회사원 박종성(46·서울 구기동)씨는 지난주 한 자동차 매장에 들렀다 황당한 경험을 했다. 무선인터넷을 쓸 수 있는지 물어봤더니 영업사원이 “주변에 있는 무선랜 AP(무선인터넷 사용을 가능하게 해주는 기기) 접속 방법을 알려주겠다”며 종이 한 장을 내밀었다. 인근 빌딩·관공서·매장 등의 무선인터넷 보안인증 번호(패스워드)가 빼곡히 적혀 있었다. 박씨는 “그런 식이면 보안인증이 무슨 소용이냐. 그간 각종 와이파이존(무선인터넷이 가능한 구역)에서 별 생각 없이 메신저를 쓰고 금융거래까지 한 걸 생각하면 아찔하다”고 털어놨다.
◆‘문지기 없는 대문’=무선인터넷 보안 문제가 새로운 화두로 떠오르고 있다. 10일 경찰의 구글코리아 압수수색이 관심을 증폭시켰다. 구글의 혐의는 지도검색 서비스 ‘스트리트뷰’ 제작에 필요한 정보를 모으면서 와이파이 이용자의 개인정보를 무단 수집·저장했다는 것이다. 구글 측은 “일부러 수집한 것이 아니었다. 보안인증을 설정하지 않은 와이파이를 통해 갖가지 정보가 저절로 흘러들어왔다”고 해명했다.
실제로 보안인증 없는 사설 AP는 문지기 없는 은행과 같다. ‘트래커’가 마음만 먹으면 언제든 개인정보를 빼갈 수 있다. 지난 4월 현재 전국에 설치된 무선랜 AP는 무려 500여만 대. 이 중 58%가 개인이 설치한 사설 AP다. 가정마다 많이 쓰는 유·무선 공유기를 떠올리면 된다. 공유기는 생산할 때 암호를 따로 걸지 않기 때문에 개인이 수동으로 보안인증을 설정해야 하나 실제 이를 시행하는 이는 많지 않다. 아파트에서 무선인터넷 접속 창을 열면 보안인증이 필요치 않은 AP들이 죽 뜨는 이유다. 이렇게 노출된 AP는 언제든 범죄에 악용될 수 있다. 개인정보 유출 위험도 커진다. 제품 생산 시 아예 비밀번호를 설정하는 인터넷전화도 안전하지 않다. 비밀번호가 일률적이라 트래커들에게 쉽게 노출되기 때문이다. 이를 보다 안전하게 사용하려면 서비스업체 고객센터에 전화를 걸어 비밀번호를 변경하는 게 좋다.
◆공공장소에선 웹서핑만=각 가정의 경우 이처럼 보안인증을 설정하고 그 번호를 자주 변경하는 것만으로도 상당한 효과를 볼 수 있다. 그러나 카페·터미널 등 공공장소에선 이보다 더 강력한 보안이 이루어져야 한다. 박씨의 사례에서 알 수 있듯 보안인증을 했다 해도 해킹을 통해 얼마든지 비밀번호가 노출될 수 있다. 무선네트워크 보안 전문업체 유넷시스템의 이상준 연구소장은 “인증서버를 아예 따로 설치해 고객마다 다른 비밀번호를 부여하는 게 최선”이라고 말했다.
그렇다면 통신업체가 설치한 AP들은 어떨까. 지난달까지만 해도 이 역시 최선의 상태는 아니었다. KT는 무선 구간에서의 데이터 암호화를 도입하지 않은 상태였고, SK텔레콤은 아예 고정 패스워드를 공개했다. 보안업계의 경고가 이어진 지금에야 각사 모두 이중·삼중의 인증 절차를 거치도록 하는 등 보안을 강화하고 있다.
무엇보다 중요한 건 사용자 각 개인의 확고한 보안 의식이다. 인터넷진흥원의 백종현 무선인터넷팀장은 “카페·터미널 등 공공에 노출된 곳에선 웹서핑 정도만 하는 게 안전하다”고 조언했다.
이나리 기자
