이는 90년대에 발명되었고(널리 AT&T의 공로로 인정받고 있음), 2000년대 중반에 이르러서야 주목받기 시작했습니다. 이중 인증(Two-factor Authentication, 또는 더 일반적으로 2FA로 알려짐)은 너무도 단순한 개념이라 거의 아름답기까지 합니다 — 당신이 아는 것과 당신이 가지고 있는 것을 결합하는 것입니다.
문제와 해결책
문제점:
사용자 이름과 비밀번호만이 우리의 데이터와 무단 접근 사이를 가로막고 있었습니다. 우리의 계정은 본질적으로 감시되지 않는 문과 같아서, 우리가 모르는 사이에도 24시간 내내 침해될 준비가 되어 있습니다. 게다가 사용자 이름은 거의 항상 일정한 패턴을 따르고, 비밀번호도 추측하기 쉬울 수 있습니다. 우리 모두 비슷한 아이디어로 비밀번호를 만드는 경향이 있기 때문입니다.
예를 들어, 단어 하나는 다른 사람이 추측하기 어렵겠지만 영어 단어 수가 제한적이기 때문에 컴퓨터에게는 놀라울 정도로 쉽습니다. 그래서 많은 사이트가 문자와 특수문자를 사용해 비밀번호를 강화하라고 요구합니다. 하지만 점점 더 정교해지는 해킹 소프트웨어와 이제는 AI의 등장으로 이것만으로는 충분하지 않습니다. 기억하세요. 계정으로 통하는 그 “문”은 24시간 내내 온라인 어딘가에서 발견될 수 있습니다.
해결책:
논리적으로 오직 당신만 소지할 수 있는 것을 사용해 로그인하는 사람이 정말 당신인지 확인하는 것입니다. 이것은 스마트폰, 이메일 계정, 키, 또는 생체 정보일 수도 있습니다. 어떤 방법이 사용되든 2FA는 무단 로그인 시도를 차단할 수 있게 해 주며, 추가 침해를 완화하기 위한 조치를 취할 수 있게 합니다.
물론 이것은 과장해서 말하면 신원 확인에 불과합니다 — 현관문 빗장을 풀기 전에 문구멍으로 들여다보는 것과 같은 셈이죠 — 하지만 구현 방식을 생각해 보면 꽤 영리합니다. 2FA가 계정에 더해 주는 보안성과 인식 수준은 그것을 단순한 요소들의 합 이상으로 끌어올립니다.
그렇다면 왜 이렇게 오랜 시간이 걸려서야 널리 쓰이게 되었을까요? 아마도 수년에 걸친 사이버 범죄의 점진적 증가, 보조 기기를 가진 사람들의 증가, 그리고 사이버 범죄자들이 사용할 수 있는 컴퓨팅 성능의 향상이 맞물리면서 비로소 빛을 볼 때를 기다려야 했기 때문일 것입니다. 보조 기기를 잃어버릴 수 있다는 우려도 있었을 수 있습니다.
수년간 2FA가 뛰어난 효과를 보여 온 분야
은행 및 금융 앱은 이미 수년간 이를 활용해 왔습니다. 하지만 이것이 더 ‘일상적인’ 계정으로까지 확산되는 것을 아직 체감하지 못했다면, 아마 곧 체감하게 될 것입니다. 해킹 기술이 점점 더 정교해지고, 데이터 기업들이 우리의 데이터를 보호해야 할 책임을 점점 더 크게 지게 되면서 도입이 진행 중입니다.
예를 들어 이메일 계정의 맥락에서 2FA를 살펴보겠습니다. 지금까지는 이메일 계정에 2FA를 활성화하는 것이 다소 번거롭거나 지나치게 조심스러운 일이라고 생각했을 수도 있습니다. 하지만 왜 그것이 매우 가치 있는지 설득해 보겠습니다. 특히 비즈니스를 하고 있다면 더욱 그렇습니다.
이메일 계정을 보호하기 위해 2FA를 추가해야 하는 이유는 무엇인가요?
우선, 비밀번호를 넘어서는 두 번째 보호 계층이 있다는 것은 결코 나쁜 일이 아닙니다. 이제 잠시 멈추고 이메일 계정에 어떤 종류의 민감한 데이터가 들어 있는지 생각해 보세요.
금융 정보 — 이미 수년간 다른 곳에서 2FA로 보호해 온 종류의 정보입니다.
개인 첨부파일 — 사진, 문서, 또는 지식재산권을 보호하고 싶은 창작물까지 포함됩니다.
구매 이력 — 그리고 광고주에게 가치가 있을 수 있는 기타 데이터.
의료 데이터 — 예약, 약물, 또는 질환에 대한 기록.
부동산 데이터 — 주택 구매와 유사한 중요한 절차는 종종 종이 없이 진행됩니다.
그리고 앞서 언급했듯이, 비즈니스를 하고 있다면 이 데이터는 거의 확실하게 고객의 데이터까지 포함됩니다. GDPR과 같은 규정이 있는 국가에서는 이 데이터를 안전하게 보관하는 것이 법적 의무입니다. 그러니 이메일 보안은 이미 당연한 선택처럼 들리기 시작하죠. 그런데 아직 끝이 아닙니다!
이메일을 안전하게 지켜야 하는 가장 중요한 이유는, 이메일이 다른 많은 계정으로 들어가는 관문이기 때문일 것입니다. 수년 동안 이메일은 비밀번호를 재설정하는 일반적인 방법이었습니다. 누군가가 당신의 이메일에 접근할 수 있다면, 해야 할 일은 메시지를 읽어 당신이 어떤 사이트에 계정을 가지고 있는지 파악한 뒤, 그 사이트들에서 ‘비밀번호를 잊으셨나요’ 절차를 진행하는 것뿐입니다.
거의 모든 소규모 사이트에서 등록된 이메일 계정은 누군가가 당신의 계정에 접근하는 것을 막는 마지막 장벽입니다. 이는 당신의 계정이 해킹당했다는 사실을 인지하기도 전에 많은 계정이 이미 침해될 수 있음을 의미합니다.
계정에 2FA를 쉽게 추가하세요
좋은 소식은 대부분의 이메일 계정에 2FA를 아주 쉽게 추가할 수 있다는 점입니다. 특히 비즈니스용 또는 전문가용 이메일 계정은 이 기능을 제공할 가능성이 높습니다. 활성화 과정은 보통 간단하고 설정도 매우 빠르며, 특히 다른 앱에서 이미 인증기를 사용하고 있다면 더욱 그렇습니다.
좋은 예로 Spaceship의 Spacemail을 살펴보겠습니다. 여기서는 몇 번의 클릭만으로 2FA를 활성화할 수 있습니다.
화면 오른쪽 상단의 설정 톱니바퀴를 클릭합니다.
두 번째 상자에서 ‘보안 센터 실행’을 클릭합니다.
탭에서 TWO FACTOR AUTHENTICATION을 클릭합니다.
지원되는 두 가지 2FA 유형 중 하나를 선택합니다.
다른 진입 지점도 막는 것을 잊지 마세요
기본 로그인에 2FA를 추가하는 것은 물론 좋지만, 휴대폰의 앱(예: Outlook 또는 Gmail)에 이메일 계정을 연결해 두었다면 이메일 계정으로 들어가는 또 다른 뒷문이 있을 가능성이 큽니다.
이 기능을 가능하게 하는 데 사용되는 프로토콜에는 IMAP, SMTP, POP3가 포함됩니다. 이들이 활성화되어 있으면, 설정한 2FA를 우회하여 앱을 통해 계정 접근이 설정될 수 있습니다. 보안을 확실히 하려면 가능하다면 이러한 프로토콜을 비활성화하세요.
Spacemail의 경우 현재 앱이 개발 중이며, 올해 후반 출시될 예정입니다. 이를 통해 보안을 저해하지 않으면서 스마트폰과 같은 기기에서 메일에 쉽게 접근할 수 있게 됩니다.
2FA의 유형
“2FA의 유형”에 대해 말이 나온 김에, 그것들이 무엇이며 Spacemail의 맥락에서 어떻게 작동하는지 좀 더 자세히 살펴보겠습니다. 크게 보면 2FA에는 세 가지 유형이 있습니다. 각각은 인증에 서로 다른 요소를 사용합니다.
“당신이 아는 것”
여기에는 추가 PIN 번호나 보안 질문 같은 것이 포함됩니다. 이는 오직 당신만 알아야 하는 정보이지만, 여러 면에서 비밀번호와 크게 다르지 않습니다. 다소 오래된 형태의 2FA로, 아래의 방법들이 선호되면서 점차 사라지고 있습니다.
몇 년 전, 사람들이 답을 추측하거나 조사하지 못하도록 가짜 ‘어머니의 결혼 전 성’이나 ‘첫 반려동물 이름’을 선택하라는 조언이 있었던 것을 들어보셨을 수도 있습니다.
상대적으로 보안성이 낮기 때문에, 이 방법은 Spacemail에서 지원되지 않습니다.
“당신 자신인 것”
이 부분은 이미 간단히 언급했습니다. 이 유형의 2FA는 지문, 얼굴 인식, 음성 인식과 같은 생체 데이터를 기반으로 합니다. 이는 보조 기기가 최선의 선택이 아닐 수 있는 경우에 유용합니다. 예를 들어 많은 경우 우리는 스마트폰을 사용하고 있는데, 그 스마트폰 자체가 보조 기기이기 때문입니다.
생체 인증은 자기 자신을 이용한 2차 검증을 가능하게 합니다. 다만 이를 위해서는 보통 최신의 고급 기기에서만 볼 수 있는 추가 센서가 필요합니다.
“당신이 가진 것”
대부분의 2FA는 이 범주에 속하며, Spacemail에서 찾을 수 있는 두 가지 옵션도 여기에 해당합니다. 이들은 특정 기기나 물건을 실제로 소지하고 있어야 합니다. 이 방법을 구현하는 방식은 여러 가지가 있습니다.
TOTP (시간 기반 일회용 비밀번호)
인증 앱이 생성한 코드는 안전한 로그인을 제공합니다. 인증 앱을 사용할 수도 있고, SMS/이메일로 일회용 코드를 보낼 수도 있습니다. Spaceship의 경우 TOTP는 훨씬 더 안전하기 때문에 인증 앱을 통해서만 허용됩니다.
U2F (범용 2차 인증)
U2F는 공개 키 암호화를 사용하므로 더 안전하고 피싱에 강합니다. 코드를 수동으로 입력할 필요도 없습니다. 기기에 하드웨어 키(예: YubiKey)를 꽂기만 하면 됩니다. 또한 누군가가 스마트폰을 훔치더라도 2FA로 보호된 계정에 접근하려면 추가 기기(키)가 필요하다는 장점도 있습니다.
어떤 방법을 선택해야 할까요
일반적으로 U2F가 더 안전하다고 여겨집니다. 기기가 변조에 강하고, 암호화 과정이 특정 웹사이트나 앱에 묶여 있기 때문입니다. 따라서 사용자가 가짜 사이트를 방문하도록 속더라도 인증은 실패합니다. 가짜 사이트는 필요한 보안 연결을 복제할 수 없기 때문입니다.
물론 U2F 키를 구매하려면 비용이 들지만, 보안을 생각하면 그만한 가치가 있을 수 있습니다.
균형 잡힌 보안 습관의 일부로서의 2FA…
사람은 2FA만으로는 살 수 없습니다. 이것은 전반적으로 좋은 보안 관행을 대체하는 수단이 아닙니다. 특히 이메일 계정은 피싱과 악성코드 공격에 취약합니다. 아이러니하게도 이런 방식의 위협이 되기 위해 누군가가 계정에 침입할 필요조차 없습니다. 그들은 그저 이메일을 보내기만 하면 됩니다.
그래서 이메일 위협에 대한 다른 보호 기능, 특히 스팸 방지 필터를 제공하는 계정에 투자하는 것도 현명합니다. 사회공학적 함정이나 악성코드가 담긴 이메일을 아예 보지 않도록 막아 주면, 안전에 대한 가장 큰 위험 요소를 마주할 일조차 없게 됩니다. 오늘 바로 계정에서 2FA를 활성화하고, 만약 해당 기능이 없다면 그 기능이 있는 서비스로 전환하는 것을 고려해 보세요.
자주 묻는 질문
2FA는 Two-factor authentication의 약자입니다. 가장 일반적인 2FA 방식은 알고 있는 것(사용자 이름과 비밀번호)과 소유하고 있는 것(가장 일반적으로 스마트폰 또는 키)을 결합하여 로그인에 추가 보안 계층을 더합니다. 즉, 승인되지 않은 로그인이 시도되면 알림을 받게 됩니다.
2FA는 계정에 접근할 때 사용자의 신원을 확인합니다. 또한 다른 누군가가 침입하려고 할 경우 이를 알려줍니다. 이메일 계정에는 민감한 데이터가 많이 들어 있고, 등록된 이메일 주소에 크게 의존하는 일반적인 ‘비밀번호 찾기’ 절차를 통해 다른 계정으로 가는 관문 역할도 할 수 있기 때문에, 사이버 범죄자들에게 특히 좋은 표적이 됩니다.
많은 계정, 특히 비즈니스 사용자를 위해 설계된 계정에는 이것이 기본으로 포함되어 있습니다. 보통 보안 설정으로 들어가면 비교적 쉽게 설정할 수 있습니다. 이미 사용 중인 인증 앱이나 키가 있다면 일반적으로 더 빠르게 설정할 수 있습니다.
예, 2FA에는 여러 종류가 있습니다. 가장 일반적인 방식은 스마트폰이나 U2F 키(별도의 장치) 같은 기기를 활용합니다. 생체 인식도 인증의 두 번째 요소로 간주되며, 더 오래된 보안 질문(예: “어머니의 결혼 전 성”)도 기술적으로는 해당되지만, 요즘에는 추측하기 쉬워 거의 사용되지 않습니다.
계정에 로그인합니다. 화면 오른쪽 상단의 설정 톱니바퀴를 클릭합니다. 두 번째 상자에서 ‘Launch security center’를 클릭합니다. 탭에서 TWO FACTOR AUTHENTICATION을 클릭합니다. 지원되는 두 가지 2FA 유형 중 하나를 선택합니다.
추천 기사
귀하의 의견을 공유하세요