IT DONGA

공공장소의 무료 와이파이, 안전할까?

이상우

[IT동아 이상우 기자] 넷플릭스 TV 시리즈 센스8에서는 주인공인 노미(제이미 클레이턴 분)가 자신을 위협하는 적의 실체를 찾기 위해 와이파이를 해킹하는 장면이 나온다. 표적이 자주 찾는 카페에서 자신들이 만들어놓은 가짜 와이파이에 접속하도록 유도한 뒤 전화기에 있는 연락처, 이메일, 통화목록, 비밀번호 등을 탈취하는 장면이 나온다. 물론 TV 시리즈에서는 악당을 찾기 위해 이러한 해킹을 시도했지만, 현실에서는 범죄다. 또, 이러한 창작물뿐만 아니라 실제로도 충분히 가능한 범죄기도 하다.

한국은 어느 곳에서든 쉽게 공용 와이파이를 이용할 수 있는 나라다

우리나라는 무료로 사용할 수 있는 와이파이가 아주 많다. 공공장소는 물론 지하철이나 버스 같은 대중교통을 이용할 때도 와이파이를 쓸 수 있으며, 개인이 운영하는 작은 식당이나 카페에서도 무료로 와이파이를 쓸 수 있다.

이러한 무료로 제공하는 공용 와이파이는 아주 편리하지만, 그만큼 보안 위협에도 많이 노출돼 있다. 가장 먼저 조심해야 할 것은 가짜 와이파이다. 해커가 마치 매장에서 제공하는 와이파이인 것처럼 SSID(와이파이 이름) 꾸며 방문객의 접속을 유도하고, 이를 통하 악성코드를 심거나 개인정보를 탈취하는 등의 공격을 할 수 있다. 예를 들어 스타벅스에서 제공하는 와이파이의 SSID는 크게 KT-starbucks와 KT_starbucks 등이다. 그런데 해커가 XT-starbus 같은 SSID를 만들어 방문객이 접속하도록 유도한다면 모바일 기기나 노트북 등에 있는 정보를 확인하거나 사용자가 웹에서 입력하는 입력하는 ID/PW 등을 탈취하는 것도 가능하다.

자신이 사용할 SSID를 잘 확인해야 한다

스니핑이나 하이재킹이라는 해킹 기법도 있다. 모바일 기기 혹은 노트북과 무선 AP(무선 공유기)가 서로 연결돼 정보를 주고받는 동안 이 정보를 감청하거나 탈취하는 해킹 기법으로, 암호화 통신을 이용하지 않는 와이파이는 항상 이런 위협에 노출돼 있다. 앞서 언급한 스타벅스의 경우 암호화 통신 기능을 갖춘 와이파이 서비스(SSID: KT_starbucks_secure)를 별도로 제공하니, 가능하다면 이를 이용하는 것이 좋다.

암호화 통신을 지원하는 AP

해커가 AP를 직접 공격하는 경우도 있다. 공유기는 각종 설정을 위해 접속하는 관리 페이지가 있으며, 이 페이지에 접근하기 위해서는 관리자 권한이 필요하다. 대부분의 공유기 제조사는 이러한 관리자 권한 인증 ID와 비밀번호를 Admin, 0000 등으로 기본 설정해 판매하는 경우가 많기 때문에 해커가 손쉽게 관리자 권한을 탈취하고 공유기 설정을 마음대로 바꾸는 것이 가능하며, 이를 통해 와이파이에 접속하는 사용자를 공격할 수 있다.

공유기에 기본 설정된 관리자 계정과 비밀번호

이러한 공용 와이파이를 통한 해킹을 피할 수 있는 방법은 없을까? 우선 개인 사용자는 알 수 없는 공개 와이파이에 접속하지 않는 것이다. 암호 입력이 없는 공개 와이파이의 경우 상대적으로 보안 위협에 더 노출돼 있으며, 와이파이를 누가 제공하는지 알 수 없다면 제공하는 목적 역시 알기 어렵기 때문이다. 또한 매장 등에서 제공하는 공용 와이파이의 경우 정확한 SSID를 확인하고 접속하는 것이 좋다.

방문객에게 와이파이를 무료로 제공하기위해 공유기를 설치한 매장이라면 공유기 관리 페이지에 접속해 기본 설정된 관리자 계정과 비밀번호를 바꿔야 한다. 또, 와이파이 보안 인증을 설정할 때도 WPS2 + AES 등 조금 더 보안성이 높은 방식을 선택하는 것이 좋다. 관리 페이지 접속 방법은 각 공유기 제조사마다 조금씩 다르기 때문에 설정 시 설명서를 확인해야 한다.

와이파이 보안 설정

개인정보를 보호하는 데 있어서 왕도는 없다. 하지만 사용자가 최소한의 보안 수칙을 지킨다면 많은 공격을 예방할 수 있다. 앞서 언급한 것처럼 정체를 알 수 없는 와이파이 이용을 삼가고, PC나 스마트폰에 설치한 각종 소프트웨어는 주기적으로 업데이트 해서 발견된 취약점에 대한 패치를 진행해야 한다. 추가적으로 믿을 만한 보안 소프트웨어를 설치해 악성 소프트웨어가 설치되는 것을 예방해야 한다.

글 / IT동아 이상우(lswoo@itdonga.com)

이전 다음