공공와이파이 써도 되는 거 맞나요? 직접 알아봤습니다

작년 겨울에 동네 카페에서 노트북으로 일을 하다가, 은행 앱에서 이체를 하나 해야 할 일이 생겼습니다. 무심코 앱을 켰는데, 화면 상단에 카페 와이파이가 연결돼 있는 걸 보고 손이 잠깐 멈췄습니다.

"이거 공짜 와이파이인데, 여기서 계좌 비밀번호 쳐도 되나?"

평소엔 아무 생각 없이 쓰던 건데, 그날따라 갑자기 불안해졌습니다. 누가 이 와이파이로 내가 입력하는 걸 다 들여다보고 있으면 어쩌나 싶었습니다. 결국 그날은 와이파이를 끄고 핸드폰 데이터로 이체를 했습니다.

그러고 나서 집에 와서 며칠에 걸쳐 이게 진짜 위험한 건지, 위험하다면 얼마나 위험한 건지 좀 찾아봤습니다. 보안 전문가는 아니라서 깊은 기술까지는 모르지만, 제가 이해한 만큼이랑 지금 제가 실제로 쓰는 방식을 적어둡니다.

일단 결론부터 말하면

요즘은 예전만큼 무섭지는 않습니다. 그런데 "아무거나 막 해도 된다"는 건 아닙니다.

제가 찾아본 바로는, 지금 대부분의 웹사이트랑 앱은 통신을 암호화해서 주고받습니다. 그래서 같은 와이파이에 붙어 있는 누군가가 내 통신을 가로채도, 내용은 암호로 잠겨 있어서 그대로 읽기는 어렵다고 합니다. 이게 예전이랑 가장 크게 달라진 부분입니다.

그렇다고 마음을 완전히 놓을 수는 없었습니다. 암호화가 안 되는 경우도 있고, 와이파이 자체가 가짜인 경우도 있고, 사람이 실수하는 경우도 있으니까요. 그래서 저는 "공공와이파이는 쓰되, 민감한 건 안 한다"는 선에서 타협했습니다. 왜 그렇게 정했는지를 아래에 풀어보겠습니다.

자물쇠 표시, 이게 생각보다 중요했습니다

찾아보면서 가장 많이 나온 얘기가 주소창의 자물쇠, 그러니까 https였습니다.

브라우저 주소창 맨 앞에 작은 자물쇠 모양이 있고 주소가 https로 시작하면, 그 사이트랑 내 폰 사이에 오가는 내용이 암호화된다는 뜻입니다. 비밀번호를 치든 카드번호를 넣든, 중간에서 누가 보더라도 암호 덩어리로만 보입니다. 반대로 http만 있고 s가 없으면 그게 암호화가 안 된 상태라, 공공와이파이에서는 조심해야 합니다.

요즘은 웬만한 사이트가 다 https라서 사실 마주칠 일이 잘 없긴 합니다. 그래도 저는 카페나 공항에서 뭔가 로그인을 하거나 결제를 할 때는 주소창을 한 번씩 봅니다. 자물쇠가 깨져 있거나 "안전하지 않음" 같은 경고가 뜨면, 그땐 그냥 안 합니다.

앱은 주소창이 안 보여서 이걸 눈으로 확인할 방법이 없습니다. 그래서 은행 앱이나 결제 앱처럼 중요한 건, 솔직히 저는 공공와이파이에서는 잘 안 켭니다. 앱이 알아서 암호화를 한다고는 하지만, 제가 직접 확인할 수가 없으니까 그냥 마음 편하게 데이터로 돌립니다.

진짜 신경 쓰이는 건 '가짜 와이파이'였습니다

찾아보면서 제일 인상 깊었던 게 가짜 와이파이 얘기였습니다.

원리는 이렇습니다. 누군가가 카페 이름이랑 똑같거나 비슷한 이름으로 와이파이를 하나 만들어 둡니다. 예를 들어 진짜가 CAFE_FREE인데, 옆에 CAFE_FREE_WiFi나 CAFE-Guest 같은 걸 만들어 놓는 거죠. 사람들은 별생각 없이 그럴듯한 이름에 붙는데, 그게 사실은 공격자가 만든 거라면 거기 붙는 순간 내 통신이 그 사람을 거쳐 갑니다.

이게 왜 무섭냐면, 자물쇠고 뭐고 그 이전 단계에서 당하는 거라서 그렇습니다.

사실 이 얘기를 읽고 나서 작년에 공항에서 겪었던 게 떠올랐습니다. 인천공항에서 무료 와이파이를 잡으려는데, 비슷비슷한 이름이 대여섯 개가 뜨는 겁니다. 어느 게 진짜 공항 공식 와이파이인지 그땐 솔직히 몰랐습니다. 그냥 신호 제일 센 거에 붙었습니다. 지금 생각하면 운이 좋았던 거고, 그게 만약 누가 깔아둔 거였으면 어쩔 뻔했나 싶습니다.

그래서 지금은 공공장소에서 와이파이를 잡을 때, 정확한 이름을 한 번 확인합니다. 카페면 직원한테 "와이파이 이름이 뭐예요?"라고 물어보고, 공항이나 지하철이면 공식 안내문에 적힌 이름이랑 맞춰봅니다. 귀찮긴 한데, 이름 하나 확인하는 게 제일 확실한 방법이더라고요.

자동 연결은 꺼두는 게 마음 편했습니다

이건 찾아보다가 제 폰 설정을 직접 바꾼 부분입니다.

스마트폰은 한 번 연결했던 와이파이를 기억해뒀다가, 그 근처에 가면 자동으로 다시 붙습니다. 편하긴 한데, 문제는 이름만 같으면 붙는다는 겁니다. 그러니까 예전에 어디서 FREE_WiFi에 한 번 붙은 적이 있으면, 전혀 다른 장소에서 누가 FREE_WiFi라는 가짜를 깔아놔도 내 폰이 알아서 붙어버릴 수 있다는 거죠.

그래서 저는 폰 설정에서 "와이파이 자동 연결"을 좀 손봤습니다. 집이나 회사처럼 확실한 곳만 자동 연결을 켜두고, 카페나 공공장소에서 한 번 쓴 와이파이는 쓰고 나서 "이 네트워크 삭제" 또는 "저장 안 함"으로 정리해둡니다. 매번 하긴 귀찮은데, 공항이나 카페 와이파이는 어차피 다시 갈지도 모르는 곳이라 기억해둘 이유가 별로 없더라고요.

아이폰이랑 갤럭시 둘 다 설정 메뉴 이름이 조금씩 다른데, 둘 다 와이파이 목록에서 해당 네트워크를 누르면 "이 네트워크 잊기" 비슷한 게 있습니다. 저는 아이폰 기준으로 했고, 갤럭시는 예전에 한 번 만져본 기억으로는 거의 비슷했습니다.

VPN, 결국 깔긴 했습니다

찾아보면 공공와이파이 얘기 끝에 항상 따라오는 게 VPN입니다.

간단히 말하면 VPN은 내 통신을 한 번 더 암호로 감싸서, 나랑 VPN 서버 사이를 통째로 잠가버리는 도구입니다. 그래서 같은 와이파이에 누가 붙어 있어도, 심지어 그 와이파이가 좀 수상해도, 내 통신 내용은 한 겹 더 보호된다는 개념입니다.

저도 이 부분이 마음에 걸려서 결국 VPN을 하나 깔았습니다. 다만 솔직하게 말하면, 매번 켜고 다니지는 않습니다. 집에서 와이파이 쓸 땐 안 켜고, 카페나 공항처럼 모르는 와이파이를 쓸 때만 켭니다. 그것도 가끔은 깜빡합니다.

그리고 VPN이 만능은 아니라는 것도 알아두면 좋겠습니다. VPN을 켜면 그 VPN 회사가 내 통신 경로를 보게 되는 구조라, 결국 "이 회사를 믿을 수 있냐"는 문제로 바뀝니다. 그래서 너무 정체불명의 공짜 VPN은 오히려 안 쓰느니만 못하다는 얘기도 있었습니다. 이 부분은 따로 정리해둔 글이 있어서 아래 링크로 남겨두겠습니다.

그래서 지금 저는 이렇게 씁니다

며칠 찾아보고 나서 제가 정한 기준은 생각보다 단순합니다.

검색, 지도, 유튜브 보기, 카톡 정도의 가벼운 건 공공와이파이로 그냥 합니다. 이런 건 설령 누가 본다 한들 크게 문제 될 게 없으니까요. 대신 은행, 카드 결제, 중요한 로그인처럼 한 번 털리면 곤란한 건 공공와이파이에서는 안 합니다. 그냥 와이파이 끄고 핸드폰 데이터로 합니다. 데이터 조금 쓰는 게 마음 졸이는 것보다 낫더라고요.

공항이나 처음 가는 카페에서는 와이파이 이름을 한 번 확인하고, 쓰고 나면 자동 연결 안 되게 정리합니다. 모르는 곳에서 좀 오래 쓸 것 같으면 VPN을 켭니다.

이게 보안 전문가가 권하는 완벽한 방법인지는 저도 잘 모르겠습니다. 다만 막연하게 불안해하면서 그냥 쓰던 것보다는, 뭐가 위험하고 뭐가 괜찮은지 한 번 정리하고 나니까 마음이 훨씬 편해졌습니다. 적어도 카페에서 은행 앱 켜려다 손 멈추는 일은 이제 없습니다. 안 켜면 되니까요.

혹시 저처럼 평소에 공짜 와이파이 막 쓰다가 문득 불안해지신 분이 있다면, 일단 중요한 것만 데이터로 돌리는 습관부터 들여보시길 권합니다. 그것만 해도 신경 쓸 일의 절반은 줄어드는 것 같습니다.