보안 / 컨슈머라이제이션

비밀번호 관리 서비스를 선택할 때 주의점 3가지

Lucian Constantin | PCWorld 2014.10.15
많은 보안 전문가들은 더 이상 비밀번호가 해킹의 위험으로부터 온라인 계정을 보호하기에 충분하지 않다고 지적하고 있다. 그러나 생체 인식을 비롯한 다른 신뢰할만한 수준의 신원 인증 수단이 ‘비밀번호’를 대체하려면 상당히 오랫동안 기다려야 한다.

대다수 온라인 사이트에서는 신원을 인증하기 위한 수단으로 비밀번호를 사용하기 때문에, 사용자들은 비밀번호를 관리할 때 강력한 보안 대책을 따르기 위해 다음과 같은 최소한의 노력을 하고 있다.

- 무작위공격(Brute force)을 견뎌낼 수 있을 정도로 길고 복잡한 비밀번호
- 각각의 온라인 사이트마다 서로 다른 비밀번호를 입력
- 주기적으로 비밀번호를 변경

다행히 앞서 말한 3가지 방식을 포함해 비밀번호 관리를 자동으로 해주는 ‘비밀번호 관리(Password Management)’ 프로그램이 있다. 비밀번호 관리는 브라우저 대다수에 구현된 비밀번호 저장 기능과 서로 다른 기기에 저장된 비밀번호를 동기화하는 특화 프로그램으로 구현할 수 있다.

많은 비밀번호 관리 서비스는 각각의 브라우저에 부가기능으로 제공되거나, 데스크톱 프로그램이나 모바일 앱으로 제공되기도 하며, 심지어는 온라인에서 비밀번호 금고에 접근할 수 있도록 해준다. 비밀번호 관리 서비스는 매우 편리하지만, 악용되면 사용자의 모든 정보가 털릴 정도의 위험을 안고 있다. 비밀번호 관리 서비스는 저장된 비밀번호를 풀기 위해 마스터 비밀번호에 의존하기 때문이다.

알아야 할 것
우선, 자신이 사용하고자 하는 비밀번호 관리 애플리케이션의 보안 모델을 주의 깊게 살펴볼 필요가 있다. 클라우드를 기반으로 로그인과 동기화를 제공하는 프로그램에 대해, 서비스 제공업체가 사용자 데이터를 자사 서버에 저장하는 방식과 사용자의 마스터 비밀번호 접근 가능 여부에 대해 알아야 한다.

일부 업체들은 영지식(zero-knowledge) 모델을 사용한다. 서버는 암호화된 비밀번호 저장소 복사본이 저장되는 용도로만 쓰인다. 저장소의 계정 정보는 고객 앱을 동기화하거나 사용자가 온라인에서 로그인할 때 암호화된 형식으로 보내진다. 복호화는 사용자 마스터 비밀번호를 이용해 해당 기기에서 진행되며, 인터넷으로 전송되거나 서비스 제공업체와 공유되지 않는다.

이런 경우, 비밀번호 관리자 서버는 오직 암호화된 비밀번호 저장소의 복사본을 저장하는 데 이용되며, 서버를 공격한 해커는 비밀번호를 저장한 내부에 접근할 수 있는 키를 얻을 수 없다. 라스트패스(LastPass), 대시레인(Dashlane), 1비밀번호(1Password), 최근 트위터에 인수된 이후 오픈소스화된 미트로(Mitro)는 영지식 모델을 기반으로 한 서비스 제공업체 가운데 하나다.

이중 장치 마련하기
그러나, 영지식 모델은 클라이언트 단의 공격은 방지하지 못한다. 만일 해커가 사용자 컴퓨터에 키로깅 악성코드를 심어놓는다면 사용자의 마스터 비밀번호를 탈취할 수 있다. 그렇기 때문에 2단계 인증을 제공하는 서비스를 선택해야 한다.

2단계 인증 방식은 알고 있는 것(마스터 비밀번호)과 소유하고 있는 것(스마트폰이나 하드웨어 토큰)으로 구성된다. 일반적인 2단계 인증은 텍스트 문자로 발송되거나 구글 인증기(Google Authenticator)처럼 특정 모바일 애플리케이션에서 생성한 일회용 코드로 구현된다. 다행히 대다수 인기가 있는 클라우드 기반의 비밀번호 관리 서비스들은 다중 인증을 제공하는데, 여기서 하나 더 살펴볼 것이 있다.

2단계 인증은 훔쳐낸 마스터 비밀번호로 다른 기기에서 사용자의 비밀번호 저장소에 접근하려는 해커를 차단한다. 그러나 해커들은 여전히 사용자의 활성화된 비밀번호 관리자 세션과 로그인 정보를 탈취할 수 있는 악성코드를 주입할 수 있으며, 특히 편리함을 제공하는 자동 로그인 옵션 기능이 켜져 있다면 더 위험하다. 사용자는 자동 로그인 기능 활성화 여부에 대해서 신중히 선택해야 한다.

또 하나의 가장 좋은 방법은 브라우저가 장시간 열려 있거나 사용자가 잠시 자리를 비웠을 때 유효 시간이 지나면 자동으로 로그오프되는 비밀번호 관리 애플리케이션을 이용하는 것이다. 감염된 악성코드에 대한 방어 효과는 없을지언정, 보안 계층을 추가하는 방편이 될 수 있다.

사용자는 휴대기기나 컴퓨터를 신뢰할 수 있는 장치로 표시할 수도 있다. 비밀번호 관리 애플리케이션은 2단계 인증을 완료한 기기에 대해 향후 인증 과정을 생략할 수 있는 옵션을 제공한다. 해커가 2단계 인증을 통과한 기기의 관리 권한을 절대 획득할 수 없다고 가정한다면 매우 편리한 방식이지만, 인증 코드를 매번 입력하는 옵션을 다시 적용할 필요도 있다는 점을 견지해야 한다.

비밀번호 관리자에 의존하지 말아야
비밀번호 관리 애플리케이션을 이용하면 사이트 별로 지정한 서로 다른 복잡한 비밀번호를 전부 기억할 필요가 없다는 장점이 있다. 그러므로 사용자는 무작위 공격에 대응하기 위해서라도 매우 강력한 마스터 번호를 설정해야 한다.

숫자, 소문자와 대문자, 특수기호 등을 포함한 복잡한 비밀번호를 외우는 데 어려움을 겪고 있다면, 매우 긴 문장을 마스터 비밀번호로 사용하는 것도 좋다. 단어를 무작위로 골라 추측하기 어려운 문장을 만들면 무작위공격을 방지할 수 있는 더 나은 보안 단계를 제공하지만, 기억하기는 쉬워야 한다. 또한, 비밀 문장은 비밀번호 관리 애플리케이션이나 서버가 특정 사유로 이용할 수 없을 수도 있으므로, 주요 계정의 로그인 비밀번호로 설정하면 좋다.

마지막으로, 비밀번호 관리 서비스를 이용하고, 일반적으로 잘 알려진 강력한 보안 대책을 따른다면 페이스북과 구글과 같이 주요 온라인 서비스업체들의 2단계 인증을 활성화하는 것을 추천한다. 이는 만일, 비밀번호 관리자가 침해당하더라도 2차 피해를 최소화하는 데 도움이 된다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.