생체검색을 통한 자동 인증이 다가오고 있지만 아직까지 암호를 계정 로그인에 사용하는 경우가 많다. 그렇기 때문에 2단계 인증(2FA)는 온라인에서 데이터, 서비스를 보호하기 위해 중요한 단계이다

Tech 전문지 PCWorld는 2단계 인증의 중요성과 2FA를 위한 모바일 앱 및 하드웨어에 대해 소개했다.

■ 2단계 인증이란 무엇인가?

2단계 인증(2FA), 멀티 단계 인증은 중요한 정보를 보호하기 위해 추가적인 로그인 코드를 사용하는 것 이다.

중요한 계정에 대해 하나의 암호만 설정할 경우 로그인 정보를 추측할 수 있거나 해커들이 평범한 텍스트 정보로 로그인을 해서 데이터베이스를 훔쳐가게 된다. 2단계 인증을 사용하면 계정 액세스 전에 1회용 암호(OTP)라는 2차 코드를 요구하기 때문에 이러한 결함을 해결할 수 있다. 또한 해커가 암호를 가지고 있더라도 2차 코드를 해독해야 하기 때문에 해킹이 어려워진다.

FIDO U2F 표준이라고 불리는 2FA를 사용하는 방법은 다양하다. 구글, 페이스북 등 다양한 서비스에서 2FA를 지원하는데, 이러한 인증을 통해 물리적 보안 키를 PC에 삽입 해 키의 버튼을 눌러 자동으로 로그인할 수 있다.

2FA 코드를 SMS를 통해 받으려고 한다면 중간에 해킹 될 가능성이 있다. 그렇긴 하지만 SMS 인증을 하지 않는 것 보다는 낫다. 지난 5월 구글은 1년의 연구 결를 통해 SMS 인증이 벌크 피싱 공격의 96%, 구글 계정 해킹 공격의 76%를 차단했다고 밝혔다.

단순히 SMS를 사용하는 것 보다는 사용하는 기기의 소프트웨어 또는 하드웨어 기반의 2FA 솔루션을 사용하는 것이 계정을 보호하는 데 더 효과적이다.

[Pixabay.com]

■ 소프트웨어 옵션을 통해 2FA를 적용하는 방법

앱을 통해 표준 OTP 2FA 접근 방식을 지원하는 서비스를 사용할 수 있다. 아래의 앱은 대부분의 주요 웹 사이트와 서비스에서 사용 가능하다.

■ Google Authenticator

구글 인증기(Google Authenticator) 앱을 통해 안드로이드, iOS 모두에서 무료로 2단계 인증을 사용할 수 있다.

Facebook, Gmail, Dropbox 등의 대부분의 앱에서 2단계 인증이 가능하게 한다. 구글 인증자를 활성화하면 서비스가 앱을 사용해 QR 코드의 인식하라고 요구한다. QR 코드를 인식하고 나면 인증자가 코드 생성을 하고, 서비스에서 2FA를 확인하기 위해 현재 코드를 입력하도록 한다.

■ LastPass Authenticator

라스트패스는 one-tap 푸시 알람 기능을 사용해 코드를 입력하지 않고 클릭으로 PC에서 로그인할 수 있다.

원 탭 로그인은 아마존(AWS 제외), 구글, 드롭박스, 페이스북 및 에버노트 등에서 작동한다. 단일 탭 알림을 사용하기 위해선 브라우저에 라스트패스 확장이 설치, 활성화되어 있어야 한다.

원탭 로그인은 브라우저별로 다르기 때문에 크롬에서 원 탭 로그인을 사용하다가 마이크로소프트 에지를 사용할 경우 마이크로소프트 에서 다시 로그인해야 한다.

사용자가 서비스가 지원되는 사이트에 로그인 할 때 라스트패스는 사용자에게 로그인 푸시 알람을 보낸다. 사용자가 확인을 하면 인증된 2FA 코드가 포함된 정보가 전송되고, 라스트패스는 이 정보를 수신해 웹사이트에 제공하고 로그인 하게 된다.

■ Microsoft Authenticator

마이크로소프트 또한 안드로이드, iOS, 윈도우 10 모바일에 무료 인증 프로그램을 제공한다. 다른 사이트와 같이 QR 코드를 스냅 해 페이스북, 드롭박스와 같은 사이트의 코드를 잡는다. 단 마이크로소프트의 개인 계정에서는 라스트탬과 비슷한 원탭 알림을 제공한다.

■ Authy

2FA를 오랫동안 사용했다면 스마트폰을 새로 바꿀 때 마다 인증 코드를 다시 활성화해야 한다는 번거로움을 겪었을 것이다. Authy는 이러한 문제를 해결할 수 있다.

Authy의 무료 서비스는 2FA 코드를 작동시키는 개인 데이터를 클라우드에 저장함으로써 이러한 문제를 해결한다. 스마트폰, 태블릭, 노트북 모두에서 Authy 앱 로그인을 통해 코드에 액세스 할 수 있다.

Authy는 클라우드에 백업하기 전에 스마트폰에 입력한 암호를 기반으로 암호화 되어야 한다고 밝혔다. 이는 개인 암호가 백업된 암호를 해독할 수 있는 유일한 방법이기 때문에, 개인 암호를 잊을 경우 2FA 코드를 받을 수 없어 계좌가 잠길 수 있다는 것 이다.

여러 개의 디바이스에서 2FA 코드에 접근할 수 있다는 것은 장점이지만, 암호를 따로 적어서 보관해두는 편이 아니라면 적합하지 않을 수 있다.

[Cloud.google.com]

■ 하드웨어 옵션을 통해 2FA를 적용하는 방법

2단계 인증을 통해 계정을 보호하는 가장 안전한 방법은 물리적인 보안 키를 사용하는 것이다. 앞서 언급한 구글의 연구에서 물리적 보안키를 사용할 경우 벌크 피싱과 표적형 공격을 100% 차단한 것으로 나타났다.

그러나 보안키를 사용할 경우 키를 분실하거나 파손될 경우 계정이 잠길 수 있으며, 새로운 키를 발급받아야 한다는 단점이 있다.

■ Yubico Authenticator

유비코 인증기는 하드웨어 기반의 2FA 솔루션이다. USB A형 포트에 끼워 버트을 누름으로써 인증할 수 있다. 코드를 수동으로 입력할 필요가 없으며 내구성이 뛰어나다.

FIDO U2F 표준을 지원하는 계정(구글, GitHub 등)에서는 원탭 로그인을 할 수 있고, 표준을 지원하지 않을 경우 2FA 토큰과 디스플레이 코드를 유비코 인증기 앱에 저장해 사용할 수 있다.

유비코 인증기를 통해 2FA 코드를 얻는 방법은 PC 앱을 사용하는지, 안드로이드 스마트폰을 사용하는지에 따라 다르다. 데트스톱에서는 USB 포트에 키를 넣어 코드를 얻고, 안드로이드에서는 유비키와 유비코 인증자 앱을 통해 코드를 얻을 수 있다.

■ Titan Security Key

타이탄 보안키는 2019년 발표한 구글의 자체 하드웨어 보안키이다. 50달러의 번들에는 2개의 물리적 장치가 포함되어 있으며 하나는 USB A타입 인서트, 하나는 모바일에 연결할 수 있는 무선 블루투스 dongle이다.

타이탄 보안키는 FIDO와 FIDO2F 표준을 사용하는 사이트만 지원하는 단점있으며 블루투스 동글에서 심각한 보안 결함이 발견되어 회수되었다.

[ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]