2단계 인증(2FA)이란?
조직의 온라인 보안은 아무리 신경을 써도 지나치지 않습니다. Malwarebytes에 따르면 2019년에 비즈니스를 대상으로 한 사이버 공격이 13% 증가하는 등 사이버 보안 위협의 규모가 빠른 속도로 증가하고 그 정교함도 진화하고 있죠. 그 결과, 많은 기업이 현재의 정보 보안 방식에 비판적인 시각을 보이고 있습니다. 비즈니스의 온라인 계정에는 많은 양의 개인정보, 금융 정보, 기밀 정보가 보관되어 있기 때문에 데이터 유출은 매출의 손실로 이어지는 경우가 많습니다. 하지만 한 가지 간단한 방식으로 직원 전체의 사이버 보안을 개선할 수 있습니다. 바로 대부분의 조직에 적용할 수 있는 2단계 인증(2FA) 방식이죠.
2단계 인증 완전 분석
2단계 인증이란? 인증은 컴퓨터 시스템이나 온라인 계정으로의 액세스를 구축할 때 사용자의 신원을 검증하는 프로세스입니다. 인증에는 3가지 주요 '요소'가 있습니다. 비밀번호나 PIN처럼 사용자가 알고 있는 지식 요소, 모바일 장치나 신분증처럼 사용자가 가지고 있는 소유 요소, 지문이나 음성처럼 사용자 고유의 것인 고유 요소가 그것이죠. 이외에도 '위치 요소'와 '시간 요소'도 있지만, 앞서 언급한 3가지 주요 요소보다는 훨씬 드물게 사용됩니다. 2단계 인증은 이 중에서 2가지 요소를 사용하는 보안 시스템을 말합니다.
다시 말해, 2단계 인증은 비밀번호나 PIN외에 추가로 적용되는 두 번째 보안 단계를 의미하죠. 비밀번호로 로그인한 후 모바일 장치로 전송된 숫자 코드를 입력해 신원을 확인해야 했던 적이 있다면 여러분도 이미 2단계 인증을 사용해본 적이 있는 겁니다. 하지만 2단계 인증 방식에는 문자메시지로 전송된 코드만 있는 것은 아닙니다. 인증자 앱, 푸시 알림, 소프트웨어 토큰, 음성 기반 인증 등 다양한 유형의 옵션이 있죠. 하지만 대부분의 경우 SMS 문자메시지 코드를 추가 보안 계층으로 사용합니다.
인증자 앱이란?
아마 많은 사람이 문자메시지, 음성 기반 메시지, 푸시 알림 등 대부분의 2단계 인증 유형에 익숙하겠지만, 인증자 앱은 조금 생소할지도 모릅니다. 사실 인증자 앱은 꽤 간단한데요, 그렇다면 인증자 앱이란 과연 무엇일까요? 기본적으로 인증자 앱이란 디지털 인증 코드를 생성하는 휴대폰 앱을 말합니다. 웹사이트나 애플리케이션에 로그인할 때 앱에 생성된 코드를 사용해 신원을 확인하는 방식이죠. Google Authenticator App, Duo Mobile, Authenticator 등 시중에서 다양한 인증자 앱을 찾아볼 수 있고, 모두 유사한 방식으로 작동됩니다.
일반적으로 인증자 앱은 SMS 문자메시지로 코드를 전송받는 방식보다 조금 더 안전한 것으로 여겨지고 있습니다. 그 이유는 엄밀히 말하면 SMS 문자메시지는 사용자가 가지고 있는 것이라기보다는 사용자에게 전송된 것이기 때문이죠. 그렇기 때문에 해커가 통신사를 속여 휴대폰 번호를 다른 장치로 포트하게 할 가능성도 작긴 하지만 여전히 남아 있으며, 이러한 사기 수법을 '심 스와프(SIM swap)'라고 부릅니다. 해커가 이미 비밀번호를 탈취한 상태라고 가정하면, 심 스와프를 통해 사용자 계정으로 액세스할 수 있게 됩니다. 하지만 인증자 앱에서 생성된 인증 코드는 보통 20~30초 안에 빠르게 만료되고 앱 밖으로 절대 유출되지 않습니다.
그렇다면 2단계 인증은 어떻게 사용할까요? 시스템에 인증자 앱, 푸시 알림, SMS 문자메시지 등 원하는 유형의 2단계 인증을 설정했다면 그 다음은 꽤 간단합니다. 아래에서 2단계 인증 프로세스의 단계별 설명을 살펴보도록 하죠.
- 웹사이트 또는 애플리케이션에서 로그인 화면이 표시됩니다.
- 사용자가 사용자 이름과 비밀번호를 입력해 첫 번째 보안 요소를 충족합니다.
- 사이트의 사용자 인식이 완료되면 로그인 프로세스의 두 번째 단계를 시작하는 화면이 표시됩니다. 이 단계에서 사용자는 신분증이나 스마트폰처럼 가지고 있는 물건을 입증해 두 번째 보안 요소인 '소유 요소'를 충족합니다. 대부분의 경우, 신원 확인에 사용할 수 있는 일회성 보안 코드가 전송됩니다.
- 마지막으로, 사용자가 보안 키를 입력하면 사이트가 이를 인증한 후 액세스를 부여합니다.
2단계 인증을 사용해야 하는 이유
지금까지 온라인 보안에서 가장 일반적으로 사용되어 온 인증 요소는 사용자 이름/비밀번호 조합입니다. 이는 대부분의 시스템이 단일 요소 인증 방식만을 사용하고 있다는 뜻입니다. 비밀번호는 수십 년간 가장 일반적인 보안 정보 표준으로 여겨져 왔지만, 이제 비밀번호의 세상에서 완전히 벗어나야 하는 이유가 몇 가지 있습니다. 먼저, 비밀번호는 상대적으로 유출되기가 쉽습니다. 인간의 기억력이 그리 좋지 않은 데다가 많은 사람이 'password', '12345', 'qwerty'처럼 말도 안 되게 쉬운 비밀번호를 선택하죠.
오늘날에는 사람들이 비밀번호가 세상에 처음 등장했을 때보다 훨씬 많은 온라인 계정을 가지고 있다는 사실도 명심해야 합니다. 계정이 많아졌다는 것은 결국 기억해야 할 비밀번호도 많아졌다는 뜻이니까요. 이는 같은 비밀번호를 여러 개의 계정에 똑같이 사용하는 '비밀번호 재활용'으로 이어지고, 그 결과 해커들이 보다 손쉽게 액세스를 획득할 수 있게 됩니다. 사이버 범죄와 데이터 유출이 증가하는 것을 고려하면 왜 더 이상 비밀번호가 가장 안전한 형태의 보호 방식이 아닌지를 쉽게 알아차릴 수 있습니다. 2013년에 있었던 Yahoo 데이터 유출 사고에서는 무려 30억 개의 계정이 해킹당했죠.
일부 웹사이트에서는 정식 2단계 인증 대신 보안 질문을 일종의 두 번째 보안 요소로 사용하기도 합니다. 예를 들어, "엄마의 처녀 적 성 이름은?"라든지, "어린 시절 키웠던 반려동물의 이름은?" 등의 질문에 대답해야 할 수도 있죠. 하지만 이러한 방식에도 다양한 취약점이 있습니다. 오늘날에는 웹에서 수많은 개인정보를 쉽게 얻을 수 있어 이렇게 상대적으로 기본적인 질문에 대한 답변은 해커들이 추측하기가 쉽습니다. 게다가 보안 질문은 단순히 두 번째 지식 요소에 불과해 이 방식을 '진정한 의미'의 2단계 인증이라고 볼 수는 없습니다. 비밀번호를 다른 비밀번호로 뒷받침하는 것일 뿐이죠. 이러한 의미에서 이 방식은 서로 다른 요소가 아니라 단지 복수의 단계만을 필요로 하는 인증 방식인 2단계 검증(2SV)에 훨씬 가깝습니다.
결론은 비밀번호는 가장 취약한 보안 방식이라는 것이고, 2단계 인증이 기업의 보안 표준으로 자리 잡고 있는 이유도 바로 이 때문입니다.
2단계 인증 이외의 보안
보시다시피 2단계 인증의 이점은 무수히 많습니다. 하지만 그렇다고 해서 2단계 인증이 정보 보안의 최종 목적지는 아닙니다. 오히려 그 반대이죠. 2단계 인증은 완벽하지 않습니다. 해커가 컴퓨터 시스템으로의 액세스를 탈취하려고 할 때 집안을 뒤져 직원 ID 카드나 비밀번호가 보관되어 있는 버려진 스토리지 장치를 가져갈 수도 있으니까요. 게다가 해커들이 피싱 이메일을 통해 문자메시지를 가로채 두 번째 인증 요소를 우회할 가능성도 있죠. 결국 2단계 인증은 보안 프로세스에서 가장 약한 요소 정도의 강도를 가진 것에 지나지 않습니다.
그렇다면 2단계 인증 이외에 또 어떤 조치를 취해야 할까요? 2단계 인증은 훨씬 더 큰 개념인 다중 요소 인증(MFA)의 하위 개념입니다. 이론적으로는 3단계 인증, 4단계 인증, 5단계 인증 등 인증 단계가 끝도 없이 이어질 수 있죠. 보통의 사용자라면 2단계 인증 이외의 보안을 사용할 일이 없겠지만 고도의 보안 환경에서는 지문이나 홍채 스캔 등의 고유 요소까지 포함하는 3단계 인증(3FA)을 사용할 수 있습니다.
2단계 인증을 통한 파일 보호
기업의 파일과 콘텐츠를 보호하는 것의 중요성은 아무리 강조해도 지나치지 않습니다. 사이버 범죄로 인한 전 세계의 피해액은 2021년에 연 6조 달러에 이를 것으로 추정됩니다. 데이터 파기/남용, 금전 도난, 공격 이후의 장애 발생, 지식 재산 탈취, 생산성 저하가 모두 사이버 범죄로 인해 감당해야 하는 비용에 포함되죠. 뿐만 아니라 해킹된 데이터/시스템의 복원, 포렌식 조사, 평판 손상과 관련된 잠재적인 비용도 고려해야 합니다. 사이버 범죄가 점점 정교해지고 2단계 인증의 사용이 점점 더 많아지는 오늘날, 위험에 대한 대비를 제대로 하지 않는 기업은 해커의 공격에 취약할 수밖에 없습니다. 마치 차에 에어백이 있으니 안전벨트를 매지 않는 것과도 같죠. 엄밀히 따지면 보호 장치가 있는 것은 맞지만, 더 강력한 보호가 가능한 상황에서 안일하게 상황을 인식하는 꼴입니다.
Dropbox를 통한 2단계 인증
2단계 인증을 활용하면 기업에 크나큰 이득이 되는 것은 사실이지만, 조직 전체에 2단계 인증을 적용하는 과정이 부담스러울 수도 있습니다. 다행스럽게도 간편한 방법이 있습니다. Dropbox는 2단계 인증을 제공합니다. 2단계 인증을 활성화하면 Dropbox 계정에 로그인하거나 새로운 태블릿, 컴퓨터, 휴대폰을 연결할 때 Dropbox가 6자리 암호, 보안 키 등의 두 번째 인증 양식을 제공하도록 요청하죠. 또한, Dropbox는 기업의 민감한 정보를 안전하게 보호하고 제어할 수 있는 다양한 비밀번호 보호 기능을 제공합니다. 공유 링크에 만료일을 설정할 수도 있고, PDF와 폴더에 비밀번호를 걸 수도 있죠.
파일의 보안을 보다 효율적으로 유지할 수 있는 다른 사이버 보안 예방 조치도 있습니다. Dropbox의 클라우드 보안은 2단계 인증을 이상적으로 보완해주죠. 간단히 말해 클라우드 데이터 보호는 Dropbox의 최우선순위입니다. 분산 클라우드 인프라스트럭처 전체에 다계층 보안이 갖춰져 있어 모든 온라인 파일이 동일한 수준으로 보호됩니다. 게다가 엔터프라이즈급으로 콘텐츠를 암호화하는 Dropbox 클라우드 스토리지를 사용해 전 세계 규제 표준을 준수할 수도 있습니다.
결론
2단계 인증은 기업의 온라인 파일에 보안 계층을 추가로 제공해 민감한 데이터를 잠재적인 사이버 위협으로부터 안전하게 보호해줍니다.