이중 인증(2FA)이란 무엇이며 왜 사용해야 할까요?

오늘날 데이터가 새로운 석유인 시대에서 온라인 계정이 해킹되거나 아예 접근할 수 없게 되는 것에 대한 우려는 끔찍한 생각 중 하나입니다. 이러한 우려는 여러 요인에 기인할 수 있지만, 그 중 가장 중요한 것은 적절한 보안이 부족하다는 점입니다. 이는 대부분의 사용자가 의도적으로 또는 무의식적으로 따르게 되는 부주의와 열악한 보안 관행으로 나눌 수 있습니다.

이 상황에서 벗어나는 한 가지 방법은 모든 계정에서 2FA(이중 인증)를 활성화하여 보안을 강화하는 것입니다. 이렇게 하면 비밀번호가 유출되거나 해킹되더라도 두 번째 요소(2FA 인증 토큰)로 검증되기 전까지는 계정에 접근할 수 없습니다.

하지만 많은 사람들이 2FA를 활용하지 않거나 그 존재조차 모르는 것 같습니다. 그래서 더 쉽게 이해할 수 있도록 이중 인증에 대한 가이드와 2FA에 대한 가장 일반적인 질문에 대한 답변을 준비했습니다.

이중 인증(2FA)이란 무엇인가요?

이중 인증 또는 2FA는 계정에 추가 보안 계층을 추가하는 다단계 인증(MFA) 메커니즘의 일종입니다. 2FA의 경우, 로그인을 인증하기 위한 두 번째 요소입니다.

이상적으로는, 사용자 이름과 비밀번호를 사용하여 계정에 로그인할 때 비밀번호가 첫 번째 인증 요소 역할을 합니다. 서비스가 입력된 비밀번호가 올바른지 확인한 후에야 계정에 접근할 수 있습니다.

이 접근 방식의 문제 중 하나는 가장 안전하지 않다는 것입니다. 누군가가 계정 비밀번호를 입수하면 쉽게 로그인하여 계정을 사용할 수 있습니다. 바로 여기서 두 번째 요소의 필요성이 발생합니다.

두 번째 요소는 몇 가지 방법으로 설정할 수 있으며, 로그인 시 계정에 추가 인증 계층을 추가합니다. 이를 활성화하면 계정의 올바른 비밀번호를 입력한 후, 신원을 확인하기 위해 제한된 시간 동안 유효한 인증 코드를 입력해야 합니다. 성공적으로 인증되면 계정에 접근할 수 있습니다.

메커니즘을 구현하는 서비스에 따라 2FA는 때때로 두 단계 인증(2SV)이라고도 불리며, 구글의 경우와 같습니다. 그러나 이름 차이 외에도 두 가지 모두의 작동 원리는 동일합니다.

또한 TechPP에서

이중 인증 활성화 방법 읽기

이중 인증(2FA)은 어떻게 작동하나요?

앞서 언급한 바와 같이, 이중 인증은 로그인 시 신원 확인을 완료하기 위해 두 번째 요소(첫 번째 요소: 비밀번호 외)에 대한 사용을 포함합니다.

이를 달성하기 위해 2FA를 구현하는 앱과 서비스는 사용자가 로그인하고 서비스를 사용하기 전에 확인해야 하는 최소 두 가지 요소(또는 증거)를 요구합니다:

i. 지식 – 당신이 아는 것
ii. 소지 – 당신이 가진 것
iii. 고유성 – 당신이 누구인지

이러한 다양한 요소가 무엇인지 더 잘 이해할 수 있도록, 대부분의 시나리오에서 지식 요소는 계정 비밀번호나 PIN이 될 수 있으며, 소지 요소는 USB 보안 키나 인증기와 같은 것이 포함될 수 있고, 고유성 요소는 생체 인식: 지문, 망막 등이 될 수 있습니다.

2FA가 설정되고 실행되면, 로그인 시 지식 요소 외에 소지와 고유성 중 하나의 인증 요소를 입력해야 합니다.

그런 다음 보호하려는 것과 사용하는 서비스에 따라 선호하는 두 번째 인증 메커니즘을 선택할 수 있는 두 가지 옵션이 제공됩니다. 소지: 물리적 보안 키 또는 스마트폰의 코드 생성기 앱을 사용하여 신원을 확인하는 데 사용할 수 있는 일회용 토큰을 제공합니다. 또는 고유성: 얼굴 인식 및 유사한 것들을 사용할 수 있습니다.

또한 TechPP에서

구글 계정에서 이중 인증 활성화 방법 읽기

이중 인증은 완벽한가요? 2FA 사용의 단점은 무엇인가요?

이중 인증이 무엇인지, 어떻게 작동하는지 이해했으니, 이제 구현 및 계정에서 사용하는 것의 단점(있는 경우)에 대해 자세히 살펴보겠습니다.

우선, 대부분의 전문가들 사이에서 이중 인증 사용에 대한 합의는 대체로 긍정적이며 사람들이 자신의 계정에서 2FA를 활성화하도록 유도하지만, 이 메커니즘의 구현에는 몇 가지 단점이 있어 완벽한 솔루션이 되지 못합니다.

이러한 단점(또는 취약점)은 주로 이를 사용하는 서비스의 잘못된 2FA 구현의 결과이며, 이는 여러 수준에서 결함이 있을 수 있습니다.

효과적이지 않은 2FA 구현의 예를 들면, 모바일 번호를 사용하여 계정에서 2FA를 활성화한 경우를 고려해 보십시오. 이 설정에서 서비스는 SMS를 통해 OTP를 전송하며, 이를 사용하여 신원을 확인해야 합니다. 그러나 이 경우 두 번째 요소가 통신사로 전송되므로 다양한 공격에 노출되며, 따라서 자체적으로 안전하지 않습니다. 결과적으로 이러한 구현은 계정을 보호하는 데 있어 효과적이지 않을 수 있습니다.

위의 시나리오 외에도 2FA가 다양한 공격에 취약할 수 있는 여러 상황이 있습니다. 이러한 상황에는 메커니즘을 통합한 웹사이트/앱이: 토큰 검증을 위한 왜곡된 구현을 가지고 있거나; 계정에 무차별 대입 공격을 허용할 수 있는 속도 제한이 부족하거나; 동일한 OTP를 반복적으로 전송하거나; 백업 코드에 대한 부적절한 접근 제어에 의존하는 경우 등이 포함됩니다. 이러한 모든 것은 잘못 구현된 2FA 메커니즘을 우회하여 목표 계정에 접근할 수 있는 취약점을 초래할 수 있습니다.

마찬가지로, 2FA가 문제가 될 수 있는 또 다른 시나리오는 부주의하게 사용하는 경우입니다. 예를 들어, 코드 생성기 앱을 사용하여 계정에서 이중 인증을 활성화하고 새 장치로 전환하기로 결정했지만 인증기 앱을 새 전화기로 이동하는 것을 잊어버리면, 계정에서 완전히 잠길 수 있습니다. 결과적으로 이러한 계정에 대한 접근을 복구하기 어려운 상황에 처할 수 있습니다.

2FA가 때때로 당신에게 해를 끼칠 수 있는 또 다른 상황은 SMS를 사용하여 2FA 토큰을 받을 때입니다. 이 경우 여행 중에 연결이 좋지 않은 곳으로 이동하면 SMS를 통해 일회용 토큰을 받지 못할 수 있으며, 이로 인해 계정에 일시적으로 접근할 수 없게 될 수 있습니다. 게다가, 통신사를 변경하고 여전히 다른 계정에 2FA를 위해 연결된 이전 모바일 번호를 가지고 있다면 말입니다.

또한 TechPP에서

안드로이드 스마트폰을 이중 인증 보안 키로 사용하기 [가이드] 읽기

하지만 모든 것을 고려할 때, 여기서 중요한 요소는 대부분의 사람들이 평균적인 인터넷 사용자이며 의심스러운 용도로 계정을 사용하지 않기 때문에 해커가 우리의 계정을 공격 대상으로 삼을 가능성이 낮다는 것입니다. 그 이유 중 하나는 평균 사용자의 계정이 유혹적이지 않으며 누군가가 공격을 수행하는 데 시간을 들일 만큼 많은 것을 제공하지 않기 때문입니다.

이러한 시나리오에서는 2FA 보안의 이점을 최대한 누릴 수 있으며, 앞서 언급한 극단적인 단점에 직면하지 않을 수 있습니다. 요약하자면, 2FA의 장점은 대부분의 사용자에게 단점보다 더 큽니다—단, 신중하게 사용하고 있다면 말입니다.

왜 이중 인증(2FA)을 사용해야 하나요?

온라인에서 점점 더 많은 서비스에 가입함에 따라, 우리는 어느 정도 계정이 해킹될 확률을 높이고 있습니다. 물론 이러한 계정의 보안을 보장하고 위협을 차단하기 위한 보안 검사가 없다면 말입니다.

지난 몇 년 동안, 일부 인기 서비스(거대한 사용자 기반을 가진)의 데이터 유출로 인해 수많은 사용자 자격 증명(이메일 주소 및 비밀번호)이 온라인에 유출되어 전 세계 수백만 사용자의 보안이 위험에 처하게 되었으며, 해커(또는 관련 지식을 가진 사람)가 유출된 자격 증명을 사용하여 이러한 계정에 접근할 수 있게 되었습니다.

그 자체로도 큰 우려 사항이지만, 이러한 계정에 이중 인증이 없으면 상황은 더욱 악화됩니다. 이는 해커에게 전체 프로세스를 간단하고 비정교하게 만들어 쉽게 장악할 수 있게 합니다.

하지만 계정에 이중 인증을 적용하면, 신원을 확인하기 위해 소지 요소(오직 당신만이 가진 것)—OTP 또는 앱/키 생성 토큰—을 사용하므로 우회하기 어려운 추가 보안 계층을 갖게 됩니다.

사실, 추가 단계가 필요한 계정은 일반적으로 공격자의 레이더에 없는 경우가 많으며(특히 대규모 공격에서), 따라서 2FA를 사용하지 않는 계정보다 비교적 더 안전합니다. 그렇다고 해도, 이중 인증이 로그인 시 추가 단계를 추가한다는 사실은 부인할 수 없습니다. 그러나 그에 대한 보안과 마음의 평화는 분명히 그 번거로움을 상쇄할 만한 가치가 있습니다.

또한 TechPP에서

올해 시도해야 할 6가지 기술 습관 읽기

위에서 언급한 시나리오는 계정에서 2FA를 활성화하는 것이 유익할 수 있는 여러 다른 사례 중 하나일 뿐입니다. 하지만 다시 말하지만, 2FA가 계정의 보안을 강화하더라도 완벽한 솔루션은 아니며, 따라서 서비스에서 올바르게 구현해야 합니다. 사용자 측에서도 신중하게(모든 복구 코드의 백업을 취하는 등) 설정해야 서비스가 유리하게 작동할 수 있습니다.

이중 인증(2FA)을 구현하는 방법은?

이중 인증으로 보호하려는 계정에 따라 2FA를 활성화하기 위해 따라야 할 일련의 단계가 있습니다. 트위터, 페이스북, 인스타그램과 같은 인기 소셜 네트워킹 웹사이트; WhatsApp과 같은 메시징 서비스; 또는 이메일 계정 등, 이러한 서비스는 계정 보안을 개선하기 위해 2FA를 활성화할 수 있는 기능을 제공합니다.

우리의 의견으로는, 모든 계정에 대해 강력하고 고유한 비밀번호를 사용하는 것이 기본적이지만, 서비스에서 이중 인증 기능을 제공하는 경우 이를 무시하지 말고 활용해야 합니다—특히 대부분의 다른 계정과 복구 옵션으로 연결된 구글 계정의 경우에는 더욱 그렇습니다.

이중 인증을 활성화하는 가장 안전한 방법 중 하나는 고정된 간격으로 코드를 생성하는 하드웨어 키를 사용하는 것입니다. 그러나 평균 사용자에게는 구글, LastPass 및 Authy와 같은 코드 생성기 앱이 완벽하게 작동할 것입니다. 게다가 요즘에는 특정 비밀번호 관리자가 금고와 토큰 생성기를 모두 제공하여 더욱 편리하게 사용할 수 있습니다.

대부분의 서비스는 이중 인증을 활성화하기 위해 유사한 단계를 요구하지만, 구글 계정 및 기타 소셜 미디어 웹사이트에서 2FA를 활성화하는 방법에 대한 가이드를 확인하여 계정에서 이중 인증 보안 설정을 올바르게 수행하는 방법을 알아보세요. 그리고 그 과정에서 토큰을 받지 못하거나 토큰 생성기에 대한 접근을 잃는 경우 계정에서 잠기지 않도록 모든 백업 코드의 사본을 확보해 두는 것을 잊지 마세요.