보안 / 컨슈머라이제이션

2단계 인증을 사용해야 하는 이유 3가지

Tony Bradley | PCWorld 2014.10.16
개인정보가 대량 유출되는 사고가 매주 발생하고 있다. 서비스 업체가 데이터 유출을 방지하고 사용자 데이터를 보호하기 위한 모든 수단과 조치를 강구하고 있지만, 데이터 유출 사고가 일어나지 않으리라 과신하는 것은 무리다. 개인정보를 보호하고, 잠재적인 보안 노출을 최대한으로 줄이기 위해 보안 단계를 추가하는 것은 사용자의 몫이다. 그 중 가장 효과적인 방법은 바로 ‘2단계 인증’을 적용하는 것이다.

아이스크림 프랜차이즈 데이어리 퀸(Diary Queen)과 대형할인점 케이마트(Kmart), 두 매장 시스템이 해킹당해 중요한 사용자 데이터가 유출됐다. 홈 디포(Home Depot), UPS 또한 최근 데이터 유출 사고의 희생양이 됐다. 수백만 고객의 개인 정보와 신용 카드 정보가 사기나 신원 도용과 같은 범죄의 손아귀에 들어간 것이다.

정보 유출 사건이 터질 때마다, 강력하고 복잡한 비밀번호를 써야 한다는 이야기는 나오지만, 비밀번호만으로는 사용자의 신원을 보호할 수 없다. 버라이즌이 발행한 ‘2014 데이터 유출 분석 보고서’에 따르면 취약하거나 훔친 비밀번호로 해킹된 계정은 66%에 달한다.

사용자의 신원을 확인하는 인증 수단에는 지식 형태(알고 있는 것), 소유물, 생체정보와 같은 3가지 요소가 있다. 3가지 가운데 하나만으로도 사용자의 신원을 인증할 수 있는데, 더 나은 보안을 위해 2단계 혹은 다중 인증을 사용해야 한다.

비밀번호의 문제점은 타인과 공유할 수 있으며, 추측할 수 있으며, 유출될 가능성이 크다는 것이다. ID와 비밀번호는 각각 2가지 인증 요소처럼 보이지만, 사실 둘 다 사용자가 알고 있는 ‘지식’이며, 예측이 쉽다.

구글, 애플, 마이크로소프트는 사용자 계정 보호를 위해 2단계 인증을 제공한다. 새로운 기기를 등록하거나 계정 접근 및 변경을 위해 사용자는 계정에 등록된 이메일 주소나 휴대폰 번호로 발송된 인증코드를 입력해야 한다. 해커가 사용자 비밀번호를 유출해 이메일 계정을 해킹하더라도, 사용자 휴대폰을 소지하지 않는 한 해당 서비스의 사용자 정보를 변경하는 것은 불가능하다.

일부 신용 카드는 추가 인증 메커니즘을 제공하는 칩을 내장하고 있다. 해커는 마그네틱 선에 입력된 데이터를 읽어들여 간단한 신용카드를 복제할 수 있다. 그러나 신용 카드에 내장된 칩은 복제할 수 없다.

장점1: 데이터 유출을 어렵게 만든다
2단계 인증은 사용자 계정을 보호할 수 있는 보호 단계를 추가하는 것이라 보면 된다. 마치 평범한 열쇠 잠금장치와 알림 시스템을 포함한 현관문 걸쇠에 비유해볼 수 있다. 이 아이디어는 사용자의 인증 방식 가운데 하나를 공격하는 데 성공하더라도, 두 가지 모두를 해킹할 수 없다는 점이 중요하다. 일반적으로 해커는 보안 단계가 복잡한 계정보다는, 정보 탈취가 쉬운 계정에 시간을 투자하기 때문에 모든 계정에 다중 인증 방식을 설정하는 편이 좋다.

장점2: 데이터 유출 사고를 예방한다
만약 2단계 인증을 사용한다면 데이터 유출에 대한 걱정을 한시름 덜어놔도 된다. 주로 이용하는 웹 사이트나 매장 네트워크가 해킹을 당한 경우라면, 3가지 인증 요소 가운데 ‘알고 있는 것’만 노출된 것뿐이다. 사용자가 소유하고 있거나 자신의 생체 정보를 다중 인증 요소로 활용한다면, 신원 및 개인정보가 유출되더라도 안전하다.

장점3: 침해 시도에 대한 알림을 준다
2단계 인증은 사용자 계정에 대한 허가 받지 않는 접근 시도 정황을 사용자에게 알려준다. 만약 예정에도 없이 일회용 코드 메시지나 인증 메일을 받았다면 의심해봐야 한다. 2단계 인증을 설정했기 때문에 해당 계정은 안전하다고 볼 수 있으나, 해커가 2단계 인증을 뚫는 시도를 했다는 것 자체는 ID와 비밀번호가 유출됐다는 것을 의미한다. 그러므로 즉시 비밀번호를 변경해야 한다.

매우 완벽한 보안 시나리오를 가지고 있더라도 여전히 보안 사고와 데이터 유출 사고는 발생할 것이다. 편의성과 보안을 맞바꿔서는 안 된다. 사용자가 소유한 기기와 이용하는 사이트와 서비스에 2단계 인증을 적용한다면 잠재적인 보안 위협으로부터 자신을 스스로 지켜낼 수 있다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.