2016.04.05

이중 인증이란? 5가지 요점

Lucian Constantin | PCWorld
모든 컴퓨터 전문가들이 사용자에게 주는 최선의 보안 조언 중 하나는 웹사이트에 이중 인증을 지원하도록 만들라는 것이다. 암호 유출이 너무 흔해진 요즘 이중 인증이 해커로부터 당신의 신원을 지킬 수 있는 방법이 될 수 있다. 여기 이중 인증 기술을 이해하는데 도움이 될 다섯 가지 요점을 소개한다.

이중 인증 혹은 2단계 확인?
많은 사람들이 이중 인증(two-factor authentication)과 2단계 확인(two-step verification)이 똑같다고 생각하지만, 실제론 그렇지 않다.

인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 또 다른 하나는 휴대폰이나 특별 USB 키 같은 사용자가 보유한 것, 마지막 하나는 지문이나 생체 식별 정보처럼 사용자 그 자체에 해당하는 것이다.

이중 인증은 두 가지 다른 요소를 결합하는 반면 2단계 확인은 하나의 요소를 두 번 사용하는 것인데, 예를 들어, 이메일이나 SMS를 통해서 비밀번호와 일회용 코드를 보내는 방식이다.

휴대폰은 물리적으로 존재하기 때문에, 휴대폰으로 전송된 코드가 다른 요소라고 생각할 수도 있지만, SMS는 안전하지 않고 코드는 중간에서 탈취될 수도 있다. 보안 측면에서 보면 비밀번호와 비슷하다고 할 수 있다.

이중 인증은 2단계 확인보다 더 안전하지만 두 가지 모두 하나의 암호에 의존하는 것보다는 낫다. 그러므로 어떤 것이 제공되느냐와 무관하게 혜택을 받으면 된다.

모든 것을 지배하는 단 하나의 계정
다른 무엇보다도 보호해야 할만한 온라인 계정이 있다면 이메일 일 것이다. 사적인 대화를 담고 있을 뿐 아니라 당신의 다른 계정으로 가는 통로가 되기 때문이다.

대부분의 온라인 서비스는 사용자들에게 이메일을 등록하고 이에 의존해 암호를 재설정하고 중요한 커뮤니케이션을 보낸다. 이메일에 대한 접속권을 가진 공격자는 오래된 등록 이메일을 찾아내고 온라인 계정이 무엇인지 알아낼 수 있다. 그리고 암호를 재설정하고 기술 지원 직원과 그 웹사이트들에 대해 소통할 수 있다.

이메일부터 이중 인증이나 2단계 확인을 채택하기 시작하는 게 좋다. 지메일, 야후, 아웃룩을 포함한 모든 대형 이메일 제공자들이 이 기능을 제공하고 있다.

그렇게 했다면 다음은?
만약 암호 관리자를 사용하고 있다면 이를 다음 우선순위로 설정하라. 가장 인기 있는 암호 관리자에는 이중 인증 옵션이 있다.

그리고 이를 다른 사이트에도 활성화시켜라. 페이스북, 트위터, 애플 ID, 아이클라우드, 아마존, 페이팔, 링크드인, 스냅챗, 워드프레스닷컴 등 많은 인기 서비스들은 이중 인증을 지원한다. 모바일 신원 제공자 텔레사인(TeleSign)은 www.turnof2fa.com이라는 웹사이트를 만들고 여기에 그 서비스 중 많은 수에서 이중 인증을 활성화하는데 대한 상세한 설명을 덧붙였다.

믿을 것인가 말 것인가
이중 인증을 지원하는 대부분의 웹사이트는 사용자들이 두 가지 요소를 활용해 처음 인증을 할 때 기기를 신뢰할 수 있는 기기로 표시한 다음, 차후에는 암호만으로 로그인할 수 있게 해준다.

이는 사용성에는 좋지만 보안에는 그렇지 않다. 만약 인증된 기기에서 두 가지 요소 인증을 끄면 해커들이 계정에 침투하기 더 쉬워지는 상황에 대해서 알아야 한다.

전화기나 컴퓨터를 분실했을 때 찾는 사람이 잠금 해제하는 방법을 알아내지 못할 것이라고 확신하기 힘든 것도 사실이다.

다행히 대부분의 웹사이트들은 사용자들이 기기를 잃어버렸거나 침투당했을 때 이전까지 신뢰되어왔던 기기를 삭제할 수 있는 옵션을 제공하는 점은 알고 있는 게 좋다.

내 스스로 잠겨버릴 위험은?
대부분의 경우 휴대폰이 이중 인증 경험의 중심이 된다. 문자메시지로 코드를 받거나 구글 어쎈티케이터(Authenticator)같은 특수 앱을 활용해 생성하는데 사용될 것이다. 하지만 휴대폰은 분실하거나 파손 도난 되기 쉽다.

다행히 대부분의 온라인 서비스에 그런 상황에 대비한 비상 대비책이 있다. 몇몇 회사들은 사용자들이 계정 복구에 사용될 수 있는 백업 전화번호를 특정할 수 있게 한다. 다른 회사들은 이중 인증을 켤 때 종이에 인쇄해 안전한 장소에 보관할 수 있는 백업 코드를 제공한다.

만약 이런 옵션들이 실패하면 회사의 기술 지원 부서에 이메일을 보내거나 전화해서 본인만 알만한 계정에 대한 정보를 제공하는 등의 방식으로 계정이 본인의 것이라는 점을 증명해야 할 가능성이 크다. 어쨌든 계정으로부터 스스로 완전히 잠겨버리는 가능성은 극히 적다. editor@itworld.co.kr



2016.04.05

이중 인증이란? 5가지 요점

Lucian Constantin | PCWorld
모든 컴퓨터 전문가들이 사용자에게 주는 최선의 보안 조언 중 하나는 웹사이트에 이중 인증을 지원하도록 만들라는 것이다. 암호 유출이 너무 흔해진 요즘 이중 인증이 해커로부터 당신의 신원을 지킬 수 있는 방법이 될 수 있다. 여기 이중 인증 기술을 이해하는데 도움이 될 다섯 가지 요점을 소개한다.

이중 인증 혹은 2단계 확인?
많은 사람들이 이중 인증(two-factor authentication)과 2단계 확인(two-step verification)이 똑같다고 생각하지만, 실제론 그렇지 않다.

인증 요소에는 세 가지 유형이 있다. 하나는 암호나 PIN 등 비밀번호이고, 또 다른 하나는 휴대폰이나 특별 USB 키 같은 사용자가 보유한 것, 마지막 하나는 지문이나 생체 식별 정보처럼 사용자 그 자체에 해당하는 것이다.

이중 인증은 두 가지 다른 요소를 결합하는 반면 2단계 확인은 하나의 요소를 두 번 사용하는 것인데, 예를 들어, 이메일이나 SMS를 통해서 비밀번호와 일회용 코드를 보내는 방식이다.

휴대폰은 물리적으로 존재하기 때문에, 휴대폰으로 전송된 코드가 다른 요소라고 생각할 수도 있지만, SMS는 안전하지 않고 코드는 중간에서 탈취될 수도 있다. 보안 측면에서 보면 비밀번호와 비슷하다고 할 수 있다.

이중 인증은 2단계 확인보다 더 안전하지만 두 가지 모두 하나의 암호에 의존하는 것보다는 낫다. 그러므로 어떤 것이 제공되느냐와 무관하게 혜택을 받으면 된다.

모든 것을 지배하는 단 하나의 계정
다른 무엇보다도 보호해야 할만한 온라인 계정이 있다면 이메일 일 것이다. 사적인 대화를 담고 있을 뿐 아니라 당신의 다른 계정으로 가는 통로가 되기 때문이다.

대부분의 온라인 서비스는 사용자들에게 이메일을 등록하고 이에 의존해 암호를 재설정하고 중요한 커뮤니케이션을 보낸다. 이메일에 대한 접속권을 가진 공격자는 오래된 등록 이메일을 찾아내고 온라인 계정이 무엇인지 알아낼 수 있다. 그리고 암호를 재설정하고 기술 지원 직원과 그 웹사이트들에 대해 소통할 수 있다.

이메일부터 이중 인증이나 2단계 확인을 채택하기 시작하는 게 좋다. 지메일, 야후, 아웃룩을 포함한 모든 대형 이메일 제공자들이 이 기능을 제공하고 있다.

그렇게 했다면 다음은?
만약 암호 관리자를 사용하고 있다면 이를 다음 우선순위로 설정하라. 가장 인기 있는 암호 관리자에는 이중 인증 옵션이 있다.

그리고 이를 다른 사이트에도 활성화시켜라. 페이스북, 트위터, 애플 ID, 아이클라우드, 아마존, 페이팔, 링크드인, 스냅챗, 워드프레스닷컴 등 많은 인기 서비스들은 이중 인증을 지원한다. 모바일 신원 제공자 텔레사인(TeleSign)은 www.turnof2fa.com이라는 웹사이트를 만들고 여기에 그 서비스 중 많은 수에서 이중 인증을 활성화하는데 대한 상세한 설명을 덧붙였다.

믿을 것인가 말 것인가
이중 인증을 지원하는 대부분의 웹사이트는 사용자들이 두 가지 요소를 활용해 처음 인증을 할 때 기기를 신뢰할 수 있는 기기로 표시한 다음, 차후에는 암호만으로 로그인할 수 있게 해준다.

이는 사용성에는 좋지만 보안에는 그렇지 않다. 만약 인증된 기기에서 두 가지 요소 인증을 끄면 해커들이 계정에 침투하기 더 쉬워지는 상황에 대해서 알아야 한다.

전화기나 컴퓨터를 분실했을 때 찾는 사람이 잠금 해제하는 방법을 알아내지 못할 것이라고 확신하기 힘든 것도 사실이다.

다행히 대부분의 웹사이트들은 사용자들이 기기를 잃어버렸거나 침투당했을 때 이전까지 신뢰되어왔던 기기를 삭제할 수 있는 옵션을 제공하는 점은 알고 있는 게 좋다.

내 스스로 잠겨버릴 위험은?
대부분의 경우 휴대폰이 이중 인증 경험의 중심이 된다. 문자메시지로 코드를 받거나 구글 어쎈티케이터(Authenticator)같은 특수 앱을 활용해 생성하는데 사용될 것이다. 하지만 휴대폰은 분실하거나 파손 도난 되기 쉽다.

다행히 대부분의 온라인 서비스에 그런 상황에 대비한 비상 대비책이 있다. 몇몇 회사들은 사용자들이 계정 복구에 사용될 수 있는 백업 전화번호를 특정할 수 있게 한다. 다른 회사들은 이중 인증을 켤 때 종이에 인쇄해 안전한 장소에 보관할 수 있는 백업 코드를 제공한다.

만약 이런 옵션들이 실패하면 회사의 기술 지원 부서에 이메일을 보내거나 전화해서 본인만 알만한 계정에 대한 정보를 제공하는 등의 방식으로 계정이 본인의 것이라는 점을 증명해야 할 가능성이 크다. 어쨌든 계정으로부터 스스로 완전히 잠겨버리는 가능성은 극히 적다. editor@itworld.co.kr

X