공공 와이파이가 위험하다는 이야기를 들어보셨을 겁니다. 이러한 위험을 피하는 방법에 대한 조언은 공공 와이파이 자체만큼이나 흔하게 들을 수 있습니다. 일부 조언은 오래되었으며, 공공 와이파이는 이전보다 안전해진 것이 사실입니다. 하지만 여전히 주의해야 할 위험 요소들이 존재합니다.
공공 와이파이, 정말 안전한가?
이 문제는 복잡한 측면이 있습니다. 웹에서 HTTPS 사용이 늘어나면서 공공 와이파이를 통한 인터넷 사용이 예전보다 훨씬 안전해지고 개인 정보 보호에도 도움이 되는 것은 분명합니다. 공공 와이파이 네트워크에 접속한 다른 사용자들이 여러분의 활동을 감시하기는 어려워졌으며, 중간자 공격도 예전처럼 쉽게 이루어지지 않습니다.
EFF(전자프론티어재단)는 최근 공공 와이파이가 안전하다고 주장하며 “삶에는 걱정해야 할 다른 일들이 많으니 ‘공공 와이파이’는 걱정 목록에서 지워도 된다”고 말합니다.
상당히 합리적인 조언처럼 들립니다. 공공 와이파이가 완전히 안전하다면 정말 좋겠지만, 솔직히 말해서 그럴 수는 없습니다. 우리는 공공 와이파이를 자주 사용하며 예전처럼 크게 걱정하지 않는 것은 사실입니다.
하지만 공공 와이파이가 완벽하게 안전하냐고 묻는다면, 그렇다고 단정할 수는 없습니다. 데이비드 린드너는 Contrast Security에서 악성 핫스팟의 위험을 지적하며 EFF의 주장에 반박하는 글을 게재했습니다. 또한 Hacker News 커뮤니티에서도 공공 와이파이의 위험성에 대해 많은 논의가 있었습니다. 아래에서는 이러한 위험 요소를 자세히 설명하고자 합니다.
결론적으로, 일반 사용자들이 공공 와이파이에서 여러분의 활동을 쉽게 감시하기는 어려워졌습니다. 하지만 악의적인 핫스팟은 여전히 여러 가지 악의적인 행위를 할 수 있습니다. 따라서 공공 와이파이 네트워크를 사용할 때는 VPN을 사용하거나, 셀룰러 데이터 네트워크를 이용하는 것이 더 안전합니다.
공공 와이파이가 예전보다 안전해진 이유
웹에서 HTTPS 암호화가 널리 사용되면서 공공 와이파이의 주요 보안 문제가 해결되었습니다. 과거에는 대부분의 웹사이트가 암호화되지 않은 HTTP를 사용했습니다. 공공 와이파이에서 HTTP를 통해 웹사이트에 접속하면 네트워크의 다른 사용자가 여러분의 트래픽을 감시하여, 어떤 웹페이지를 보고 있는지, 어떤 메시지를 보내는지 등을 파악할 수 있었습니다.
더 큰 문제는 공공 와이파이 핫스팟 자체가 “중간자” 공격을 수행하여 전송되는 웹페이지를 변조할 수 있었다는 점입니다. 핫스팟은 HTTP로 접속하는 모든 웹페이지나 콘텐츠를 마음대로 변경할 수 있었습니다. 예를 들어, HTTP를 통해 소프트웨어를 다운로드하는 경우 악의적인 공공 와이파이 핫스팟이 대신 악성코드를 제공할 수도 있었습니다.
하지만 이제 HTTPS가 널리 보급되었으며, 웹 브라우저는 기존 HTTP 사이트를 “안전하지 않음”으로 표시합니다. 공공 와이파이 네트워크에 접속하여 HTTPS를 통해 웹사이트에 접속하면, 네트워크의 다른 사용자는 여러분이 접속한 웹사이트의 도메인 이름(예: wdzwdz.com)만 볼 수 있습니다. 그 외에 어떤 웹페이지를 보고 있는지, HTTPS 사이트에서 전송되는 정보를 가로채거나 변조하는 것은 불가능합니다.
이제 감시당할 수 있는 데이터의 양이 크게 줄어들었고, 악의적인 와이파이 네트워크도 트래픽을 변조하기가 훨씬 어려워졌습니다.
여전히 가능한 일부 감시
공공 와이파이가 예전보다 훨씬 안전해졌지만, 여전히 완전히 안전한 것은 아닙니다. 예를 들어, 웹을 탐색하다가 결국 HTTP 사이트에 접속할 수도 있습니다. 이때 악의적인 핫스팟이 해당 웹페이지를 변조하여 전송할 수 있으며, 공공 와이파이 네트워크의 다른 사용자는 여러분이 해당 사이트와 주고받는 통신을 감시하여 정확한 콘텐츠와 업로드한 메시지 등을 파악할 수 있습니다.
HTTPS를 사용하더라도 여전히 일부 감시가 가능합니다. 암호화된 DNS가 아직 널리 보급되지 않았기 때문에, 네트워크의 다른 장치가 여러분의 DNS 요청을 볼 수 있습니다. 웹사이트에 접속하면 여러분의 기기는 네트워크에서 구성된 DNS 서버에 접속하여 웹사이트에 연결된 IP 주소를 찾습니다. 즉, 공공 와이파이 네트워크에서 웹을 탐색할 때 주변의 다른 사용자가 여러분이 방문하는 웹사이트를 감시할 수 있다는 것입니다.
하지만 감시자는 여러분이 접속한 HTTPS 사이트에서 어떤 웹페이지를 보고 있는지는 알 수 없습니다. 예를 들어, 여러분이 wdzwdz.com에 접속했다는 사실은 알 수 있지만, 어떤 기사를 읽고 있는지는 알 수 없습니다. 또한 전송되는 데이터의 양과 같은 정보는 볼 수 있지만, 데이터의 내용 자체는 알 수 없습니다.
공공 와이파이의 또 다른 보안 위험
공공 와이파이와 관련된 다른 잠재적인 보안 위험도 있습니다.
악성 와이파이 핫스팟은 사용자를 악성 웹사이트로 리디렉션할 수 있습니다. 예를 들어, 악성 와이파이 핫스팟에 접속하여 bankofamerica.com에 접속하려고 하면, 실제 은행을 사칭하는 피싱 사이트로 연결될 수 있습니다. 핫스팟은 실제 bankofamerica.com을 로드하고 HTTP를 통해 복사본을 제공하는 “중간자 공격”을 실행할 수 있습니다. 따라서 로그인할 때, 여러분의 로그인 정보가 악성 핫스팟으로 전송되어 캡처될 수 있습니다.
물론 피싱 사이트는 HTTPS 사이트가 아니겠지만, 브라우저 주소 표시줄에서 HTTP를 제대로 확인하는 사용자는 많지 않습니다. HTTP Strict Transport Security(HSTS)는 웹사이트가 웹 브라우저에 HTTPS로만 연결해야 하며 HTTP를 사용하지 않도록 지시하는 기능을 제공하지만, 모든 웹사이트가 이를 활용하지는 않습니다.
또한 앱도 문제가 될 수 있습니다. 스마트폰의 모든 앱이 인증서를 올바르게 검증할까요? 컴퓨터의 모든 앱이 백그라운드에서 HTTPS를 통해 데이터를 전송하도록 설정되어 있을까요? 아니면 일부 앱은 HTTP를 사용하는 경우가 있을까요? 이론적으로 앱은 인증서를 올바르게 검증하고 HTTP를 피해야 하지만, 실제로 모든 앱이 제대로 작동하는지 확인하기는 어렵습니다.
네트워크의 다른 장치 또한 문제가 될 수 있습니다. 예를 들어, 보안 패치가 제대로 적용되지 않은 컴퓨터나 장치를 사용하는 경우, 해당 장치가 네트워크의 다른 장치로부터 공격을 받을 수 있습니다. Windows PC에 기본적으로 방화벽이 활성화되어 있으며, 공용 와이파이 연결 시 방화벽이 더욱 엄격하게 작동하는 이유도 바로 이 때문입니다. 컴퓨터에 개인 네트워크 연결을 설정하면, 공공 와이파이 환경에서 다른 컴퓨터가 공유 폴더에 접근할 수 있게 됩니다.
공공 와이파이 환경에서 자신을 보호하는 방법
공공 와이파이가 예전보다 안전하고 개인 정보 보호 기능이 향상되었지만, 보안 상황은 여전히 복잡하며 완벽하지 않습니다.
공공 와이파이 네트워크에서 최대한의 보안을 확보하려면 VPN(가상 사설망)을 사용하는 것이 좋습니다. VPN을 사용하면 VPN 서버에 연결하고, 시스템의 모든 트래픽이 암호화된 터널을 통해 서버로 전송됩니다. 따라서 접속하는 공공 와이파이 네트워크에는 단 하나의 연결, 즉 VPN 연결만 표시됩니다. 그 누구도 여러분이 어떤 웹사이트에 접속하는지 확인할 수 없습니다.
이것이 기업에서 VPN을 사용하는 주된 이유입니다. 만약 여러분의 조직에서 VPN을 지원한다면, 공공 와이파이 네트워크에 접속할 때 VPN 연결을 사용하는 것을 적극적으로 고려해야 합니다. VPN 서비스 비용을 지불하고, 신뢰할 수 없는 네트워크를 사용할 때 VPN을 통해 트래픽을 전송하는 것도 좋은 방법입니다.
공공 와이파이 네트워크를 아예 사용하지 않을 수도 있습니다. 예를 들어, 무선 핫스팟(테더링) 기능과 안정적인 셀룰러 데이터 요금제를 가지고 있다면, 노트북을 공공 장소에서 휴대폰의 핫스팟에 연결하여 공공 와이파이와 관련된 잠재적인 문제를 피할 수 있습니다.