모바일 통신 모범 사례 지침_출처 : CISA(미국 사이버 보안 및 인프라 보안국)

소개

미국 사이버 보안 및 인프라 보안국(CISA)은 중국 정부와 관련된 사이버 위협 행위자들이 상업 통신 인프라를 표적으로 삼아, 고객 통화 기록을 탈취하고 일부 고도로 표적화된 개인의 사적인 통신을 손상시킨 사례를 확인했습니다.
이 지침은 특히 고위 정부 관계자 또는 정치적 위치에 있는 개인들을 대상으로 하여, 그들의 모바일 통신을 보호하기 위한 구체적인 방법을 제공합니다.

---

모범 사례

1. 종단 간 암호화된 통신 사용

• Signal과 같은 **종단 간 암호화(E2EE)**를 지원하는 무료 메시징 앱 사용을 권장합니다.
  • E2EE는 통신 내용이 송신자와 수신자 외에는 아무도 읽을 수 없도록 보장합니다.
• 기능: 텍스트 메시지, 그룹 채팅(최대 1000명), 암호화된 음성/영상 통화, 사라지는 메시지, 사진 등을 지원.
• 앱을 선택할 때, 앱이 메타데이터(사용 정보, 시간 등)를 얼마나 수집하고 저장하는지 확인해야 합니다.

---

2. FIDO 인증 활성화 (피싱 방지)

• FIDO 인증은 다중 인증(MFA) 중에서도 가장 강력한 방식입니다.
  • 하드웨어 기반(FIDO 보안 키: Yubico, Google Titan) 또는 암호 키(passkey) 사용을 권장.
• 사용 방법:
  1. 중요 계정(이메일, 소셜 미디어 등) 목록 작성.
  2. FIDO 인증을 활성화(특히 Microsoft, Google, Apple 계정).
  3. 기존의 덜 안전한 인증 방식(SMS 등)은 비활성화.
  4. Gmail 사용자는 Google 고급 보호 프로그램(Advanced Protection Program, APP) 가입 추천.

---

3. SMS 기반 MFA 사용 중단

• SMS는 암호화되지 않으며, 통신망을 통해 쉽게 가로챌 수 있어 보안성이 낮습니다.
• 대안: Google Authenticator, Microsoft Authenticator와 같은 인증 앱 사용.
• 주의 사항: SMS 인증을 완전히 제거하지 않으면 공격자가 이를 악용할 가능성이 있습니다.

---

4. 비밀번호 관리 도구 사용

• 추천 앱: LastPass, Dashlane, 1Password 등.
• 기능: 약하거나 중복된 비밀번호를 자동으로 경고하며, 무작위로 강력한 비밀번호를 생성.
• 보호 방법: 비밀번호 관리 앱의 기본 암호를 강력한 구문(긴 문자열, 고유, 무작위)으로 설정.

---

5. 통신사 계정에 PIN 설정

• 모바일 계정의 SIM 스와핑(전화번호 도용) 방지용 PIN 설정.
• 예: 통신사 계정 로그인 시 PIN을 추가로 요구하도록 설정.

---

6. 소프트웨어 정기 업데이트

• 매주 운영 체제 및 앱 업데이트 확인.
• 자동 업데이트 활성화로 중요한 보안 패치를 즉시 적용.

---

7. 최신 하드웨어 사용

• 최신 기기는 오래된 기기가 지원하지 못하는 중요한 보안 기능을 제공합니다.
• 최신 기기로 교체 시, 보안 업데이트의 이점을 최대화할 수 있습니다.

---

8. 개인 VPN 사용 제한

• 개인 VPN은 ISP(인터넷 서비스 제공업체) 대신 VPN 제공자에게 리스크를 전가하며, 공격 표면을 확장할 수 있습니다.
• 단, 조직에서 제공하는 VPN은 예외.

---

iPhone 사용자 권장 사항

1. 잠금 모드 활성화
   • 잠금 모드는 앱, 웹사이트, 기능의 동작을 제한하여 공격 표면을 줄이는 옵션입니다.
     • 설정 경로: [설정] → [잠금 모드]
2. iMessage만 사용
   • iMessage는 Apple 사용자 간 종단 간 암호화를 제공합니다.
   • 설정 방법: [설정] → [앱] → [메시지] → "문자로 보내기(SMS)" 비활성화.
3. DNS 보호
   • Cloudflare(1.1.1.1), Google(8.8.8.8), Quad9(9.9.9.9) 등의 암호화된 DNS 서비스 사용.
4. iCloud Private Relay 등록
   • 기능: Safari에서 암호화된 DNS, IP 주소 마스킹 등.
   • 한계: Safari 브라우저에만 적용.
5. 앱 권한 제한
   • 앱의 민감한 데이터 접근 권한(위치, 카메라, 마이크 등)을 필요 시 제한.
   • 설정 방법: [설정] → [개인정보 및 보안].

---

Android 사용자 권장 사항

1. 보안 강화를 약속한 제조사의 기기 사용
   • 하드웨어 보안 모듈(HSM)을 지원하며 최소 5년간 보안 업데이트를 약속하는 기기 우선.
2. RCS 채팅 암호화 확인
   • Google Messages를 사용하는 모든 사용자 간 대화에서 암호화 활성화.
3. DNS 보호
   • Cloudflare(1.1.1.1), Google(8.8.8.8), Quad9(9.9.9.9) 등.
4. Chrome 보안 기능 활성화
   • 항상 안전한 연결 사용 및 향상된 안전 보호 설정으로 HTTPS 연결 및 악성 웹사이트 차단.
5. Google Play Protect 활성화
   • 악성 앱 탐지 및 차단.
6. 앱 권한 제한
   • 앱이 카메라, 위치, 마이크에 접근하지 못하도록 필요 시 권한 삭제.

---

사이버 사고 보고 방법

사이버 사건은 CISA에 신고 가능:

• 전화: 1-844-729-2472
• 이메일: report@cisa.dhs.gov
• 온라인: CISA 서비스 페이지

guidance-mobile-communications-best-practices.pdf

0.37MB