일론 머스크의 트위터 인수 이후 이어진 각종 혼란 사태 중 가장 최근 발생한 사태는 트위터 계정 수백만 개의 보안을 약화할 수 있는 결정이었다. 2월 17일(현지 시각), 트위터는 계정 보안을 위한 SMS 기반 2단계 인증 방식 사용 지원을 중단한다는 계획을 공식 발표했다. 단, 유료 서비스인 트위터 블루 구독자는 SMS 기반 2단계 인증 방식을 계속 사용할 수 있다. 하지만 2단계 인증 방식과 함께 무료로 더 강력하면서 간편한 보안을 제공하며, 트위터 계정 보호 상태를 유지할 방식이 있다.
2단계 인증 방식은 온라인 계정을 해킹 위험에서 가장 효과적으로 지켜낼 수 있는 방식이다. 웹사이트나 앱, 서비스에 로그인할 때 2단계 인증 방식을 적용한다면, 사용자 명칭과 패스워드로 로그인한 뒤 다른 정보를 이용해 로그인 정보를 인증해야 한다. 가장 보편적인 인증 방식은 실시간으로 생성하거나 전송하는 임시 코드 입력 방식이다.
계정 인증을 위해 두 번째로 입력하는 정보는 로그인을 시도하는 이가 실제 계정 주인임을 입증하도록 돕는다. 온라인에는 무수히 많은 패스워드 보안이 침해된 상태이지만, 2단계 인증 코드는 종종 사용자가 로그인할 때 함께 소지하고 있는 기기로만 전송하거나 생성한다. 어떠한 형태든 2단계 인증 방식을 사용하는 것이 2단계 인증 방식 자체가 없는 것보다 더 낫다. 하지만 2단계 인증 방식 전체가 무조건 성공하는 것은 아니다. 지난 몇 년간 다수 보안 연구원은 SMS 기반 2단계 인증 방식의 보안이 다른 2단계 인증 방식보다 취약하다고 경고했다.
해커 세력이 연락처 정보를 탈취하여 2단계 인증 메시지에 접근하고는 계정 보안을 침해할 수 있는 SIM 교체(SIM-swapping) 공격 때문이다. 간단하게 말하자면, 다른 2단계 인증 방식을 사용하는 것이 상대적으로 더 불편하더라도 보안을 위해 가장 좋다는 의미이다.
트위터는 무료 서비스 사용자의 SMS 기반 2단계 인증 방식 지원 중단을 공식 발표하며, 30일간 SMS 기반 2단계 인증 방식을 비활성화하고는 추가 인증 방식을 변경해야 한다고 안내했다. 트위터 측은 과거, 공격 세력이 SMS 기반 2단계 인증 방식을 악용한 사례를 발견한 적이 있다고 주장했다. 3월 20일(현지 시각), 트위터는 SMS 기반 2단계 인증 방식을 비활성화할 예정이다. 단, 트위터 블루 가입자는 예외이다. 기존 SMS 기반 2단계 인증 방식 사용자에게는 이미 문자 메시지 기반 2단계 인증 방식을 제거하라고 안내하는 팝업 메시지가 이미 전송되었다.
하지만 트위터의 2단계 인증 방식 변경 발표는 황당하고, 혼란스러운 데다가 보안 전문가의 분노를 자극했다. 다수 보안 전문가는 트위터 무료 서비스 사용자 대상 SMS 기반 2단계 인증 방식 제거가 타당하지 않은 결정이며, 다른 2단계 인증 방식으로 변경하지 않을 때 보안 계정이 약해질 수 있다고 지적했다. 이에, 트위터 계정 보안을 계속 유지할 방법을 아래와 같이 안내한다.
[사진=Unsplash]
인증 앱이나 보안 키 사용하기
트위터 계정의 2단계 인증 비활성화 대신 더 나은 계정 보호 방식이 두 가지 있다. 바로 인증 앱과 보안 키 사용이다. 두 가지 방식 모두 SMS 기반 2단계 인증 방식과 같은 원칙을 사용하여 계정을 인증한다. 둘 중 한 가지를 활성화하고자 한다면, 트위터에 접속하여 ‘보안 및 프라이버시(Settings and privacy)’ > ‘보안 및 계정 접근(Security and account access)’ > ‘보안(Security)’ > ‘2단계 인증(Two-factor authentication)’ 순으로 접속해야 한다. 이후 앱이나 보안 키를 사용한 추가 인증 방식을 활성화할 수 있다.
인증 앱은 SMS 메시지로 6자리 인증 코드를 받는 방식 대신 앱 자체에서 계속 인증 코드를 생성하고, 사용 중인 서비스와 동기화된다. 인증 앱은 사용자가 인증 앱을 등록한 모든 웹사이트 목록을 나열하고는 로그인할 때 입력해야 하는 코드를 보여준다. 코드는 30초 단위로 초기화된다. 웹사이트나 앱에 로그인할 때마다 사용자 명칭과 패스워드를 입력한 뒤 인증 앱에 접속하여 인증 코드를 받을 수 있다. 인증 코드를 담은 문자 메시지가 전송될 때까지 기다릴 필요는 없다. (어떠한 이유든 휴대전화 연결이 되지 않았을 때 유용하다.)
무료 2단계 인증 앱 종류는 다양하지만, 모두 같은 기본 서비스를 제공하며 전체 플랫폼에 사용할 수 있다. 구글과 마이크로소프트 등 테크 업계 대기업은 이미 자체 인증 앱을 출시했다. 이미 사용 중일 수도 있는 1Password와 같은 패스워드 매니저 등 자체 인증 서비스를 지원하는 프로그램을 대신 사용할 수도 있다. 트윌리오(Twilio)의 Authy App도 있다. 아이폰 사용자라면, 애플 기기에 기본 설치된 생성 프로그램을 사용할 수 있다.
모두 최종 선택 전 고려해야 할 장단점이 있다. 예를 들어, 마이크로소프트나 구글 생태계를 벗어나지 않고, 마이크로소프트나 구글 앱을 사용해야 한다. 구글 인증 앱은 기본 서비스를 제공하지만, 타사 앱과는 동기화하여 사용할 수 없다. 마이크로소프트의 인증 앱은 패스워드 관리 서비스를 제공한다. 그러나 마이크로소프트와 Authy 앱 모두 구글 인증 앱보다 사용자 분석 데이터 수집량이 많다. 어떤 앱을 선택하든 다른 인증 앱으로 전환할 수 있다.
트위터나 다른 서비스에서 인증 앱을 설정하는 방법은 간단하다. 트위터에서는 2단계 인증 페이지에 접속해야 한다. 그다음에는 인증 앱을 실행하고는 인증 앱 옵션을 새로운 계정에 추가한 뒤 트위터가 제공하는 QR 코드를 스캔하면 된다. 앱에 여섯 자릿수 코드를 입력하면, 인증 앱 사용 등록이 완료된다.
인증 앱 대신 보안 키를 사용할 수도 있다. 보안 키는 로그인할 때 컴퓨터에 삽입하거나 휴대전화와 연결해야 하는 물리적 하드웨어이다. 해커 세력이 키에 물리적으로 접근해야 계정 로그인 정보를 가로챌 수 있어, 보안 키를 사용하는 방식의 계정 보호 방식이 가장 강력하다. 다만, 해커 세력이 사용자를 속여 여섯 자릿수 인증 코드를 가로채려 할 수도 있다.
트위터 계정 추가 인증 방식으로 인증 앱이나 하드웨어 보안 키를 선택했다면, 트위터 계정 백업 코드도 생성하고자 할 것이다. 백업 코드는 휴대전화나 보안 키를 분실했을 때와 같이 2단계 인증 요소에 접근할 수 없는 상태에서 트위터에 로그인하고자 할 때 사용할 수 있는 인증 수단이다. (트위터는 사용자가 처음 2단계 인증 방식을 설정할 때 백업 코드를 제공한다. 그러나 백업 코드는 온라인에서 다시 생성할 수 있다.) 백업 코드는 패스워드 매니저 프로그램과 같이 안전한 곳에 저장할 수 있다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202303/4586_6038_4357.jpg)
뉴스레터 신청