기자들은 스타벅스를 좋아한다. 무선 인터넷과 전원 플러그를 제공하기 때문이다. 근무시간의 대부분을 사무실 외부에서 일하는 기자들에겐 스타벅스가 사무실이나 마찬가지다.

스타벅스에 가서 가장 먼저 하는 일은 와이파이를 연결하는 일이다. 컴퓨터를 켜고 근처 무선 네트워크 목록에서 Starbucks라는 단어가 들어간 이름의 와이파이를 찾아서 연결한다.

그런데, 만약 이 와이파이가 스타벅스의 것이 아니고 해커가 만든 가짜 와이파이라면 어떻게 될까?

무선 와이파이 이름은 누구나 마음대로 지을 수 있기 때문에 해커가 만든 가짜 Starbucks 와이파이와 진짜 Starbucks 와이파이를 이용자는 구별할 수 없다. 해커의 와이파이에 접속하는 그 순간, 이용자는 해커의 밥이다. 해커는 이용자가 날리는 모든 패킷을 엿볼 수 있다. 이용자의 모든 정보는 해커의 손에 들어갈 것이다.

이런 해킹 기법을 스니핑(Sniffing)이라고 부른다. 공공 와이파이는 스니퍼(스니핑을 하는 해커)의 좋은 먹잇감이다. 데이터 요금을 아끼기 위해 우리는 흔히 공공 와이파이에 접속한다. 그러나 알고보면 그것은 매우 위험한 일이다. 스니퍼가 만든 가짜 와이파이인지 진짜 와이파이인지 알 수 없기 때문이다.

가짜 Starbucks AP를 얼마든지 만들 수 있다.

가짜 스타벅스 와이파이는 얼마든지 만들 수 있다.스니핑에 해결책은 없는 것을까? 물론 있다. VPN(가상사설망)을 이용하면 된다. VPN은 인터넷에 접속하는 기기와 서버 사이에 터널을 만드는 기술이다. 터널을 오가는 정보는 외부에서 볼 수 없다. 해커가 가짜 공공와이파이를 만들어 놓고 접속자의 정보를 훔쳐보려해도 터널 안을 볼 수가 없다.

그러나 VPN은 대중적으로 알려져있지 않다. 컴퓨터에 안티바이러스 설치하지 않는 사람은 드물지만, VPN에 대해 알고 있는 이들은 드물다. 대다수의 공공 와이파이 이용자가 스니핑의 위협에 노출돼 있는 것이다.

보안업체 맥아피코리아 송한진 대표는 “안티바이러스처럼 VPN이 보편적인 보안기술이 되도록 정부나 통신업체, 전자업체 등이 노력해야 한다”고 주장했다.

삼성전자는 유럽과 미국에서 출시하는 갤럭시노트8, 갤럭시S9 등 최신 스마트폰 모델에 ‘시큐어 와이파이’라는 기능을 제공한다. 이 기능을 사용하면 인터넷 트래픽이 암호화되므로 공공 장소에서 제공하는 무료 와이파이를 안전하게 이용할 수 있다. 일종의 VPN이다. 그러나 국내에 출시된 모델에는 이 기능이 포함돼 있지 않다. 제조사와 통신사의 입장이 엇갈리고 있기 때문이다. 통신사는 VPN을 부가상품으로 판매하고 있다. 스마트폰에 VPN이 기본 탑재되는 것을 달가와할리 없다. 제조사는 통신사의 눈치를 보지 않을 수 없다. 결국 국내 이용자만 스니핑에 노출돼 있는 것이다.

이에 대해 송 대표는 “해킹된 와이파이에 접속해 금융거래를 하면 누구도 이를 보상할 수 없다”면서 “우선 일반 이용자가 VPN의 필요성을 인지할 수 있도록 널리 알려야 한다”고 강조했다.

글. 바이라인네트워크
<심재석 기자>shimsky@byline.network