Offcanvas

보안 / 소비자IT

블로그ㅣ아이클라우드 키체인으로 암호를 감사하는 방법

2021.08.17 Jonny Evans  |  Computerworld
美 이동통신사 T-모바일(T-Mobile)에서 1억 명 이상의 고객 정보를 유출했다는 의혹이 제기됐다. 비밀번호와 계정 보안을 다시 한번 확인해야 할 때다. 여기에서 키체인(Keychain)을 활용하는 방법은 다음과 같다. 
 
ⓒMichael Simon

애플의 빌트인 암호 관리자를 ‘아이클라우드 키체인’이라고 한다. 이는 사용자가 로그인한 모든 기기에서 저장된 계정 정보(예: 계정 이름 및 비밀번호 등)를 안전하게 보관한다. 그리고 사용자가 앱이나 서비스에 액세스할 때 자동으로 해당 정보를 입력해준다. 

안전한 보안 습관을 관리하는 데 유용한 도구라고 할 수 있다. 라스트패스(LastPass), 대쉬레인(Dashlane), 원패스워드(1Password) 등의 크로스플랫폼 서비스를 선호하는 경우가 많은데 이러한 서비스 자체는 공격에 취약할 수도 있다

애플은 자체 암호 관리 도구를 선보인 이후 계속해서 업데이트해왔다. iOS 14부터 애플은 아래의 보안 취약점을 경고해왔다. 

약한 비밀번호(Weak passwords): 많이 쓰이거나 추측하기 쉬운 비밀번호를 사용하는 경우. 사전에 있는 단어를 활용하거나 일반적인 문자를 대체한 것, 키보드 패턴 또는 1, 2, 3, 4와 같은 시퀀스를 사용하면 비밀번호가 쉽게 추측될 수 있다. 또 동일한 비밀번호로 여러 사이트에 액세스하는 경우에도 암호를 변경하라는 메시지가 표시된다. 

비밀번호 유출(Leaked passwords): 데이터 침해로 비밀번호가 유출된 경우. 이 시스템은 유출됐다고 알려진 암호를 지속적으로 업데이트 및 큐레이션한 마스터 목록을 사용한다. 암호 관리자는 강력한 암호화 기술을 사용하여 (개인의 암호를 절대 공유하지 않는 방식으로) 침해된 암호 목록에서 자신의 암호를 확인해 볼 수 있다. 

아이클라우드 키체인 사용 방법 
iOS 기기는 ‘설정(Settings) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud Keychain)’ 그리고 맥은 ‘시스템 기본 설정(System Preferences) > 애플 ID(Apple ID) > 아이클라우드(iCloud) > 아이클라우드 키체인(iCloud Keychain)’에서 해당 시스템을 설정할 수 있다. 

기능을 ‘켜기(On)’로 전환하면 된다. 이를 활성화하면 사용하는 동안 웹 사이트 및 서비스에 액세스할 때 키체인이 모든 기기에서 암호를 수집한다. 

비밀번호 보안 상태를 확인하는 방법 
아이클라우드 키체인에서 암호 보안 상태를 확인하려면 다음의 단계를 이행해야 한다. 


• 사파리를 연다. 
• 사파리 메뉴에서 환경 설정(Preferences)을 연 다음 암호(Passwords)를 선택한다. 
• 암호에 액세스하려면 터치/페이스 ID, 맥 비밀번호 또는 애플워치 인증을 사용해 로그인해야 한다. 
• 취약하거나 유출된 암호를 사용하는 사이트 목록이 표시된다(노란색 경고 삼각형으로 나타난다).
• 노란색 경고 삼각형을 두 번 누르면 비밀번호에 플래그가 지정된 이유 그리고 암호를 안전한 것으로 변경할 수 있는 사이트 링크를 확인할 수 있다. 
• 해당 정보는 상세 정보(Details)를 눌러서 확인할 수도 있다. 
• 제거(Remove)를 눌러서 비밀번호를 삭제한다. 

아이패드 또는 아이폰
• 설정(Settings) > 암호(Passwords)를 연다. 
• 비밀번호 또는 터치/페이스 ID를 사용해 로그인한다. 
• 상단의 보안 권장사항(Security Recommendations) 섹션에서 사용자 암호 목록(알파벳순)을 확인할 수 있다. 
• 보안 권장사항 섹션은 얼마나 많은 위험을 발견했는지 알려준다. 
• 이를 탭하면 가장 손상된 암호, 문제 원인, 해결해야 하는 이유 등을 담은 목록을 확인할 수 있다(또한 손상된 비밀번호 감지 시스템을 끄는 토클을 찾을 수도 있는데 이 기능은 사용하지 않는 게 좋다).
• 목록에서 항목을 눌러서 해당 암호에 관한 자세한 내용을 확인한다. 비밀번호를 변경할 수 있는 웹 사이트와 바로 연결되는 링크도 찾을 수 있다. 

(* 주의할 점: 아이클라우드 키체인에서 암호를 삭제한다고 계정이 실제로 삭제되는 건 아니다. 관련 사이트에서 직접 삭제해야 한다.) 

애플이 하고 있는 다른 일 
지난 2020년 애플은 비밀번호 관리 (시스템) 개발을 위한 리소스 모음을 오픈소스 커뮤니티에 제공했다. 여기에는 로그인 시스템을 공유한다고 알려진 웹 사이트 모음, 사용자가 암호를 변경하는 일부 웹 사이트 링크 및 일부 서비스가 허용하는 암호의 특이성 등의 정보가 포함돼 있다. 또한 터치/페이스 ID와 애플 ID를 사용해 안전한 로그인을 생성할 수 있는 시스템(Sign-in With Apple)도 제공한다. 

애플은 iOS 15부터 이 시스템에 구글 어센티케이터(Google Authenticator)를 지원할 예정이기 때문에 추가 로그인 보안을 위한 인증 코드를 생성할 수 있다. 웹 사이트에서 2단계 인증(MFA)을 제공한다면 설정(Settings) > 암호(Passwords)에서 인증 코드를 설정할 수 있으며, 해당 사이트에 로그인할 때 코드가 자동으로 채워진다.

이 밖에 애플은 암호를 생체인식(터치/페이스 ID) 인증으로 대체하는 데 사용할 수 있는 새로운 패스키(Passkey) 시스템을 통합하고 있다. 

애플은 보안을 중요하게 고려하며(대부분의 경우 그러하다), 다른 많은 빅테크 기업과 마찬가지로 현재의 암호를 다른 형태의 로그인 액세스로 대체하는 인프라를 개발 중이다. 하지만 우리는 아직 그곳에 도달하지 못했다. 게다가 최근의 데이터 침해 논란은 모든 기업 사용자로 하여금 암호가 안전하게 유지되고 있는지 확인하기에 충분한 근거가 된다. 

* Jonny Evans는 1999년부터 애플과 기술에 대해 저술해온 전문 기고가다. ciokr@idg.co.kr


 
추천 테크라이브러리

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.