으음, 제목은 거창하게 썼지만, 정작 내용은 얼마나 알차게 쓸 수 있을련지 크게 자신은 없습니다. 최대한 제 경험에 비추어서 '정확하게' 쓸 수 있도록 노력할 테니, 틀린 부분이 있다면 많은 지적 부탁드립니다.
요즘 보안 문제로 시끌 시끌하네요. 나쁜 의미에서 시끄럽다기 보다는, 많은 분들이 보안에 관심을 가지시는 것 같아서 좋긴 합니다. 알아둬서 손해볼 게 없는 것이 컴퓨터 보안 문제거든요. :) 대신 과유불급이라고 무작정 많이 알고, 항상 내용 그대로 행한다고 해서 언제나 좋은 결과만을 바랄 수는 없습니다. 문제점이 있다면 해결점을 찾아야 되고, 해결점이 없다면 회피하거나 다른 차선책을 찾아야 겠죠.
우선은 지적되고 있는 부분부터 짚고 넘어가야 겠죠. 많은 분들이 걱정하시는 로그인 정보 저장문제는 이미 sonamu님의 http://osnews.kr/328 에서 잘 설명되어 있으니 자세하게 다루지 않겠습니다. 다만 제가 알려드리고자 하는 것은 (비단 osnews.kr 블로그만이 아니라) 지적된 부분에 대한 제 생각입니다.
사용자가 모질라 파이어폭스나 구글 크롬을 사용함에 있어서, 내장된 웹사이트 자동 로그인 기능을 사용할시엔 사용자가 입력하는 아이디와 비밀번호가 컴퓨터에 일정한 형태로 저장되며 브라우저를 통해서도 그것을 손쉽게 확인할 수 있습니다. (편리를 위해서 이하 '아이디와 비밀번호'는 '로그인 정보'로 대신합니다) 여기서 일정한 형태란, 컴퓨터 레지스트리가 될 수도 있고, 텍스트 파일이 될 수도 있으며 또는 바이너리 파일이 될 수도 있습니다.
브라우저를 통해서 비밀번호를 확인할 수 있는 게 왜 중요하냐고 하실지도 모르겠는데요. 제 개인적으로는 사용자가 비밀번호를 '볼 수 있는 것'이 중요하다고 생각합니다. 행여라도 비밀번호를 까먹을 때, 확인하기도 쉽고 비밀번호를 사이트 마다 다 다르게 사용하실 분들에게도 편할 테니까요. 솔직히 비밀번호 까먹었는데, 비밀번호 분실 신고를 해서 이메일로 '리셋'된 새로운 비밀번호를 받는 것도 번거롭거든요.
이 와중에, 많은 분들이 (제 보기에는 말입니다) 잘못 생각하시는 것 같은데, 어떠한 정보가 plain text 또는 '텍스트'로 저장되는 것과 텍스트파일 포맷으로 저장되는 것은 크게 다릅니다. 텍스트파일 포맷으로 저장된다는 것은 일반 (MS윈도우에 내장된) 메모장으로 손쉽게 열어서 내용물을 확인할 수 있다는 것이며, 일반 '텍스트'로 저장된다는 것은 '암호화'없이 그대로 저장된다는 것입니다. 이렇게 일반 '텍스트'로 저장된 정보들은 메모장으로 열었을 시에 아무런 제제가 없이 내용 그대로 확인할 수 있게 됩니다. 예를 들어서, 특정 사이트의 로그인 정보가 hongildong//password (아이디//비밀번호) 라면, 일반 '텍스트'로 저장된 파일을 열었을 적에 위의 hongildong//password를 그대로 볼 수 있다는 것이에요.
하지만, '암호화'되어서 저장된 파일은 열어서 내용을 확인해도 (텍스트파일 포맷이라 할지라도) 육안으로는 절대 원문이 무엇인지 알아낼 수 없습니다. 일례로, linux에서 제공되는 기본적인 SHA-1 hash는 password라는 단어를 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 와 같이 암호화해서 저장합니다. 파이어폭스에서는 무슨 방식을 사용하는 지 찾아볼려고 했는데, 간단한 검색으로는 찾을 수가 없네요. 자신의 자동로그인 정보가 어떻게 저장되어 있는지 확인하실 분은 %userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt 또는 "C:\Documents and Settings\사용자이름\Application Data\Mozilla\Firefox\Profiles\xxxxxxxx.default\signons.txt (파폭2 유저라면 signons2.txt; xxxxxxxx.default 에서 xxxxxxxx 부분은 랜덤하게 만들어 집니다) 에서 확인하실 수 있습니다.
많은 분들의 근심과 걱정은 이해합니다. 특히나 PC방과 같은 공공장소에서의 컴퓨터 사용은 한층 더 신경을 써야 하죠. 언제 자신의 로그인정보가 빼내어져 가는지 모를 수가 있거든요. 하지만, 파폭의 자동로그인 기능은 단순히 도구에 불과하다고 말씀드리고 싶습니다. 제대로 사용한다면, 사용하지 않을 때보다 훨씬 더 편리한 웹서핑을 하실 수 있다고 강조하고 싶네요.
짤막하게나마 제가 생각하는 브라우저 사용팁은:
위의 방법들이 처음에는 아주 많이 귀찮게 느껴질겁니다. 혼자서 쓰는 데 뭐하러, 또는 설마 누가 보겠어 하는 안이한 생각을 가지고 있다가 괜히 소잃고 외양간 고치지 마시고, 차츰 차츰 습관화 해보세요. 단순하게 파폭의 자동 로그인 해제만이 보안 문제의 해결점이라고 굳게 믿고 계시면 안됩니다.
요즘 보안 문제로 시끌 시끌하네요. 나쁜 의미에서 시끄럽다기 보다는, 많은 분들이 보안에 관심을 가지시는 것 같아서 좋긴 합니다. 알아둬서 손해볼 게 없는 것이 컴퓨터 보안 문제거든요. :) 대신 과유불급이라고 무작정 많이 알고, 항상 내용 그대로 행한다고 해서 언제나 좋은 결과만을 바랄 수는 없습니다. 문제점이 있다면 해결점을 찾아야 되고, 해결점이 없다면 회피하거나 다른 차선책을 찾아야 겠죠.
우선은 지적되고 있는 부분부터 짚고 넘어가야 겠죠. 많은 분들이 걱정하시는 로그인 정보 저장문제는 이미 sonamu님의 http://osnews.kr/328 에서 잘 설명되어 있으니 자세하게 다루지 않겠습니다. 다만 제가 알려드리고자 하는 것은 (비단 osnews.kr 블로그만이 아니라) 지적된 부분에 대한 제 생각입니다.
사용자가 모질라 파이어폭스나 구글 크롬을 사용함에 있어서, 내장된 웹사이트 자동 로그인 기능을 사용할시엔 사용자가 입력하는 아이디와 비밀번호가 컴퓨터에 일정한 형태로 저장되며 브라우저를 통해서도 그것을 손쉽게 확인할 수 있습니다. (편리를 위해서 이하 '아이디와 비밀번호'는 '로그인 정보'로 대신합니다) 여기서 일정한 형태란, 컴퓨터 레지스트리가 될 수도 있고, 텍스트 파일이 될 수도 있으며 또는 바이너리 파일이 될 수도 있습니다.
브라우저를 통해서 비밀번호를 확인할 수 있는 게 왜 중요하냐고 하실지도 모르겠는데요. 제 개인적으로는 사용자가 비밀번호를 '볼 수 있는 것'이 중요하다고 생각합니다. 행여라도 비밀번호를 까먹을 때, 확인하기도 쉽고 비밀번호를 사이트 마다 다 다르게 사용하실 분들에게도 편할 테니까요. 솔직히 비밀번호 까먹었는데, 비밀번호 분실 신고를 해서 이메일로 '리셋'된 새로운 비밀번호를 받는 것도 번거롭거든요.
이 와중에, 많은 분들이 (제 보기에는 말입니다) 잘못 생각하시는 것 같은데, 어떠한 정보가 plain text 또는 '텍스트'로 저장되는 것과 텍스트파일 포맷으로 저장되는 것은 크게 다릅니다. 텍스트파일 포맷으로 저장된다는 것은 일반 (MS윈도우에 내장된) 메모장으로 손쉽게 열어서 내용물을 확인할 수 있다는 것이며, 일반 '텍스트'로 저장된다는 것은 '암호화'없이 그대로 저장된다는 것입니다. 이렇게 일반 '텍스트'로 저장된 정보들은 메모장으로 열었을 시에 아무런 제제가 없이 내용 그대로 확인할 수 있게 됩니다. 예를 들어서, 특정 사이트의 로그인 정보가 hongildong//password (아이디//비밀번호) 라면, 일반 '텍스트'로 저장된 파일을 열었을 적에 위의 hongildong//password를 그대로 볼 수 있다는 것이에요.
하지만, '암호화'되어서 저장된 파일은 열어서 내용을 확인해도 (텍스트파일 포맷이라 할지라도) 육안으로는 절대 원문이 무엇인지 알아낼 수 없습니다. 일례로, linux에서 제공되는 기본적인 SHA-1 hash는 password라는 단어를 5baa61e4c9b93f3f0682250b6cf8331b7ee68fd8 와 같이 암호화해서 저장합니다. 파이어폭스에서는 무슨 방식을 사용하는 지 찾아볼려고 했는데, 간단한 검색으로는 찾을 수가 없네요. 자신의 자동로그인 정보가 어떻게 저장되어 있는지 확인하실 분은 %userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt 또는 "C:\Documents and Settings\사용자이름\Application Data\Mozilla\Firefox\Profiles\xxxxxxxx.default\signons.txt (파폭2 유저라면 signons2.txt; xxxxxxxx.default 에서 xxxxxxxx 부분은 랜덤하게 만들어 집니다) 에서 확인하실 수 있습니다.
많은 분들의 근심과 걱정은 이해합니다. 특히나 PC방과 같은 공공장소에서의 컴퓨터 사용은 한층 더 신경을 써야 하죠. 언제 자신의 로그인정보가 빼내어져 가는지 모를 수가 있거든요. 하지만, 파폭의 자동로그인 기능은 단순히 도구에 불과하다고 말씀드리고 싶습니다. 제대로 사용한다면, 사용하지 않을 때보다 훨씬 더 편리한 웹서핑을 하실 수 있다고 강조하고 싶네요.
짤막하게나마 제가 생각하는 브라우저 사용팁은:
- PC방과 같은 공공장소에서 웹서핑을 할때는, 왠만해서는 USB드라이브에 포터블 브라우저를 넣어서 들고 다니시는 게 제일 속편하고 안전할 겁니다.
- 만약 그게 아니라면, (이미 설치되어 있는) 브라우저를 사용할때는 항상 로그인정보 저장이 선택되어 있는지 확인하시길 바랍니다.
- 익스플로러에서는 (영문 IE6 기준으로) Tools 메뉴 -> Internet Options 창 -> Content 탭-> AutoComplete 설정 -> Use AutoComplete for 섹션 -> User names and passwords on forms 에 체크가 되어 있다면 해제; 사용후에 기분이 찝찝하시다면 Clear Forms와 Clear Passwords 버튼 클릭도 추천해드리고 싶네요.
- 파이어폭스에서는 (영문 파폭2 기준으로) Tools 메뉴 -> Options 창 -> Security 탭 -> Passwords 섹션 -> Remember passwords for sites 에 체크가 되어 있다면 해제
- 파이어폭스에서 로그인정보가 그대로 노출되는 것이 불안하신 분들은, master password를 꼭 정하시길 바랍니다. 로그인정보에 자물쇠를 하나 더 채우는 셈이 되는 거에요.
- 크롬은 구글에서 개인정보 (웹서핑 관련; 방문사이트와 같은 통계) 를 따로 빼내간다는 (크롬 자체에서 구글로 정보를 보낸다는 표현이 맞을려나요) 기사를 읽은 뒤에는 사용하지 않고 있습니다. 정보 보내는 자체를 해제할 수도 그리고 수집한 정보를 익명처리한다고 하지만 불신감에 사용하지 않고 있습니다. 관련 기사는 Google Promises Privacy Fixes in Its Chrome Browser
- 알패스나 AI Robo Form과 같은 프로그램을 사용하신다면, master password를 꼭 정하시고 자동으로 로그인 되는 부분도 왠만하면 조심하시는 게 좋습니다. 비밀번호가 노출되지 않게 하는 것 까진 좋은데, 사이트 방문시에 자동으로 로그인이 되어 버린다면 비밀번호를 감춘 의미가 많이 사라지지 않겠어요. 자신의 컴퓨터를 타인에게 잠시 (사용할 수 있도록) 맡겨 두었는데, 그 상대방이 자신의 이메일 계정으로 자동 로그인할 수 있게 되는 것을 원하는 분은 없으시겠죠?
- 집에서든 회사에서든 (특히 회사에서) 컴퓨터를 개인적으로 사용하신다면, 꼭 컴퓨터 자체에 비밀번호를 걸어두시길 바랍니다. 왠만한 IT회사라면 도메인자체에서 password policy를 적용해서 비밀번호를 지속적으로 바꾸도록 강요하겠지만, 가정에서라면 귀찮아서라도 안하시는 분들이 계실 것 같습니다. 습관화 해주시면 나중에 소잃고 외양간 고치는 일이 없을 겁니다. MS윈도 영문 기준으로 Control Panel -> User Accounts 에서 자신의 계정의 암호를 정할 수도, 바꿀 수도 있습니다.
- 컴퓨터 OS자체에 암호를 정해놓는 것만으로는 부족합니다. 짧은 시간이든 긴 시간이든, 자리를 떠나야 하는 일이 생기면 꼭 컴퓨터를 '잠그시기' 바랍니다. 컴퓨터를 잠근다는 말은 'Lock Computer'의 직역이 될 수가 있는데요. 절대 컴퓨터가 스크린세이버 이후에 자동으로 잠궈지길 기다리지도 바라지도 마세요. 스크린세이버가 뜨는 동안에는 컴퓨터가 잠궈진 상태가 아닙니다. 누구든 곧바로 컴퓨터를 사용할 수 있는 상태에요. 컴퓨터를 잠그시기 위해서는, Ctrl + Alt + Del에서 나오는 화면에서 Lock Computer를 고르셔도 되고, 아니면 좀 더 빠르게 (단축키로) 키보드에서 windows key (윈도우 마크가 그려져 있는 키) + L 키를 누르시면 됩니다. 이렇게 '잠궈진' 컴퓨터는 자신이 정한 계정의 암호를 입력해야만 사용할 수 있게 되거든요.
- 자신의 계정에 암호를 걸어 두셨다면, 컴퓨터를 켰을 때 (패스워드 입력없이) 자동 로그인 되는 부분도 해제해주셔야 합니다. 컴퓨터를 잠그고 자리를 비웠다고 해도, 리붓을 해버리면 암호 입력없이 자동으로 로그인할 수 있으니, 무의미하거든요.
위의 방법들이 처음에는 아주 많이 귀찮게 느껴질겁니다. 혼자서 쓰는 데 뭐하러, 또는 설마 누가 보겠어 하는 안이한 생각을 가지고 있다가 괜히 소잃고 외양간 고치지 마시고, 차츰 차츰 습관화 해보세요. 단순하게 파폭의 자동 로그인 해제만이 보안 문제의 해결점이라고 굳게 믿고 계시면 안됩니다.
'v_ibe > IT 라이프' 카테고리의 다른 글
| 하드웨어도, 소프트웨어도 아닌 이제는 플랫폼 개발 시대 (0) | 2010/04/19 |
|---|---|
| 애플 아이패드 (iPad) 에 대한 단상 (1) | 2010/02/03 |
| 웹브라우저 (로그인정보) 보안 바로 알기 그리고 간단한 사용 팁 (2) | 2008/10/03 |
| 구글의 TNC 인수목적 발표: 텍스트큐브닷컴 침몰경보? (0) | 2008/09/15 |
| 태터앤컴퍼니, 구글과 함께하다 (0) | 2008/09/12 |
| 개인적으로 자주 사용하는 프로그램 리스트 (0) | 2008/09/11 |
저는 몇 달 전부터 암호를 저장하지 않고 있습니다. 암호를 저장하다 보니 몇몇은 그 암호를 잊어버리게 되더라구요. 고생좀 했죠. ㅎㅎ 그래서 암호도 기억하자는 차원에서 매일 번거롭게 긴 암호를 입력하고 있답니다. 불편하지만 여러모로 나은 거 같아요. 치매예방도 될것이고. ㅋㅋㅋ
전화번호를 저장해두고 자동으로 입력되게 하는 것 보다, 하나 하나 기억하는 것이 치매예방에 좋다는 말을 들은 것 같아요. 그러고 보면, 요즘 너무 전자기기에 의존하는 거 같아서 큰일이긴 합니다. 가끔 제 휴대폰 번호가 바로 기억나지 않을 때는 어이쿠 싶더군요. -_-;