رأي
주요계정 해킹방지, 다중인증 (MFA)으로 한다
내 계정을 보호하자. 해커로부터 보호하자. MFA (Multi-factor Authentication) 다중인증 시스템이 있다. 주요계정로그인에 아이디와 암호만 사용하는것이 아니라, 그 이상의 사용자가 물리적으로 소유하고 있는것에 대하여 다시한번 2차 인증을 하는것이다. 바로 다중인증 (MFA)이다. 이런경우 암호를 해커가 가로채더라도 로그인이 불가하다. 주요 계정은 꼭 MFA 세팅을 하도록 한다.
Ubuntu계열의 운영체계 중 하나인 Gentoo Command Line Mode. Photo credit: freeimages.com
시작하기전에
기존 용어부터 정리해본다. 아래처럼 구분하되, 본 글에서는 Hacker 해커를 악의적으로 해석하고 사용하도록 하겠다. 하지만 원래 의미는 알고는 있어야 한다.
MFA (Multi-factor Authentication) 다중인증 시스템 이다. 아이디와 암호 뿐 아니라 개인이 지니고 있는 물리적인 물건등에 다시한번 인증을 거치도록 한것이다. 흔한것이 문자로 보내오는 인증번호 이다. 다중인증 방식은 여러가지가 있다. 포인트는 다중인증이 설정되면, 암호를 크래커가 알더라도 로그인이 되지 않는다는것이다.
Hacker 와 Cracker는 다르다. 일반적으로는 악의적인 의도를 가진자를 해커라고 하지만 원래는 경찰역할 즉 좋은 역할을 하는이를 해커라고 한다. 그리고 Cracker 크래커가 바로 악의를 가진자를 의미한다. 그래서 우리가 해커라고 하는것은 사실상 크래커를 의미한다. 경찰청 인터넷수사대는 해커라는 의미아고, 범죄자가 크래커 라는 의미이다.
주요계정은 MFA로 보호한다.개인마다 다르지만, 은행계좌나 네이버 구글 페이팔 등을 포함한다. 돈 을 보내고 받을수 있으며 다양한 금융활동을 하는 계좌들을 나는 주요계정이라고 한다.
MFA 탄생의 주요배경
단순하다. 암호는 뚤리기 때문이다. 그리고 온라인 범죄가 늘어나기 때문이다. 막대한 손해가 발생하고 법적 소송이 진행되기 때문이다. 즉, 보안 강화가 필요하기 때문이다. 현실을 살펴본다. 인증이나 결제 구매 등 상당수 부분이 온라인으로 넘어왔다. 그러다 보니 모든것이 온라인에서 로그인하여 진행된다. 물론 지구상에서 찾아보기 힘든 갈라파고스격인 IT강국만의 특징인 시스템이 있기도 하다. 그리고 암호를 개발한 개발자가 고백한 것이 있다. 암호는 다 뚤린다. 오늘이냐 내일이냐 만 다를 뿐이다. 그리고 암호체계도 도저히 이해하기 힘들게 만들어놓은 현실이 대한민국의 보안 인증 시스템이다.
해커로부터 계정을 보호하자
자동차 동호회에 가끔씩 계정 해킹 글이 올라오곤 한다. 특정 포털계정 아이디가 해킹당했다는 의미이다. 대부분이 아이디와 암호만을 사용한다. 그런데 이러한 암호는 해커에게는 뚤기가 어렵지 않을수 있다. 예를들어 '4321567890' 라는 암호가 있다고 하자. 이것을 해킹하는데는 약 8.6초 정도 걸린다고 한다. '12345abcd~!' 는 0.66초 걸린다고 한다. 포인트는 상당수 계정의 암호는 정말로 악의적인 의도를 가지고 해킹을 시도하면 어렵지 않게 해킹이 가능하다는 것이다.
암호는 최소한 12자리로 한다
가능한 주요 계정은 최소한 숫자 특수문자 AaBc등 대소문자를 합하여 12자리이상으로 한다. 'A8204abcd~!@' 암호의 경우 약 38시간이 걸린다고 한다. 그러니 해커 입장에서는 가성비 차원에서 이러한 계정보다는 취약한 계정을 노릴것이다.
다중인증 (MFA) 를 꼭 설정하자
위 암호체계와 함께 다중암호 (MFA)를 설정하도록 한다. 크게 3가지 방법으로 할 수 있다. 그리고 이러한 방법은 각 계정시스템마다 다르다. 아래는 대표적인 방법이지만 이러한 방법 이외도 여러가지 방법이 있을 수 있다.
- 인증프로그램. Google Authenticator 와 같은 어플을 사용하는것이다. 가장 안전하다고 보안전문가들은 주장한다. 어플을 다운받아 설치하여, 1회용 암호를 사용하는것이다. 수시로 1회용 암호는 변한다. 보통 6자리로 구성되어 있다. 구글, 마이크로소프트 등 업체별로 다른 MFA인증용 1회용 암호프로그램 어플을 제공한다. 절차는 이와 같다. 아이다와 암호를 넣고 로그인한다. 아이디 암호가 맞는경우 인증 어플에 표시되는 6자리 숫자를 다시 인증하라고 한다. 만약 1회용 인증 번호를 입력하지 않으면 로그인이 되지 않는다. 따라서 암호를 해커가 획득하였더라고 로그인이 불가하다는 것이다.
- 이메일인증. 단순하다. 이메일로 인증번호를 발송한다. 그럼 이메일로 발송된 인증번호를 로그인 창에 입력하는것이다.
- 문자인증. 역시 단순하다. 문자로 인증번호를 보내고, 인증 번호를 입력하면 인증이 마무리 된다.
특정기기는 매번 MFA하지 않아도 된다
매번 MFA를 인증하면 귀찮을 수 있다. 그래서 일부환경에서는 이 과정을 통과할 수 있다. 하지만 모든 환경이 아니라 특정 환경이다. 예를들어서, 특정 휴대폰 과 특정 태블릿 혹 컴퓨터 에서만 MFA를 생략하게 하는것이다. 사실은 MFA 생략을 허락한 특정기기의 고유정보를 인식하여 시스템에서 체크하여 인증을 하게 하는과정이다. 대표적인것이 본인소유의 휴대폰이다.
나름 보안등급을 나누어 관리한다
예를들어서 1단계, 2단계 그리고 3단계 로 나누어서 암호를 관리한다. 3단계는 MFA세팅을 의미하고 1단계 2단계 암호는 달라야 한다. 그리고 물론 3단계는 애인도 몰라야 한다. 또한 특수문자의 경우 잘 구분하여 사용한다. 앞서 갈라파고스 대한민국이라고 하였다. 국내대형 회사들도 몇 개 정해진 특수문자만 사용하게 시스템을 설계한경우가 매우 매우 흔하다. 글로벌 관점에서 보면 이해불가한 시스템이다. 키보드에 보이는 모든 특수문자 사용이 가능해야 한다. 그것이 글로벌 표준이다. 동남아 아프리카도 그렇게 사용한다.
마치면서
보안에 있어서는 100%라는것은 없다. 항상 최선을 다하는것이다. 현재로서는 가장 안전한 방법은 다중인증 (MFA)이다. 네이버, 다음, 구글, 페이팔, 카카오, 알리익스프레스등 주요 계정은 꼭 MFA 세팅을 해 놓도록 하자. 대한민국이 갈라파고스 섬을 탈출 하는날을 기대하면서 마친다.
(1)تسجيل الدخول للتعليق