미국 CISA가 공식 발표한 모바일 안전 가이드, 어떤 내용 담겼나

https://www.boannews.com/media/view.asp?idx=135275

미국 CISA가 공식 발표한 모바일 안전 가이드, 어떤 내용 담겼나

 

 

2) 파이도(FIDO) 피싱 방지 인증을 활용한다 : 파이도 인증은 가장 강력한 형태의 다중인증을 사용하며, 따라서 해커들이 개발하고 적극 사용하는 다중인증 우회 기술에도 강력함을 자랑한다. 그 중에서도 가능하다면 유비코(Yubico)나 구글 타이탄(Google Titan)과 같은 하드웨어 기반의 파이도 보안 키를 사용하는 게 안전 측면에서는 가장 권장할 만하다. 하지만 하드웨어 키를 사용하는 데에 문제가 있다면 파이도 패스키도 대안으로서 적합하다.

 

3) 문자 메시지 기반 다중인증은 사용하지 않는다 : 다중인증 기법에는 여러 가지가 있는데, 그 중 꽤나 널리 사용되는 것은 문자 메시지를 기반으로 하는 것이다. 하지만 다중인증 기술 중에서 문자 메시지를 기반으로 하는 것은 그리 강력하지 않은 것으로 알려져 있다. 문자로 전달되는 인증 코드를 공격자들이 중간에서 가로채는 방법이 다양하게 개발됐기 때문이다.

 

4) 비밀번호 관리자 프로그램을 사용한다 : 애플패스워드(Apple Passwords), 라스트패스(LastPass), 원패스워드(1Password), 구글패스워드관리자(Google Password Manager), 대시레인(Dashlane), 키퍼(Keeper), 프로톤패스(Proton Pass) 등 시중에 나와 있는 여러 비밀번호 관리 프로그램을 활용하면 약한 비밀번호, 재사용된 비밀번호, 유출된 비밀번호에 대한 경고를 주기적으로 받을 수 있게 된다. 그것만으로도 비밀번호를 그냥 사용하는 것보다 안전해지는데, 이런 비밀번호 관리 프로그램도 안전하게 사용할 수 있는 방법이 따로 있다.

 

 

 

6) 모바일 장비의 소프트웨어와 운영체제를 정기적으로 업데이트 한다 : 모바일 기기의 운영체제와 애플리케이션을 정기적으로 업데이트 하는 게 중요하다. 업데이트가 제 때 제 때 되지 않을 수도 있는데, 그렇다라도 사용자 편에서는 최소 1주일에 한 번은 업데이트가 나왔는지 점검할 필요가 있다. 이것이 귀찮다면 장비 내 자동 업데이트 기능을 활성화하는 게 좋다. 이 경우 패치를 빠르게 적용할 수 있게 된다.

7) 개인 가상 사설 네트워크(VPN) 사용하지 않는다. : 개인 VPN은 인터넷 서비스 제공업체(ISP)가 내포하고 있는 리스크를 VPN 제공업체 쪽으로 이동시킬 뿐이다. 그러면서 동시에 공격 경로를 하나 더 만드는 것으로 귀결될 때도 많다. 뿐만 아니라 개인들이 쉽게 접할 수 있는 무료 VPN 서비스나 앱들은 불량하거나 적절치 않은, 심지어 의심스럽기까지 한 보안 및 개인정보 보호 정책을 보유하고 있는 경우가 많다. 다만 회사에서 데이터에 접근하기 위해 VPN 클라이언트를 요구하는 경우는 다른 사례에 해당하므로 같은 원리가 적용되지 않는다.

 

 

확실히 사용자가 까다롭거나, 사용이 번거로울수록 해커 입장에서도 역시나 더 까다로울 수 밖에 없다.

비밀번호가 q1w2e3r4!이런것보다 sadfklh233d001SS23Cr23 이런게 더 까다로운건 당연한법이니

 

귀찮아도, 개인정보가 돈이 되는 세상이다, 돈벌려고 아둥바둥사는데 비밀번호하나 털렸다고

다 털리면 피눈물 나는거다 ㅠㅜ