이번 글에서는 이전에 해킹 피해를 당하지 않으려면 필수적으로 설정해야 한다고 말씀드렸던 2단계 또는 2차 인증의 중요성에 대해 리마인드 차원에서 다시 한 번 설명드려볼까 합니다. "개인정보를 이용한 크리덴셜 스터핑 공격"에서 해커가 특정 사이트를 해킹해서 탈취한 계정 정보를 바탕으로 다른 사이트에 그대로 아이디와 패스워드를 넣어서 로그인을 한다..라고 말씀을 드렸죠. 저희가 사이트마다 다른 아이디와 패스워드를 만들어 가입하고 일일이 기억하기에는 어렵기 때문에 이는 어쩔 수 없는 부분이다..라는 것까지 말이죠. 그래서 이로 인해 발생하는 피해를 줄이기 위해서는 2차 인증을 필수적으로 해야한다라고도 설명드렸습니다.
보통 2차 인증을 설정해놓으면 등록된 PC를 제외하고 로그인을 할 때마다 보안 코드를 받게 됩니다. 그래서 이를 입력하거나 스마트폰에 알림창이 뜨면서 본인이 맞는지 확인하는 과정을 거치게 되구요. 2차 인증을 설정해놓으면 좋은 점이 누군가 내 아이디와 비밀번호로 로그인 하더라도 해당 접속을 차단하는 역할을 해준다는 것이죠. 또한 이 보안 알림을 받음으로써 누군가 내 계정을 계속해서 접근하고 있구나 알아차릴 수 있다는 겁니다. 그렇게 되면 당장 패스워드를 바꿔야하겠죠.
아마 저희가 알게 모르게 이미 다크웹 상에 쇼핑몰이나 게임 사이트에서 유출된 계정 정보가 꽤 많이 돌아다니고 있을 겁니다. 지금 쓰고 있는 아이디의 현재 패스워드가 다르다고 하더라도 문자와 숫자 조합으로 무작위로 대입해서, 패스워드를 알아내는 브루트 포스 공격(Brute Force Attack)도 가능하기 때문에 꼭 2차 인증이 필요하죠. 물론 2차 인증을 한다고 해킹을 100% 막아주는 것은 아니지만, 그래도 피해 가능성을 낮추기 위해서는 꼭 하시길 당부드립니다. 스마트폰을 해커가 가지게 된다면 그땐 어쩔 수 없기 때문이죠. 아래에 인용한 기사에서 제가 설명드린 내용 외에도 네이버나 카카오, 구글에서 어떻게 2차 인증을 하는지 자세히 설명하고 있으니, 2차 인증을 하실 분들이라면 참고해도 괜찮으실 것 같습니다.
2차 인증, 보안에 얼마나 중요할까? 노출된 ID·PW도 안전하게 보호한다
필자는 지난달 말부터 애플 로그인과 관련한 국외발신 문자메시지를 연속으로 받았다. 처음에는 단순한 피싱이라고 생각했지만, 가만히 살펴보니 실제 애플에서 보낸 본인인증과 관련한 메시
www.boannews.com
원래 2차 인증에는 스마트폰의 메시지를 통해 보안 코드를 받는 것 뿐만 아니라, 전화로 코드를 직접 입력하거나 OTP, 생체 인증을 사용하는 여러가지 방법이 존재하는데요. 인증을 하는 방식만 조금씩 다를 뿐 원리는 똑같기 때문에 다른 방식은 설명하지 않았으나, OTP 같은 경우 어떻게 동작하는지는 알아두시면 좋을 것 같아 추후에 별도로 말씀드리도록 하겠습니다. 오늘은 2차 인증에 대해 짧은 글로 설명드렸고, 내일은 최근 계속 이슈가 되었던 랜섬웨어에 대해 설명드리겠습니다. 그럼 여기서 줄이도록 하죠. 감사합니다.
'Security Essay' 카테고리의 다른 글
| 소프트웨어 공급망 공격 사례 (0) | 2021.06.14 |
|---|---|
| 인공지능 챗봇 이루다 앱 개인정보 남용 사례 (0) | 2021.06.13 |
| 네이트 개인정보 유출한 스니핑 사례 (0) | 2021.06.10 |
| 비트코인 계좌 해킹 사례 (0) | 2021.06.07 |
| 오픈소스 취약점 의존성 문제 (0) | 2021.06.06 |
댓글