는 별도의 네트워크에 연결합니다. 같은 네트워크에 있는 다른 장치나 공유 폴더에 접근하지 못하도록 격리합니다. 방화벽을 설정하여 불필요한 외부 연결을 차단하고, 안전한 장치와 마찬가지로 Tor를 사용하여 외부와 소통합니다.
5. 파일 전송 시 철저히 검증합니다
위험한 장치에서 다운로드하거나 처리한 파일을 다른 장치로 옮기기 전에 반드시 바이러스 검사를 수행합니다. 위험한 장치이므로, 프라이버시가 크게 중요하지 않기 때문에 안티바이러스를 사용해도 좋습니다. 압축 파일(.zip, .rar 등)은 특히 주의해야 하며, 실행 파일(.exe, .app 등)은 장치 외부로 옮기지 않는 것이 안전합니다.
6. 일상적인 계정으로 로그인하지 않습니다
위험한 장치에서는 은행 계정, 주 이메일 계정, 암호 관리자 같은 중요한 서비스에 로그인하지 않습니다. 필요하다면 임시 이메일 주소나 테스트용 계정을 사용합니다. 브라우저의 비공개 모드(시크릿 모드)를 사용하고, 쿠키와 캐시를 정기적으로 삭제합니다.
7. 백업하지 않습니다
위험한 장치는 백업하지 않습니다. 백업 자체가 악성코드를 보존하거나 다른 시스템으로 전파할 수 있는 경로가 됩니다. 이 장치는 언제든 버릴 수 있고, 초기화할 수 있는 상태를 유지합니다.
어떤 전략이 나에게 맞는가?
모든 사람이 안전한 장치를 운영할 필요는 없습니다. 위협 모델에 따라 필요한 수준이 다릅니다. 일반 사용자는 일상용 장치의 보안을 강화하는 것만으로도 충분할 수 있습니다.
하지만 민감한 정보를 다루거나, 높은 위험에 처한 사람이라면 안전한 장치를(그리고, 가능하다면 위험한 장치 또한) 고려해야 합니다. 언론인이 취재원을 보호하거나, 활동가가 동료를 보호하거나, 내부 고발자가 신원을 보호해야 할 때 안전한 장치는 필수입니다. 자신의 위협 모델을 다시 검토하고, 적절한 장치 전략을 수립하세요.