2017.12.05

이중 인증이란?··· 필요한 이유, 그리고 이를 구현하는 방법

JR Raphael | CSO
자체 내부 계정을 통한 이중인증(two-factor authentication, 2FA)은 해커로부터 지켜줄 수 있는 보호 계층을 제공한다.


Credit: Silberfuchs

로리 크래노르는 이중인증의 중요성에 대해 잘 알고 있다. 크래노르는 비밀번호와 보안을 전문으로 하는 카네기 멜론(Carnegie Mellon) 대학의 교수이자 미 연방통상위원회 CTO다. 그리고 크래노르는 가족들의 휴대전화 해킹의 피해자이기도 하다. 이제 그녀는 이중인증이 이를 막을 수 있다고 확신한다.

크래노르의 경험은 누구든 몸서리치게 만들기 충분했다. 2016년 여름, 누군가 이동통신 판매점에 들어와 자신이 로리 크래노르임을 확인했다. 그 사기꾼은 가짜 신분증을 제출했으며 그녀는 새로운 아이폰으로 업그레이드하고 싶다고 말했다. 그리고 크래노르의 가족 번호로 연결된 2개의 새로운 기기와 크래노르의 성이 남겨진 계산서를 갖고 판매점을 나왔다. 크래노르는 "이 경우 이동통신업체가 전화로 문자 메시지라도 보냈다면 문제가 발생하지 않았을 것이다. 그 도둑은 예전 전화기를 갖고 있지 않았다. 그건 내 손에 있었다"고 말했다.

현재까지 2FA는 주요 미국이동통신업체에서 여전히 인기를 얻지 못하고 있다. 이런 보안상의 약점은 직원 데이터가 단일 비밀번호로 보호되는 모든 회사에서 경종을 울리고 있다.

이중인증이란
2FA는 인증 프로세스에 별도의 보호 계층을 추가한다. 사용자는 비밀번호 이외에 정보를 식별하는 두번째 부분을 제공해야 한다. 2FA의 예로는 고등학교 마스코트는 무엇입니까?와 같은 질문에 답하는 것이나 문자 메시지를 통해 수신된 인증 코드를 입력하는 것이 포함된다.

2FA를 사용하는 이유
최상의 보안 관행인 2FA의 개념은 새로운 것이 아니다. 구글은 2010년 기업 고객을 대상으로 고급 형식의 온라인 보안인 다층적 보호를 도입한 후, 2011년에는 모든 구글 사용자로 대상을 확대했다. 페이스북 또한 이를 따랐다. 그러나 퓨 리서치센터(Pew Research Center)의 최근 보고서에 따르면, 미국 성인의 10%만이 4가지 선택 사항 가운데 2가지 요소를 지원하는 로그인 화면을 정확하게 식별할 수 있다.

듀오랩스(Duo Labs)의 다른 보고서에 따르면, 평균 28%의 미국인이 실제로 2FA를 정기적으로 사용한다. 특히 조사 대상 가운데 절반 이상의 사람들은 2FA에 대해 전혀 들어본 적이 없었다.

이것이 문제가 되고 있다. IBM의 IAM(Identity and Access Management) 부서 수석 제품 아키텍트 패트릭 워드롭은 "사람들은 모두 아무리 작은 것을 사더라도 2FA를 사용해야 한다. 쇼핑 사이트에서 치약을 사더라도 누구나 다 2FA를 거쳐야 한다"고 주장했다.

워드롭은 강력한 2FA가 그간 발생했던 인터넷의 유명 프로필 침해 사례를 전부 막을 수 있지만, 인증의 모든 형태가 동등하게 만들어지지 않았다는 점을 지적했다. 또한 SMS 기반의 방법은 아무 것도 하지 않는 것보다는 확실히 낫지만, 쉽게 무용지물이 될 수도 있다. 반면, 앱에서 생성하는 코드나 물리적 보안 키를 사용하는 시스템이 가장 강력하다고 설명했다.

워드롭은 "SMS에서 가장 약한 부분은 통신업체 담당자들이다. 사기꾼들이 전화번호를 도용하고 들어오는 메시지를 가로챌 수 있는 방법으로 상대적으로 쉬운 부분이다"며, "사용자들은 자신의 트위터 계정, 은행 계정을 그들의 손에 맡기고 있다. 나는 확실히 그렇게 하지 않는다"고 말했다.

미국 표준기술연구소(NIST) 또한 이에 동의했다. 이 연방기관은 지난해 SMS 기반 인증과 관련한 결함을 발표하면서 앞서 언급한 인증 코드와 키와 같은 더 강력한 대안을 사용하라는 지침을 발표했다. 그러나 빈번하게 표적이 되는 트위터를 비롯한 많은 온라인 서비스는 SMS 이외의 2단계 인증을 사용할 수 있는 방법을 제공하지 않는다.

이는 워드롭과 같은 보안 전문가를 당황하게 한다. 왜냐하면 사용자가 트위터를 하든, 톨레도에서 작은 상점을 하든 효과적인 2FA 이행은 현재 쉽고 저렴하며 최종사용자에게 최소한의 불편을 주기 때문이다.

워드롭은 "실제 문제는 회사가 데이터를 보호하기 위해 왜 적절한 인증을 사용해야 하는 지가 아니라 높은 수준의 보호를 왜 받아들이지 않는가이다. 이런 강력한 인증 기능은 사용자 지갑을 지켜준다. 이는 변명의 여지가 없다"고 말했다.

다시 로리 크래노르 이야기해보자. 보안연구원이자 보안 피해자인 크래노르는 100% 보장하는 보안이 존재하지 않는다는 걸 잘 알고 있다. 또한 크래노르는 별도의 보호 계층이 보안에서 얼마나 큰 차이를 가져오는 지도 몸소 알고 있다. 크래노르는 "보안에는 절대적인 것은 없다. 위험을 관리하는 것이 전부다"고 말했다.

이중인증이 최종사용자에게 얼마나 번거로움을 주는지 알아보려면, 구글, 페이스북, 인스타그램과 같은 유명 업체의 사례를 볼 필요가 있다. 그리고 이 업체들이 구현한 방법을 확인해보자.

구글에서 2FA 설정하는 방법
구글은 사용자가 다양한 수준의 보안을 유지할 수 있도록 다양한 옵션을 제공한다. 구글의 2단계 인증 페이지에서 모든 사용자는 2FA를 선택하고 확인을 위해 휴대전화에서 구글 앱을 통해 1회 탭 프롬프트를 수신하거나, 인증 프로그램을 통해 단기 코드를 수신하거나, 음성이나 문자 메시지를 통해 단기 코드를 수신하거나, 또는 실제 보안키를 사용한다.

사용자가 전화 또는 물리적 키를 사용할 수 없는 경우, 백업 코드를 인쇄할 수 있으며, 기본 기기가 없을 경우 코드를 전송할 수 있는 백업 전화번호를 지정할 수 있다.

구글 G 스위트(Suite) 계정의 경우, 먼저 구글 2단계 인증을 관리자 수준에서 사용하도록 설정해야 한다. 회사는 모든 사용자가 2FA를 사용하도록 강제할 수 있다.

특히 위험도가 높은 계정의 경우, 구글은 고급 보호 프로그램(Advanced Protection Program)으로 알려진 한 단계 더 높은 옵션을 제공한다. 이 단계에서는 물리적 보안 키로만 작동하며, 모든 비구글 서비스가 계정에 연결되는 것과 자체 데이터에 접속하는 것을 차단한다.

페이스북에서 2FA를 설정하는 방법
페이스북의 2FA 옵션은 구글의 옵션과 비슷하지만 그리 폭넓지는 않다. 사용자는 보안과 로그인 설정 페이지를 연 다음, 2FA 세션에서 "편집" 버튼을 클릭해 페이스북 내에 2FA를 활성화할 수 있다.

여기에서 화면상의 단계를 따라 2FA를 설정하고 선호하는 방법을 선택하기만 하면 된다(앱에서 생성한 코드, SMS에서 제공한 코드, 물리적 보안 키, 인쇄된 복구 코드 등).

인스타그램에서 2FA를 설정하는 방법
페이스북의 자회사임에도 불구하고 인스타그램의 2FA 옵션은 여전히 극도로 제한적이다. 또한 이 서비스의 이중인증 시스템 관리는 웹사이트가 아닌 모바일 앱에서만 가능하다.

인스타그램에서 2FA를 사용하려면 안드로이드 또는 iOS 앱을 열고 프로필로 이동한 다음, 2FA 옵션을 탭하고 보안코드 필요 옆의 전환을 활성화해야 한다. 아쉽게도 SMS 기반 코드는 인스타그램의 일상적인 사용을 위한 유일한 옵션이다. 서비스는 백업 코드 목록을 가져오는 최소한의 기능을 제공한다.

기타 사이트, 서비스에서의 2FA
우선 추가적인 인증 방법을 사용하고 있는 대부분의 사이트는 2FA 유사한 모델을 따르는데, 일반 회사들은 여전히 이를 사용하지 않고 있다. 유명 기업과 서비스들의 이중인증 지원 상태를 확인해보려면, 해당 커뮤니티인 twofactorauth.org에서 찾을 수 있다. editor@itworld.co.kr  



2017.12.05

이중 인증이란?··· 필요한 이유, 그리고 이를 구현하는 방법

JR Raphael | CSO
자체 내부 계정을 통한 이중인증(two-factor authentication, 2FA)은 해커로부터 지켜줄 수 있는 보호 계층을 제공한다.


Credit: Silberfuchs

로리 크래노르는 이중인증의 중요성에 대해 잘 알고 있다. 크래노르는 비밀번호와 보안을 전문으로 하는 카네기 멜론(Carnegie Mellon) 대학의 교수이자 미 연방통상위원회 CTO다. 그리고 크래노르는 가족들의 휴대전화 해킹의 피해자이기도 하다. 이제 그녀는 이중인증이 이를 막을 수 있다고 확신한다.

크래노르의 경험은 누구든 몸서리치게 만들기 충분했다. 2016년 여름, 누군가 이동통신 판매점에 들어와 자신이 로리 크래노르임을 확인했다. 그 사기꾼은 가짜 신분증을 제출했으며 그녀는 새로운 아이폰으로 업그레이드하고 싶다고 말했다. 그리고 크래노르의 가족 번호로 연결된 2개의 새로운 기기와 크래노르의 성이 남겨진 계산서를 갖고 판매점을 나왔다. 크래노르는 "이 경우 이동통신업체가 전화로 문자 메시지라도 보냈다면 문제가 발생하지 않았을 것이다. 그 도둑은 예전 전화기를 갖고 있지 않았다. 그건 내 손에 있었다"고 말했다.

현재까지 2FA는 주요 미국이동통신업체에서 여전히 인기를 얻지 못하고 있다. 이런 보안상의 약점은 직원 데이터가 단일 비밀번호로 보호되는 모든 회사에서 경종을 울리고 있다.

이중인증이란
2FA는 인증 프로세스에 별도의 보호 계층을 추가한다. 사용자는 비밀번호 이외에 정보를 식별하는 두번째 부분을 제공해야 한다. 2FA의 예로는 고등학교 마스코트는 무엇입니까?와 같은 질문에 답하는 것이나 문자 메시지를 통해 수신된 인증 코드를 입력하는 것이 포함된다.

2FA를 사용하는 이유
최상의 보안 관행인 2FA의 개념은 새로운 것이 아니다. 구글은 2010년 기업 고객을 대상으로 고급 형식의 온라인 보안인 다층적 보호를 도입한 후, 2011년에는 모든 구글 사용자로 대상을 확대했다. 페이스북 또한 이를 따랐다. 그러나 퓨 리서치센터(Pew Research Center)의 최근 보고서에 따르면, 미국 성인의 10%만이 4가지 선택 사항 가운데 2가지 요소를 지원하는 로그인 화면을 정확하게 식별할 수 있다.

듀오랩스(Duo Labs)의 다른 보고서에 따르면, 평균 28%의 미국인이 실제로 2FA를 정기적으로 사용한다. 특히 조사 대상 가운데 절반 이상의 사람들은 2FA에 대해 전혀 들어본 적이 없었다.

이것이 문제가 되고 있다. IBM의 IAM(Identity and Access Management) 부서 수석 제품 아키텍트 패트릭 워드롭은 "사람들은 모두 아무리 작은 것을 사더라도 2FA를 사용해야 한다. 쇼핑 사이트에서 치약을 사더라도 누구나 다 2FA를 거쳐야 한다"고 주장했다.

워드롭은 강력한 2FA가 그간 발생했던 인터넷의 유명 프로필 침해 사례를 전부 막을 수 있지만, 인증의 모든 형태가 동등하게 만들어지지 않았다는 점을 지적했다. 또한 SMS 기반의 방법은 아무 것도 하지 않는 것보다는 확실히 낫지만, 쉽게 무용지물이 될 수도 있다. 반면, 앱에서 생성하는 코드나 물리적 보안 키를 사용하는 시스템이 가장 강력하다고 설명했다.

워드롭은 "SMS에서 가장 약한 부분은 통신업체 담당자들이다. 사기꾼들이 전화번호를 도용하고 들어오는 메시지를 가로챌 수 있는 방법으로 상대적으로 쉬운 부분이다"며, "사용자들은 자신의 트위터 계정, 은행 계정을 그들의 손에 맡기고 있다. 나는 확실히 그렇게 하지 않는다"고 말했다.

미국 표준기술연구소(NIST) 또한 이에 동의했다. 이 연방기관은 지난해 SMS 기반 인증과 관련한 결함을 발표하면서 앞서 언급한 인증 코드와 키와 같은 더 강력한 대안을 사용하라는 지침을 발표했다. 그러나 빈번하게 표적이 되는 트위터를 비롯한 많은 온라인 서비스는 SMS 이외의 2단계 인증을 사용할 수 있는 방법을 제공하지 않는다.

이는 워드롭과 같은 보안 전문가를 당황하게 한다. 왜냐하면 사용자가 트위터를 하든, 톨레도에서 작은 상점을 하든 효과적인 2FA 이행은 현재 쉽고 저렴하며 최종사용자에게 최소한의 불편을 주기 때문이다.

워드롭은 "실제 문제는 회사가 데이터를 보호하기 위해 왜 적절한 인증을 사용해야 하는 지가 아니라 높은 수준의 보호를 왜 받아들이지 않는가이다. 이런 강력한 인증 기능은 사용자 지갑을 지켜준다. 이는 변명의 여지가 없다"고 말했다.

다시 로리 크래노르 이야기해보자. 보안연구원이자 보안 피해자인 크래노르는 100% 보장하는 보안이 존재하지 않는다는 걸 잘 알고 있다. 또한 크래노르는 별도의 보호 계층이 보안에서 얼마나 큰 차이를 가져오는 지도 몸소 알고 있다. 크래노르는 "보안에는 절대적인 것은 없다. 위험을 관리하는 것이 전부다"고 말했다.

이중인증이 최종사용자에게 얼마나 번거로움을 주는지 알아보려면, 구글, 페이스북, 인스타그램과 같은 유명 업체의 사례를 볼 필요가 있다. 그리고 이 업체들이 구현한 방법을 확인해보자.

구글에서 2FA 설정하는 방법
구글은 사용자가 다양한 수준의 보안을 유지할 수 있도록 다양한 옵션을 제공한다. 구글의 2단계 인증 페이지에서 모든 사용자는 2FA를 선택하고 확인을 위해 휴대전화에서 구글 앱을 통해 1회 탭 프롬프트를 수신하거나, 인증 프로그램을 통해 단기 코드를 수신하거나, 음성이나 문자 메시지를 통해 단기 코드를 수신하거나, 또는 실제 보안키를 사용한다.

사용자가 전화 또는 물리적 키를 사용할 수 없는 경우, 백업 코드를 인쇄할 수 있으며, 기본 기기가 없을 경우 코드를 전송할 수 있는 백업 전화번호를 지정할 수 있다.

구글 G 스위트(Suite) 계정의 경우, 먼저 구글 2단계 인증을 관리자 수준에서 사용하도록 설정해야 한다. 회사는 모든 사용자가 2FA를 사용하도록 강제할 수 있다.

특히 위험도가 높은 계정의 경우, 구글은 고급 보호 프로그램(Advanced Protection Program)으로 알려진 한 단계 더 높은 옵션을 제공한다. 이 단계에서는 물리적 보안 키로만 작동하며, 모든 비구글 서비스가 계정에 연결되는 것과 자체 데이터에 접속하는 것을 차단한다.

페이스북에서 2FA를 설정하는 방법
페이스북의 2FA 옵션은 구글의 옵션과 비슷하지만 그리 폭넓지는 않다. 사용자는 보안과 로그인 설정 페이지를 연 다음, 2FA 세션에서 "편집" 버튼을 클릭해 페이스북 내에 2FA를 활성화할 수 있다.

여기에서 화면상의 단계를 따라 2FA를 설정하고 선호하는 방법을 선택하기만 하면 된다(앱에서 생성한 코드, SMS에서 제공한 코드, 물리적 보안 키, 인쇄된 복구 코드 등).

인스타그램에서 2FA를 설정하는 방법
페이스북의 자회사임에도 불구하고 인스타그램의 2FA 옵션은 여전히 극도로 제한적이다. 또한 이 서비스의 이중인증 시스템 관리는 웹사이트가 아닌 모바일 앱에서만 가능하다.

인스타그램에서 2FA를 사용하려면 안드로이드 또는 iOS 앱을 열고 프로필로 이동한 다음, 2FA 옵션을 탭하고 보안코드 필요 옆의 전환을 활성화해야 한다. 아쉽게도 SMS 기반 코드는 인스타그램의 일상적인 사용을 위한 유일한 옵션이다. 서비스는 백업 코드 목록을 가져오는 최소한의 기능을 제공한다.

기타 사이트, 서비스에서의 2FA
우선 추가적인 인증 방법을 사용하고 있는 대부분의 사이트는 2FA 유사한 모델을 따르는데, 일반 회사들은 여전히 이를 사용하지 않고 있다. 유명 기업과 서비스들의 이중인증 지원 상태를 확인해보려면, 해당 커뮤니티인 twofactorauth.org에서 찾을 수 있다. editor@itworld.co.kr  

X