iOS
2018.12.27

"언제 닫았지?" 애플, 이중인증 비활성화 옵션 조용히 뺐다

Glenn Fleishman | Macworld
이중 인증 방식은 온라인 계정 탈취를 방지하는 효과적인 방식이다. 이중 인증은 비밀번호를 보완하기 위해 문자 메시지로 전송되는 코드 재입력을 요구한다. 이 두 번째 요소는 전화번호, 전화의 액세스를 보유한 상태에서 코드를 알아야 하기 때문에 노출 위험을 비약적으로 감소시킨다.

애플도 몇 년전 애플 ID에 대해 이중 인증 방식을 도입해 한 단계 더 업그레이드를 꾀했다. 클라우드 서비스에서 질문과 답변 입력, 피싱 등의 소셜 엔지니어링 방식에서 한 단계 더 수준을 높인 것이다.

애플의 이중 인증은 iOS와 맥OS에 통합돼 있으며, 모든 사용자가 이 방식을 활성화하는 것을 권장하고 싶다. 그러나 이 과정을 복잡하게 여기거나 활성화 방법을 어렵게 여기는 사용자도 있다. 애플 ID에서는 물리 기기가 필요 없지만, 디지털 콘텐츠를 구입할 때 이중 인증을 활성화했다면 사실 골치가 아픈 것이 사실이다.

최근까지는 애플 ID 웹 사이트에서 기능을 꺼야만 이중 인증을 비활성화할 수 있었다. 이중 인증 비활성화 옵션은 조용히 등장했는데, 최근에 이 기능을 끄려는 사용자들이 비활성화 옵션을 찾을 수 없다는 의견을 내기 시작했다.



iOS 10과 맥OS 10.12 시에라 이후 버전부터 애플이 이 옵션을 삭제한 것으로 보였다. 애플 지원 페이지에서는 이중 인증 사용을 설정한 후 2주 이내에는 비활성화할 수 있다고 되어 있지만, 2주가 지나면 다른 방법이 없는 것 같다. "iOS와 맥OS의 최신 버전 특정 기능은 사용자 정보 보호를 위해 최고 수준의 보안이 적용됩니다."라는 안내만을 찾을 수 있다.

보안을 위해 편의를 희생한 이런 움직임의 방향은 존중하지만, 애플이 충분한 보도, 설명, 안내 없이 덜컥 조치를 취한 것은 안타깝다. 이 옵션이 필요한 다른 기능을 알려주지도 않고 있다.

이중 인증의 두 번째 요소를 텍스트 메시지와 자동 음성 메시지를 통한 대비책으로 iOS와 맥OS를 통해서만 제공한다는 점도 문제다. 표준 코드 기반 두 번째 팩터(예를 들어 일회용 비밀번호나 TOTP), 서드파티 시스템과 통합되지 않았다.

이중 인증 시스템을 비활성화할 수 없게 만들기 전에 최대한 전 세계 사용자의 편의를 고려했어야만 했다.  그러나 새로운 제한은 이미 시작됐고, 만일 아직 이중 인증을 활성화하지 않은 사용자일 경우 비활성화 옵션이 없음을 유의하고, 꼭 이 과정이 필요한지 생각해 본 후 진행하도록 하자. editor@itworld.co.kr 


iOS
2018.12.27

"언제 닫았지?" 애플, 이중인증 비활성화 옵션 조용히 뺐다

Glenn Fleishman | Macworld
이중 인증 방식은 온라인 계정 탈취를 방지하는 효과적인 방식이다. 이중 인증은 비밀번호를 보완하기 위해 문자 메시지로 전송되는 코드 재입력을 요구한다. 이 두 번째 요소는 전화번호, 전화의 액세스를 보유한 상태에서 코드를 알아야 하기 때문에 노출 위험을 비약적으로 감소시킨다.

애플도 몇 년전 애플 ID에 대해 이중 인증 방식을 도입해 한 단계 더 업그레이드를 꾀했다. 클라우드 서비스에서 질문과 답변 입력, 피싱 등의 소셜 엔지니어링 방식에서 한 단계 더 수준을 높인 것이다.

애플의 이중 인증은 iOS와 맥OS에 통합돼 있으며, 모든 사용자가 이 방식을 활성화하는 것을 권장하고 싶다. 그러나 이 과정을 복잡하게 여기거나 활성화 방법을 어렵게 여기는 사용자도 있다. 애플 ID에서는 물리 기기가 필요 없지만, 디지털 콘텐츠를 구입할 때 이중 인증을 활성화했다면 사실 골치가 아픈 것이 사실이다.

최근까지는 애플 ID 웹 사이트에서 기능을 꺼야만 이중 인증을 비활성화할 수 있었다. 이중 인증 비활성화 옵션은 조용히 등장했는데, 최근에 이 기능을 끄려는 사용자들이 비활성화 옵션을 찾을 수 없다는 의견을 내기 시작했다.



iOS 10과 맥OS 10.12 시에라 이후 버전부터 애플이 이 옵션을 삭제한 것으로 보였다. 애플 지원 페이지에서는 이중 인증 사용을 설정한 후 2주 이내에는 비활성화할 수 있다고 되어 있지만, 2주가 지나면 다른 방법이 없는 것 같다. "iOS와 맥OS의 최신 버전 특정 기능은 사용자 정보 보호를 위해 최고 수준의 보안이 적용됩니다."라는 안내만을 찾을 수 있다.

보안을 위해 편의를 희생한 이런 움직임의 방향은 존중하지만, 애플이 충분한 보도, 설명, 안내 없이 덜컥 조치를 취한 것은 안타깝다. 이 옵션이 필요한 다른 기능을 알려주지도 않고 있다.

이중 인증의 두 번째 요소를 텍스트 메시지와 자동 음성 메시지를 통한 대비책으로 iOS와 맥OS를 통해서만 제공한다는 점도 문제다. 표준 코드 기반 두 번째 팩터(예를 들어 일회용 비밀번호나 TOTP), 서드파티 시스템과 통합되지 않았다.

이중 인증 시스템을 비활성화할 수 없게 만들기 전에 최대한 전 세계 사용자의 편의를 고려했어야만 했다.  그러나 새로운 제한은 이미 시작됐고, 만일 아직 이중 인증을 활성화하지 않은 사용자일 경우 비활성화 옵션이 없음을 유의하고, 꼭 이 과정이 필요한지 생각해 본 후 진행하도록 하자. editor@itworld.co.kr 


X