스마트폰

필독 사항	유닠스 계열	저작물, 성인물, 도박	웹 써버 보안	프로그래밍	그래핔	파싱
필독 사항	고스트BSD	표면 웹 싸이트 제작	리눅스 마스터	파이썬	트킨터	뷰티펄 숲
수학	아이투피	마약, 아청물, 해킹	웹 싸이트 보안	웹 프로그래밍	데이터 분석	게임 제작
통계학	뮤와이어	다크넽 싸이트 제작	정보 보안 기사	쟁고우	팬더즈	파이게임

스마트폰·태블맅 보안

아이폰과 아이패드는 앱 스토어에 앱을 올리기 전에 애플측에서 한 번 검수하기 때문에 앱 스토어에서 앱을 받을 경우 미국 정부측에서 삽입한 백도어가 있을 가능성은 있긴 하지만 그 앱이 경제적 이익을 목적으로 한 해킹 앱인지는 별 신경 쓰지 않아도 된다. 하지만 앤드러이드 스마트폰과 태블맅은 누구나 개발자로 구글에 등록하기만 하면 플레이 스토어에 자유롭게 앱을 올릴 수 있기 때문에 해킹 앱이나 스파이웨어가 꽤 있다. 플레이 스토어 밖에서 apk 파일 형태로 배포하는 앱은 말할 것도 없다.

따라서 안드로이드에서는 "설정(System settings) -> 보안(Security) -> 알 수 없는 소스(Unknown sources)"를 체크해놓으면 안 된다. 여기를 체크해놓으면 플레이 스토어 밖의 앱도 설치되며 실수로 문자 메시지나 카톡으로 날아온 스미싱 앱을 설치하는 경우도 있을 수 있다.

또한 앱을 설치할 때 권한을 잘 봐야한다. 해킹 앱이 요구하는 권한은 주로 "사진과 동영상 찍기, 오디오 녹음, 주소록 읽기, 대략적인 위치, 정확한 위치, 문자메시지 받기, 완전한 네트워크 액세스" 정도이다. 사진, 동영상, 오디오 녹화 및 녹음은 해킹된 스마트폰 주인을 감시하고 협박하기 위해, 주소록은 주소록에 등록된 사람들에게 스미싱 문자나 카톡을 발송하기 위해, 위치 정보는 위치를 파악하기 위해, 문자 메시지는 인터넷 뱅킹이나 본인 인증이 필요한 서비스를 뚫고 돈이나 개인 정보를 훔치기 위해, 네트워크 액세스는 스마트폰을 외부에서 완벽히 통제하기 위해서 필요하다.

스마트폰이나 태블맅도 항상 안드로이드나 아이OS 등의 운영 체제를 최신 버전으로 유지하여 보안 취약점이 없도록 해야 한다.

'아찔한 ××녀' 악성 앱으로 2억 가로채 2013-05-06

1인당 1만6500원 자동 소액결제

구글 플레이스토어에 정식 등록된 악성 애플리케이션(앱·응용프로그램)을 내려받은 사용자의 휴대폰 번호와 주민등록번호 등을 불법 수집, 별도의 인증절차 없이 소액결제해 2억2000여만원의 부당이익을 챙긴 일당이 경찰에 붙잡혔다. 이들 일당은 구글 계정만 있으면 누구나 개발자 등록을 할 수 있다는 점을 악용했다.

서울지방경찰청 사이버수사대는 무료 앱을 가장해 불법 수집한 개인정보를 이용, 휴대폰 소액결제를 통해 수억원을 가로챈 혐의(정보통신망이용촉진 및 정보보호 등에 관한 법률 위반)로 백모씨(47)를 구속하고 컴퓨터 프로그래머 최모씨(38) 등 공범 2명을 불구속 입건했다고 6일 발표했다.

백씨 등은 지난해 10월부터 약 5개월간 안드로이드 스마트폰 앱을 다운받을 수 있는 구글 플레이스토어에 악성 앱 125개를 등록해 놓고 이를 내려받은 사용자의 휴대폰 번호와 주민등록번호 등을 불법 수집해 소액결제하는 수법으로 7600여명으로부터 2억2000여만원의 부당이익을 챙긴 혐의를 받고 있다.

경찰에 따르면 이들은 ‘뒤태 아찔한 레이싱걸’ 등 자극적인 제목의 성인 콘텐츠로 악성 앱 다운로드를 유도했다. 이 악성 앱은 다운로드 즉시 사용자의 휴대폰 번호가 자동 추출되도록 프로그래밍돼 있었다. 또 콘텐츠 이용 시 성인인증 절차를 거치도록 해 사용자가 직접 주민등록번호를 입력하도록 유인했다.

http://www.hankyung.com/news/app/newsview.php?aid=2013050656011

앱 권한

Play Store에서 앱을 설치할 때는 앱 권한이 뜨면서 동의를 구합니다. 여러분들은 어떠신가요? 자세히 들여다보시나요? 전....자세히 들여다 봅니다. 다시 한번 강조하지만 플레이 스토어에 등록된 앱이 안전하다는 생각은 버려야합니다.

● 하드웨어 제어

- 사진과 동영상 찍기 : 앱이 카메라로 사진과 동영상을 찍을 수 있음. 안드로이드는 ‘이 권한을 사용하면 앱이 사용자의 확인 없이 언제든지 사진을 촬영할 수 있다’고 설명한다.

- 오디오 녹음 : 앱이 마이크를 이용해 주변 소리를 녹음할 수 있다. 카메라와 마찬가지로 이 권한을 갖고 있는 앱은 언제든 주변 소리를 녹음할 수 있다. 음성 녹음이 필요한 앱들이 쓰는데 나쁘게 활용하면 도청 앱이 될 수 있다.

- 오디오 설정 변경 : 앱이 스피커나 이어폰의 음량을 조정할 수 있다.

● 개인정보

- 주소록 읽기 : 앱이 주소록에 접근해 연락처 데이터를 읽을 수 있다. 특정인과 전화, 이메일 등으로 연락한 빈도도 파악된다.

- 주소록 수정 : 앱이 주소록 정보를 수정할 수 있다. 수정한다는 것은 ‘고친다’ 뿐 아니라 ‘삭제한다’도 포함돼 있다.

- 통화기록 읽기 : 앱이 수신·발신 등 통화 기록을 파악할 수 있다. 악성 앱이 통화 기록 데이터를 외부로 빼낼 수 있다.

- 통화기록 쓰기 : 앱이 수신·발신 등 통화 기록에 접근해 내용을 변경할 수 있다. 악성 앱이 통화 기록을 지워버리는 데 쓰일 수 있다.

● 위치

- 대략적인 위치 : 기지국과 무선랜의 IP 주소를 기반으로 대략적인 위치를 파악할 수 있다.

- 정확한 위치 : GPS나 GLONASS 등 위성 기반의 정확한 위치를 알 수 있다.

● 전화 통화

- 휴대폰 상태 및 아이디 읽기 : 앱이 전화 기능에 직접 접근할 수 있다. 단순히 통화내역 뿐 아니라 내 전화번호와 기기를 식별할 수 있는 기기 아이디까지 파악할 수 있다. 푸시 기능을 보내기 위해 기기를 식별하는 수단으로 쓰이는데, 해커들에게도 정확한 기기에 접근할 수 있는 수단이 된다.

● 요금이 부과되는 서비스

- 전화번호 자동 연결 : 앱이 특정 전화번호로 전화를 걸 수 있도록 한다. 안드로이드는 악성 앱이 확인 없이 전화를 걸어 요금이 부과될 수 있다고 경고한다.

● 저장

- SD카드의 콘텐츠 수정 또는 삭제 : 앱이 저장공간에 접근해 파일을 기록할 수 있다.

● 메시지

- 문자메시지 받기 : 앱이 일반 휴대폰 문자메시지 보관함에 접근해 내용을 읽고 모니터링할 수 있다. 신용카드 관리 앱이 이를 이용하는 대표적인 사례지만, 한편으로 도청 앱이 가장 즐겨쓰는 기능이기도 하다.

● 계정

- 계정만들기 및 비밀번호 설정 : 앱이 계정을 만들고 비밀번호를 가져오는 등 계정에 직접 접근할 수 있다. 주로 페이스북, 트위터 등 안드로이드 설정에서 ‘계정’ 항목에 포함되는 앱들이 필요로 하는 권한이다.

- 계정 추가 및 삭제 : 마찬가지로 계정 정보를 추가하거나 삭제할 수 있다.

● 시스템 도구

- 와이파이 연결 및 연결 해제 : 필요에 따라 앱이 무선랜을 쓰거나 끌 수 있도록 한다.

- 다른 앱 위에 그리기 : 앱이 다른 앱 위에 창을 띄워 메시지를 전달할 수 있다. 페이스북 챗헤드를 생각하면 이해가 쉽다.

- 동기화 사용 및 사용 중지 전환 : 앱이 계정의 동기화 설정을 이용한다. 페이스북이 친구 정보와 스마트폰의 연락처 정보를 대조한 뒤 동기화하기 위해 쓰는 기능이다.

- 실행중인 앱 검색 : 현재 실행중이거나 최근에 실행된 작업에 대한 정보를 검색한다. 이 앱을 쓰는 사람들이 좋아하는 다른 앱들을 검색하는 용도다.

- 휴대전화가 절전 모드로 전환되지 않도록 설정 : 동영상 재생처럼 화면이 꺼지면 안되는 순간에 절전모드로 넘어가지 않도록 유지하는 기능이다.

● 네트워크 통신

- 블루투스 기기와 페어링 : 앱이 블루투스로 연결된 장치에 접근할 수 있도록 하는 기능이다.

- 완전한 네트워크 액세스 : 말 그대로 네트워크에 접속하는 권한을 주는 것이다. 인터넷에 접근하고 웹에 올라온 파일을 불러오는 정도의 권한이 아니라 앱이 직접 네트워크 소켓을 만들고 스스로의 프로토콜을 이용하는 수준의 권한이다.

스마트폰·태블맅에서 딮 웹 접속

이제 아이오에스(iOS)와 안드로이드 스마트폰(smartphone) 및 태블맅(tablet)에서도 심층 웹을 이용할 수 있습니다. 접속이 끝난 후 웹 브라우저의 히스토리 등을 지워 자신이 딮 웹에 접속했다는 증거를 숨겨야 합니다. SD 카드 복원으로 복구할 수 없게 기기 암호화를 해놓으면 더 좋습니다.

오어봍, 오어폭스, 챝씨큐어 등 가디언 프로젴트의 앱들은 https://guardianproject.info/releases/ 에서 apk 파일로 다운로드 받을 수 있다.

스마트폰에서 토어 넽워크에 접속하려면 오어봍(Orbot)과 오어퐄스(Orfox)를 설치한 후 오어봍을 작동시킨 상태에서 오어퐄스를 쓰면 된다.
카카오톡, 텔레그램 등 전화번호로 인증하거나 서버에 접속 아이피 주소가 남는 앱을 불법적인 용도에 사용하면 체포된다.
스마트폰도 컴퓨터처럼 전체 암호화를 시켜놓고 써야한다.
오픈 소스인 리눅스와 조립 컴퓨터로 제조사와 국가의 감시에서 벗어났듯이 안드로이드와 프로젝트 아라로 제조사 및 국가의 감시로부터 독립을 이뤄낼 수 있을 것이다.

안드로이드에서 딮 웹 접속

에프-드로이드(F-Droid, 사설 앱 마켙, https://f-droid.org )나 구글 플레이 스토어에서 오어봍(Orbot)과 오어폭스(Orfox)를 다운로드받으면 됩니다. 구글 플레이 스토어보다는 에프-드로이드에서 다운로드 받는 게 낫습니다. 구글 플레이 스토어 대신에 에프-드로이드를 사용하는 이유는 추적을 피하기 위해서입니다. F-Droid는 구글의 플레이 스토어와 비슷한 사설 앱 스토어입니다. 왜 구글 플레이 스토어가 아니라 F-Droid에서 딮 웹용 앱을 설치해야하냐면 여러분이 구글 플레이 스토어에서 받은 모든 앱은 여러분의 계정 정보와 IP 주소와 함께 구글에 기록이 남기 때문입니다. F-Droid에서 설치하면 최소한 구글 계정 정보는 남지 않습니다.

에프-드로이드(F-Droid)를 설치하기 위해 먼저 스마트폰의 설정에서 안드로이드 마켓이 아닌 곳에서 다운로드 받은 apk 파일도 설치할 수 있게 설정을 바꾼다. 아마 대부분 "설정(System settings) -> 보안(Security) -> 알 수 없는 소스(Unknown sources)"에서 바꿀 수 있을 것이다. 그리고 컴퓨터의 토어(Tor) 브라우저로 F-Droid( https://f-droid.org )에 접속하여 FDroid.apk 파일을 다운로드 받아 스마트폰으로 옮긴 후 설치한다. 토어 네트워크를 통하지 않고 스마트폰에서 직접 받으면 추적당할 수 있기 때문에 권장하지 않는다.

에프-드로이드를 설치한 후 F-Droid의 Repositories(저장소 관리)에서 Guardian Project Official Releases를 OFF에서 ON으로 바꾼다. 그러면 Updating repositories가 뜨면서 저장소가 자동으로 갱신된다. 그 후 필요한 앱을 검색하면 된다.

에프-드로이드를 더 안전하게 사용하려면 Preferences(설정)의 PROXY(프록시)의 Enable HTTP Proxy(HTTP 프록시 사용)에 체크해줍니다. 그리고 Proxy Host(프록시 호스트)에는 127.0.0.1을, Proxy Port(프록시 포트)에는 8118을 써주면 됩니다. 그리고 Orbot을 켜놓은 상태에서 F-Droid를 사용하면 Tor 네트워크로 접속되어 매우 안전합니다.(누구도 당신이 어떤 앱을 받았는지 알지 못 합니다!) 이 경우 만약 Orbot이 꺼져있다면 F-Droid에서 앱 다운로드가 되지 않습니다. F-Droid에서 우선 Orbot부터 깔고, Orfox는 proxy로 받으면 됩니다. 최신 버전의 F-Droid는 Preferences(설정)의 Proxy에서 Use Tor를 선택하면 밑의 Enable HTTP Proxy, Proxy Host, Proxy Port를 설정할 필요가 없다.

안드로이드를 익명성하에 안전하게 사용하는 방법은 https://zomiaofflinegames.com/darkandroid/ 를 참조하기 바랍니다.

오어봍

오어봍(Orbot)은 스마트폰에서 토어(Tor) 네트워크에 접속하게 해주는 앱이다. 에프-드로이드(F-Droid)에서 Orbot을 검색하여 설치한다. 또는 구글 플레이 스토어나 아마존 앱스토어에서 다운로드받을 수도 있다. 그리고 오어봍을 켜놓은 상태에서 오어폭스로 딮 웹에 접속하면 된다.

Orbot의 설정에 들어가서 RELAYS(중계서버)의 Relaying(중계)에 체크해준다. Relaying은 Enable your device to be a non-exit relay(귀하의 장치를 출구가 아닌 중계서버로 활성화)라는 설명처럼 여러분의 Orbot을 출구가 아닌 연결 중간의 노드(node)로 사용하는 것이다. Tor 접속은 3개의 노드를 거치는데 여러분이 마지막 노드로 작동하지만 않는다면 Tor 네트워크 외부에 IP 주소가 기록될 일은 없으므로 여러분의 IP가 특정 사이트에서 block되거나 하는 경우도 없다. 그리고 이걸 한다고 해서 당신의 익명성 보호에는 아무 문제없으니 당신을 포함한 Tor 사용자 모두를 위해서 체크해주자. Tor의 특성상 노드가 많아질 수록 익명성이 강해진다. 왜냐하면 접속을 바꿀 노드가 많을 수록 특정 사용자를 찾기는 힘들기 때문이다.

apk 파일을 직접 다운로드 받으려면 다음 링크( https://guardianproject.info/apps/orbot/ )로 가서 Direct Download (.apk)를 클릭하여 orbot-latest.apk 파일을 다운로드 받는다.

소스 코드는 https://gitweb.torproject.org/orbot.git 에서 다운로드 받을 수 있다.

오어퐄스

오어퐄스(Orfox)는 가디언 프로젝트(Guardian Project)에서 개발 중인 앱으로, 오어웹(Orweb)의 후속 버전이다. 파이어폭스를 개조한 토어 브라우저처럼 모바일 파이어폭스에 노스크맆트(NoScript)와 HTTPS 에브리웨어(HTTPS Everywhere) 애드-온을 깔아놓고 일부 설정을 바꿔서 오어폭스로 만들었다. TBB(Tor Browser Bundle)에 적용된 설정은 Orfox에도 대부분 적용되었다. 단, Orweb과 마찬가지로 이미지 파일 저장은 되지 않는 것 같다.

에프-드로이드에서 Orfox를 검색하여 설치하면 된다. 에프-드로이드에서 Orfox로 검색해도 나오지 않는 경우 에프-드로이드의 Repositories에서 Guardian Project를 켜주면 된다.

오어폭스 관련 정보는 https://guardianproject.info/2015/06/30/orfox-aspiring-to-bring-tor-browser-to-android/ 에서 볼 수 있다.

또는 토어 브라우저로 https://github.com/guardianproject/Orfox 에 접속하여 소스 코드를 다운로드 받은 후 직접 apk 파일로 만들어서 설치하면 된다. 왜 토어 브라우저로 받냐하면 그냥 일반 브라우저로 받으면 여러분이 다운로드 받은 기록이 여러분의 IP 주소와 함께 남기 때문이다. 소스 코드를 어떻게 안드로이드 앱으로 만드는 지 모른다면 인터넷 검색해보면 알 수 있다. 요새는 안드로이드 개발자가 되려는 사람이 많아서 관련 내용을 설명해놓은 글들이 많다.

가디언 프로젝트, 안드로이용 초강력 토르 브라우저 발표

안드로이드용 토르 브라우저 개발을 지원해 온 가디언 프로젝트(Guardian Project)가 현재로서는 최상의 대안이 될 수 있는 방안을 가지고 돌아왔다.
새로운 프로젝트는 오어폭스(Orfox)로, 모질라 파이어폭스와 동일한 코드를 기반으로 한다. 데스크톱 브라우저와 코드를 공유하기 때문에 웹뷰(WebView)를 사용하던 이전 프로젝트보다 한층 더 다양한 기능을 구현할 수 있다. 웹뷰는 보통 모바일 앱 내에서 웹 페이지를 일시적으로 보기 위한 용도로 사용된다.
오어폭스 브라우저는 현재 가디언 프로젝트 사이트에서 다운로드할 수 있는데, 여러 단계를 거쳐야 하므로 사이트의 설명을 잘 따라야 한다. 특히 부가적으로 설치되는 소프트웨어에 대해 잘 이해해야 하며, 아직 초기 버전이므로 일부 버그도 감수해야 한다. http://www.itworld.co.kr/news/94332

오어폭스에서도 토어 브라우저처럼 디스커넥트(Disconnect) 검색 엔진을 쓰면 구글, 빙, 야후, 덕덕고 중 골라서 검색할 수 있어서 편하고, 덕덕고나 스타트페이지와 마찬가지로 검색하는 사람에 대한 정보를 저장하지 않아 개인 정보 보호에도 좋다. https://search.disconnect.me/

스타트페이지(Startpage, https://startpage.com/ )나 덕덕고(DuckDuckGo, https://duckduckgo.com/ )도 쓸만하다. 단, 오어폭스에 기본으로 내장된 덕덕고는 자바스크맆트 버전이니 그건 지워버리고 다음 주소로 방문한 다음 검색 엔진에 추가한다. https://duckduckgo.com/html/

스타트페이지는 모바일 버전에 비자바스크맆트 상태에서도 검색 대상 기간 설정(하루, 일주일, 한 달, 일년)을 할 수 있고, 이미지 검색도 잘 떠서 오어폭스에서 쓰기에 최적의 검색 엔진이라고 할 수 있다.

보안을 위해 몇 가지 설정을 추가로 해준다.

Settings -> Display -> Allow autoplay 체크 해제. 에이치티엠엘5(HTML5) video나 audio가 자동 재생되는 것을 막아준다.

Tools -> Add-ons -> NoScript -> Classic Whitelist에서 Full Protection으로 변경. 사이트 이용을 위해 어쩔 수 없이 스크맆트나 플러그-인을 허용한 사이트에서도 스크맆트나 플러그-인이 자동으로 작동하는 것을 막아준다.

오어웹

오어웹(Orweb)은 오어폭스(Orfox)의 구형 버전이다. 오어폭스와는 달리 탭을 하나만 띄울 수 있어서 불편하다. 왜냐하면 안드로이드에 내장된 WebView (Webkit)를 사용하기 때문이다. 이와는 달리 Orfox는 Firefox에 TBB(Tor Browser Bundle)를 적용하여 사용한다.

2013년에 오어웹의 보안 취약점이 드러난 적이 있다. 하이퍼텍스트 마크업 언어 5(HTML5) 비디오나 오디오가 자동으로 재생되게 되어있는 웹싸이트에 접속할 경우 실제 IP 주소가 노출되는 문제였다. https://guardianproject.info/2013/08/21/orweb-security-advisory-possible-ip-leakage-with-html5-videoaudio/ 이 문제는 현재 ~~아마도~~ 해결된 상태이다.

소스 코드는 https://github.com/guardianproject/Orweb 에서 다운로드 받을 수 있다.

파이어폭스

안드로이드 스마트폰을 루팅(rooting)한 후 오어봍(Orbot)에 파이어폭스를 물려서 쓰는 방법과 Proxy Mobile이라는 add-on을 설치하는 두 가지 방법이 있는데 현재는 가디언 프로젝트에서 프랔씨 모바일 개발을 포기하여 두번째 방법은 사용할 수 없다. proxymob.xpi 파일만 구해서 까는 방법도 있다. https://guardianproject.info/releases/ 이 주소의 제일 아랫 부분에 proxymob.xpi 파일이 있다. 그러나 이 파일을 컴퓨터로 받아 스마트폰으로 옮겨서 설치하려고 해도 설치가 되지 않는다. 스마트폰용 파이어폭스에서 직접 다운로드 받으면 설치가 될 수도 있다.

파이어폭스로 딮 웹을 탐험할 시 보안 취약점이 있다. 패비콘(favicon)이 있는 웹싸이트에 접속할 경우 패비콘을 다운로드 받으면서 실제 IP 주소가 노출되는 문제이다.(패비콘 다운로드시에는 토어(Tor) 네트워크가 아니라 일반 네트워크로 다운로드 받는다.) https://blogs.fsfe.org/jens.lechtenboerger/2015/06/09/firefox-with-tororbot-on-android/ 이런 여러가지 문제들로 결국 가디언 프로젝트측에서 프랔씨 모바일(Proxy Mobile) 개발을 포기하고, 오어웹을 대체할 오어폭스를 개발하게 되었다. 이 보안 취약점은 현재도 해결이 안 된 것 같다. 오어폭스에서는 아마도 해결된 것 같으니 오어폭스 사용을 추천한다.

설치 방법은 안드로이드에 파이어폭스 설치 후 '도구 -> 부가 기능(Add-ons)'에서 Proxy Mobile을 설치하면 됩니다.(호환성 문제로 직접 설치는 안 되고, 애드-온 제조사 홈페이지에 방문하여 설치합니다. 루팅은 필요 없습니다. https://guardianproject.info/apps/firefoxprivacy/ 이 사이트에서 INSTALL PROXYMOB 클릭. 또는 파이어폭스 부가 기능(Add-ons)에서 Proxy Mobile 검색해서 들어간 후 웹사이트(Website) 링크로 들어가도 설치할 수 있다.) 다시 일반 인터넷 접속으로 설정하려면 부가 기능의 Proxy Mobile의 Use Proxy 항목을 체크 해제해주거나 프락시 모바일 자체를 중지시키면 됩니다. 현재는 안 된다.

검색은 구글 대신 스타트페이지( https://startpage.com/ )나 덕덕고( https://duckduckgo.com/ )에서 하는 것이 좋다. 만약 duckduckgo.com 을 주소창에 입력했는데 접속이 안 되면 www.duckduckgo.com 을 주소창에 입력하면 된다. 덕덕고(DuckDuckGo) 사이트에 접속 후 검색 창의 글씨 쓰는 부분을 한번 누르면 오른쪽 위에 검색엔진을 추가하는 아이콘이 뜬다. 또는 덕덕고 검색 엔진도 부가 기능(Add-ons)에서 설치해서 내장 검색 엔진에 추가할 수 있다.(여러 버전이 있는데 다운로드 수가 가장 많은 것으로 받으면 된다.) 덕덕고에서 word !endic 이런 형식으로 검색하면 네이버 영어 사전 검색 결과가 뜬다.

~~아니면 about:config로 브라우저에서 프락시 설정이 가능하게 바꾼 후~~

~~SOCKS Proxy Host 127.0.0.1~~

~~SOCKS Proxy Port 9050~~

~~이렇게 설정해주면 된다.~~ 현재는 안 된다.

파이어폭스에서 '프로그램 설정 -> 디스플레이 -> 플러그인'을 '사용 안 함'으로 설정
파이어폭스 모바일 버전에서도 노스크립트 설치가 가능하며 또한 노스크립트 설치 없이도 자바스크립트를 끌 수 있다. 설치 방법 및 자바스크립트 끄는 방법은 노스크립트 항목 참조.
파이어폭스에서 about:config 사용 방법은 http://kb.mozillazine.org/About:config_entries 를 참조하기 바란다.

크맆톤 어나니머스

크맆톤 어나니머스(Krypton Anonymous)는 크로미엄(Chromium) 기반의 안드로이드용 딮 웹 브라우저이다. https://kr36.co/ 플레이 스토어를 통해서 배포하는데 플레이 스토어는 추적의 위험이 있으니 되도록이면 인터넷에서 Krypton Anonymous apk 이렇게 검색해서 apk 파일 형태로 받는 게 낫다. 단, 공식 배포처가 아닌 곳에서 배포되는 apk 파일은 악성 코드가 포함되어 있을 수 있으니 주의한다.

설치한 후 Settings에서 Javascrip를 꺼주고, Tor Always On은 켜준다. 이미지를 저장하려고 이미지 파일 위에서 Save Content를 누르면 WARNING: Download may not use Tor!라고 뜬다. 아마 마찬가지 이유에서 Orweb과 Orfox에서도 이미지 파일 다운로드 기능을 막아놨다고 생각된다. 크맆톤 어나니머스는 탭(tab)을 모두 닫으면 자동으로 모든 기록을 삭제하고 종료되며 별도의 종료 기능은 없다. Krypton이라고 Krypton Anonymous와 비슷한 브라우저가 있는데 Krypton은 Tor 넽워크 접속 기능이 없는 일반 브라우저이다. Krypton Anonymous 사용시 https://check.torproject.org 에 접속하여 토어 넽워크에 접속한 상태인지 확인하고 사용한다.

하지만 되도록이면 토어(Tor)측에서 공인한 가디언 프로젴트에서 만든 오어폭스를 쓰는 게 안전하다.

라이트닝 브라우저

라이트닝 브라우저도 오어봍(Orbot)을 지원한다. 물론 되도록이면 준공식인 오어폭스(Orfox)를 사용하는 게 좋다.

https://github.com/anthonycr/Lightning-Browser

iOS(아이폰/아이패드)에서 딮 웹 접속

애플 앱 스토어(App Store)에 등록된 가짜 토르 브라우저 주의 (2014.3.20) http://hummingbird.tistory.com/5295

Onion Browser로 접속할 수 있다. Tor에서 만든 공식 앱이 아니고, 소스 코드 공개 여부도 알 수 없어서 안전한지는 모르겠다. 일단 애플측에서 검수하고서 앱 스토어에 업로드하는 것이니 백도어가 있을 가능성은 낮다.(하지만 애플의 규정을 어기지 않는 수준이라면 삽입되었을 수도 있다.)

아이폰으로 딥 웹 접속하기 http://m.blog.naver.com/legojjang97/163363865
- 아이폰으로 딥웹 접속하기
아이폰 딥 웹 접속-사파리 브라우저+모바일 토르 http://m.blog.naver.com/legojjang97/164040181
- 아이폰 딥웹 접속-사파리 브라우져+모바일 토르
아이폰 사파리 + 토르 브라우저 (아이폰 사파리로 프락시, 딥 웹 접속 등) http://m.blog.naver.com/legojjang97/202265825
- 아이폰 사파리 + 토르 브라우저 (아이폰 사파리로 프록시, 딥웹 접속 등)

스마트폰·태블맅 암호화

스마트폰이나 태블맅(tablet)은 언제든지 압수 수색을 당할 수 있으므로 데이터를 암호화해서 사용해야 한다. 스마트폰에 있는 자료는 유죄 판결의 중요한 근거가 된다.^[1]

암호화된 스마트폰의 경우 평소에는 짧은 비밀번호를 쓰더라도 3개월에 한 번정도씩 주기적으로 16자리(안드로이드에선 보통 16자리 이하로만 비밀번호를 생성할 수 있다.)의 영문 대소문자, 숫자, 특수문자를 섞은 임의의 비밀번호로 바꾼 후 공장 초기화시켜서 갑자기 스마트폰을 압수수색당하더라도 아무 증거도 남아있지 않게 한다. 비밀번호는 컴퓨터에서 대충 키보드를 두들겨 메모장에 써서 만든다. 메모장에 쓰고 저장을 하지 않으면 메모리(RAM)에만 저장되고 HDD에는 저장되지 않아 컴퓨터 전원만 내리면 아무 증거도 남지 않는다.(참고로 한컴의 한글같은 프로그램에는 임시로라도 써놓으면 안 된다. 자동 저장 기능이 기본 옵션이므로 자동으로 HDD에 임시 파일로 저장해버린다.) 주기적으로 자신도 외울 수 없는 비밀번호로 바꾸고 공장 초기화시켜야 나중에 경찰, 국정원, 공안 등에 잡히더라도 협박이나 고문에 의해 공장 초기화 이전 비밀번호를 누설하는 일이 없다.(자기도 외우지 못하는 비밀번호를 아무리 고문당한다고 자백할 수 있을리가?)

암호화된 컴퓨터 초기화의 경우도 스마트폰과 비슷하다. 6개월에 한 번씩 비밀번호를 자신도 외울 수 없는 임의의 20자리 이상의 영문 대소문자, 숫자, 특수문자를 섞어 만든 것으로 변경 후 포맽(format)하면 된다.

주기적으로 임의의 비밀번호로 암호화 비밀번호를 바꾼 후 공장 초기화하는 이유는 고문이나 형량 감형 등의 이유로 비밀번호를 누설하는 경우라도 비밀번호 변경 이전의 증거물은 노출시키지 않기 위해서이다.

안드로이드 암호화

시스템 설정 -> 보안 -> 휴대전화(태블릿) 암호화

기기에 따라 '빠른 암호화'와 '전체 암호화' 두 가지 메뉴가 있을 수 있다. 전체 암호화를 해도 보통 30분에서 1시간이면 암호화가 끝난다.(기기 초기화 상태에서 30분 정도 걸린다. 데이터가 많으면 더 오래 걸릴 수 있다.) 이왕이면 전체 암호화를 하는 것이 좋다.

휴대전화(태블릿) 암호화에 쓰이는 암호화 키는 화면 잠금에 쓰이는 비밀번호(대소문자, 숫자, 특수문자 4~16자리)나 핀(PIN, 숫자 4~16자리)과 같은 키를 사용하며 암호화한 후에 화면 잠금 키를 변경할 경우 휴대전화 암호화 키도 변경된다. 부팅시마다 휴대전화 암호화를 해제해주어야 하며, 화면잠금시에는 화면 잠금 해제를 하면 되는데 두 개의 암호가 같아서 휴대전화 암호화 비밀번호가 지나치게 길 경우 화면 잠금 해제가 힘들고, 또 너무 짧으면 사전(dictionary) 대입법이나 무작위 대입법으로 휴대전화 암호화가 쉽게 뚫린다.

루팅(rooting)을 통해 휴대전화 암호화 비밀번호와 화면 잠금 비밀번호를 다르게 설정하는 방법도 있다.^[2] 암호는 사전에 있는 단어는 사용해서는 안 되며 소문자, 대문자, 숫자, 특수문자를 모두 사용하여야 한다.

암호화한 후에는 '없음', '슬라이드', '패턴'은 사용할 수 없으며 PIN과 비밀번호만 사용 가능하다.

암호화는 30분에서 1시간 정도 걸리며 데이터가 많으면 그에 비례하여 더 오래 걸릴 수도 있다. 또한 배터리가 80% 이상 충전돼있어야 암호화 작업을 시작할 수 있다. 스마트폰 기기 종류나 안드로이드 버전에 따라 전원을 연결해야 암호화 작업을 시작할 수 있는 경우가 있다. 이때 중간에 전원 연결을 끊어도 중간에 배터리가 떨어지지만 않으면 정상적으로 완료된다.

임의의 데이터로 저장 공간을 덮어씌우는 작업은 시간이 많이 걸린다. 게다가 여러번 덮어씌우더라도 데이터를 완벽하게 파기하는 건 힘들다. 즉, 일부라도 복구가 가능하다.

긴급한 상황에 데이터를 파기할 시간은 없으며 완전히 숨길 수도 없다. 제일 좋은 방법은 미리 암호화를 해놨다가 긴급 상황에는 암호를 매우 어려운 것으로 바꾸고 스마트폰을 초기화하는 것이 좋다. 이쪽은 몇 분 밖에 안 걸린다.

외장 SD 카드의 경우 '시스템 설정 -> 보안 -> SD 카드 암호화' 항목에서 암호화를 하면 된다.

자료 폐기시 암호화 비밀번호를 매우 어려운 것으로 바꾼 후 공장 초기화시킨다.

안드로이드의 경우 RAM 이 포렌식 당한다면 암호화 키가 유출될 수 있습니다

#12695 2019-6-30 오후 11:21 [삭제]

암호화로 내 휴대폰을 지키는 방법 2019.05.13 03:55

1. 안드로이드의 경우 RAM 이 포렌식 당한다면 암호화 키가 유출될 수 있습니다 (7.0 기준) 만약 나의 데이터가 위험할경우 반드시 전원을 끄세요 RAM은 전원을 끄면 모든 데이터가 소멸됩니다

https://smpeople.net/story_board/16430727

[정보] 내 하드디스크를 국가기밀급 보안으로 - Veracrypt 사용하기 2019.04.22 03:33

그래머나찌 2019.04.24 05:36 베라크립트 쓰시는 분들께 충고하나 더 해드리자면, 시스템쪽도 반드시 암호화해두시는걸 권해드립니다.

https://www.youtube.com/watch?v=0npTlOq6q_0

비트락커 깨는 프로그램 시연 유튜브 영상인데요. 아마 비슷하게 베라크립트도 깨질거라고 봅니다. 영상 간단히 요약하자면 메모리 덤프파일들이 C드라이브에 생성이 되는데 이걸 역추적해서 비번을 알아내더군요.

근데 저도 윗분처럼 이게 어느정도로 법적인 방어가 될진 모르겠네요. 일단 토렌트같은것들은 아이피로 확인할텐데 아이피는 공유기 해킹당했다고 변명이라도 되지 않을까 싶기도 하구...

https://smpeople.net/story_board/15345473

1: 램의 데이터가 드라이브에 남는 경우가 크게 세가지 있는데 절전모드(hibernate), 블루스크린시 메모리덤프, 램용량 초과시의 페이지파일 이렇게 됨. 절전모드로 안들어가게 설정하고, 파티션을 나누든 용량을 채우든 해서 c드라이브 남은 용량을 램용량 이하로 유지하고(이미 메모리덤프 파일이 남아있으면 찾아서 지우고 계산해야함), 페이지파일 설정에서 사용 안함으로 설정해놓으면 베라크립트의 암호가 하드에 기록될 일은 거의 없음.

        [삭제] 2019-7-1 오후 5:12

2: >1 : 근데 포렌식은 암호뿐만 아니라 메타데이터가 더 유용하게 써먹혀서, 레지스트리나 mbr영역에 남는 파일명,크기, 경로 이런것도 고려를 해야함. 그니까 위 3가지 대책에 추가로 가상머신 돌려서 일반사용자가 건드릴수 없는 영역에 메타데이터가 남지 않도록 해야 진짜로 완벽한 보안이 되는거임. 귀찮으면 걍 테일즈 써라.

        [삭제] 2019-7-1 오후 5:13

3: >2 그냥 C 드라이브를 통째로 암호화하면 됨.

        [삭제] 2019-7-1 오후 6:03

7: >3: 경찰이 암호화 해제해달라고 하면 어떡할건데? c드라이브 암호화 해도 풀어버리면 메타데이터 바로 찾을수 있는데? 압수수색을 할 정도면 정황증거가 어느정도 존재한다는 전제일텐데, 형법으로도 피의자에겐 성실한 수사협조의 의무가 있고 비협조적으로 나갈시 법적으로 불리하게 작용할 수 있음. 그리고 제일 현명한건 '합리적으로 따져봤을때 켕기는게 전혀 없게끔 위장하는 것'이지 통념적으로 평범한 야동을 가진 사람이 굳이 드라이브 전체 암호화에 경찰한테도 비협조적으로 나갈거 같음?

        [삭제] 2019-7-1 오후 7:35

8: >7 기억이 안 난다고 버팅겨야지. 그러면 증거 불충분으로 무죄 뜨거나 검찰이 증거 갖고있는 아청물 1개에 대해서만 유죄 뜨거나. 비번 풀어줘서 아청물 1 TB 가지고 있다는 사실 보여주면 처벌이 더 강해질 것 같음.

        [삭제] 2019-7-2 오전 1:48

9: >8 윈도우즈랑 리눅스랑 둘 다 깔아놓고 아청물은 전체 암호화한 리눅스에서만 보면 됨. 그러면 C 드라이브 암호화할 필요도 없고, 리눅스 비번은 리눅스 쓰기 어려워서 설치만 해놓고 자주 안 써서 기억이 안 난다고 둘러대고.

        [삭제] 2019-7-2 오전 1:50

10: >9 인터넷 써버에나 쓰는 운영 체제고 터미널에 명령어 입력해서 쓰는 거라 리눅스 쓰기 어렵다고 그러면 틀딱 판사 새끼도 납득할 것임. 왜냐하며뉴래눅스가 뭔지도 모르는 컴맹일 가능성이 높으므로.

        [삭제] 2019-7-2 오전 1:53

4: 나는 그냥 우분투 리눅스에서 전체 암호화해놓고 쓴다

   -리눅서     [삭제] 2019-7-1 오후 6:09

5: 어차피 집 문은 철문이라 부수는데 몇 분은 걸림. 그 사이에 랩탑 전원 내려버리면 됨. 택배기사나 경비실, 아랫집에서 올 때는 항상 컴퓨터 끈 다음에 문 열어주고. TV 보니까 천장 누수 때문에 아래층에서 찾아온 척 하고 문 열게 한 다음에 압수 수색 영장 들이대는 건 진짜 머리 잘 썼더라.

        [삭제] 2019-7-1 오후 6:12

6: >5 압축 질소 가스 스프레이로 메모리를 급속 냉각 시켜서 데이터를 보존한 후 덤프 뜨는 방법도 있긴 한데, 그게 걱정되면 랩탑을 어디에 숨겨놓고 문 열면 됨. 경찰이 뒤져서 찾아낼 쯤에는 이미 램의 모든 데이터 다 날아간 다음임. 한 10분에서 15분만 지나도 하나도 안 남고, 1초라도 더 시간 끌 수록 메모리에 남아있는 데이터량은 점점 줄어들음.

        [삭제] 2019-7-1 오후 6:15

11: >6 질소가 아니라 HFC(hydrofluorocarbon)같은 걸 냉매(refrigerant)로 쓰고, -55도씨로 급속 냉각하는 방식인데. 400mL 한 캔에 2만원 정도 하고.

        [삭제] 2019-7-2 오후 1:43

12: 위 유투브 동영상은 C 드라이브 암호화 안 한 상태에서 볼륨 하나만 암호화해서 쓰는 경우인데 Elcomsoft Forensic Disk Decryptor라는 포렌식 툴을 이용해서 memory를 HDD에 dump를 뜨고, 그 덤프 파일에서 volume master key를 찾는 거네. key data를 hex (hexadecimal, 16진법) 형태로 추출하네. 그 외에 "Not My Fault"라는 프로그램으로 하는 방법도 보여주고.

    [삭제] 2019-7-2 오후 6:14

13: >12 그런데 현실적으로 여기 있는 애들은 대부분 C 드라이브를 암호화해놓고 쓰거나, 리눅스에서 전체 암호화해놓고 쓰니까 의미는 없지. C 드라이브 암호화 안 하는 건 그냥 "나는 안티 포렌식에 대해 아무 것도 모르는 컴맹입니다." 인증이고. 외국 사례 사진이랑 설명 보니까 경찰이 덮쳤는데 방금 전에 laptop 전원을 내린 상태고, C 드라이브 암호화는 당연히 되어있으니까 바로 컴퓨터 케이스 뜯고 램에 냉각 스프레이 뿌리고 램 빼서 메모리 덤프 뜨는 기계에다 넣더라.

-안티 안티 포렌식 [삭제] 2019-7-2 오후 6:43

14: >13 경찰이 냉각 스프레이와 메모리 덤프 뜨는 기계가 없으면 문 부수고 들어오기 전에 전원만 내리면 되는데, 경찰이 그런 장비가 있으면 메모리의 데이터가 완전히 날아갈 몇 분에서 몇 십분의 시간을 벌어야 함. desktop은 케이스 열고 메모리만 빼서 부러뜨려서 화장실 변기에 내리든가 어디에 숨기든가 하고, laptop도 뒷면 커버 나사 풀고 열고서 메모리만 따로 빼서 부러트린 후 숨기고. 숨기면 찾는데 시간이 걸리고, 부러트리면 메모리 덤프 뜨는 기계에서 에러 날 가능성이 높으니까.

-디지털 포렌식 [삭제] 2019-7-2 오후 6:46

15: 근데 저 병신 새끼는 왜 이렇게 메모리에 집착하냐? 지가 딥웹 서버 운영하는 것도 아닐텐데? 페도물 보고 있거나 약 거래 중에 경찰이 온거면 몰라도 평상시에 하드에 있는 페도물이나 약 거래 증거들이 메모리에 아무 이유 없이 올라와 있을리 없는데? 하드 관리나 잘하세요 메모리 신경 쓰지말고. 한국 경찰은 그런 장비 사용할 의지도 이유도 없으니까.

    [삭제] 2019-7-2 오후 6:55

16: >15 한국 경찰이 예전에는 굵고 긴 털에 있는 마약만 검사할 수 있었는데, 지금은 외국에서 검사 장비를 수입했는지 솜털이랑 손톱, 발톱도 검사할 수 있는 거 같던데? 한국 경찰이라고 맨날 그 자리에 정체돼있는 건 아니지.

    [삭제] 2019-7-2 오후 7:05

http://jqu6my2mlqp4zuui.onion/p?id=12695

iOS 암호화

아이폰과 아이패드는 자체적으로 암호화해서 데이터를 보관한다. 중고 아이폰을 수리해서 다른 사람에게 리퍼비시 제품으로 주기 때문에 개인 정보 유출을 막기 위한 조치로 생각된다. 그러나 일부 데이터는 복구가 가능하다. 기본적으로 아이폰은 암호화 되어있어서 복구율이 떨어진다. 특히 비할당영역은 복구율이 많이 떨어진다. 물론 아이폰 포렌식 도구는 찾을 수 있지만 데이터 복구용 도구는 아니다. 삭제된 파일을 복구하는 것이 주가 아니라 살아있는 데이터를 가지고 행위를 분석하는 도구이다.

한국 언론이나 한국인들은 미국 로스앤젤레스 연방법원이 샌버나디노 총기난사 테러범 사예드 파룩의 아이폰을 FBI가 조사할 수 있도록 잠금 해제를 기술적으로 지원하라고 한 명령을 애플이 거부하고, 항소한 것만 보는데 사실 핵심은 애플이 원하기만 하면 암호화를 풀 수 있다는 문제이다. 암호화를 설계할 때 처음부터 정부의 강요를 받아도 풀 수 없게 설계해야 하는 게 맞다. 아이폰을 이용하는 건 한국 정부의 암호화 해제 요구로부터는 안전할 지 몰라도 미국 정부의 암호화 해제 요구로부터는 안전하지 않다. 연방대법원까지 가서 지면 결국 암호화 해제를 해주겠다는 얘기 아닌가?

‘테러범 아이폰’ 암호 풀어라…FBI·애플 충돌 2016.02.18

쿡은 테러 이후 FBI에 적극 협조해왔다고 강조하면서 “정부가 운영체제(iOS)의 ‘백도어(뒷문)’를 달라고 하는데 우리는 그런 기술이 없으며, 백도어를 만드는 것은 너무 위험하다”고 밝혔다. 그는 백도어를 어떤 문이든 열 수 있는 ‘마스터키’에 비유하면서 “위험한 선례가 될 것”이라고 주장했다.

이 때문에 FBI는 무제한으로 비밀번호를 입력해도 자료가 삭제되지 않게 하는 소프트웨어를 만들어달라고 애플에 요청했다. AP통신은 파룩의 아이폰 기록을 통해 공범인 부인 타시핀 말리크의 교신 상대나 여행지를 알아내려 하는 것으로 보인다고 전했다.

실리콘밸리는 애플을 지지하고 나섰다. 구글 CEO 순다르 파차이는 트위터에 “기업에 해킹을 강요하는 것은 이용자의 프라이버시를 침해할 수 있다”고 말했다. 애플 전문 매체 애플인사이더는 “팀 쿡의 단호한 입장은 (과거 중국에 굴복했던) 구글이나 마이크로소프트, (정부에 협력한) 한국과 중국 기업들의 침묵과 극명히 대조된다”고 썼다. 민주당 일각에서도 국가의 요구 앞에 개인 보호를 무릎 꿇리는 선례가 될 것이라는 경고가 나온다. 민주당 론 와이든 상원의원은 가디언에 “장기적인 관점에서 미국의 온라인 보안이 패배자가 될 것”이라고 말했다. 조너선 털리 조지워싱턴대 로스쿨 교수는 “사기업에 이토록 예외적인 명령을 하는 법적 근거가 충분치 않다”고 지적했다.

애플은 곧 항소할 방침이어서, 이 사건은 결국 법정에서 판가름날 것으로 보인다.

http://news.khan.co.kr/kh_news/khan_art_view.html?artid=201602182241535

추가로 밝혀진 사실

Apple Unlocked iPhones for the Feds 70 Times Before (FBI에게 70번씩이나 아이폰을 잠금해제 해준 애플)

http://www.thedailybeast.com/articles/2016/02/17/apple-unlocked-iphones-for-the-feds-70-times-before.html

애플이 이전부터 70번 FBI에게 아이폰 IOS 잠금해제를 해 주었고, 처음부터 사용자 의사와 상관없이 잠금해제를 해 줄 수 있는 기술이 있었다는것이 드러났다. 제조과정부터 백도어가 있었다는 뜻이다. 트루크립트 같은 오픈소스 소프트웨어는 백도어가 없어서 이런게 불가능하다.

iOS 암호화

iOS 버전4 이상을 사용하는 iPhone / iPad는 파일시스템을 암호화(AES256 encryption)로 보호한다. 또한, Apple Worldwide Developers Conference 2010의Securing Application Data(Session 2009) 발표내용에 따르면 iOS는 부팅시에 생성하는 디바이스 고유키와 각 파일마다 존재하는 파일키를 이용해 각 파일을 암호화한다. 즉, 각 파일의 복호화를 위해서는 장치키 와 그파일에 해당하는 파일키를 필요로 하기 때문에 지워진 파일의 경우 파일키를 획득 할 수 없어 해당 영역을 복호화하기 어렵다.

http://blog.mobiletamjung.com/70158466816

아이폰의 삭제된 문자메세지 카카오톡 대화내용 복구안내 2013.03.27

대상기종 : 아이폰 3GS, 아이폰4, 아이폰4S, 아이폰5

대상 OS : 탈옥이 가능한 모든 버젼의 IOS

복구가 가능한 항목 : 전화번호부, 문자메세지, 카카오톡, 틱톡, 마이피플, 라인등 모바일 메신져

사진 동영상에 대해서는 기술적인 문제로 서비스를 제공하지 않습니다. 관련 기술정보는 아래를 참조하세요.

아이폰 기본 분석시간 : 최소 3일 ~ 최대 7일

http://www.datarecovery.pe.kr/217

http://www.mobiletamjung.com/nodshop/bbs.php?id=notice&q=view&idx=8&bKeyword=&bCondition=&bCategory=&page=

GPG

스마트폰에서도 지피지(GPG)를 사용할 수 있다. GPG는 피지피(PGP)의 오픈 소스 버전이다. 구글 플레이(Google Play)나 애플 앱 스토어(App Store)에서 'GPG'로 검색하면 많은 앱이 나온다.

안드로이드에서 GPG 사용

그누 프라이버시 가드(Gnu Privacy Guard): 오어봍을 만든 가디언 프로젝트에서 만든 안드로이드용 GPG 앱(app). 오픈 소스 앱이다. https://guardianproject.info/code/gnupg/ https://github.com/guardianproject/gnupg-for-android
에이피지(APG, Android Privacy Guard): 안드로이드용 GPG 앱. 오픈 소스 앱이다. http://www.thialfihar.org/projects/apg/ https://github.com/thialfihar/apg

The Guardian Project에서 개발한 그누 프라이버시 가드 (앱)(Gnu Privacy Guard (App))를 설치하고 맨 처음 설정시에 여러분의 열쇠고리(keyring)를 여러분의 주소록(contacts)과 동기화(sync)할 거냐고 묻는데 체크 해제해준다. 열쇠를 생성할 때 여러분의 이름과 이메일 주소를 여러분의 폰에서 가져오는데 당연히 이름은 가명으로 바꿔주고, 이메일 주소는 엉터리로 적어주면 된다. 열쇠를 열쇠서버(keyservers)로 업로드할 거냐고도 묻는데 당연히 체크 해제한다. 또한 열쇠를 SD card에 백업(backup)할 거냐고 묻는데 SD card를 암호화해놓지 않은 경우 체크 해제한다.

소스 코드는 https://github.com/guardianproject/gnupg-for-android 에서 다운로드 받을 수 있다.

iOS에서 GPG 사용

아이오에스(iOS)용 GPG 앱

아이오에스(iOS)에서 피지피(PGP) 암호화는 피지피툴즈(PGPTools), 아이피지메일(iPGMail), 오픈지피(oPenGP)를 사용하면 된다. 오픈지피는 오픈피지피(OpenPGP) 표준을 지원한다. oPenGP는 PGPTools나 iPGMail보다 비싸니 기능상 차이가 없으면 그냥 싼 거 쓰는 게 낫다.

빝코인

스마트폰에서도 빝코인을 사용할 수 있다. 구글 플레이(Google Play)나 애플 앱 스토어(App Store)에서 '비트코인'으로 검색하면 많은 앱이 나온다.

메신저와 채팅 앱

챝씨큐어

챝씨큐어(ChatSecure)는 안드로이드 및 아이오에스(iOS)에서 사용할 수 있는 채팅 앱이다. 가디언 프로젝트에서 만들었다. 오어봍(Orbot)을 통하여 토어 넽워크를 사용하도록 설정할 수 있다. 토어 넽워크를 사용할 경우 국가 전복 계획에도 사용할 수 있을 정도로 매우 안전하다.

소스 코드는 https://github.com/guardianproject/ChatSecureAndroid 에서 다운로드 받을 수 있다.

토어챝

리눅스나 윈도우즈에서 많이 쓰이는 토어챝(Torchat)은 오픈 소스 소프트웨어답게 안드로이드와 아이폰 버전도 있다. 당연히 둘 다 공식 앱은 아니다. 하지만 안드로이드용은 소스 코드가 공개되어 있고, 아이폰용은 애플측에서 앱 스토어에 올리기 전에 한 번 검수하니 크게 위험하지는 않을 것이다.

안드로이드용 https://github.com/prof7bit/TorChat-Android
아이폰용 https://itunes.apple.com/us/app/itorchat/id579614516

텔레그램, 슈어스팥, 파이어챝?

텔레그램(Telegram), 슈어스팥(surespot), 파이어챝(FireChat)같은 채팅 앱은 카카오톡보다는 안전하지만 "오어봍 접속을 설정한 챝씨큐어"나 "스마트폰용 토어챝"보다는 위험하다. 최고의 보안성과 익명성을 유지하고 싶으면 토어챝이나 챝씨큐어로 토어 넽워크에 접속해서 대화해야 한다. 텔레그램에서 비밀대화 시작(Secret Chat)을 할 경우 자신의 기기에서 상대방의 기기까지 암호화해서 통신(end-to-end encryption)하고, 서버에 기록을 남기지 않으며 상대방이 메시지를 확인한 후 메시지가 자동 삭제되는 시간을 설정할 수 있으며 대화 내용을 제 3자에게 전달(forwarding)하는 것을 막을 수 있다. 또한 오픈 소스 소프트웨어라 앱에 개발자가 삽입한 백도어가 있을 가능성으로부터 안전하다. 파이어챗같은 경우는 정부에 의해 인터넷망이 마비되거나 전면적으로 검열할 경우 블루투스, 와이파이, 멀티피어(애플) 등으로 상대방과 무선 메시 네트워크를 사용하여 피투피(P2P)로 연결하여 대화를 나눌 수 있다.

한국은 ‘텔레그램’, 홍콩은 ‘파이어챗’

이 같은 파이어챗의 인기는 중국 정부의 인터넷 검열 탓이다. 현재 홍콩에서는 2017년 홍콩 행정장관 선거를 중국 당국의 개입 없는 자유직선제로 치르자는 시민들의 시위가 한창이다. 하지만 시민들이 사회 관계망 서비스(SNS)에 올린 시위 현장 상황들이 빠른 속도로 퍼지자 중국 정부는 인터넷을 통제하기 시작했다. 9월28일에는 시위 사진이 더 번지는 것을 막기 위해 중국 본토에서 사진 공유 SNS 인스타그램 접속을 막았다.

파이어챗은 시위 현장이나 공연장과 같이 사람들이 많이 몰려 통신 장애가 발생하는 곳에서 유용하다. 이동통신망이나 인터넷 연결 없이도 네트워킹이 되기 때문이다. 파이어챗은 대화 상대자가 70m안에 있을 경우엔 인터넷 연결 없이도 메시지를 보낼 수 있다. 일종의 P2P 방식으로 사용자가 가진 기기끼리 자원을 연결해 쓰기 때문이다.

<벤처비트>에 따르면 현재 오픈가든 팀은 파이어챗 메시지를 암호화하는 기술을 개발 중이다. 파이어챗은 정부가 모든 인터넷 접속을 막았을 때 소통할 수 있는 유용한 도구이지만 감청에는 취약할 수 있기 때문이다. 크로스토퍼 달리걸트 오픈가든 최고마케팅책임자(CMO)는 “파이어챗은 그리드 컴퓨팅으로 작동하기 때문에 보안 문제를 해결하기가 다른 메신저 앱보다 더 어렵다”라고 설명했다.

http://www.bloter.net/archives/208156

가디언 프로젝트

안드로이드 스마트폰의 경우 가디언 프로젝트(The Guardian Project)로 검색하면 많은 유용한 앱이 나옵니다. 오르웹(Orweb), 압스큐라캠(ObscuraCam, 이미지 파일에 GPS 위치 정보, 스마트폰 모델명 등 개인 식별 가능 정보를 포함하지 않음), 그누 프라이버시 가드 (앱)(Gnu Privacy Guard (App)), 챗시큐어(ChatSecure) 등 많은 익명 및 개인 정보 보호 앱들이 있습니다. 또한 오어봍(Orbot)도 여기서 개발한 겁니다.(개발자 이름은 The Tor Project로 되어 있음.) 또한 이 모든 소프트웨어들은 오픈 소스 소프트웨어라 보안상 안전합니다.

구글 플레이에서 앱을 다운로드하면서 남는 개인 정보(아이디, 아이피 주소 등)는 여러분을 추적할 수 있는 단서가 된다. 그럴 경우에 대비하여 아래 링크에서 토르 브라우저로 쏠쓰 코드(source code)를 다운로드 받은 후 직접 앱으로 만들어도 된다.

압스큐라캠의 소스 코드는 https://github.com/guardianproject/ObscuraCam 에서 다운로드 받을 수 있다.

주의사항

파이어폭스 모바일을 사용할 경우 사생활 탭(Private tab)으로 딥 웹을 탐방한다. 사생활 탭을 사용해야 불의의 순간에 경찰에 스마트폰을 압수당해서 데이터를 못 지웠을 경우라도 증거가 남지 않는다. 폰 데이터를 복구해봐도 나올 게 거의 없다.
카카오톡 대신에 텔레그램과 파이어챗을 사용하는 것이 더 안전합니다. 텔레그램의 비밀대화 시작(Secret Chat)의 경우 통신 내용을 암호화하며 운영자도 메시지를 열람하는 것이 불가능하고, 메시지를 상대방이 확인한 후 자신이 설정한 시간이 지나면 메시지가 자동 삭제됩니다. 그리고 이쪽에서 대화방을 삭제하면 상대방쪽에서도 삭제됩니다. 또한 텔레그램은 오픈 소스 소프트웨어라 개발자가 삽입할 수도 있는 백도어로부터 안전합니다.
- 텔레그램의 경우 비밀대화는 클라이언트 대 클라이언트로, 일반대화는 클라이언트 대 서버, 서버 대 클라이언트로 암호화가 이루어집니다. 그리고 비밀대화가 현재 비밀대화중인 친구와 나의 기기 외에는 어디에도 저장되지 않는 반면에 일반대화는 암호화된 메시지가 클라우드에 저장되어 다른 기기에서도 쉽게 접근할 수 있습니다. 또한 비밀대화의 경우 자신이 미리 지정한 기간이 지나면 자신의 기기와 상대방의 기기에서 자동으로 삭제됩니다.
이메일도 자신이 거주하는 국가에 본사가 있는 회사보다는 외국에 있는 회사의 이메일이 더 안전합니다.(경찰의 수사권은 해당 국가의 영역 안으로 한정되므로)
- 구글 메일보다는 야후 메일이 더 안전합니다. 왜냐하면 구글은 한국에 지사가 있어서 한국 검찰이 이메일 내놓으라고 강요하면 한국 지사 철수할 거 아니면 결국 내놔야합니다.(그래도 본사가 한국에 있는 회사들보다는 훨씬 강하게 거부할 수 있습니다.) 하지만 야후는 한국에 지사도 없기 때문에 어디서 개가 짖냐고 무시해버릴 수 있습니다. 단, 야후 본사가 있는 미국 법을 어기는 행위는 하면 안 됩니다.
이동통신단말장치 유통구조 개선에 관한 법률(단통법) - 휴대전화 단말기 가격과 이동통신 요금의 상향평준화. 이동통신사 수익 및 주가 급상승
단말기 완전자급제 - 휴대전화 판매는 제조사나 유통사가, 이동통신 서비스는 이동통신사가.

스마트폰에서 자바스크맆트 끄기

오어폭스(Orfox)의 기본 설정은 노스크맆트를 활성화시켜놓는 것이므로 오어폭스 사용자는 신경쓰지 않아도 된다. 아래 내용은 스마트폰에서 파이어폭스를 쓰는 사람들을 위한 내용이다.

http://noscript.net/nsa/

위 링크에서 Download NSA++을 눌러서 설치합니다. 그 후 '도구 -> 부가 기능 -> NoScript'에서 Full Protection을 선택해줍니다.

이렇게 해도 자바스크맆트가 안 꺼질 경우 모바일 파이어폭스 주소창에 about:config 를 입력하여 이동한 후 java로 검색하여 javascript.enabled 항목으로 이동합니다. 그 후 true로 되어있는 걸 false로 바꿔줍니다.

이런 식으로 자바스크맆트를 끄더라도 노스크맆트는 설치하고 Full Protection으로 설정해서 사용하시기 바랍니다. 노스크맆트가 자바스크맆트뿐만 아니라 자바, 플래시, 기타 플러그인들도 차단해주어서 보안상의 위험을 줄여주기 때문입니다.

이렇게까지 해도 토르 브라우저 번들에서는 차단되는 사이트가 차단되지 않는 경우도 있습니다!

참조

↑ 카카오톡(문자 메세지)이 증거로 채택된 많은 사례가 있습니다.
스마트폰으로 주고 받은 카카오톡의 대화내용을 삭제하거나 채팅방 나가기로 대화내용이 없어진 경우 주고 받은 메시지가 다시 필요해지거나 분쟁의 핵심이 되는 경우가 있습니다. 민형사상 증거로서 필요할 수도 있고 대화 상대방이 대화 내용을 부인하거나 다른 주장을 할 경우에도 필요하게 됩니다. http://www.datarecovery.pe.kr/213
↑ Using PIN for lockscreen and Password for Encryption
The process for having a PIN lockscreen and a long password for system encyrption is
1) Set a PIN for your lockscreen as normal
2) From a terminal on a rooted system (tested on rooted stock Sprint G3), type
> su
> vdc cryptfs enablecrypto inplace <LongSecurePassword>
http://forum.xda-developers.com/showthread.php?t=1680857&page=3

[1] 카카오톡(문자 메세지)이 증거로 채택된 많은 사례가 있습니다.
스마트폰으로 주고 받은 카카오톡의 대화내용을 삭제하거나 채팅방 나가기로 대화내용이 없어진 경우 주고 받은 메시지가 다시 필요해지거나 분쟁의 핵심이 되는 경우가 있습니다. 민형사상 증거로서 필요할 수도 있고 대화 상대방이 대화 내용을 부인하거나 다른 주장을 할 경우에도 필요하게 됩니다. http://www.datarecovery.pe.kr/213

[2] Using PIN for lockscreen and Password for Encryption
The process for having a PIN lockscreen and a long password for system encyrption is
1) Set a PIN for your lockscreen as normal
2) From a terminal on a rooted system (tested on rooted stock Sprint G3), type
> su
> vdc cryptfs enablecrypto inplace <LongSecurePassword>
http://forum.xda-developers.com/showthread.php?t=1680857&page=3

[1]

[2]