지하철, 커피숍 등에서 무료로 쓸 수 있는 개방형 와이파이가 늘어남에 따라 데이터 부담 없이 인터넷을 자유롭게 이용할 수 있는 길이 열렸다. 하지만, 자칫 보안이 취약한 개방형 와이파이를 이용할 경우 개인정보 유출 등 해킹피해의 위험이 있어 보안 대책 마련이 시급하다는 지적이 나온다.

. / 맥아피 제공
. / 맥아피 제공
개방형 와이파이를 악용한 공격 중 대표적인 예는 네트워크에 허가된 주소로 가장해 승인된 사용자인 것처럼 시스템에 접근한 후 접근 제어를 우회하는 네트워크 스푸핑(Spoofing)이다. 공격자는 공공장소에 와이파이 공유기를 설치해 불특정 다수가 접속하도록 유도한다. 이 경우 대부분 유명 커피숍 체인의 와이파이 접속명(SSID)과 비슷한 SSID를 써 의심을 낮춘다.

사용자가 무료로 와이파이를 쓰기 위해 무심코 해당 공유기에 접속하면 실제 인터넷을 쓸 수는 있지만, 주요 사이트 로그인 정보나 금융 정보 등을 공격자에게 고스란히 노출할 위험이 높다. 무료로 와이파이를 쓰기 위해서는 광고를 클릭해야 한다는 식으로 사용자 컴퓨터나 스마트폰을 감염시키는 악성코드 설치를 유도하기도 한다.

실제로 공유기 내 도메인 네임 서버(DNS)를 조작해 사용자가 제대로 된 사이트 주소를 입력하더라도 공격자가 원하는 사이트로 이동시켜 개인정보를 유출한 사례가 여러 번 있었다. 많은 사용자가 접속하는 포털 사이트의 경우 공격자가 실제 사이트와 똑같은 외관으로 만든 로그인 화면으로 유도하면 사용자는 무심코 아이디와 비밀번호를 입력하게 된다. 하지만, 실상 입력한 아이디와 비밀번호는 공격자 손에 들어가게 되는 것이다.

국내에서도 정부와 지자체 정책에 따라 이동통신 3사의 공공 와이파이가 빠르게 확산하는 추세다. 보안 업계에 따르면, 현재 운영 중인 공공 와이파이는 1만3000여곳으로 이 중 40%에 해당하는 5000여곳은 암호화 등 보안 접속 기능이 지원되지 않는 것으로 나타났다. 와이파이에 대한 정부의 KS 표준 및 공공 보안 가이드가 있지만, 의무가 아닌 권고 사항인 탓에 사용자가 네트워크 접속 시 보안 적용 여부를 선택할 수 있도록 한 곳도 많다.

보안 업계는 개방된 와이파이 접속 시 금융 등 민감한 서비스 이용을 자제하는 것이 좋다고 조언한다. 부득이하게 외부 업무가 많은 경우라면 가상사설망(VPN) 서비스를 활용하는 것도 방법 중 하나다. VPN은 보안이 담보되지 않은 네트워크에서도 별도의 인증 경로를 거쳐 안전하게 인터넷을 이용할 수 있도록 해주는 기술이다.

맥아피, 카스퍼스키, 어베스트 등 글로벌 백신 업체는 최근 앞다퉈 VPN 서비스를 자사 백신에 통합하거나 별도 서비스로 선보였다. 과거에는 백신이 필수 보안 솔루션이었다면, 이제는 인터넷 연결을 통한 위협이 대부분인 만큼 VPN이 필수 보안 솔루션이 될 것이란 관측에서다. 특히 스마트폰 등 모바일 기기의 경우 백신 선탑재가 이뤄지지 않은 경우가 많아 VPN이 백신의 대안이 될 수 있을 것이란 전망도 나온다.

보안 업계 한 관계자는 "공공 와이파이가 전국적으로 확대되는 것은 사용자 편의성이나 다양한 사물인터넷(IoT) 도입을 위해 바람직한 방향인 것은 맞다"며 "하지만, 아직 보안이 완벽히 확보돼 있지 않은 네트워크 환경은 너무 많은 위험이 도사리는 만큼 개인정보 침해 방지를 위해 불편하더라도 VPN 활용 등 사용자의 인터넷 이용 습관 개선이 반드시 필요하다"고 말했다.