2차 인증 설정 시 타인에게 ID와 비밀번호 노출돼도 계정 접근 불가능
타인에 의한 로그인 시도 시 2차 인증 관련 메시지로 이를 인지하고 비밀번호 변경 등 대응 가능
[보안뉴스 이상우 기자] 기자는 지난달 말부터 애플 로그인과 관련한 국외발신 문자메시지를 연속으로 받았다. 처음에는 단순한 피싱이라고 생각했지만, 가만히 살펴보니 실제 애플에서 보낸 본인인증과 관련된 메시지였다. 즉, 타인이 기자의 애플 계정을 이용해 로그인을 시도했고, 이 과정에서 2차 인증을 위한 보안코드가 스마트폰으로 전송된 것이다.
▲최근 2주간 전송된 애플 2차인증 관련 메시지[자료=보안뉴스]
타인이 로그인을 시도했다는 것은 결국 ID와 비밀번호 같은 계정정보가 노출돼 있다는 의미다. 이에 기자는 즉시 비밀번호를 변경하고, 동일한 계정정보를 쓰는 타사 서비스 역시 모두 찾아 변경했다. 2차 인증을 활성화해둔 덕분에 타인의 무단 접근 시도를 인지해 차단하는 등 신속하게 대응할 수 있었던 셈이다.
오늘날 우리가 사용하는 ID와 비밀번호는 안전하지 않다. 이미 다크웹에서는 쇼핑몰, 온라인 게임 사이트, 기업 이메일 등 수많은 인터넷 서비스에서 유출된 사용자 계정과 비밀번호가 유통되고 있다. 공격자는 이렇게 획득한 ID와 비밀번호를 해당 서비스뿐만 아니라 다양한 서비스에 입력해보면서 유효한 계정정보를 찾아낸다. 최근에는 이메일 계정을 ID로 회원가입을 하고, 사용자는 대부분 자신이 자주 쓰는 구글, 네이버 등의 이메일을 ID로 사용한다. 물론 비밀번호 역시 동일하게 쓰는 사람도 많다.
만약 웹 보안이 취약한 서비스에서 자신의 구글 이메일 주소를 ID로 하고, 동일한 비밀번호를 이용해 회원가입을 했다면, 결국 동일한 계정을 이용하는 다른 서비스까지 공격에 노출될 수 있다.
모든 서비스마다 비밀번호를 다르게 설정하는 것이 현명한 대응방법일 수 있지만, 현실적으로 불가능하다. 오늘날 우리는 비밀번호를 설정할 때 10자리 이상, 대소문자, 숫자, 특수문자 등을 포함할 것을 요구받으며, 짧게는 한 달마다 비밀번호를 바꿔야 한다. 이 때문에 오랜만에 서비스를 이용하려면 몇 번씩 비밀번호를 틀리다가 결국 ‘비밀번호 찾기’ 기능을 통해 재설정 후 로그인을 하는 경우도 허다하다.
이에 따라 단순히 비밀번호를 복잡하고 다양하게 만드는 것보다는 2차 인증(2단계 인증 혹은 MFA, 다요소 인증)을 이용하는 것이 더 안전하다. 2차 인증이란 기존 ID와 비밀번호 외에 추가적인 방식으로 본인을 인증하는 방식이다. 가령 로그인을 시도할 경우, 사용자가 사전에 등록해둔 스마트폰이나 이메일로 1회용 비밀번호를 발송하고, 이를 함께 입력해야 최종적으로 로그인이 되는 방식이다. 최근에는 스마트폰 앱을 통해 지문이나 QR코드 촬영 등으로 인증하는 방식까지 적용하고 있어 과거보다 더 간편하면서도 안전하게 로그인 하는 것이 가능하다.
주요 인터넷 서비스, 2차 인증 기본 제공
다음(카카오), 네이버, 구글, 애플 등 우리가 오늘날 사용하는 주요 서비스는 대부분 2차 인증 기능을 제공하고 있다. 사용자가 이를 설정하는 것만으로도 계정탈취로 인한 피해를 예방할 수 있다. 특히, 앞서 언급한 사례처럼 본인이 로그인을 시도하지 않은 상황에서 2차 인증과 관련한 메시지를 받았다면 계정정보가 노출된 것으로 간주하고 비밀번호를 변경하는 등 보안을 강화할 수 있다.
▲네이버 2단계 인증 설정[캡처=보안뉴스]
대부분의 서비스는 로그인 후 계정 설정 항목에 진입해 ‘보안 설정’이나 ‘보안’ 같은 이름의 항목에서 2차 인증과 관련한 설정을 할 수 있다. 네이버의 경우 로그인 후 자신의 아이디 옆에 있는 자물쇠 모양 버튼을 눌러 보안 설정에 진입하고, 2단계 인증 관리하기 항목을 눌러 해당 기능을 설정할 수 있으며, 이후 네이버 앱을 통해 인증을 진행한다.
다음은 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용한다. 다음 로그인 후 홈 화면에서 자신의 프로필 사진이나 이름을 눌러 계정 관리 페이지에 접근하고, 계정 보안 항목에서 2단계 인증을 설정할 수 있으며, 방식은 네이버와 대동소이하기 때문에 알 수 없는 로그인 시도가 발생해 인증을 요청하면 이를 거부할 수 있다.
▲다음(카카오 계정 통합) 2단계 인증 설정[캡처=보안뉴스]
카카오톡의 경우 설정 > 개인/보안 > 카카오 계정 항목에 진입한 뒤 2단계 인증을 설정할 수 있다. 이 경우 다른 PC에서 카카오톡 PC버전 로그인이나 웹 브라우저를 통해 ‘카카오톡 계정으로 로그인’이 시도될 경우 카카오톡 메시지를 통해 알림을 보낸다.
▲구글 2단계 인증 설정[캡처=보안뉴스]
구글 계정에 2단계 인증 설정을 위해서는 구글 메인 화면(google.com) 우측 상단에 있는 자신의 프로필을 누르고, 계정설정 > 보안 탭을 선택한다. 여기서 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다. 안드로이드 스마트폰 사용자라면 구글 앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다.
▲애플 2단계 인증 설정[캡처=보안뉴스]
애플 계정에 2단계 인증을 설정하는 것도 가능하다. 기본적으로는 문자메시지를 통해 확인 코드를 전송하지만, 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 맥, 아이패드 등 다른 기기에서 로그인 시도가 발생하면 아이폰 화면에 메시지가 즉시 나타난다. iOS 10.3 이상버전에서는 아이폰 설정 > 사용자 이름 > 암호 및 보안에서 이중 인증 설정을 할 수 있고, 10.2 이하 버전에서는 설정 > 아이클라우드 > Apple ID > 암호 및 보안 항목에서 설정할 수 있다.
[이상우 기자(boan@boannews.com)]
타인에 의한 로그인 시도 시 2차 인증 관련 메시지로 이를 인지하고 비밀번호 변경 등 대응 가능
[보안뉴스 이상우 기자] 기자는 지난달 말부터 애플 로그인과 관련한 국외발신 문자메시지를 연속으로 받았다. 처음에는 단순한 피싱이라고 생각했지만, 가만히 살펴보니 실제 애플에서 보낸 본인인증과 관련된 메시지였다. 즉, 타인이 기자의 애플 계정을 이용해 로그인을 시도했고, 이 과정에서 2차 인증을 위한 보안코드가 스마트폰으로 전송된 것이다.
▲최근 2주간 전송된 애플 2차인증 관련 메시지[자료=보안뉴스]
타인이 로그인을 시도했다는 것은 결국 ID와 비밀번호 같은 계정정보가 노출돼 있다는 의미다. 이에 기자는 즉시 비밀번호를 변경하고, 동일한 계정정보를 쓰는 타사 서비스 역시 모두 찾아 변경했다. 2차 인증을 활성화해둔 덕분에 타인의 무단 접근 시도를 인지해 차단하는 등 신속하게 대응할 수 있었던 셈이다.
오늘날 우리가 사용하는 ID와 비밀번호는 안전하지 않다. 이미 다크웹에서는 쇼핑몰, 온라인 게임 사이트, 기업 이메일 등 수많은 인터넷 서비스에서 유출된 사용자 계정과 비밀번호가 유통되고 있다. 공격자는 이렇게 획득한 ID와 비밀번호를 해당 서비스뿐만 아니라 다양한 서비스에 입력해보면서 유효한 계정정보를 찾아낸다. 최근에는 이메일 계정을 ID로 회원가입을 하고, 사용자는 대부분 자신이 자주 쓰는 구글, 네이버 등의 이메일을 ID로 사용한다. 물론 비밀번호 역시 동일하게 쓰는 사람도 많다.
만약 웹 보안이 취약한 서비스에서 자신의 구글 이메일 주소를 ID로 하고, 동일한 비밀번호를 이용해 회원가입을 했다면, 결국 동일한 계정을 이용하는 다른 서비스까지 공격에 노출될 수 있다.
모든 서비스마다 비밀번호를 다르게 설정하는 것이 현명한 대응방법일 수 있지만, 현실적으로 불가능하다. 오늘날 우리는 비밀번호를 설정할 때 10자리 이상, 대소문자, 숫자, 특수문자 등을 포함할 것을 요구받으며, 짧게는 한 달마다 비밀번호를 바꿔야 한다. 이 때문에 오랜만에 서비스를 이용하려면 몇 번씩 비밀번호를 틀리다가 결국 ‘비밀번호 찾기’ 기능을 통해 재설정 후 로그인을 하는 경우도 허다하다.
이에 따라 단순히 비밀번호를 복잡하고 다양하게 만드는 것보다는 2차 인증(2단계 인증 혹은 MFA, 다요소 인증)을 이용하는 것이 더 안전하다. 2차 인증이란 기존 ID와 비밀번호 외에 추가적인 방식으로 본인을 인증하는 방식이다. 가령 로그인을 시도할 경우, 사용자가 사전에 등록해둔 스마트폰이나 이메일로 1회용 비밀번호를 발송하고, 이를 함께 입력해야 최종적으로 로그인이 되는 방식이다. 최근에는 스마트폰 앱을 통해 지문이나 QR코드 촬영 등으로 인증하는 방식까지 적용하고 있어 과거보다 더 간편하면서도 안전하게 로그인 하는 것이 가능하다.
주요 인터넷 서비스, 2차 인증 기본 제공
다음(카카오), 네이버, 구글, 애플 등 우리가 오늘날 사용하는 주요 서비스는 대부분 2차 인증 기능을 제공하고 있다. 사용자가 이를 설정하는 것만으로도 계정탈취로 인한 피해를 예방할 수 있다. 특히, 앞서 언급한 사례처럼 본인이 로그인을 시도하지 않은 상황에서 2차 인증과 관련한 메시지를 받았다면 계정정보가 노출된 것으로 간주하고 비밀번호를 변경하는 등 보안을 강화할 수 있다.
▲네이버 2단계 인증 설정[캡처=보안뉴스]
대부분의 서비스는 로그인 후 계정 설정 항목에 진입해 ‘보안 설정’이나 ‘보안’ 같은 이름의 항목에서 2차 인증과 관련한 설정을 할 수 있다. 네이버의 경우 로그인 후 자신의 아이디 옆에 있는 자물쇠 모양 버튼을 눌러 보안 설정에 진입하고, 2단계 인증 관리하기 항목을 눌러 해당 기능을 설정할 수 있으며, 이후 네이버 앱을 통해 인증을 진행한다.
다음은 카카오 계정으로 정보를 통합했을 경우 카카오톡을 2단계 인증에 사용한다. 다음 로그인 후 홈 화면에서 자신의 프로필 사진이나 이름을 눌러 계정 관리 페이지에 접근하고, 계정 보안 항목에서 2단계 인증을 설정할 수 있으며, 방식은 네이버와 대동소이하기 때문에 알 수 없는 로그인 시도가 발생해 인증을 요청하면 이를 거부할 수 있다.
▲다음(카카오 계정 통합) 2단계 인증 설정[캡처=보안뉴스]
카카오톡의 경우 설정 > 개인/보안 > 카카오 계정 항목에 진입한 뒤 2단계 인증을 설정할 수 있다. 이 경우 다른 PC에서 카카오톡 PC버전 로그인이나 웹 브라우저를 통해 ‘카카오톡 계정으로 로그인’이 시도될 경우 카카오톡 메시지를 통해 알림을 보낸다.
▲구글 2단계 인증 설정[캡처=보안뉴스]
구글 계정에 2단계 인증 설정을 위해서는 구글 메인 화면(google.com) 우측 상단에 있는 자신의 프로필을 누르고, 계정설정 > 보안 탭을 선택한다. 여기서 2단계 인증 항목을 누르면 인증에 사용하는 수단을 선택할 수 있다. 안드로이드 스마트폰 사용자라면 구글 앱과 스마트폰이 기본 설정이며, 추가적으로 문자메시지, 물리 보안키 등을 이용할 수 있다.
▲애플 2단계 인증 설정[캡처=보안뉴스]
애플 계정에 2단계 인증을 설정하는 것도 가능하다. 기본적으로는 문자메시지를 통해 확인 코드를 전송하지만, 아이폰 사용자가 자신의 단말기를 신뢰할 수 있는 기기로 등록할 경우 맥, 아이패드 등 다른 기기에서 로그인 시도가 발생하면 아이폰 화면에 메시지가 즉시 나타난다. iOS 10.3 이상버전에서는 아이폰 설정 > 사용자 이름 > 암호 및 보안에서 이중 인증 설정을 할 수 있고, 10.2 이하 버전에서는 설정 > 아이클라우드 > Apple ID > 암호 및 보안 항목에서 설정할 수 있다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
