딮 웹/스마트폰

이제 아이오에스(iOS)와 안드로이드 스마트폰(smartphone) 및 태블맅(tablet)에서도 심층 웹을 이용할 수 있습니다. 접속이 끝난 후 웹 브라우저의 히스토리 등을 지워 자신이 딥 웹에 접속했다는 증거를 숨겨야 합니다.(SD 카드 복원으로 복구할 수 없게 데이터 암호화를 해놓아야 합니다.)

안드로이드

오어봍

오어봍(Orbot)은 스마트폰에서 토어 네트워크 접속을 하게 해주는 앱이다.

https://f-droid.org 에서 FDroid.apk 파일을 다운로드하여 F-Droid를 설치한다. 그 후 F-Droid의 Repositories에서 Guardian Project Official Releases를 OFF에서 ON으로 바꾼다. 그 후 orbot을 검색하여 설치한다.

구글 플레이 스토어 대신에 에프-드로이드를 사용하는 이유는 추적을 피하기 위해서이다.

오어폭스

오어폭스(Orfox)는 가디언 프로젝트(Guardian Project)에서 개발 중인 앱으로, 오어웹의 후속 버전이다.

https://f-droid.org 에서 FDroid.apk 파일을 다운로드하여 F-Droid를 설치한다. 그 후 F-Droid의 Repositories에서 Guardian Project Official Releases를 OFF에서 ON으로 바꾼다. 그 후 orfox를 검색하여 설치한다.

오어폭스 관련 정보는 https://guardianproject.info/2015/06/30/orfox-aspiring-to-bring-tor-browser-to-android/ 에서 볼 수 있다.

또는 토어 브라우저로 https://github.com/guardianproject/Orfox 에 접속하여 소스 코드를 다운로드 받은 후 직접 apk 파일로 만들어서 설치하면 된다. 왜 토어 브라우저로 받냐하면 그냥 일반 브라우저로 받으면 여러분이 다운로드 받은 기록이 여러분의 IP 주소와 함께 남기 때문이다. 소스 코드를 어떻게 안드로이드 앱으로 만드는 지 모른다면 인터넷 검색해보면 알 수 있다. 요새는 안드로이드 개발자가 되려는 사람이 많아서 관련 내용을 설명해놓은 글들이 많다.

• 가디언 프로젝트, 안드로이용 초강력 토르 브라우저 발표

안드로이드용 토르 브라우저 개발을 지원해 온 가디언 프로젝트(Guardian Project)가 현재로서는 최상의 대안이 될 수 있는 방안을 가지고 돌아왔다.

새로운 프로젝트는 오어폭스(Orfox)로, 모질라 파이어폭스와 동일한 코드를 기반으로 한다. 데스크톱 브라우저와 코드를 공유하기 때문에 웹뷰(WebView)를 사용하던 이전 프로젝트보다 한층 더 다양한 기능을 구현할 수 있다. 웹뷰는 보통 모바일 앱 내에서 웹 페이지를 일시적으로 보기 위한 용도로 사용된다.

오어폭스 브라우저는 현재 가디언 프로젝트 사이트에서 다운로드할 수 있는데, 여러 단계를 거쳐야 하므로 사이트의 설명을 잘 따라야 한다. 특히 부가적으로 설치되는 소프트웨어에 대해 잘 이해해야 하며, 아직 초기 버전이므로 일부 버그도 감수해야 한다. http://www.itworld.co.kr/news/94332

오어웹

에프-드로이드(F-Droid, https://f-droid.org )나 구글 플레이 스토어에서 Orbot과 Orweb을 다운받으면 됩니다. 구글 플레이 스토어보다는 에프-드로이드에서 다운로드 받는 게 낫다. F-Droid는 구글의 플레이 스토어와 비슷한 사설 앱 스토어이다. 왜 구글 플레이 스토어가 아니라 F-Droid에서 딮 웹용 앱을 설치해야하냐면 여러분이 구글 플레이 스토어에서 받은 모든 앱은 여러분의 계정 정보와 IP 주소와 함께 구글에 기록이 남기 때문이다. F-Droid에서 설치하면 최소한 구글 계정 정보는 남지 않는다.

에프-드로이드를 설치하기 위해 먼저 스마트폰의 설정에서 안드로이드 마켓이 아닌 곳에서 다운로드 받은 apk 파일도 설치할 수 있게 설정을 바꾼다. 아마 대부분 "설정 -> 보안(Security) -> 알 수 없는 소스(Unknown sources)"에서 바꿀 수 있을 것이다. 그리고 F-Droid( https://f-droid.org )에 토르 브라우저 등으로 접속하여 F-Droid의 apk 파일을 다운로드 받아 설치한다.

2013년에 오어웹의 보안 취약점이 드러난 적이 있다. 하이퍼텍스트 마크업 언어 5(HTML5) 비디오나 오디오가 자동으로 재생되게 되어있는 웹싸이트에 접속할 경우 실제 IP 주소가 노출되는 문제였다. https://guardianproject.info/2013/08/21/orweb-security-advisory-possible-ip-leakage-with-html5-videoaudio/ 이 문제는 현재 아마도 해결된 상태이다.

파이어폭스

안드로이드 스마트폰을 루팅(rooting)한 후 오어봍(Orbot)에 파이어폭스를 물려서 쓰는 방법과 Proxy Mobile이라는 add-on을 설치하는 두 가지 방법이 있는데 현재는 가디언 프로젝트에서 프랔씨 모바일 개발을 포기하여 두번째 방법은 사용할 수 없다. proxymob.xpi 파일만 구해서 까는 방법도 있다. https://guardianproject.info/releases/ 이 주소의 제일 아랫 부분에 proxymob.xpi 파일이 있다. 그러나 이 파일을 컴퓨터로 받아 스마트폰으로 옮겨서 설치하려고 해도 설치가 되지 않는다. 스마트폰용 파이어폭스에서 직접 다운로드 받으면 설치가 될 수도 있다.

파이어폭스로 딮 웹을 탐험할 시 보안 취약점이 있다. 패비콘이 있는 웹싸이트에 접속할 경우 패비콘을 다운로드 받으면서 실제 IP 주소가 노출되는 문제이다. https://blogs.fsfe.org/jens.lechtenboerger/2015/06/09/firefox-with-tororbot-on-android/ 이런 여러가지 문제들로 결국 가디언 프로젝트측에서 프랔씨 모바일 개발을 포기하고, 오어웹을 대체할 오어폭스를 개발하게 되었다.

설치 방법은 안드로이드에 파이어폭스 설치 후 '도구 -> 부가 기능(Add-ons)'에서 Proxy Mobile을 설치하면 됩니다.(호환성 문제로 직접 설치는 안 되고, 애드-온 제조사 홈페이지에 방문하여 설치합니다. 루팅은 필요 없습니다. https://guardianproject.info/apps/firefoxprivacy/ 이 사이트에서 INSTALL PROXYMOB 클릭. 또는 파이어폭스 부가 기능(Add-ons)에서 Proxy Mobile 검색해서 들어간 후 웹사이트(Website) 링크로 들어가도 설치할 수 있다.) 다시 일반 인터넷 접속으로 설정하려면 부가 기능의 Proxy Mobile의 Use Proxy 항목을 체크 해제해주거나 프락시 모바일 자체를 중지시키면 됩니다. 현재는 안 된다.

검색은 구글 대신 스타트페이지( https://startpage.com/ )나 덕덕고( https://duckduckgo.com/ )에서 하는 것이 좋다. 만약 duckduckgo.com 을 주소창에 입력했는데 접속이 안 되면 www.duckduckgo.com 을 주소창에 입력하면 된다. 덕덕고(DuckDuckGo) 사이트에 접속 후 검색 창의 글씨 쓰는 부분을 한번 누르면 오른쪽 위에 검색엔진을 추가하는 아이콘이 뜬다. 또는 덕덕고 검색 엔진도 부가 기능(Add-ons)에서 설치해서 내장 검색 엔진에 추가할 수 있다.(여러 버전이 있는데 다운로드 수가 가장 많은 것으로 받으면 된다.) 덕덕고에서 word !endic 이런 형식으로 검색하면 네이버 영어 사전 검색 결과가 뜬다.

아니면 about:config로 브라우저에서 프락시 설정이 가능하게 바꾼 후

SOCKS Proxy Host 127.0.0.1

SOCKS Proxy Port 9050

이렇게 설정해주면 된다. 현재는 안 된다.

• 파이어폭스에서 '프로그램 설정 -> 디스플레이 -> 플러그인'을 '사용 안 함'으로 설정
• 파이어폭스 모바일 버전에서도 노스크립트 설치가 가능하며 또한 노스크립트 설치 없이도 자바스크립트를 끌 수 있다. 설치 방법 및 자바스크립트 끄는 방법은 노스크립트 항목 참조.

iOS(아이폰/아이패드)

• 애플 앱 스토어(App Store)에 등록된 가짜 토르 브라우저 주의 (2014.3.20) http://hummingbird.tistory.com/5295

• Onion Browser로 접속할 수 있다. Tor에서 만든 공식 앱이 아니고, 소스 코드 공개 여부도 알 수 없어서 안전한지는 모르겠다. 일단 애플측에서 검수하고서 앱 스토어에 업로드하는 것이니 백도어가 있을 가능성은 낮다.(하지만 애플의 규정을 어기지 않는 수준이라면 삽입되었을 수도 있다.)

• 아이폰으로 딥 웹 접속하기 http://m.blog.naver.com/legojjang97/163363865
  • 아이폰으로 딥웹 접속하기
• 아이폰 딥 웹 접속-사파리 브라우저+모바일 토르 http://m.blog.naver.com/legojjang97/164040181
  • 아이폰 딥웹 접속-사파리 브라우져+모바일 토르
• 아이폰 사파리 + 토르 브라우저 (아이폰 사파리로 프락시, 딥 웹 접속 등) http://m.blog.naver.com/legojjang97/202265825
  • 아이폰 사파리 + 토르 브라우저 (아이폰 사파리로 프록시, 딥웹 접속 등)

스마트폰/태블맅(tablet)도 언제든지 압수 수색을 당할 수 있으므로 데이터를 암호화해서 사용해야 한다. 스마트폰에 있는 자료는 유죄 판결의 중요한 근거가 된다.^[1]

안드로이드

시스템 설정 -> 보안 -> 휴대전화(태블릿) 암호화

기기에 따라 '빠른 암호화'와 '전체 암호화' 두 가지 메뉴가 있을 수 있다. 전체 암호화를 해도 보통 30분에서 1시간이면 암호화가 끝난다.(기기 초기화 상태에서 30분 정도 걸린다. 데이터가 많으면 더 오래 걸릴 수 있다.) 이왕이면 전체 암호화를 하는 것이 좋다.

휴대전화(태블릿) 암호화에 쓰이는 암호화 키는 화면 잠금에 쓰이는 비밀번호(대소문자, 숫자, 특수문자 4~16자리)나 핀(PIN, 숫자 4~16자리)과 같은 키를 사용하며 암호화한 후에 화면 잠금 키를 변경할 경우 휴대전화 암호화 키도 변경된다. 부팅시마다 휴대전화 암호화를 해제해주어야 하며, 화면잠금시에는 화면 잠금 해제를 하면 되는데 두 개의 암호가 같아서 휴대전화 암호화 비밀번호가 지나치게 길 경우 화면 잠금 해제가 힘들고, 또 너무 짧으면 사전(dictionary) 대입법이나 무작위 대입법으로 휴대전화 암호화가 쉽게 뚫린다.

루팅(rooting)을 통해 휴대전화 암호화 비밀번호와 화면 잠금 비밀번호를 다르게 설정하는 방법도 있다.^[2] 암호는 사전에 있는 단어는 사용해서는 안 되며 소문자, 대문자, 숫자, 특수문자를 모두 사용하여야 한다.

암호화한 후에는 '없음', '슬라이드', '패턴'은 사용할 수 없으며 PIN과 비밀번호만 사용 가능하다.

암호화는 30분에서 1시간 정도 걸리며 데이터가 많으면 그에 비례하여 더 오래 걸릴 수도 있다. 또한 배터리가 80% 이상 충전돼있어야 암호화 작업을 시작할 수 있다. 스마트폰 기기 종류나 안드로이드 버전에 따라 전원을 연결해야 암호화 작업을 시작할 수 있는 경우가 있다. 이때 중간에 전원 연결을 끊어도 중간에 배터리가 떨어지지만 않으면 정상적으로 완료된다.

임의의 데이터로 저장 공간을 덮어씌우는 작업은 시간이 많이 걸린다. 게다가 여러번 덮어씌우더라도 데이터를 완벽하게 파기하는 건 힘들다. 즉, 일부라도 복구가 가능하다.

긴급한 상황에 데이터를 파기할 시간은 없으며 완전히 숨길 수도 없다. 제일 좋은 방법은 미리 암호화를 해놨다가 긴급 상황에는 암호를 매우 어려운 것으로 바꾸고 스마트폰을 초기화하는 것이 좋다. 이쪽은 몇 분 밖에 안 걸린다.

외장 SD 카드의 경우 '시스템 설정 -> 보안 -> SD 카드 암호화' 항목에서 암호화를 하면 된다.

자료 폐기시

암호화 비밀번호를 매우 어려운 것으로 바꾼 후 공장초기화시킨다.

iOS

아이폰과 아이패드는 자체적으로 암호화해서 데이터를 보관한다.^[3] 중고 아이폰을 수리해서 다른 사람에게 리퍼비시 제품으로 주기 때문에 개인 정보 유출을 막기 위한 조치로 생각된다. 그러나 일부 데이터는 복구가 가능하다.^[4]

기본적으로 아이폰은 암호화 되어있어서 복구율이 떨어진다. 특히 비할당영역은 복구율이 많이 떨어진다. 물론 아이폰 포렌식 도구는 찾을 수 있지만 데이터 복구용 도구는 아니다. 삭제된 파일을 복구하는 것이 주가 아니라 살아있는 데이터를 가지고 행위를 분석하는 도구이다.

http://noscript.net/nsa/

위 링크에서 Download NSA++을 눌러서 설치합니다. 그 후 '도구 -> 부가 기능 -> NoScript'에서 Full Protection을 선택해줍니다.

이렇게 해도 자바스크맆트가 안 꺼질 경우 모바일 파이어폭스 주소창에 about:config 를 입력하여 이동한 후 java로 검색하여 javascript.enabled 항목으로 이동합니다. 그 후 true로 되어있는 걸 false로 바꿔줍니다.

이런 식으로 자바스크맆트를 끄더라도 노스크맆트는 설치하고 Full Protection으로 설정해서 사용하시기 바랍니다. 노스크맆트가 자바스크맆트뿐만 아니라 자바, 플래시, 기타 플러그인들도 차단해주어서 보안상의 위험을 줄여주기 때문입니다.

이렇게까지 해도 토르 브라우저 번들에서는 차단되는 사이트가 차단되지 않는 경우도 있습니다!

• 파이어폭스 모바일을 사용할 경우 사생활 탭(Private tab)으로 딥 웹을 탐방한다. 사생활 탭을 사용해야 불의의 순간에 경찰에 스마트폰을 압수당해서 데이터를 못 지웠을 경우라도 증거가 남지 않는다. 폰 데이터를 복구해봐도 나올 게 거의 없다.
• 카카오톡 대신에 텔레그램과 파이어챗을 사용하는 것이 더 안전합니다. 텔레그램의 비밀대화 시작(Secret Chat)의 경우 통신 내용을 암호화하며 운영자도 메시지를 열람하는 것이 불가능하고, 메시지를 상대방이 확인한 후 자신이 설정한 시간이 지나면 메시지가 자동 삭제됩니다. 그리고 이쪽에서 대화방을 삭제하면 상대방쪽에서도 삭제됩니다. 또한 텔레그램은 오픈 소스 소프트웨어라 개발자가 삽입할 수도 있는 백도어로부터 안전합니다.
  • 텔레그램의 경우 비밀대화는 클라이언트 대 클라이언트로, 일반대화는 클라이언트 대 서버, 서버 대 클라이언트로 암호화가 이루어집니다. 그리고 비밀대화가 현재 비밀대화중인 친구와 나의 기기 외에는 어디에도 저장되지 않는 반면에 일반대화는 암호화된 메시지가 클라우드에 저장되어 다른 기기에서도 쉽게 접근할 수 있습니다. 또한 비밀대화의 경우 자신이 미리 지정한 기간이 지나면 자신의 기기와 상대방의 기기에서 자동으로 삭제됩니다.
• 이메일도 자신이 거주하는 국가에 본사가 있는 회사보다는 외국에 있는 회사의 이메일이 더 안전합니다.(경찰의 수사권은 해당 국가의 영역 안으로 한정되므로)
  • 구글 메일보다는 야후 메일이 더 안전합니다. 왜냐하면 구글은 한국에 지사가 있어서 한국 검찰이 이메일 내놓으라고 강요하면 한국 지사 철수할 거 아니면 결국 내놔야합니다.(그래도 본사가 한국에 있는 회사들보다는 훨씬 강하게 거부할 수 있습니다.) 하지만 야후는 한국에 지사도 없기 때문에 어디서 개가 짖냐고 무시해버릴 수 있습니다. 단, 야후 본사가 있는 미국 법을 어기는 행위는 하면 안 됩니다.
• 이동통신단말장치 유통구조 개선에 관한 법률(단통법) - 휴대전화 단말기 가격과 이동통신 요금의 상향평준화. 이동통신사 수익 및 주가 급상승
• 단말기 완전자급제 - 휴대전화 판매는 제조사나 유통사가, 이동통신 서비스는 이동통신사가

• 스마트폰에서도 지피지(GPG)나 비트코인을 사용할 수 있다. 구글 플레이(Google Play)나 애플 앱 스토어(App Store)에서 'GPG'나 '비트코인'으로 검색하면 많은 앱이 나온다.
• 안드로이드 스마트폰의 경우 The Guardian Project로 검색하면 많은 유용한 앱이 나옵니다. 오르웹(Orweb), 압스큐라캠(ObscuraCam, 이미지 파일에 GPS 위치 정보, 스마트폰 모델명 등 개인 식별 가능 정보를 포함하지 않음), 그누 프라이버시 가드 (앱)(Gnu Privacy Guard (App)), 챗시큐어(ChatSecure) 등 많은 익명 및 개인 정보 보호 앱들이 있습니다. 또한 오르봇(Orbot)도 여기서 개발한 겁니다.(개발자 이름은 The Tor Project로 되어 있음.) 또한 이 모든 소프트웨어들은 오픈 소스 소프트웨어라 보안상 안전합니다.

안드로이드에서 GPG 사용

The Guardian Project에서 개발한 그누 프라이버시 가드 (앱)(Gnu Privacy Guard (App))를 설치하고 맨 처음 설정시에 여러분의 열쇠고리(keyring)를 여러분의 주소록(contacts)과 동기화(sync)할 거냐고 묻는데 체크 해제해준다. 열쇠를 생성할 때 여러분의 이름과 이메일 주소를 여러분의 폰에서 가져오는데 당연히 이름은 가명으로 바꿔주고, 이메일 주소는 엉터리로 적어주면 된다. 열쇠를 열쇠서버(keyservers)로 업로드할 거냐고도 묻는데 당연히 체크 해제한다. 또한 열쇠를 SD card에 백업(backup)할 거냐고 묻는데 SD card를 암호화해놓지 않은 경우 체크 해제한다.

쏠쓰 코드

구글 플레이에서 앱을 다운로드하면서 남는 개인 정보(아이디, 아이피 주소 등)는 여러분을 추적할 수 있는 단서가 된다. 그럴 경우에 대비하여 아래 링크에서 토르 브라우저로 쏠쓰 코드(source code)를 다운로드 받은 후 직접 앱으로 만들어도 된다.

https://gitweb.torproject.org/orbot.git

https://github.com/guardianproject/Orweb

https://github.com/guardianproject/gnupg-for-android

https://github.com/guardianproject/ChatSecureAndroid

https://github.com/guardianproject/ObscuraCam

챝시큐어(토르 채팅)

• 안드로이드 및 아이오에스(iOS)에서 사용할 수 있는 채팅 앱이다. 토르 네트워크를 사용하도록 설정할 수 있다. 토르 네트워크를 사용할 경우 국가 전복 계획에도 사용할 수 있을 정도로 매우 안전하다. 자세한 사항은 챝시큐어(ChatSecure) 항목을 참조하면 된다.

iOS에서 PGP 사용

아이오에스(iOS)에서 피지피(PGP) 암호화는 오픈지피(oPenGP)를 사용하면 된다. 오픈지피는 오픈피지피(OpenPGP) 표준을 지원한다. https://itunes.apple.com/en/app/opengp/id414003727?mt=8

카카오톡 대신 텔레그램(Telegram)과 파이어챝(FireChat)같은 채팅 프로그램을 사용하는 것이 안전하다. 텔레그램에서 비밀대화 시작(Secret Chat)을 할 경우 자신의 기기에서 상대방의 기기까지 암호화해서 통신(end-to-end encryption)하고, 서버에 기록을 남기지 않으며 상대방이 메시지를 확인한 후 메시지가 자동 삭제되는 시간을 설정할 수 있으며 대화 내용을 제 3자에게 전달(forwarding)하는 것을 막을 수 있다. 또한 오픈 소스 소프트웨어라 앱에 개발자가 삽입한 백도어가 있을 가능성으로부터 안전하다. 파이어챗같은 경우는 정부에 의해 인터넷망이 마비되거나 전면적으로 검열할 경우 블루투스, 와이파이, 멀티피어(애플) 등으로 상대방과 무선 메시 네트워크를 사용하여 피투피(P2P)로 연결하여 대화를 나눌 수 있다.

• 한국은 ‘텔레그램’, 홍콩은 ‘파이어챗’

이 같은 파이어챗의 인기는 중국 정부의 인터넷 검열 탓이다. 현재 홍콩에서는 2017년 홍콩 행정장관 선거를 중국 당국의 개입 없는 자유직선제로 치르자는 시민들의 시위가 한창이다. 하지만 시민들이 사회 관계망 서비스(SNS)에 올린 시위 현장 상황들이 빠른 속도로 퍼지자 중국 정부는 인터넷을 통제하기 시작했다. 9월28일에는 시위 사진이 더 번지는 것을 막기 위해 중국 본토에서 사진 공유 SNS 인스타그램 접속을 막았다.

파이어챗은 시위 현장이나 공연장과 같이 사람들이 많이 몰려 통신 장애가 발생하는 곳에서 유용하다. 이동통신망이나 인터넷 연결 없이도 네트워킹이 되기 때문이다. 파이어챗은 대화 상대자가 70m안에 있을 경우엔 인터넷 연결 없이도 메시지를 보낼 수 있다. 일종의 P2P 방식으로 사용자가 가진 기기끼리 자원을 연결해 쓰기 때문이다.

<벤처비트>에 따르면 현재 오픈가든 팀은 파이어챗 메시지를 암호화하는 기술을 개발 중이다. 파이어챗은 정부가 모든 인터넷 접속을 막았을 때 소통할 수 있는 유용한 도구이지만 감청에는 취약할 수 있기 때문이다. 크로스토퍼 달리걸트 오픈가든 최고마케팅책임자(CMO)는 “파이어챗은 그리드 컴퓨팅으로 작동하기 때문에 보안 문제를 해결하기가 다른 메신저 앱보다 더 어렵다”라고 설명했다.

http://www.bloter.net/archives/208156