웹사이트 수십 개 혹은 수백 개를 접속하면서 디지털 계정을 전환하는 일이 항상 쉬운 것은 아니다. (웹사이트 로그인을 시도하는 이가 계정 주인이 맞는지 알아야 하기 때문이다.) 패스워드 매니저(password manager) 프로그램으로 디지털 계정 전환 부담을 줄일 수 있다. 하지만 다양한 서비스가 로그인을 시도하는 사용자와 계정 주인이 일치한다는 사용자임을 입증하는 2단계 인증 방식을 선호하는 이들도 많다. 바로 패스코드가 등장한 배경이다.
패스코드는 인증코드나 일회성 패스코드(OTP), 보안 코드 혹은 세 가지 단어를 조합한 다른 표현으로 칭할 수도 있다. 이름을 떠나 기능 자체는 똑같다. 접속 시도를 하는 디지털 계정이 사용자의 연락처 정보를 물어보면서 이론상 사용자 번호로만 계정 주인이 코드를 받도록 한다.
보안 추가 레이어라는 점에서는 유용하며, 사용자 이름과 패스워드가 유출되더라도 타인이 사용할 수 없다는 의미이다. 또 다른 인증 절차를 마쳐야만 계정에 접속할 수 있기 때문이다. 즉, 사용자 이름, 패스워드 입력 이외 추가 인증 단계가 악의적인 공격 세력에게 노출되지 않도록 제대로 보호해야 한다는 의미이기도 하다. 계정 추가 인증 수단으로 등록된 연락처를 항상 최신 번호가 등록된 상태로 관리하는 것이든 타인이 모바일 기기에 접근하지 못하도록 하는 것이든 철저한 보호가 중요하다. SMS 기반 인증 코드는 완벽한 보안 관리 방식이 아니며, 인증 앱만큼 계정 보호 효과가 뛰어나지 않다.
하지만 일부 서비스는 SMS 기반 인증 코드만 추가 인증 수단으로 지원하며, 보통 패스코드 유효 기한은 짧으므로 타인이 패스코드를 보더라도 이용할 기회를 제한한다. 그래도 스스로 보안 관리를 하고, 패스코드를 받고 입력한 뒤에는 즉시 사용하는 것이 좋다. 안드로이드 기기와 iOS 기기에서 문자로 받은 패스코드를 자동 삭제하는 방법을 아래와 같이 설명한다.
[사진=Freepik]
모바일 기기에서 패스코드 삭제하기
안드로이드 기기를 사용한다면, 구글 메시지로 문제를 관리하여 패스코드를 자동 삭제할 수 있다. 구글 메시지 앱 내부에서 오른쪽 상단에 있는 구글 계정 사진을 누르고, ‘메시지 설정(Messages settings)’을 선택하면 된다. 그리고 ‘메시지 구성(Message organization)’ 선택 후 ‘24시간 뒤 OTP 자동 삭제(Auto-delete OTPs after 24 hrs)’를 실행하면 된다.
자동 삭제 기능은 구글 메시지에서 사라졌다가 다시 등장하던 기능이며, 모든 지역에서 제공되는 기능이 아니다. 메뉴 옵션을 볼 수 없다면, 거주 국가에서 구글 메시지의 자동 삭제 기능이 지원되지 않는다는 의미이다. 자동 삭제 기능을 지원하는 다른 메시지 앱을 사용하고자 한다면, 마이크로소프트의 SMS 정리(SMS Organizer)를 사용할 수 있다. 오른쪽 상단에 등장하는 점 세 개로 구성된 아이콘을 누르고, ‘설정(Settings)’, ‘메시지 규정(Message rules)’, ‘오래된 OTP 메시지 삭제(Delete older OTP messages)’를 차례로 선택하면 된다.
아이폰을 사용한다면, iOS 17 이후 버전으로 운영체제를 업그레이드해야 자동 삭제 기능을 사용할 수 있다. 이 기사 작성 시점 기준 iOS 공개 베타 단계가 진행 중이다. 따라서 공개 베타 테스트 참여 등록을 하거나 최종 iOS 버전 배포일까지 기다렸다가 자동 삭제 기능을 사용할 수 있다. iOS 17 업데이트를 마쳤다면, 메시지 앱과 메일 앱 모두 OTP 자동 삭제 기능을 지원한다.
같은 토글스위치로 메시지 앱과 메일 앱의 기능을 제어할 수도 있다. 메인 iOS 설정 화면에 접속한 뒤 ‘패스워드’, ‘패스워드 옵션’을 선택하고, ‘자동 삭제’ 실행을 실행하면 된다. 패스코드를 사용하고자 하는 앱에 복사하고 사용하면, 메시지 앱이나 메일 앱이 패스코드가 전송된 문자나 메일을 삭제하도록 관리한다.
우수한 패스코드 보안
패스코드 자동 삭제 기능이 확실히 보안 관리에 도움이 된다. 그러나 계정 노출 위험성을 최소화하도록 확인하는 사전 주의 사항을 따르는 것도 중요하다. 그 시작점으로 스마트폰 잠금 화면 사용 상태를 유지하는 것을 언급할 수 있다. 타인이 스마트폰 화면 잠금을 해제하기 어려울수록 패스코드가 노출되기 어렵기 때문이다.
또한, 누군가가 문자나 메일을 가로챌 가능성도 고려해야 한다. 패스코드 메시지에 접근할 수 있는 다른 기기와 앱도 고려해야 한다. 특정 컴퓨터 기기 물리적 접근이든 계정에 연결된 외부 기관 앱과의 연결이든 패스코드 접근이 가능한 모든 기기와 앱의 외부 접근을 제대로 차단해야 한다.
이전보다는 어렵더라도 제대로 된 요령과 수단을 갖추었다면, SMS 메시지를 가로챌 수 있다. 타인이 SMS 메시지를 가로채지 못하도록 막으려면, 네트워크 공급 기관에 등록된 연락처 정보가 최신 상태로 업데이트된 것을 확인해야 한다. 또, 기기를 통한 신원 인증을 위한 보안 질문 등 보안 주의 사항도 최대한 활용해야 한다.
혹은 사용하고자 하는 앱에서 지원이 된다면, 2단계 인증 수단으로 인증 앱을 대신 선택할 수도 있다. 트윌리오 오티(Twilio Authy)와 구글 어센티케이터(Google Authenticator) 등과 같은 인증 앱 모두 스마트폰을 통해 직접 패스코드를 생성할 수 있다. 이때는 문자나 메일로 패스코드를 별도로 받을 필요가 없다. 인증 앱으로 전환한다면, 누군가가 커뮤니케이션 정보를 가로챌 기회를 제한할 수 있다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202308/4939_6448_4146.jpg)
뉴스레터 신청