2017.05.11

"이중인증보다 더 확실한" 시큐리티 키로 구글·페이스북 계정 보호하기

Martyn Williams | IDG News Service
지난 3월 말, 필자는 지메일로부터 계정 보안과 관련해 '심란한' 메시지 하나를 받았다. "경고. 정부 기관과 관련된 해커가 귀하의 비밀번호를 훔치려는 시도를 한 것으로 판단됩니다."

구글은 정부 기관과 관련된 해커가 피싱이나 멜웨어로 계정을 해킹하는 시도를 할 때 이런 메시지를 발송한다.

과거 비슷한 일을 경험했을 때 필자는 많은 계정에 이중 인증을 추가로 적용했다. 그런데 이번에는 '더 나은 방법이 있지 않을까?'하는 생각이 들었다. 그리고 그런 방법을 찾았다.

구글이 나타내는 보안 경고 메시지


구글은 더 안전한 도구로 시큐리티 키를 추천한다. 시큐리티 키는 1회용 토큰을 생성하는 작은 USB 장치다. 이 토큰이 인증기 앱의 6자리 코드를 대신한다.

구글은 개발 과정에 도움을 준 FIDO의 U2F(Universal 2nd Factor) 형식을를 지원한다. USB, 블루투스, NFC에서 이용할 수 있으며, PC는 물론이고, 스마트폰과 태블릿에도 이용할 수 있다.

페이티안(Feitian)과 유비코의 시큐리티 키


사용 편의성도 아주 높다.

먼저 키를 구입한 후, 사이트에서 등록을 해야 한다. 이후 로그인을 할 때, 사용자명과 비밀번호를 입력하면 프롬프트가 표시된다. 인증 과정도 정말 간단하다. USB 포트에 연결한 후 금색의 작은 원을 누르면 된다.

시큐리티 키로 보호된 페이스북 계정에 접속했을 때의 안내 메시지


그러면 키가 44자의 코드를 전송해 로그인 한다. 코드의 첫 12자는 사용할 장치의 퍼블릭 키, 나머지 32자는 로그인을 위한 고유 패스코드다.

스마트폰에서는 NFC 지원 키를 뒷면에 가져가면 코드가 전송된다. 스마트폰과 인증 코드를 조작하는 것보다 훨씬 간편한 방법이다.

주의 사항
현재 U2F를 지원하는 것은 구글 크롬과 오페라 2개 브라우저뿐이다. 크롬과 오페라는 데스크톱 브라우저 시장의 2/3를 차지하고 있고 윈도우와 맥OS, 리눅스를 지원하지만, 파이어폭스나 사파리, 기타 다른 브라우저를 선호하는 사람들도 있다.

현재로서는 소수의 사이트와 서비스에서만 U2F를 이용할 수 있다. 여기에는 구글, 페이스북, 세일즈포스, 기트허브, 드롭박스 등의 유명 사이트와 서비스가 포함된다. 열쇠 고리에 휴대할 수 있는 시큐리티 키로 구글과 페이스북 계정만 보호해도 큰 도움이 될 수 있다. 사이버 공격과 신원 도용의 중요한 표적인 서비스이기 때문이다.

아이폰이나 아이패드 사용자들은 실망할 수도 있다. 시큐리티 키는iOS 기기를 제대로 지원하지 못하기 때문이다. 안드로이드는 문제 없이 사용할 수 있다.

유비코 초소형 키는 지갑이나 USB 소켓 등에 끼워 넣어 다니기 편하다.


휴대 문제도 고려해야 한다. 인증 앱을 쓸 때는 항상 휴대하고 다니는 스마트폰만 갖고 다녀도 된다. 코드가 스마트폰 안에 위치해 있기 때문이다. 그러나 시큐리티 키는 따로 항상 휴대하고 다녀야 한다. 다행히 크기가 작고 내구성이 높고, 열쇠 고리에 끼울 수 있다.

키에 적용된 표준을 확인할 것
패스워드 관리 도구에 대한 액세스 보호에도 시큐리티 키를 이용할 수 있다.

비밀번호 관리 도구인 대쉬레인(Dashlane) FIDO U2F를 지원한다. 그러나 라스트패스(LastPass)처럼 OTP를 지원하는 비밀번호 도구도 있으니만큼, 키를 쇼핑할 때, U2F와 OTP 코드를 모두 지원하는지 둘 중 하나만 지원하는지 확인해야 한다.

일반적으로는 U2F 및 OTP를 모두 지원하는 유비코(Yubico) 제품들이 인기가 있다. 그러나 가장 저렴한 모델은 OTP를 지원하지 않는다.

장점이 있으면 단점도 있다
구글과 페이스북은 시큐리티 키가 계정 보호에 더 안전한 도구라고 말한다. 그러나 두 회사 모두 보안상의 '허점'을 갖고 있다. SMS로 보안 코드를 받을 복구용 전화번호를 설정하는 경우다. 계정 복구용 전화번호 설정을 끄지 않을 경우 해당 번호로 계속 암호 코드가 발송된다.

SMS가 안전하지 못한 전송 경로라는 점을 감안했을 때 전화번호 확인 방식은 문제의 소지가 있다. 이미 SMS 기반 인증 코드의 보호를 받는 은행 계좌가 해킹당한 사례가 존재한다.

따라서 이 기능을 끄는 것이 좋다. 구글과 페이스북 모두 보안 설정 페이지에서 SMS로 보안 코드를 받는 기능을 끌 수 있다.

여기에서 계정 로그인 알림을 설정하는 것도 좋다. 누군가 계정에 로그인 했을 때, 이를 즉시 알 수 있기 때문이다. 구글과 페이스북은 시큐리키 키 사용에 대해 별도의 의견을 표명하지 않았다.

시큐리티 키를 이용할 수 있는 곳
유비코 사이트에는 호환성과 제품 정보를 자세히 설명한 표가 있다. 시큐리티 키와 적용된 표준을 지원하는 사이트가 목록 형태로 나와있다. 유비코가 관리하고 있는 사이트들이기도 하다. 그러나 가장 광범위한 정보를 찾을 수 있는 사이트는 역시 시큐리티 키를 판매하는 독일의 니트로키(Nitrokey)다. editor@itworld.co.kr  


2017.05.11

"이중인증보다 더 확실한" 시큐리티 키로 구글·페이스북 계정 보호하기

Martyn Williams | IDG News Service
지난 3월 말, 필자는 지메일로부터 계정 보안과 관련해 '심란한' 메시지 하나를 받았다. "경고. 정부 기관과 관련된 해커가 귀하의 비밀번호를 훔치려는 시도를 한 것으로 판단됩니다."

구글은 정부 기관과 관련된 해커가 피싱이나 멜웨어로 계정을 해킹하는 시도를 할 때 이런 메시지를 발송한다.

과거 비슷한 일을 경험했을 때 필자는 많은 계정에 이중 인증을 추가로 적용했다. 그런데 이번에는 '더 나은 방법이 있지 않을까?'하는 생각이 들었다. 그리고 그런 방법을 찾았다.

구글이 나타내는 보안 경고 메시지


구글은 더 안전한 도구로 시큐리티 키를 추천한다. 시큐리티 키는 1회용 토큰을 생성하는 작은 USB 장치다. 이 토큰이 인증기 앱의 6자리 코드를 대신한다.

구글은 개발 과정에 도움을 준 FIDO의 U2F(Universal 2nd Factor) 형식을를 지원한다. USB, 블루투스, NFC에서 이용할 수 있으며, PC는 물론이고, 스마트폰과 태블릿에도 이용할 수 있다.

페이티안(Feitian)과 유비코의 시큐리티 키


사용 편의성도 아주 높다.

먼저 키를 구입한 후, 사이트에서 등록을 해야 한다. 이후 로그인을 할 때, 사용자명과 비밀번호를 입력하면 프롬프트가 표시된다. 인증 과정도 정말 간단하다. USB 포트에 연결한 후 금색의 작은 원을 누르면 된다.

시큐리티 키로 보호된 페이스북 계정에 접속했을 때의 안내 메시지


그러면 키가 44자의 코드를 전송해 로그인 한다. 코드의 첫 12자는 사용할 장치의 퍼블릭 키, 나머지 32자는 로그인을 위한 고유 패스코드다.

스마트폰에서는 NFC 지원 키를 뒷면에 가져가면 코드가 전송된다. 스마트폰과 인증 코드를 조작하는 것보다 훨씬 간편한 방법이다.

주의 사항
현재 U2F를 지원하는 것은 구글 크롬과 오페라 2개 브라우저뿐이다. 크롬과 오페라는 데스크톱 브라우저 시장의 2/3를 차지하고 있고 윈도우와 맥OS, 리눅스를 지원하지만, 파이어폭스나 사파리, 기타 다른 브라우저를 선호하는 사람들도 있다.

현재로서는 소수의 사이트와 서비스에서만 U2F를 이용할 수 있다. 여기에는 구글, 페이스북, 세일즈포스, 기트허브, 드롭박스 등의 유명 사이트와 서비스가 포함된다. 열쇠 고리에 휴대할 수 있는 시큐리티 키로 구글과 페이스북 계정만 보호해도 큰 도움이 될 수 있다. 사이버 공격과 신원 도용의 중요한 표적인 서비스이기 때문이다.

아이폰이나 아이패드 사용자들은 실망할 수도 있다. 시큐리티 키는iOS 기기를 제대로 지원하지 못하기 때문이다. 안드로이드는 문제 없이 사용할 수 있다.

유비코 초소형 키는 지갑이나 USB 소켓 등에 끼워 넣어 다니기 편하다.


휴대 문제도 고려해야 한다. 인증 앱을 쓸 때는 항상 휴대하고 다니는 스마트폰만 갖고 다녀도 된다. 코드가 스마트폰 안에 위치해 있기 때문이다. 그러나 시큐리티 키는 따로 항상 휴대하고 다녀야 한다. 다행히 크기가 작고 내구성이 높고, 열쇠 고리에 끼울 수 있다.

키에 적용된 표준을 확인할 것
패스워드 관리 도구에 대한 액세스 보호에도 시큐리티 키를 이용할 수 있다.

비밀번호 관리 도구인 대쉬레인(Dashlane) FIDO U2F를 지원한다. 그러나 라스트패스(LastPass)처럼 OTP를 지원하는 비밀번호 도구도 있으니만큼, 키를 쇼핑할 때, U2F와 OTP 코드를 모두 지원하는지 둘 중 하나만 지원하는지 확인해야 한다.

일반적으로는 U2F 및 OTP를 모두 지원하는 유비코(Yubico) 제품들이 인기가 있다. 그러나 가장 저렴한 모델은 OTP를 지원하지 않는다.

장점이 있으면 단점도 있다
구글과 페이스북은 시큐리티 키가 계정 보호에 더 안전한 도구라고 말한다. 그러나 두 회사 모두 보안상의 '허점'을 갖고 있다. SMS로 보안 코드를 받을 복구용 전화번호를 설정하는 경우다. 계정 복구용 전화번호 설정을 끄지 않을 경우 해당 번호로 계속 암호 코드가 발송된다.

SMS가 안전하지 못한 전송 경로라는 점을 감안했을 때 전화번호 확인 방식은 문제의 소지가 있다. 이미 SMS 기반 인증 코드의 보호를 받는 은행 계좌가 해킹당한 사례가 존재한다.

따라서 이 기능을 끄는 것이 좋다. 구글과 페이스북 모두 보안 설정 페이지에서 SMS로 보안 코드를 받는 기능을 끌 수 있다.

여기에서 계정 로그인 알림을 설정하는 것도 좋다. 누군가 계정에 로그인 했을 때, 이를 즉시 알 수 있기 때문이다. 구글과 페이스북은 시큐리키 키 사용에 대해 별도의 의견을 표명하지 않았다.

시큐리티 키를 이용할 수 있는 곳
유비코 사이트에는 호환성과 제품 정보를 자세히 설명한 표가 있다. 시큐리티 키와 적용된 표준을 지원하는 사이트가 목록 형태로 나와있다. 유비코가 관리하고 있는 사이트들이기도 하다. 그러나 가장 광범위한 정보를 찾을 수 있는 사이트는 역시 시큐리티 키를 판매하는 독일의 니트로키(Nitrokey)다. editor@itworld.co.kr  


X