Offcanvas

2������ ������

MS 어센티케이터, 애플워치에서 사라진다

애플워치를 통해 마이크로소프트 어센티케이터(Microsoft Authenticator)로 기업 사이트 및 서비스 액세스를 인증하고 있다면 나쁜 소식이 있다. 해당 기능이 2023년 1월 [애플워치에서] 사라진다. 마이크로소프트는 어센티케이터가 다음 달로 예정된 업데이트 이후 지원되지 않을 예정이라고 밝혔다.    마이크로소프트 어센티케이터를 사용하면 2단계 인증을 통해 마이크로소프트 계정, 지원되는 앱 또는 서비스에 쉽게 로그인할 수 있다. 또 어센티케이터는 일회용 코드를 생성해주기 때문에 계정에 액세스하기 위해 문자 메시지나 전화를 기다릴 필요가 없다. 사이트, 소프트웨어, 서비스는 2단계 인증(MFA)을 활용하여 사람들이 사용자의 암호를 알고 있더라도 해당 계정에 액세스하지 못하도록 한다.  지원 중단에 따라 현재 [애플]워치에서 쓰고 있는 어센티케이터는 더 이상 작동하지 않게 된다. 아울러 인기 있는 웨어러블용 앱을 더 이상 다운로드할 수 없게 된다(단, 아이폰에서는 지원된다). MS가 지원을 철회하는 이유 마이크로소프트는 애플워치가 어센티케이터의 일부 보안 기능을 지원하지 않기 때문에 이러한 결정을 내리게 됐다고 전했다. 이는 아마도 마이크로소프트가 내년 2월부터 어센티케이터에서 시행할 ‘숫자 일치(Number Matching)’와 관련 있는 것으로 보인다(이는 애플워치에서 지원되지 않는다).  해당 조치를 설명하면서 마이크로소프트는 다음과 같이 말했다. “2023년 1월 iOS용 어센티케이터 릴리즈에는 워치OS용 앱이 없을 것이다. 어센티케이터 보안 기능과 호환되지 않기 때문이다. 즉, 애플워치에 어센티케이터를 설치하거나 사용할 수 없다. 이 변경사항은 애플워치에만 해당되며, 다른 기기에서는 계속 어센티케이터를 쓸 수 있다.” 물론 이 지원 중단의 여파는 제한적일 수 있다. 어센티케이터를 아이폰에서는 사용할 수 있을 뿐만 아니라 대체 시스템도 있어서다. 그리고 애플, 마이크로소프트, 구글 등은 암호를 패스...

마이크로소프트 어센티케이터 애플워치 웨어러블 기기 인증 2단계 인증 MFA

2022.12.19

애플워치를 통해 마이크로소프트 어센티케이터(Microsoft Authenticator)로 기업 사이트 및 서비스 액세스를 인증하고 있다면 나쁜 소식이 있다. 해당 기능이 2023년 1월 [애플워치에서] 사라진다. 마이크로소프트는 어센티케이터가 다음 달로 예정된 업데이트 이후 지원되지 않을 예정이라고 밝혔다.    마이크로소프트 어센티케이터를 사용하면 2단계 인증을 통해 마이크로소프트 계정, 지원되는 앱 또는 서비스에 쉽게 로그인할 수 있다. 또 어센티케이터는 일회용 코드를 생성해주기 때문에 계정에 액세스하기 위해 문자 메시지나 전화를 기다릴 필요가 없다. 사이트, 소프트웨어, 서비스는 2단계 인증(MFA)을 활용하여 사람들이 사용자의 암호를 알고 있더라도 해당 계정에 액세스하지 못하도록 한다.  지원 중단에 따라 현재 [애플]워치에서 쓰고 있는 어센티케이터는 더 이상 작동하지 않게 된다. 아울러 인기 있는 웨어러블용 앱을 더 이상 다운로드할 수 없게 된다(단, 아이폰에서는 지원된다). MS가 지원을 철회하는 이유 마이크로소프트는 애플워치가 어센티케이터의 일부 보안 기능을 지원하지 않기 때문에 이러한 결정을 내리게 됐다고 전했다. 이는 아마도 마이크로소프트가 내년 2월부터 어센티케이터에서 시행할 ‘숫자 일치(Number Matching)’와 관련 있는 것으로 보인다(이는 애플워치에서 지원되지 않는다).  해당 조치를 설명하면서 마이크로소프트는 다음과 같이 말했다. “2023년 1월 iOS용 어센티케이터 릴리즈에는 워치OS용 앱이 없을 것이다. 어센티케이터 보안 기능과 호환되지 않기 때문이다. 즉, 애플워치에 어센티케이터를 설치하거나 사용할 수 없다. 이 변경사항은 애플워치에만 해당되며, 다른 기기에서는 계속 어센티케이터를 쓸 수 있다.” 물론 이 지원 중단의 여파는 제한적일 수 있다. 어센티케이터를 아이폰에서는 사용할 수 있을 뿐만 아니라 대체 시스템도 있어서다. 그리고 애플, 마이크로소프트, 구글 등은 암호를 패스...

2022.12.19

강은성의 보안 아키텍트ㅣ2단계 인증(2FA)을 통과하는 사회공학

지난 8월 10일 세계적인 네트워크 장비 기업이자 보안 전문 기업인 시스코(Cisco)는 올해 5월 24일 회사의 IT 인프라를 표적으로 한 공격이 발생했음을 발견하고 즉각 대응하여 제거했다고 밝힌 바 있다. 시스코에 따르면 공격자는 시스코 직원의 개인 구글 계정을 장악하여 직원의 크롬 브라우저에 저장되어 동기화된 회사의 자격증명을 확보했다. 그 뒤 공격자는 직원에게 다단계 인증 푸시 알림을 수락하도록 며칠 동안 이 직원이 신뢰할 만한 조직을 사칭하여 국제 억양과 사투리로 직원에게 전화를 걸었고, 결국 성공하여 CiscoVPN을 통해 내부에 침입하였다.   기술적으로 뚫리기 쉽지 않은 2단계 인증이 보이스 피싱으로 뚫린 것은 다소 허망한 면이 없지 않다. 하지만 시스코의 보고서에 나오는 대로 ‘신뢰할 만’하게 보이는 국제단체인 것처럼 위장하고 계속 전화를 걸면 귀찮아서든 실수로든 푸시 알림을 한 번쯤 누를 수도 있을 법하다(필자는 Google Authenticator를 테스트해 보기 위해 푸시 알림에 ‘아니오’를 눌렀다가 고생한 경험이 있다). 지난 9월 5일 세계 굴지의 호텔그룹 인터컨티넨티탈호텔그룹(IHG)의 자회사 홀리데이인호텔이 사이버 공격을 받아 2주일 정도 예약시스템 등 주요 IT시스템이 중단됐다. 자신을 TeaPea라고 지칭한 범인은 9월 17일 텔레그램을 통해 BBC와 연결됐을 때, 피싱 메일에 악성코드를 첨부하여 회사 내부에 침입하였으며, 2단계 인증 코드(2FA)를 캡처하여 2FA를 우회했고, IHG의 가장 민감한 컴퓨터시스템은 패스워드 ‘Qwerty1234’(!)로 접속하였다고 주장했다.  기사만으로는 IHG에서 2단계 인증이 우회된 경위가 분명해 보이지는 않으나, 이와 비슷한 내용을 한국인터넷진흥원(KISA)에서 제시한 적이 있다.    위 시퀀스 다이어그램을 보면, 피싱 메일을 받은 직원은 메일 본문에 있는 로그인 피싱 페이지에 접속하여 ID와 비밀번호를 입력하고, OTP(One Ti...

강은성 강은성의 보안 아키텍트 2단계 인증 2FA 사회공학 시스코 구글 악성코드 피싱 랩서스 소셜 엔지니어링 OTP

2022.10.12

지난 8월 10일 세계적인 네트워크 장비 기업이자 보안 전문 기업인 시스코(Cisco)는 올해 5월 24일 회사의 IT 인프라를 표적으로 한 공격이 발생했음을 발견하고 즉각 대응하여 제거했다고 밝힌 바 있다. 시스코에 따르면 공격자는 시스코 직원의 개인 구글 계정을 장악하여 직원의 크롬 브라우저에 저장되어 동기화된 회사의 자격증명을 확보했다. 그 뒤 공격자는 직원에게 다단계 인증 푸시 알림을 수락하도록 며칠 동안 이 직원이 신뢰할 만한 조직을 사칭하여 국제 억양과 사투리로 직원에게 전화를 걸었고, 결국 성공하여 CiscoVPN을 통해 내부에 침입하였다.   기술적으로 뚫리기 쉽지 않은 2단계 인증이 보이스 피싱으로 뚫린 것은 다소 허망한 면이 없지 않다. 하지만 시스코의 보고서에 나오는 대로 ‘신뢰할 만’하게 보이는 국제단체인 것처럼 위장하고 계속 전화를 걸면 귀찮아서든 실수로든 푸시 알림을 한 번쯤 누를 수도 있을 법하다(필자는 Google Authenticator를 테스트해 보기 위해 푸시 알림에 ‘아니오’를 눌렀다가 고생한 경험이 있다). 지난 9월 5일 세계 굴지의 호텔그룹 인터컨티넨티탈호텔그룹(IHG)의 자회사 홀리데이인호텔이 사이버 공격을 받아 2주일 정도 예약시스템 등 주요 IT시스템이 중단됐다. 자신을 TeaPea라고 지칭한 범인은 9월 17일 텔레그램을 통해 BBC와 연결됐을 때, 피싱 메일에 악성코드를 첨부하여 회사 내부에 침입하였으며, 2단계 인증 코드(2FA)를 캡처하여 2FA를 우회했고, IHG의 가장 민감한 컴퓨터시스템은 패스워드 ‘Qwerty1234’(!)로 접속하였다고 주장했다.  기사만으로는 IHG에서 2단계 인증이 우회된 경위가 분명해 보이지는 않으나, 이와 비슷한 내용을 한국인터넷진흥원(KISA)에서 제시한 적이 있다.    위 시퀀스 다이어그램을 보면, 피싱 메일을 받은 직원은 메일 본문에 있는 로그인 피싱 페이지에 접속하여 ID와 비밀번호를 입력하고, OTP(One Ti...

2022.10.12

깃허브, 2023년 말까지 모든 사용자 대상으로 ‘2FA’ 의무화한다

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

깃허브 개발자 이중인증 2단계 인증 다중인증 보안 소셜 엔지니어링 자격증명 도난 보안 침해

2022.05.06

깃허브가 ‘2단계 인증(2FA)’ 도입을 대대적으로 추진하고 있다. (이에 따라) 깃허브 호스팅 저장소에 코드를 업로드하는 모든 사용자는 2023년 말까지 1개 이상의 2FA 형식을 활성화해야 한다. 이는 가장 최근 집계로 약 8,300만 명의 개발자에게 영향을 미칠 것으로 보인다.    회사에 따르면 대부분의 보안 침해는 특이한 제로데이 공격의 산물이 아니라 소셜 엔지니어링, 자격증명 도난 또는 유출 등과 관련돼 있다. “손상된 계정은 개인 코드를 훔치거나 악의적인 코드 변경 사항을 푸시하는 데 악용돼 애플리케이션 사용자에게 영향을 미칠 수 있다. 즉, 광범위한 소프트웨어 생태계 및 공급망에 미치는 영향이 상당하다. 최선의 방어는 암호 기반 인증을 넘어서는 것이다”라고 깃허브는 말했다.  깃허브는 이미 깃 오퍼레이션과 깃허브 REST API의 기본 인증을 중단하고, (사용자 이름과 암호 외에) 이메일 기반 기기 확인을 통해 이러한 방향으로 나아가고 있다고 밝혔다. “2FA는 강력한 다음 방어선이다. 하지만 소프트웨어 생태계 전반에서 2FA 채택 현황은 낮은 수준이다. 현재 현재 깃허브 활성 사용자의 약 16.5%, NPM 사용자의 약 6.44%만이 1개 이상의 2FA 형식을 쓰고 있다”라고 지적했다.   한편 이 회사는 최근 iOS와 안드로이드에서 깃허브 모바일용 2FA를 출시했다. 깃허브 모바일 2FA를 구성하는 방법은 2022년 1월 업로드된 깃허브 블로그 게시물을 통해 확인할 수 있다.  아울러 깃허브는 지난 2월 NPM 레지스트리 상위 100개 패키지의 모든 유지관리자를 대상으로 2FA를 의무화했으며, 이어 3월에는 모든 NPM 계정을 강화된 로그인 인증에 등록했다. 5월 31일까지는 상위 500개 패키지의 모든 유지관리자까지 2FA 의무화를 확대할 계획이라고 덧붙였다. ciokr@idg.co.kr  

2022.05.06

깃허브, NPM 레지스트리 사용자에 ‘2단계 인증’ 적용

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

깃허브 오픈소스 개발자 NPM 보안 2단계 인증 2FA 자바스크립트 노드닷제이에스

2021.11.23

깃허브가 최근 발생한 2건의 자바스크립트 패키지용 NPM 레지스트리 관련 보안 사고를 감안해  NPM 상위 패키지의 유지관리자(Maintainer)와 관리자(Admin)를 대상으로 2단계 인증(2FA)를 적용한다고 발표했다.    11월 15일(현지 시각) 회사에 따르면 계정 탈취를 방지하기 위한 ‘2FA 정책’은 오는 2022년 1분기부터 상위 패키지 코호트를 시작으로 시행될 계획이다. 한편 깃허브는 2020년 NPM을 인수해 레지스트리를 관리하고 있다. 깃허브는 악의적 행위자가 레지스트리에서 NPM 계정을 손상시킨 후, 이러한 계정에서 액세스할 수 있는 인기 있는 패키지에 악성 코드를 삽입하는 사건을 주기적으로 목격한다고 언급했다. 최근 발생한 2건의 보안 사고는 다음과 같다.  • 지난 10월 26일 깃허브는 공개적으로 사용 가능한 NPM 서비스의 일상적인 유지보수로 인해 발생한 문제를 발견했다고 밝혔다. 공개 NPM 복제본을 실행하는 데이터베이스를 유지 관리하는 동안 비공개 패키지의 이름을 노출할 수 있는 레코드가 생성됐다. 그 결과 공개 변경 피드에 게시된 레코드로 인해 복제본 사용자가 비공개 패키지의 이름을 잠재적으로 식별할 수 있었다.  10월 20일 이전에 생성된 비공개 패키지의 경우 @owner/package 형식의 패키지 이름이 10월 21일부터 10월 29일 사이에 노출됐다. 깃허브는 문제 발견 즉시 수정 작업을 시작했다고 전했다. 이날 비공개 패키지 이름을 포함한 모든 레코드가 replicate.npmjs.com에서 제거됐다. 이러한 문제가 다시는 발생하지 않도록 해당 공개 복제 데이터베이스를 프로비저닝하는 방법도 변경했다. • 지난 11월 2일 깃허브는 공격자가 적절한 승인 없이 계정을 사용하여 모든 NPM 패키지의 새 버전을 게시할 수 있는 취약점을 보고 받았다. 취약점은 6시간 이내에 패치됐다고 회사 측은 말했다. ciokr@idg.co.kr   

2021.11.23

블로그ㅣ구글이 큰 ‘보안’ 변화를 만들고 있다

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

구글 다중인증 멀티팩터인증 MFA 보안 인증 생체 인식 얼굴 인식 지문 인식 2단계 인증

2021.05.18

구글이 다중인증(MFA)을 기본값으로 설정하고 휴대전화에 내장된 FIDO 호환 소프트웨어를 사용하기 위해 천천히 움직이고 있다. 좋은 움직임이다.   구글이 다중인증(MFA)을 기본값으로 설정하기 위해 서서히 움직이고 있다. 헷갈릴 수도 있겠지만 구글은 다중인증을 ‘MFA’라고 부르지 않는다. 대신 ‘2단계 인증(2SV)’라고 한다.  더욱더 흥미로운 점은 구글이 휴대전화에 내장된 FIDO 호환 소프트웨어 사용을 추진하고 있다는 것이다. 이는 심지어 iOS 버전도 있다. 모든 안드로이드 및 애플 휴대전화에서 사용할 수 있다는 뜻이다.   구글 계정 보안 담당 제품 관리자 조나단 스켈커에 따르면 이 내부 키는 사용자를 인증하기 위해 설계되지 않았다. 안드로이드 및 iOS 휴대전화는 사용자 인증에 생체 인식(예: 얼굴 인식, 지문 인식 등)을 활용하고 있으며, 이론적으로 생체 인식은 충분한 인증을 제공한다.  FIDO 호환 소프트웨어는 지메일(Gmail) 또는 구글 드라이브(Google Drive)와 같은 휴대전화를 제외한 액세스에 관해 기기를 인증하도록 설계됐다. 간단히 말하자면, 생체 인식이 사용자를 인증하고, 그 다음 내부 키가 휴대전화를 인증한다.  그렇다면 구글 외의 다른 업체도 이 앱을 활용할 수 있을까? 구글이 경쟁사인 애플을 포함시키기 위해 나섰다는 점을 고려할 때 대답은 ‘그렇다’일 것이다.  이 모든 건 구글이 지난 5월 6일 공식 블로그에서 기본값을 변경하겠다고 발표하면서 시작됐다. 구글은 효과적이지 못한 암호(password)를 없애는 중요한 단계라고 선언했다.  거의 항상 가까이에 있는 휴대전화를 하드웨어 키 대체재로 사용하는 것이 바로 스마트 보안이다. 사용자 입장에서도 인증 과정에 편의성을 더해주기 때문에 좋은 일이다. 그리고 사용자들이 게으르다는 점도 잘 알려져 있기 때문에 이를 기본값으로 설정하는 건 현명한 일이다.  이제 사용자는 구글의 ‘MFA...

2021.05.18

이중 인증이란? 5가지 요점

모든 컴퓨터 전문가들이 사용자에게 주는 최선의 보안 조언 중 하나는 웹사이트에 이중 인증을 지원하도록 만들라는 것이다. 암호 유출이 너무 흔해진 요즘 이중 인증이 해커로부터 당신의 신원을 지킬 수 있는 방법이 될 수 있다. 여기 이중 인증 기술을 이해하는데 도움이 될 다섯 가지 요점을 소개한다. 이중 인증 혹은 2단계 확인? 많은 사람들이 이중 인증(two-factor authentication)과 2단계 확인(two-step verification)이 똑같다고 생각하지만, 실제론 그렇지 않다. 인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 또 다른 하나는 휴대폰이나 특별 USB 키 같은 사용자가 보유한 것, 마지막 하나는 지문이나 생체 식별 정보처럼 사용자 그 자체에 해당하는 것이다. 이중 인증은 두 가지 다른 요소를 결합하는 반면 2단계 확인은 하나의 요소를 두 번 사용하는 것인데, 예를 들어, 이메일이나 SMS를 통해서 비밀번호와 일회용 코드를 보내는 방식이다. 휴대폰은 물리적으로 존재하기 때문에, 휴대폰으로 전송된 코드가 다른 요소라고 생각할 수도 있지만, SMS는 안전하지 않고 코드는 중간에서 탈취될 수도 있다. 보안 측면에서 보면 비밀번호와 비슷하다고 할 수 있다. 이중 인증은 2단계 확인보다 더 안전하지만 두 가지 모두 하나의 암호에 의존하는 것보다는 낫다. 그러므로 어떤 것이 제공되느냐와 무관하게 혜택을 받으면 된다. 모든 것을 지배하는 단 하나의 계정 다른 무엇보다도 보호해야 할만한 온라인 계정이 있다면 이메일 일 것이다. 사적인 대화를 담고 있을 뿐 아니라 당신의 다른 계정으로 가는 통로가 되기 때문이다. 대부분의 온라인 서비스는 사용자들에게 이메일을 등록하고 이에 의존해 암호를 재설정하고 중요한 커뮤니케이션을 보낸다. 이메일에 대한 접속권을 가진 공격자는 오래된 등록 이메일을 찾아내고 온라인 계정이 무엇인지 알아낼 수 있다. 그리고 암호를 재설정하고 기술 지원 직원과 그...

보안 이중 인증 2단계 인증 2단계 확인

2016.04.05

모든 컴퓨터 전문가들이 사용자에게 주는 최선의 보안 조언 중 하나는 웹사이트에 이중 인증을 지원하도록 만들라는 것이다. 암호 유출이 너무 흔해진 요즘 이중 인증이 해커로부터 당신의 신원을 지킬 수 있는 방법이 될 수 있다. 여기 이중 인증 기술을 이해하는데 도움이 될 다섯 가지 요점을 소개한다. 이중 인증 혹은 2단계 확인? 많은 사람들이 이중 인증(two-factor authentication)과 2단계 확인(two-step verification)이 똑같다고 생각하지만, 실제론 그렇지 않다. 인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 또 다른 하나는 휴대폰이나 특별 USB 키 같은 사용자가 보유한 것, 마지막 하나는 지문이나 생체 식별 정보처럼 사용자 그 자체에 해당하는 것이다. 이중 인증은 두 가지 다른 요소를 결합하는 반면 2단계 확인은 하나의 요소를 두 번 사용하는 것인데, 예를 들어, 이메일이나 SMS를 통해서 비밀번호와 일회용 코드를 보내는 방식이다. 휴대폰은 물리적으로 존재하기 때문에, 휴대폰으로 전송된 코드가 다른 요소라고 생각할 수도 있지만, SMS는 안전하지 않고 코드는 중간에서 탈취될 수도 있다. 보안 측면에서 보면 비밀번호와 비슷하다고 할 수 있다. 이중 인증은 2단계 확인보다 더 안전하지만 두 가지 모두 하나의 암호에 의존하는 것보다는 낫다. 그러므로 어떤 것이 제공되느냐와 무관하게 혜택을 받으면 된다. 모든 것을 지배하는 단 하나의 계정 다른 무엇보다도 보호해야 할만한 온라인 계정이 있다면 이메일 일 것이다. 사적인 대화를 담고 있을 뿐 아니라 당신의 다른 계정으로 가는 통로가 되기 때문이다. 대부분의 온라인 서비스는 사용자들에게 이메일을 등록하고 이에 의존해 암호를 재설정하고 중요한 커뮤니케이션을 보낸다. 이메일에 대한 접속권을 가진 공격자는 오래된 등록 이메일을 찾아내고 온라인 계정이 무엇인지 알아낼 수 있다. 그리고 암호를 재설정하고 기술 지원 직원과 그...

2016.04.05

회사명:한국IDG 제호: ITWorld 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 편집인 : 박재곤 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2023 International Data Group. All rights reserved.

10.4.0.13