문자메시지, 앱 등 보조수단으로 추가적인 본인 인증
스마트폰이 주요 2차 인증 수단인 만큼 철저한 관리도 중요
[보안뉴스 이상우 기자] 비밀번호는 각종 서비스를 이용할 때 본인에게 해당 서비스를 이용할 권한이 있다는 사실을 인증하는 수단이다. 짧은 4자리 숫자(PIN)에서부터 대·소문자, 숫자, 특수문자를 포함한 암호까지 다양한 형태의 비밀번호가 쓰인다.
하지만 비밀번호를 복잡하게 설정하더라도 개인의 부주의로 비밀번호를 그대로 노출하거나 해커의 키로깅 같은 공격을 통해 유출될 가능성도 존재한다. 이렇게 비밀번호를 빼앗기면 서비스에 접근할 수 있는 권한을 잃는 것은 물론, 자신의 개인정보나 지인의 정보가 새로운 범죄에 악용될 수도 있다.
[사진=보안뉴스]
2단계 인증 혹은 2채널 인증은 이러한 사고를 예방할 수 있는 수단이다. 아이디와 비밀번호를 입력하는 1차 인증과 함께 ARS, 보안카드, OTP, 이메일, 문자메시지, 애플리케이션 등 다양한 수단을 활용해 추가적인 인증을 거치는 방식으로 이뤄지며, 최근에는 스마트폰을 기반으로 하는 2단계 인증을 주로 사용한다.
2단계 인증을 설정할 경우 비밀번호가 노출되더라도 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 또한, 사용자 입장에서도 자신이 로그인을 시도하지 않았을 때 2차 인증과 관련한 메시지를 받을 경우 자신의 비밀번호가 노출됐다는 사실을 인지할 수 있다. 이러한 이유에서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖춰 사용자를 보호하고 있다.
네이버의 경우 로그인 후 자신의 아이디 옆에 있는 자물쇠 모양 버튼을 눌러 보안 설정에 진입하고, 2단계 인증 관리하기 항목을 눌러 해당 기능을 설정할 수 있다. 기본적으로 네이버 앱을 스마트폰에 설치하고 앱에 로그인 해야 하며, 이후 등록 절차를 마치면 해당 앱과 스마트폰을 2단계 인증에 사용할 수 있다. 향후 웹 브라우저 등 다른 기기에서 네이버 계정에 로그인을 시도할 경우 앱을 통해 2단계 인증 요청 메시지가 전달되며, 자신이 로그인을 시도하지 않았다면 인증 요청을 거부하면 된다.
▲네이버 2단계 인증 설정[캡처=보안뉴스]
다음은 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용한다. 다음 로그인 후 홈 화면에서 자신의 프로필 사진이나 이름을 눌러 계정 관리 페이지에 진입하고, 계정 보안 항목에서 2단계 인증을 설정할 수 있으며, 방식은 네이버와 대동소이하기 때문에 알 수 없는 로그인 시도가 발생해 인증을 요청하면 이를 거부할 수 있다. 참고로 카카오톡 PC버전으로는 2단계 인증 메시지가 전송되지 않기 때문에 스마트폰과 카카오톡 앱이 꼭 필요하다.
▲카카오 2단계 인증 설정[캡처=보안뉴스]
구글은 더욱 다양한 방식을 지원한다. 우선 2단계 인증 설정을 위해서는 구글 메인 화면 우측 상단에 있는 자신의 프로필을 누르고, 계정설정 > 보안 탭을 선택한다. 여기서 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다. 안드로이드 스마트폰 사용자라면 구글 앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다. 설정 후 다른 기기에서 구글 계정으로 로그인을 시도할 경우 구글 앱, 문자메시지, 물리 보안키 등의 방법을 선택해 인증을 이어갈 수 있다. 참고로 물리 보안키의 경우 USB 형태도 있지만, 일부 스마트폰에도 해당 기능이 내장돼 있다. 만약 스마트폰을 물리 보안키로 등록한 상태에서 새로운 PC에 구글 계정으로 로그인하려면 블루투스를 켠 상태에서 진행해야 한다.
▲구글 2단계 인증 설정[캡처=보안뉴스]
애플 계정에 2단계 인증을 설정하는 것도 가능하다. 기본적으로는 문자메시지 통해 확인 코드를 전송하지만, 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 맥, 아이패드 등 다른 기기에서 로그인 시도가 발생하면 아이폰 화면에 메시지가 즉시 나타난다. iOS 10.3 이상버전에서는 아이폰 설정 > 사용자 이름 > 암호 및 보안에서 이중 인증 설정을 할 수 있고, 10.2 이하 버전에서는 설정 > 아이클라우드 > Apple ID > 암호 및 보안 항목에서 설정할 수 있다.
▲애플 2단계 인증 설정[캡처=보안뉴스]
최근 가장 인기를 끌고 있는 소셜 미디어 인스타그램은 우측 상단에 있는 자신의 프로필을 누른 뒤 설정을 선택하고 공개 범위 및 보안 > 2단계 인증 항목에서 해당 기능을 설정할 수 있다. 인증 방식은 문자메시지나 인증 앱을 이용하며, 인증 앱의 경우 PC 웹에서는 이 방식을 설정할 수 없다.
▲인스타그램 2단계 인증 설정(웹)[캡처=보안뉴스]
인증 앱은 인스타그램이 권장하는 듀오 모바일 혹은 구글 OTP 등의 외부 앱을 이용한다. 인스타그램 앱 내의 프로필에서 우측 하단에 있는 설정을 누르고 보안 항목을 선택하면 2단계 인증 설정을 시작할 수 있으며 권장 앱이 설치돼 있지 않으면 해당 앱을 설치할 수 있게 앱 장터로 연결한다. 이후 인증 앱을 등록하는 절차를 마치면, 스마트폰 분실 시 계정에 접근할 수 있도록 또 다른 인증수단(이메일)을 입력하고, 계정 복구를 위한 코드를 제공한다. 복구 코드의 경우 향후에도 확인할 수 있기 때문에 스크린샷 등을 찍어 다른 기기에 저장해두는 것이 좋다.
▲인스타그램 2단계 인증 설정(앱)[캡처=보안뉴스]
최근 배틀그라운드 등의 인기 게임으로 인해 사용자가 늘어난 스팀은 OTP 방식의 2단계 인증 기능 ‘스팀가드’를 지원한다. 게임 클라이언트에 2단계 인증이 왜 필요한지 의아할 수도 있겠지만, 게임 타이틀은 기본적으로 고가이며, 게임 중 얻은 아이템이나 트레이드카드 등 장터를 통해 현금으로 거래할 수 있는 만큼 보안이 중요하다. 뿐만 아니라 계정을 탈취해 주요 게임에 불법 프로그램을 사용하며 재화를 모으는 해커조직도 있는 만큼 2단계 인증을 설정하는 것이 좋다.
스마트폰에 스팀 앱을 설치하고 로그인 한 뒤 메뉴 상단에 있는 Steam Guard 항목을 선택하면 ‘인증기’를 추가할 수 있다. 해당 앱을 OTP로 사용한다는 의미다. 간단한 본인확인 절차를 거치면 복구 코드가 나타나는데, 이 복구 코드는 사용자가 스마트폰을 분실했을 때 권한을 다시 획득하는데 사용할 수 있다. 향후 본인의 스팀 계정에 로그인을 할 때마다 스팀 앱을 실행하고, 화면에 표시되는 1회용 비밀번호를 입력해야 스팀을 이용할 수 있다.
▲스팀 2단계 인증 설정[캡처=보안뉴스]
2단계 인증은 보안 성능을 크게 높여줄 수 있는 기능이며, 이를 설정하는 것만으로도 해킹으로 인한 정보 유출 등의 피해를 상당수 막을 수 있다. 그럼에도 불구하고 주의할 점은 있다. 바로 스마트폰 분실이다. 문자메시지, 전용 앱 등을 2차 인증 수단으로 사용하고, 인증 관련 정보가 스마트폰으로 전송되는 만큼 이를 분실하면 뚫릴 수밖에 없다. 이 때문에 스마트폰 화면 잠금을 단순한 패턴이나 비밀번호만으로 설정하지 말고, 유심 비밀번호 설정을 통해 한 번 더 잠그고, 지문 등 생체인식 기능을 적극 활용할 필요가 있다. 가능하다면 원격에서 스마트폰을 찾아 기기를 잠그거나 원격에서 기기를 초기화하는 킬 스위치 기능도 알아두면 도움이 된다.
▲안드로이드 스마트폰에서 지원하는 원격 기기 초기화 기능[캡처=보안뉴스]
[이상우 기자(boan@boannews.com)]
스마트폰이 주요 2차 인증 수단인 만큼 철저한 관리도 중요
[보안뉴스 이상우 기자] 비밀번호는 각종 서비스를 이용할 때 본인에게 해당 서비스를 이용할 권한이 있다는 사실을 인증하는 수단이다. 짧은 4자리 숫자(PIN)에서부터 대·소문자, 숫자, 특수문자를 포함한 암호까지 다양한 형태의 비밀번호가 쓰인다.
하지만 비밀번호를 복잡하게 설정하더라도 개인의 부주의로 비밀번호를 그대로 노출하거나 해커의 키로깅 같은 공격을 통해 유출될 가능성도 존재한다. 이렇게 비밀번호를 빼앗기면 서비스에 접근할 수 있는 권한을 잃는 것은 물론, 자신의 개인정보나 지인의 정보가 새로운 범죄에 악용될 수도 있다.
[사진=보안뉴스]
2단계 인증 혹은 2채널 인증은 이러한 사고를 예방할 수 있는 수단이다. 아이디와 비밀번호를 입력하는 1차 인증과 함께 ARS, 보안카드, OTP, 이메일, 문자메시지, 애플리케이션 등 다양한 수단을 활용해 추가적인 인증을 거치는 방식으로 이뤄지며, 최근에는 스마트폰을 기반으로 하는 2단계 인증을 주로 사용한다.
2단계 인증을 설정할 경우 비밀번호가 노출되더라도 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 또한, 사용자 입장에서도 자신이 로그인을 시도하지 않았을 때 2차 인증과 관련한 메시지를 받을 경우 자신의 비밀번호가 노출됐다는 사실을 인지할 수 있다. 이러한 이유에서 많은 인터넷 서비스 기업이 2단계 인증 기능을 갖춰 사용자를 보호하고 있다.
네이버의 경우 로그인 후 자신의 아이디 옆에 있는 자물쇠 모양 버튼을 눌러 보안 설정에 진입하고, 2단계 인증 관리하기 항목을 눌러 해당 기능을 설정할 수 있다. 기본적으로 네이버 앱을 스마트폰에 설치하고 앱에 로그인 해야 하며, 이후 등록 절차를 마치면 해당 앱과 스마트폰을 2단계 인증에 사용할 수 있다. 향후 웹 브라우저 등 다른 기기에서 네이버 계정에 로그인을 시도할 경우 앱을 통해 2단계 인증 요청 메시지가 전달되며, 자신이 로그인을 시도하지 않았다면 인증 요청을 거부하면 된다.
▲네이버 2단계 인증 설정[캡처=보안뉴스]
다음은 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용한다. 다음 로그인 후 홈 화면에서 자신의 프로필 사진이나 이름을 눌러 계정 관리 페이지에 진입하고, 계정 보안 항목에서 2단계 인증을 설정할 수 있으며, 방식은 네이버와 대동소이하기 때문에 알 수 없는 로그인 시도가 발생해 인증을 요청하면 이를 거부할 수 있다. 참고로 카카오톡 PC버전으로는 2단계 인증 메시지가 전송되지 않기 때문에 스마트폰과 카카오톡 앱이 꼭 필요하다.
▲카카오 2단계 인증 설정[캡처=보안뉴스]
구글은 더욱 다양한 방식을 지원한다. 우선 2단계 인증 설정을 위해서는 구글 메인 화면 우측 상단에 있는 자신의 프로필을 누르고, 계정설정 > 보안 탭을 선택한다. 여기서 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다. 안드로이드 스마트폰 사용자라면 구글 앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다. 설정 후 다른 기기에서 구글 계정으로 로그인을 시도할 경우 구글 앱, 문자메시지, 물리 보안키 등의 방법을 선택해 인증을 이어갈 수 있다. 참고로 물리 보안키의 경우 USB 형태도 있지만, 일부 스마트폰에도 해당 기능이 내장돼 있다. 만약 스마트폰을 물리 보안키로 등록한 상태에서 새로운 PC에 구글 계정으로 로그인하려면 블루투스를 켠 상태에서 진행해야 한다.
▲구글 2단계 인증 설정[캡처=보안뉴스]
애플 계정에 2단계 인증을 설정하는 것도 가능하다. 기본적으로는 문자메시지 통해 확인 코드를 전송하지만, 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 맥, 아이패드 등 다른 기기에서 로그인 시도가 발생하면 아이폰 화면에 메시지가 즉시 나타난다. iOS 10.3 이상버전에서는 아이폰 설정 > 사용자 이름 > 암호 및 보안에서 이중 인증 설정을 할 수 있고, 10.2 이하 버전에서는 설정 > 아이클라우드 > Apple ID > 암호 및 보안 항목에서 설정할 수 있다.
▲애플 2단계 인증 설정[캡처=보안뉴스]
최근 가장 인기를 끌고 있는 소셜 미디어 인스타그램은 우측 상단에 있는 자신의 프로필을 누른 뒤 설정을 선택하고 공개 범위 및 보안 > 2단계 인증 항목에서 해당 기능을 설정할 수 있다. 인증 방식은 문자메시지나 인증 앱을 이용하며, 인증 앱의 경우 PC 웹에서는 이 방식을 설정할 수 없다.
▲인스타그램 2단계 인증 설정(웹)[캡처=보안뉴스]
인증 앱은 인스타그램이 권장하는 듀오 모바일 혹은 구글 OTP 등의 외부 앱을 이용한다. 인스타그램 앱 내의 프로필에서 우측 하단에 있는 설정을 누르고 보안 항목을 선택하면 2단계 인증 설정을 시작할 수 있으며 권장 앱이 설치돼 있지 않으면 해당 앱을 설치할 수 있게 앱 장터로 연결한다. 이후 인증 앱을 등록하는 절차를 마치면, 스마트폰 분실 시 계정에 접근할 수 있도록 또 다른 인증수단(이메일)을 입력하고, 계정 복구를 위한 코드를 제공한다. 복구 코드의 경우 향후에도 확인할 수 있기 때문에 스크린샷 등을 찍어 다른 기기에 저장해두는 것이 좋다.
▲인스타그램 2단계 인증 설정(앱)[캡처=보안뉴스]
최근 배틀그라운드 등의 인기 게임으로 인해 사용자가 늘어난 스팀은 OTP 방식의 2단계 인증 기능 ‘스팀가드’를 지원한다. 게임 클라이언트에 2단계 인증이 왜 필요한지 의아할 수도 있겠지만, 게임 타이틀은 기본적으로 고가이며, 게임 중 얻은 아이템이나 트레이드카드 등 장터를 통해 현금으로 거래할 수 있는 만큼 보안이 중요하다. 뿐만 아니라 계정을 탈취해 주요 게임에 불법 프로그램을 사용하며 재화를 모으는 해커조직도 있는 만큼 2단계 인증을 설정하는 것이 좋다.
스마트폰에 스팀 앱을 설치하고 로그인 한 뒤 메뉴 상단에 있는 Steam Guard 항목을 선택하면 ‘인증기’를 추가할 수 있다. 해당 앱을 OTP로 사용한다는 의미다. 간단한 본인확인 절차를 거치면 복구 코드가 나타나는데, 이 복구 코드는 사용자가 스마트폰을 분실했을 때 권한을 다시 획득하는데 사용할 수 있다. 향후 본인의 스팀 계정에 로그인을 할 때마다 스팀 앱을 실행하고, 화면에 표시되는 1회용 비밀번호를 입력해야 스팀을 이용할 수 있다.
▲스팀 2단계 인증 설정[캡처=보안뉴스]
2단계 인증은 보안 성능을 크게 높여줄 수 있는 기능이며, 이를 설정하는 것만으로도 해킹으로 인한 정보 유출 등의 피해를 상당수 막을 수 있다. 그럼에도 불구하고 주의할 점은 있다. 바로 스마트폰 분실이다. 문자메시지, 전용 앱 등을 2차 인증 수단으로 사용하고, 인증 관련 정보가 스마트폰으로 전송되는 만큼 이를 분실하면 뚫릴 수밖에 없다. 이 때문에 스마트폰 화면 잠금을 단순한 패턴이나 비밀번호만으로 설정하지 말고, 유심 비밀번호 설정을 통해 한 번 더 잠그고, 지문 등 생체인식 기능을 적극 활용할 필요가 있다. 가능하다면 원격에서 스마트폰을 찾아 기기를 잠그거나 원격에서 기기를 초기화하는 킬 스위치 기능도 알아두면 도움이 된다.
▲안드로이드 스마트폰에서 지원하는 원격 기기 초기화 기능[캡처=보안뉴스]
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
