> 내가 뭘 다운로드한다거나 입력같은거 안해도 내 컴푸터로 뚫고 들어와서
나도 모르게 악성 코드를 다운로드하는 기술이 과거에 몇 있었습니다. ActiveX, VBS, Flash 등. 악성 코드가 설치되는 것을 사용자가 눈치 못 채죠. VBS는 ActiveX 나 플래시보다 더 악성이었죠. VBS로는 그냥 웹사이트를 여는 것만으로도 pc 감염을 시킬 수 있었죠. 설치할까요 하고 물어보지도 않았어요. 이건 과거의 기술이지만 앞으로 비슷한 취약점이 없으리란 보장이 없어요.
> 내 컴푸터로 뚫고 들어와서 내 파일도 볼수 있는지…
해커들이 님 파일을 볼 것 같지는 않습니다. 하지만 꼭 봐야 한다면 볼 수 있겠죠. 그 대신 더 높은 챈스로 님이 가진 온라인 자산을 공격할 겁니다. 어떤 공격이 가능한 지 알게 되면 아마 오늘 당장 모든 웹사이트 패스워드를 다 다르게 만들고 주기적으로 패스워드 로테이션을 하며 싱글사인온과 MFA를 더 적극적으로 사용하는 등 주의를 기울이겠지만, 안타깝게도 님은 그런 거 관심 적으실 것 같네요. 일어날 수 있는 일은, 오늘 내가 사용한 패스워드를 포함한 암호화된 웹 트랜잭션이 6개월 후 해커의 손에 넘어가 해독되는 것입니다. 그리고 그 패스워드는 향후 10년간 주요한 웹사이트에 대해 credential stuffing (패스워드 자동 대입) 공격에 계속 사용될 겁니다. https를 사용하고 있더라도 말이죠.
결국 http 경고의 주 목적은 님의 패스워드 등 secret을 tapping으로부터 보호하려는 것인데요. 심지어 https를 써도 그것이 최신 버전이 아닌 한 위험이 어느 정도 있기 때문에, 온라인 사용자도 함께 보안에 주의를 기울이는 게 필요합니다.
10여년 이상 전에는 보안과 편의성은 tradeoff 관계에 있다고 보았으나 최근에는 기술이 계속 좋아져서 더 이상 그렇지는 않고요. 높은 보안을 유지하면서도 편리한 인증기술들이 보편화되었습니다.
보안 전문가들의 중지를 모아보면, passwordless가 가장 나은 선택입니다. 그 다음 MFA 가장 추천되고요 (암호 인증에 더해서 로그인 때마다 하드웨어 토큰 생성기 사용, 전화 인증 등). 생체 인식 그 다음 좋습니다. SSO를 적극적으로 사용하여 (구글로 로그인, 페이스북으로 로그인 같은 거) 패스워드의 개수를 줄이고 집중적으로 해당 패스워드를 보호하는 (길고 복잡하게, 주기적 변경) 것도 좋은 패턴입니다. 불가피하게 패스워드가 유일한 인증 수단이면, 웹사이트마다 다른 패스워드 사용하는 것 고려해보세요. 실행이 까다롭지만 잘 생각해보시면 방법을 착안할 수 있을 겁니다.