가장 효과적으로 온라인 계정 해킹을 막을 방법 중 하나로 2단계 인증 제도를 선택할 수 있다. 2단계 인증 제도 혹은 다단계 인증이라고 칭하는 보안 관리 조치는 사용자가 계정 로그인을 시도할 때 사용자 이름과 패스워드 이외에도 숫자 여러 개가 조합된 코드를 입력하도록 요구한다. 따라서 타인이 패스워드를 손에 넣더라도 접속 코드가 없다면, 계정을 해킹할 수 없다.
지난 몇 년간 다수 보안 전문가는 인증 앱을 사용해 계정 접속 인증 코드를 생성하도록 권고했다. 사용자는 2단계 인증 방식을 사용하고자 하는 QR 코드를 스캔하면 된다. 인증 앱은 30초 단위로 로그인 코드를 새로 생성한다. 최근, 구글은 자체 개발 2단계 인증 앱인 ‘구글 어센티케이터(Google Authenticator)’의 절실히 필요한 부분을 점검했다.
구글은 어센티케이터를 재구성하여 한층 더 유용한 앱으로 개선하고, 인증 과정에 한 가지 간편한 새로운 툴을 추가했다. 바로 로그인 코드를 구글 계정과 다른 스마트폰, 태블릿과 동기화하는 기능이다. 기본적으로 인스타그램, 지메일, 레딧 등 다른 앱과 서비스의 2단계 인증 코드는 물론이고, 그동안 2단계 인증 방식을 채택한 다른 계정 모두 백업할 수 있다는 의미이다. 2단계 코드를 보관한 스마트폰 분실이나 도난 시 기기 전환 부담을 덜 수 있다. 또한, 일부 계정 전체가 잠금 설정되는 것을 막을 수 있다.
구글 제품 관리 책임자 크리스티안 브랜드(Christiaan Brand)는 구글 어센티케이터의 변경 사항을 발표하는 블로그 게시글에 “구글 어센티케이터의 일회용 코드를 기기 한 곳에만 보관한 탓에 기기 분실 시 구글 어센티케이터 앱으로 2단계 인증 기능을 사용한 모든 서비스 접속 권한이 사라질 수도 있었다”라고 작성했다. 브랜드는 2010년, 구글 어센티케이터 앱 출시 후 사용자에게서 가장 많은 요청을 받은 부분 중 하나가 동기화 기능 추가였다고 밝혔다. 이에, 브랜드는 “이제 동기화 기능이 추가돼 계정 잠금 문제에서 사용자를 보호할 수 있으며, 많은 서비스가 사용자의 계정 접속 코드 보관 접근에 의존하여 편의성과 보안 모두 강화할 수 있다”라고 전했다.
[사진=Google]
구글 어센티케이터 코드 동기화는 구글 계정을 통해 실행할 수 있다. 동기화 기능은 구글 어센티케이터 앱 최신 안드로이드 버전과 iOS 버전에서 사용할 수 있다. 구글 어센티케이터 앱은 사용자에게 구글 로그인 시 구글 어센티케이터 앱 사용 옵션을 제공한다. 사용자가 구글 어센티케이터 앱을 이용한 로그인 방식을 선택하면, 앱 오른쪽 윗부분에 구글 프로필이 등장하면서 옆에 동기화 아이콘이 있는 것을 볼 수 있을 것이다. 필자가 스마트폰으로 동기화 설정을 한 뒤 아이패드에 구글 어센티케이터 앱을 설치하니 로그인이 필요한 상황에서 접속 코드가 등장했다. 구글 계정에 로그인하지 않아도 구글 어센티케이터를 계속 사용할 수도 있었다.
보안 기업 이셋(ESET)의 글로벌 보안 자문 책임자 제이크 무어(Jake Moore)는 인증 앱이 잠긴 적이 있어, 계정 접속 코드에 접근하지 못할 때 느끼는 짜증을 이해할 수 있다고 말한다. 무어는 “지난 몇 년간 클라우드 저장소 덕분에 스마트폰 업그레이드가 수월해졌다. 그러나 그동안 인증 앱은 개선이 느린 데다가 보안 우려 때문에 보류하였다”라고 설명했다.
구글 이외에 다른 기업도 2단계 인증 방식 접속 코드 백업을 지원한다. 마이크로소프트는 2019년부터 마이크로소프트 어센티케이터(Microsoft Authenticator) 앱 사용자가 접속 코드 백업 및 보국 툴을 사용하도록 했다. 오시(Authy) 등 여러 서드파티 2단계 인증 앱도 사용자 기기 동기화 기능을 지원한다. (애플의 올인원 패스워드 매니저는 아이폰, 맥에서 접속 코드 생성 및 저장 기능을 지원하지만, 별도의 앱은 없다.)
브랜드는 2단계 인증 코드 백업을 사용자의 이득이라고 말했으나 무어는 사용자 보안과 편의성 사이에서 균형을 맞출 때 어느 정도 감수해야 하는 문제가 있다고 지적한다. 물론, 백업 코드는 스마트폰 분실, 도난 시 타인이 계정에 접근하는 것이 더 쉬울 수 있다는 단점이 있다. 그러나 코드를 저장하는 곳이 더 많다면, 해커 세력의 접근 위험성이 더 커진다.
예를 들어, 타인이 구글 계정 접속을 시도한다면, 다른 온라인 계정 접속 시 사용하는 2단계 인증 코드에도 접근할 수 있다. 킴벌리 삼라(Kimberly Samra) 구글 대변인은 “2단계 인증 코드 접근 위험성은 기기를 분실한 상황과 OTP를 보유하지 않는 상황, 2단계 인증 서비스를 사용하는 서비스의 로그인 허용 메커니즘이 더 약해진 상황보다는 크지 않다”라고 주장했다.
소프트웨어 개발사 미스크(Mysk)를 운영하는 앱 개발자이자 보안 연구원인 토미 미스크(Tommy Mysk)는 2단계 인증 앱 여러 개를 테스트한 뒤 다운로드 가능한 악성 앱을 여러 개 발견했다. 미스크는 여러 가지 주요 2단계 인증 앱에 보안과 프라이버시 한계가 존재한다고 밝혔다. 일례로, 마이크로소프트의 동기화 기능은 iOS 기기와 안드로이드 기기 간 동기화를 지원하지 않는다. 이 때문에 사용자의 운영체제 전환과 2단계 인증 코드 사용이 더 어려워진다.
미스크는 인증 앱의 데이터 수집과 관련, 구글 어센티케이터 앱의 데이터 수집 관행은 매우 우수한 편이면서 QR코드 상세 정보를 구글과 공유하지 않는다고 평가했다. 이어, “마이크로소프트 어센티케이터를 포함한 대다수 인증 앱은 행동 분석 결과를 전송한다. 사용자의 앱 사용 방식과 접속하는 페이지 정보 등을 전송한다는 의미이다. 반면, 구글 어센티케이터는 사용자 행동 데이터를 전송하지 않는다”라고 말했다.
구글 어센티케이터나 마이크로소프트 어센티케이터 모두 편의성을 강화했으나 동기화 시 사용자의 2단계 인증 코드에 단 대 단 암호화를 이용하여 백업하지는 않는다. 암호화 방식은 기업이 사용자의 접속 코드 콘텐츠를 볼 수 없다는 점을 의미한다. 미스크는 “2단계 인증 앱이 비밀 정보를 다루기 때문에 모든 기기의 데이터 동기화 보안을 보장할 유일한 방법은 단 대 단 암호화를 활용하는 것이다. 단 대 단 암호화 적용 시 앱 개발자가 데이터 콘텐츠를 읽을 수 없다”라고 설명했다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Google]](/news/photo/202305/4735_6202_5042.png)
뉴스레터 신청