--- title: "10대를 위한 디지털 Opsec 가이드 — Wired 종합편" published: 2025-12-06T21:40:27.000Z canonical: https://jeff.news/article/530 --- # 10대를 위한 디지털 Opsec 가이드 — Wired 종합편 Wired가 10대를 대상으로 정리한 디지털 보안(Opsec) 종합 가이드. 신원 분리, 비밀번호 관리, 암호화, 메시징 앱 선택, VPN/Tor, AI 프롬프트 보안까지 실용적인 내용을 총정리함. ## Opsec이 뭔데 - Opsec(Operations Security)에서 "Operations"는 메시지, 검색, AI 채팅, 웹사이트 방문, 사진, 계정, 비밀번호 등 온라인 활동 전체를 뜻함 - 목표는 두 가지: **기밀성**(남이 못 보게)과 **가용성**(내가 접근을 잃지 않게). 문제는 이 둘이 충돌한다는 것 — 보안을 강화할수록 본인도 잠길 확률이 올라감 - 편집증이 아니라 "쉬운 타겟이 되지 않는 습관"을 만드는 것임. 계정 해킹, 사진 유실, 학교가 AI 채팅 열람하는 사태를 사전에 막는 개념 ## 역대급 Opsec 실패 사례 - **시그널게이트(2025)**: 미국 고위 관료들이 Signal 그룹챗에서 전쟁 계획을 논의하다 기자를 실수로 초대함. 국방장관 Pete Hegseth가 "현재 OPSEC 깨끗함"이라고 메시지를 보낸 것이 두고두고 밈이 됨 - **CIA 국장 Petraeus(2012)**: 불륜 상대와 Gmail 공유 계정의 임시보관함(draft)에 메시지를 남기는 방식으로 통신했는데, FBI가 이걸 간파함. 당시엔 사라지는 메시지 기능이 없던 시절이라 나름 창의적이었지만 결국 들킴 ## 신원 분리(Identity Compartmentalization) - 온라인 정체성을 방처럼 나눠야 함: **실명 계정**(메인 Gmail/Apple ID), **학교 이메일**, **반익명 핸들**(jnd03 같은 것), **완전 가명 계정**(실제 나와 연결 불가능한 것) - 플랫폼 간 유저네임 재활용은 금물. 인스타 핸들을 Reddit에서 쓰면 바로 연결됨 - Gmail "닷 트릭"(j.ane.doe@ 같은 것)은 의미 없음 — 전부 같은 마스터 계정(jane.doe@)으로 귀결됨 - 가명 계정은 시크릿 모드나 별도 브라우저에서 접속해야 쿠키/세션 오염(contamination)을 방지할 수 있음 ## 폰 보안 - 폰은 **언젠가 반드시** 분실되거나 도난당함. 확률의 문제일 뿐임 - 강력한 PIN 설정(생일, 1234 금지), Find My(Apple) / Find Hub(Google) 활성화 필수 - 연락처·사진·WhatsApp은 클라우드에 백업해둬야 폰이 사라져도 데이터는 살아남음 - iCloud나 WhatsApp의 종단간 암호화(E2E encrypted) 백업 옵션이 있음. 단, 비밀번호를 잊으면 복구 불가능 — 보안과 가용성의 트레이드오프 ## 비밀번호 관리 - 계정을 3단계로 분류: - **최상위(Principal)**: Gmail, Apple ID — 뚫리면 모든 계정 리셋이 털림 - **중요**: SNS, 학교, 스트리밍 — 아프지만 연쇄 피해는 없음 - **나머지**: 느슨해도 되지만 격리는 필수 - 비밀번호 관리자(password manager) 사용하고, 마스터 비밀번호 하나만 외우면 됨. 종이에 적어 안전한 곳에 보관하는 것도 방법 - 2FA(이중 인증) 필수 활성화, 복구 코드(recovery codes)는 인쇄해서 오프라인 보관 - Passkey는 피싱 방어에 더 강력한 최신 옵션 ## 암호화 — 뭐가 보호되고 뭐가 안 되는지 - 대부분의 앱·웹사이트는 TLS로 트래픽을 암호화함. 사진, 이메일, DM 내용은 Wi-Fi 관리자나 ISP가 못 봄 - **하지만 도메인 이름은 보통 노출됨.** DNS 요청이 평문으로 날아가기 때문에, 학교 Wi-Fi 관리자는 네가 어떤 사이트에 접속했는지 목록을 볼 수 있음 - DoH(DNS over HTTPS)를 쓰면 DNS도 암호화 가능 - 시크릿 모드(Incognito)는 쿠키·히스토리만 안 남기는 것이지, 도메인 노출은 막지 못함 ## 메시징 앱 선택 - **Signal**: Wired가 1순위로 추천. 메타데이터(수신자, 타임스탬프, 통화 시간 등)에도 접근 불가, 온라인 상태 표시 없음 - **WhatsApp**: E2E 암호화는 되지만, 소셜 그래프를 Instagram/Facebook 추천에 활용함 - **Telegram**: 기본 설정에서 E2E 암호화가 안 됨. 비밀 대화엔 쓰지 말 것 > [!NOTE] > 경찰이 Signal/WhatsApp 메시지를 확보했다는 뉴스가 나와도 암호화가 뚫린 게 아님. 용의자 **기기**에서 직접 추출한 것임. - 사라지는 메시지(disappearing messages) 기능은 무조건 켜둘 것. 다만 상대가 스크린샷을 찍을 수 있다는 건 잊지 말아야 함 - 채팅 앱에 FaceID 잠금을 추가하면, 잠금 해제 상태에서 폰을 낚아채이는 상황에 대비 가능 ## VPN과 Tor - **VPN**: IP를 웹사이트로부터 숨기고, ISP로부터 접속 사이트를 숨김. 하지만 VPN 업체는 전부 볼 수 있음 — 신뢰할 수 있는 업체를 골라야 함 - **무료 VPN 앱은 위험함.** ISP보다 더 심하게 감시하는 경우가 많고, 일부는 트래픽을 중국으로 라우팅한다는 보고도 있음 - **Tor Browser**: VPN보다 높은 익명성 제공. IP와 접속 사이트를 동시에 아는 주체가 없음. 단, 일상 브라우징엔 너무 느림 - Tor 쓰면서 실명이나 메인 유저네임을 입력하면 의미가 사라짐. 집 IP에서 Tor로 로그인한 서비스에 직접 접속하는 것도 금물 ## AI 서비스 주의사항 - AI 웹 플랫폼에 입력한 프롬프트는 해당 회사가 볼 수 있음 - 실제로 사용자 프롬프트가 유출되어 **구글 검색 결과에 노출된 사례**가 있음 - 학교 과제용 프롬프트와 개인적인 내용을 같은 AI 채팅에 섞지 말 것 — 계정 간 기억(memory)이 공유될 수 있음 - 임시 채팅(temporary chat) 기능을 적극 활용하고, AI 계정에도 2FA 설정 필수 ## 기타 팁 - [Have I Been Pwned](https://haveibeenpwned.com/)에서 내 이메일이 유출된 적 있는지 확인. 목록에 있으면 즉시 비밀번호 변경 - 사진의 EXIF 메타데이터에 GPS 좌표가 포함될 수 있음 — 위치가 노출됨 - Signal과 WhatsApp은 사진 전송 시 자동으로 EXIF를 제거해줌. 다른 경로로 공유할 땐 직접 스트리핑해야 함 > [!TIP] > Opsec의 핵심은 "타임 트래블" — 지금 귀찮더라도 미래의 재앙을 막는 작은 습관을 만드는 것임. ## 핵심 포인트 - Opsec의 두 축은 기밀성과 가용성이며, 이 둘은 근본적으로 충돌함 - 신원을 실명·반익명·완전 가명으로 분리하고 플랫폼 간 유저네임 재활용을 금지해야 함 - Signal이 메타데이터 보호까지 되는 1순위 메시징 앱, Telegram은 기본 E2E 암호화가 안 됨 - 무료 VPN 앱은 ISP보다 더 심하게 감시하는 경우가 많고 트래픽을 중국으로 라우팅하기도 함 - AI 프롬프트가 유출되어 구글 검색에 노출된 사례가 있으므로 학교·개인 프롬프트를 분리해야 함 ## 인사이트 10대 대상이지만 성인에게도 유용한 내용. 특히 '무료 VPN이 ISP보다 위험하다'는 점과 'AI 프롬프트가 검색 결과에 노출된 적 있다'는 사실은 많은 사람이 모르는 부분임.