HTTPS와 달리 보안되지 않은 HTTP 사이트는 데이터가 브라우저에서 웹사이트 서버로 전달될 때 암호화되지 않습니다. 사용자의 통신을 임의의 문자로 변경하여 외부인으로부터 숨겨주는 SSL(보안 소켓 계층) 암호화가 적용되지 않아 사이버 범죄자가 사용자 데이터에 쉽게 액세스할 수 있습니다.
현재 대부분의 브라우저는 암호화된 사이트에는 자물쇠 아이콘을, 암호화되지 않은 사이트에는 ‘안전하지 않음’ 경고를 표시하여 보안 웹사이트와 비보안 웹사이트를 구분할 수 있습니다. 이 경고가 표시되는 즉시 아래 나열된 보안 수칙을 준수하여 데이터를 보호하고 있는지 확인해야 합니다.
최신 소프트웨어 사용
악성 웹사이트 또는 디바이스에 바이러스 설치를 시도하는 웹사이트는 보안되지 않은 HTTP를 통해 운영되는 경우가 많습니다. 해커는 시스템을 감염시켜 컴퓨터를 완전히 제어하고 금융 정보, 사용자 이름, 비밀번호와 같은 민감한 정보를 훔칠 수 있습니다.
악성 웹사이트를 방문하는 것만으로도 해커가 기기를 감염시킬 수 있으며, 사용자가 의도적으로 링크를 클릭하거나 소프트웨어를 다운로드할 필요도 없습니다. 보안되지 않은 웹사이트를 방문하면 사용자 모르게 바이러스가 자동으로 컴퓨터에 다운로드됩니다.
드라이브 바이 다운로드 공격은 보안이 취약한 HTTP 웹사이트에 널리 퍼져 있는 해킹 방법의 일종입니다. 누군가가 웹사이트를 방문할 때마다 해커가 만든 악성 스크립트가 활성화되어 사용자의 디바이스에서 바이러스를 퍼뜨리는 데 사용할 수 있는 취약점을 원격으로 검색합니다.
피해자의 브라우저, 애플리케이션, 운영 체제 또는 플러그인이 오래된 경우 바이러스가 컴퓨터에 빠르게 설치될 수 있습니다. 피해자의 브라우저, 애플리케이션, 운영 체제 또는 플러그인이 오래된 경우 바이러스가 컴퓨터에 빠르게 설치될 수 있습니다. 웹사이트의 안전하지 않은 링크나 팝업 광고는 종종 새 탭으로 이동하여 클릭 시 특정 소프트웨어를 다운로드하도록 요청합니다. 광고를 닫기 위해 “X”를 클릭해도 공격자가 컴퓨터를 바이러스에 감염시키는 데 도움이 될 수 있습니다.
해커는 설치된 바이러스를 악용하여 주로 네트워크 활동 및 트래픽을 모니터링하고, 정보를 파괴하고, 장치가 제대로 작동하지 못하게 하고, 더 많은 악성 소프트웨어를 컴퓨터에 전송하여 데이터를 훔칠 수 있습니다.
장치를 보호하려면 운영 체제, 브라우저, 확장 프로그램 및 인터넷에 액세스할 수 있는 기타 애플리케이션을 최신 상태로 유지해야 합니다. 최신 보안 업데이트로 패치를 적용하지 않은 경우 해커가 해당 취약점을 악용하여 시스템을 공격할 수 있습니다.
가장 중요한 것은 최신 바이러스 백신 소프트웨어를 설치하는 것입니다. 드라이브 바이 다운로드는 사용자 모르게 조용히 진행되지만 바이러스 백신 소프트웨어는 이를 빠르게 감지할 수 있습니다.
보안 애드온 다운로드
바이러스 백신 애플리케이션은 전체 시스템을 보호하지만, 보안되지 않은 HTTP 웹사이트를 방문할 때는 추가적인 보호 계층이 필요할 수 있습니다. 보안 애드온 또는 확장 프로그램은 브라우저의 보안과 개인정보 보호를 강화하는 데 도움이 되는 작은 소프트웨어입니다.
보안 애드온은 추적기를 비활성화하고, 비밀번호를 암호화하고, 팝업 광고를 차단하고, 웹사이트의 보안 여부를 식별할 수도 있습니다. 구글 크롬, 파이어폭스, 브레이브, 오페라, 마이크로소프트 엣지 등 주요 온라인 브라우저에서 다양한 보안 확장 프로그램을 사용할 수 있습니다.
다음 보안 애드온을 권장합니다:
⭐ AVG Link Scanner : 내장된 웹사이트 보안 스캐너가 안전하지 않은 웹사이트의 바이러스 및 피싱 공격을 방지합니다.
⭐ Bitdefender TrafficLight : 방문하는 모든 웹 사이트를 검사하고 악성 콘텐츠가 있는 사이트 부분을 제한합니다.
⭐ Dashlane : 암호화된 비밀번호 관리자로, 해커가 사용자 이름을 알아내더라도 계정에 액세스할 수 없습니다.
⭐ Web of Trust : 머신 러닝(ML) 알고리즘, 보안 검사, 리뷰/등급 검사를 사용하여 웹사이트에 악성 활동이 있는지 검사합니다.
브라우저 확장 프로그램은 서로 효과적으로 충돌하여 다른 확장 프로그램의 영향을 줄일 수 있습니다. 따라서 브라우저 확장 프로그램과 관련해서는 “적은 것이 더 많다”는 규칙을 적용해야 합니다.
또한 선호하는 브라우저의 공식 웹 스토어에서 브라우저 확장 프로그램을 다운로드하고 개발자에 대한 배경 조사를 통해 추가 기능이 안전한지 확인하세요.
VPN 사용
안전하지 않은 웹사이트에 IP 주소를 공개하면 사용자의 위치가 노출되어 위험에 처할 수 있으므로 공개해서는 안 됩니다. 해커는 보안 번호, 생년월일 및 기타 세부 정보를 포함하는 IP 주소를 사용하여 개인 식별 정보(PII)를 얻을 수 있습니다. 해커는 다크 웹에서 사용자의 데이터를 판매하거나 사이버 범죄에 사용할 수 있습니다.
IP 주소를 다른 주소로 대체하는 가상 사설망(VPN)을 사용하면 이 모든 문제를 피할 수 있습니다. 해커는 사용자의 실제 위치를 보호하기 위해 사용자의 실제 IP 주소 대신 사용자가 연결된 VPN 서버의 IP 주소만 볼 수 있습니다. 또한, 네트워크 간에 이동하는 모든 데이터는 암호화되어 적절한 암호 해독 키 없이는 읽을 수 없게 됩니다!
2단계 인증 사용
모든 계정에서 2단계 인증(2FA)이 활성화되어 있는지 확인합니다. 2단계 인증을 사용하여 계정에 액세스하려면 이메일이나 문자 메시지를 통해 받은 일회용 비밀번호를 입력해야 합니다. 해커가 로그인 인증 정보에 액세스하더라도 일회용 비밀번호에는 액세스할 수 없습니다.
다행히도 보안되지 않은 웹사이트에서 다운로드한 대부분의 바이러스는 네트워크나 SIM 카드를 감염시키지 못하므로 공격자가 2FA 비밀번호를 알아낼 수 없습니다.
웹사이트가 계정 로그인을 요청하는 가짜 페이지로 리디렉션하는 경우 2단계 인증이 사용자를 보호합니다. 가짜 웹사이트가 일회성 비밀번호를 요청하지 않는다는 사실은 해당 공급업체의 합법적인 웹사이트가 아니라는 분명한 증거입니다.
해커가 2단계 인증을 우회할 수 있는 경우도 있지만, 계정 보호를 위해 추가 보안 조치를 취하는 것이 좋습니다.
검색 기록, 쿠키 및 캐시 지우기
검색 기록을 지우면 낯선 웹사이트로의 페이지 리디렉션과 팝업 광고는 제거할 수 있지만 시스템에서 바이러스를 제거하지는 못합니다. 하지만 저장된 비밀번호나 사용자 이름은 삭제됩니다.
비밀번호가 더 이상 브라우저에 저장되지 않으므로 컴퓨터가 해킹되더라도 공격자가 로그인 자격 증명에 액세스할 수 없습니다.
보안되지 않은 HTTP 사이트 방문을 피해야 하는 이유는 무엇인가요?
보안되지 않은 HTTP 사이트에는 암호화가 없기 때문에 개인 데이터, 신원, 비밀번호가 유출될 위험이 있습니다. HTTP 웹사이트를 방문할 때 개인 정보를 입력하지 않고 필요한 예방 조치를 취하면 위험을 줄일 수 있지만, 그래도 보안되지 않은 사이트는 피하는 것이 좋습니다.
HTTP는 암호화되지 않아 HTTPS만큼 안전하지 않기 때문에 Chrome을 포함한 대부분의 온라인 브라우저는 기본 URL 프로토콜을 “https://”로 변경했습니다.