보안

“2FA의 첫 출발은 보호 계층을 하나 더 추가하는 것”

Jason Cross | Macworld 2022.03.28
온라인 계정을 해킹 당하는 사용자 수는 매일 수백만 명에 이른다. 비밀번호 목록은 다크 웹에서 거래되며, 악의적 사용자는 자동화 프로세스를 사용해 수많은 계정과 서비스에 이들 비밀번호를 대입한다. 정교한 피싱 공격은 정당한 서비스나 고객 지원으로 위장해 사용자에게 비밀번호 혹은 비밀번호를 초기화하는 데 필요한 정보를 밝히도록 유도한다.
 
ⓒ Getty Images Bank

명백히 이런 일을 방지하는 최고의 방법은 각 게정마다 강력하고 추측하기 어려운 비밀번호를 설정하는 것이다. 대표적으로 원패스워드(1Password), 라스트패스(LastPass), 대시레인(Dachlane)과 같은 훌륭한 비밀번호 관리자를 사용해 이런 작업을 관리할 수 있다.

하지만 보안이 우수한 비밀번호만으로는 충분하지 않다. 보호 계층이 하나 더 필요하다. 다시 말해, 2단계 보안 인증(Two-Factor Authentication, 2FA)을 설정해야 한다는 것이다.

Macworld는 이미 애플 계정에서 2FA를 활성화하는 방법을 설명했다. 그렇다면 기타 다른 계정에서는 어떻게 2FA를 설정해야 할까? 이들 역시 매우 신중하게 보호돼야 한다. 2FA를 설정해 계정을 보호하는 방법은 다음과 같다.
 

2FA란 무엇인가?

2FA는 특정 계정의 소유자가 본인임을 증명하는 방법이다. 인증에는 3가지 주요 요소가 있다. 하나는 비밀번호나 PIN과 같은 지식 요소와 특정 번호로 발송된 텍스트를 수신하는 휴대폰, USB 키팝(Key Fob), 이메일 주소 액세스와 같은 소유 요소, 지문, 망막과 같은 사용자 고유의 것인 고유 요소가 바로 그것이다.

집 현관문을 생각해보자. 열쇠만으로 현관문을 열 수 있다면 1단계 보안 인증이다. 따라서 문을 여는 데 집 열쇠만 있으면 된다. 물리적 열쇠와 4자리 PIN을 입력해 문을 열어야 하는 경우는 2FA라고 할 수 있다. 경보 시스템을 설치하는 것은 기본적으로 2FA를 집에 추가하는 것이나 다름없다.

일부 기업은 이런 종류의 보안을 다단계 보안 인증(Multi-Factor Authentication, MFA), 또는 2단계인증이라고 부른다. 이들 용어는 엄밀히 따졌을 때 2FA와 조금 다르지만 대다수 소비자 애플리케이션에서 거의 동일한 의미로 통한다.

다시 말해, 2FA는 사용자가 자신의 지식 요소와 소유 요소를 함께 제출하도록 해 계정을 보호한다. 그러면 다른 사용자가 비밀번호를 훔치거나 추측해도 계정에 액세스하는 것은 불가능하다.

다시 한번 말하면, 2FA는 어떤 방식으로 비밀번호를 해킹해도 계정에 로그인할 수 없도록 하는 보안 인증 방법으로, 결정적인 안전 장치이다.
 

2FA에 사용될 수 있는 인증 방식

일반적인 소비자 계정에 대한 2FA는 대부분 정상적인 비밀번호나 PIN, 그리고 아래와 같이 3가지 다른 증명 방식 가운데 하나와의 조합으로 구성된다.

이메일 : 로그인을 시도할 때 계정과 이미 연계돼 있는 주소로 짧은 코드가 담긴 이메일이 발송된다. 전송된 코드는 제한된 시간 동안에만 사용할 수 있다. 이메일을 확인하고 코드를 입력하면 계정에 액세스할 수 있다.

텍스트 메시지 : 기록된 전화번호로 대개 6자리 숫자로 구성된 코드를 포함한 SMS 텍스트 메시지메 발송한다. 코드는 몇 분 동안만 유효하다.

TOTP 앱 : 스마트폰의 특수한 앱이 서비스와 공유된 고유한 비밀 문자열에 근거해 TOTP(Time-based One Time Password)를 생성한다. 비밀번호는 30초~1분 동안만 유효하다. 이후에는 다른 코드가 생성된다.

이들 3가지 요소 중에서 TOTP 앱 접근법이 가장 좋다. 우수한 2FA 앱은 수많은 서비스에서 동시에 사용될 수 있으며, 코드를 이메일이나 SMS를 통해 발송하는 것보다 더욱 안전하다. 다만, 이메일 로그인 정보가 해킹을 당했다면 곤란해질 수 있다. SIM 재킹(SIMJacing)은 스캐머가 신규 SIM 카드로 전화번호를 전송하도록 하며, 텍스트 메시지를 가로챌 수 있다.

TOTP 앱은 문자 메시지만큼 편리하지는 않다. 새 컴퓨터, 브라우저, 기기에서 로그인할 때마다 앱을 휴대폰에서 연 다음 코드를 확인해야 한다. 하지만 TOTP 앱은 편의성, 보편성, 보안성을 모두 갖춘 최고의 툴이다. 따라서 Macworld는 TOTP 앱을 사용하는 것을 권장한다. 필자가 TOTP 앱 중애서도 오시(Authy)이지만 라스트패스 어센티케이터(LastPass Authenticator), 마이크로소프트 어센티케이터(Microsoft Authenticator), 구글 어센티케이터(Google Authenticator) 역시 검토하는 것이 좋다.

안타깝게도 일부 사이트 및 서비스는 오로지 이메일이나 SMS를 통해서만 2FA를 제공한다. 이런 방법도 나쁘지 않다. 2FA를 아예 설정하지 않는 것보다 훨씬 더 안전하다.
 

하드웨어 키는 무엇인가?

하드웨어 키 기기는 계정을 봉쇄하는 가장 안전한 방법일 것이다. 누군가가 계정에 액세스하려면 하드웨어 키 기기를 물리적으로 훔치는 방법밖에 없다.

맥이나 아이폰 사용자에게 최고의 선택지는 아마도 유비키 5Ci(YubiKey 5Ci)일 것이다. 유비키 5Ci는 USB-C 및 라이트닝 연결과 광범위한 보안 프로토콜 및 서비스를 지원한다. 단점은 키 하나에 70달러나 된다는 것이다. 가격이 더 낮은 것도 있지만 키는 어떤 방식으로든 항상 소지해야 하는 별개의 물리적 개체이며, 소지하지 않으면 계정에 액세스할 수 없다.

또한, 키는 크기가 매우 작다. 키를 분실할 경우, 키를 활성화시킨 모든 서비스에 접속해 계정으로의 액세스를 복구하기 위해 2FA를 사용해야 한다.

하드웨어 키는 사용자가 좋아하기만 한다면 나쁘지 않은 선택지이다. 하지만 필자 생각에는 가장 완벽한 아까 말했듯이 보안과 편의, 비용 면에서 가장 완벽한 것은 TOTP 앱이다.
 

2FA로 유명 계정을 보호하는 방법

Macworld는 이미 애플 ID에 2FA를 설정하는 방법을 소개했다. 2FA를 설정하는 것은 중요하지만, 거기서 멈추면 안 된다. 보호해야 할 다른 계정도 많다는 것을 명심하기 바란다.

2FA를 활성화하는 프로세스는 계정과 서비스마다 조금씩 차이가 있다. 간단한 구글 검색으로 매뉴얼을 찾을 수 있다. 여기서는 도움이 될 만한 유명한 인터넷 계정 목록을 수집했으며, 이들 모두 2FA 설정 방법을 제공한다.

구글 : 구글은 여러 가지 2FA를 제공한다. 안전 센터 페이지를 통해 자세한 내용을 알 수 있다.

트위터 : 트위터는 인터넷 상에서 가장 빈번하고 공개적으로 훼손되는 계정이다.

페이스북 : 페이스북 사용자가 2억 명이 넘기 때문에 해커의 주요 표적이 된다. 2FA 설정 방법은 고객 센터 페이지를 통해 확인할 수 있다.

인스타그램 : 인스타그램도 도움말 페이지를 통해 2FA 설정 방법에 관한 정보를 제공한다.

아마존 : 사용자의 아마존 계정은 결제 수단과 연결돼 있을 것이다. 따라서 아마존 역시 사용자 돈으로 물건을 구매하려는 해커가 노리는 거대한 표적이다. 아마존 도움말 페이지를 통해 2FA 설정 방법을 확인하기 바란다.

레딧 : 다른 유명한 소셜 미디어 계정과 마찬가지로 레딧(Reddit) 계정 역시 2FA로 보호해야 한다. 2FA 설정 방법은 레딧 도움말 페이지에서 확인할 수 있다.

마이크로소프트(Xbox) : 사용자는 개인 마이크로소프트 계정, 업무용 마이크로소프트 계정, 또는 이들 2가지를 모두 가지고 있을 것이다. 엑스박스(Xbox) 계정이 있다면, 마이크로소프트의 계정일 것이며, 스캐머와 해커가 노리는 표적이다. 마이크로소프트 계정에 2FA를 활성화하는 방법은 마이크로소프트 도움말 페이지를 참고하기 바란다.

플레이스테이션 : 플레이스테이션(PlayStation) 게이머도 2FA로 자신의 계정을 보호하고자 할 것이다. 하지만 소니(Sony)는 2FA로 문자 메시지만 지원한다. 그래도 없는 것보다는 훨씬 낫다.

닌텐도 : 닌텐도 계정은 아마도 스위치(Switch)나 위(Wii) 시스템, 일부 닌텐도 모바일 앱에서 사용될 것이다. 모든 게임용 계정과 마찬가지로 사용자는 자신의 계정을 2FA로 보호하고 싶을 것이다. 닌텐도는 TOTP 코드를 생성할 때 구글 어센티케이터 사용을 권고하지만, 다른 앱도 무난하게 작용한다.

비밀번호 관리자 : 비밀번호 관리자는 사용자의 모든 비밀번호를 지키는 프로그램이다. 따라서 반드시 2FA를 활성화해야 한다. 2FA를 활성화하는 방식은 비밀번호 관리자마다 자체 매뉴얼이 있지만 이번 기사에서는 원패스워드(1Password)와 라스트패스(LastPass), 대시레인(Dashlane)의 도움말 페이지만 소개한다.

은행 계정 : 누군가 온라인으로 이용자의 은행 계정에 접근할 수 있다면 기본적으로 계좌에 있는 모든 돈을 가져갈 수 있다. 따라서 당연히 이들 계정을 2FA로 보호해야 한다.

여기서 나열하기에는 은행, 신용조합, 금융기관의 수가 너무 많다. 돈을 보관하거나 빌린 모든 곳에 2FA를 활성화해야 한다. 신용카드 계정, 주식 거래 서비스 역시 빠뜨리면 안 된다.

다행히도 오늘날 많은 은행이 적어도 이메일이나 문자 메시지를 사용해 기본적으로 2FA를 설정한다. 하지만 탐색할 만한 가치가 있는 더욱 안전한 선택지를 제공하는 은행도 있다.
editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.