검수요청.png검수요청.png

이중인증

위키원
(2-FA에서 넘어옴)
이동: 둘러보기, 검색

이중인증(2FA, Two-Factor Authentication)은 두 가지 인증 방법을 조합하여 적용하는 안전성을 향상시키는 인증 방식이다. 주로 기존의 아이디 및 비밀번호에 의한 인증 외에 일회용 비밀번호(OTP)나 보안토큰(HSM) 등 하드웨어, 바이오인식 등의 인증 수단을 추가적으로 사용하도록 한다.

개요[편집]

인증은 다음과 같이 3가지 유형으로 구분할 수 있다. 첫 번째는 사용자가 알고 있는 것으로, 가장 기본적인 인증 방식인 지식 기반 인증(아이디, 패스워드, 등)이고, 두 번째는 사용자가 소유하고 있는 것을 통한 소유 기반 인증(스마트폰, 스마트카드, 토큰, USB 등), 마지막으로 사용자 그 자체에 해당하는 것을 이용한 생체인증(지문, 홍채 등)이 있다. 이중인증은 이들 중 서로 다른 2개의 인증을 조합하여 채택하는 방식으로 주로 지식 기반 인증에 소유 기반 인증이나 생체 인증을 추가한다.[1] 더 정교한 보호를 위해 세 가지 이상의 방식을 조합하여 인증 강도를 높이는 방식은 다중 인증이라고 한다. 다양한 사이트에서 사용자들의 정보가 유출되는 사례가 발생하면서 추가 인증 단계를 넣는 것이 사람들의 개인 정보 및 온라인 권한을 관리하는 데 있어 매우 중요한 것이 되었다. 그와 함께 이중인증 방식을 사용하는 사이트들이 늘어나고 있다. 이중인증 방식은 해커가 다른 사용자의 계정에 접속하려는 시도를 효과적으로 방어해 준다.

특징[편집]

보안[편집]

지식 기반의 경우 분실 여부를 인지하기 어렵고, 약한 암호를 사용하거나 서로 다른 계정에서 동일한 암호를 사용하는 사용자의 경우 해커의 공격에 취약하다. 또한, 사용자 개인이 보안성을 높이기 위해 노력하더라고 회사의 보안 침해로 인한 비밀번호 도난의 위험도 무시할 수 없다. 소유 기반 인증은 사용자가 분실하게 되면 다른 사용자가 습득하여 즉각적으로 사용할 수 있다는 위험이 있다. 보안상 취약한 단일 인증과는 달리 이중인증은 효율적으로 높은 보안성을 얻을 수 있는 방법이다.[2] 그러나 보안에 절대적인 것은 없기 때문에 이중인증이 해킹의 위험으로부터 사용자를 온전히 지켜주는 것은 아니다. 생체 인식 정보가 해킹당하거나 지문이 손상되는 것처럼 생체가 손상될 수 있고, 휴대폰이나 보안 기기를 분실할 수 있기 때문에 보안 측면에서 완벽한 것은 아니다. 또한 이중인증 시스템을 구현하는 데 비용을 들여야 하고, 시스템 운용 시 단일 인증에 비해 번거로워진다는 단점이 있기는 하지만 다중 인증 방식 중 가장 간단한 형태의 인증 방식이다. 인증 방식의 종류가 다양하기 때문에 어떤 인증 방식들의 조합을 사용하느냐에 따라 구현 방식이 조금씩 달라진다.

대부분의 온라인 서비스가 사용자가 등록한 이메일에 의존해 암호를 재설정하고 중요한 커뮤니케이션을 보내기 때문에 다른 무엇보다도 이메일을 보호하는 것이 중요하다. 지메일, 야후 등 대부분의 대형 이메일 제공자들은 이중인증이나 2단계 확인 기능을 제공하고 있다. 그다음 우선순위가 다른 사이트들에도 이중인증이나 2단계 확인을 활성화하는 것이다. 이중인증을 지원하는 대부분의 웹사이트는 사용자들이 처음 인증을 할 때 기기를 신뢰할 수 있는 기기로 등록한 뒤, 차후에 로그인할 때는 암호만으로 로그인할 수 있는 기능 또한 제공한다. 이는 사용자의 번거로움은 줄여주지만, 해커들이 계정에 침투하기 더 쉬워질 수 있다는 것을 알아야 한다. 기기를 잃어버리거나 해킹을 당했다면 신뢰하는 기기 목록을 삭제할 수 있는 옵션을 사용할 수 있다. 이중인증을 사용하다가 이중인증에 사용하는 기기가 분실, 파손, 도난되는 경우 등에 대비하여 백업 전화번호나 백업 코드를 제공하고, 이런 옵션들이 실패할 경우에는 회사에 이메일을 보내거나 전화해서 본인의 계정임을 증명해야 할 가능성이 크다.[3]

비교[편집]

이중 인증과 2단계 확인(Two-Step Verification, 2SV)을 같다고 보는 관점과, 다르다는 관점이 있다. 많은 보안 전문가, 미디어 보도, 웹사이트에서는 두 용어를 같은 의미로 사용하지만, 암호화 전문가, 고급 인증 솔루션 개발자 등은 두 용어를 다르게 정의하고 그 차이점을 중요하게 여긴다. 두 가지의 차이를 쉽게 보려면 영문 표기법을 확인하면 된다. 이중 인증(Two-Factor Authentication)은 두 가지 다른 요소를 결합하여 인증하는 것이고, 2단계 확인(Two-Step Verification)은 하나의 요소를 두 단계에 거쳐 인증하는 것이다. 이중 인증의 경우 지정된 휴대폰을 통해 SMS 메시지로 숫자 코드를 받아 사용자의 ID, 암호와 함께 코드를 입력하여 로그인하는 것이고, 2단계 확인의 경우 이메일이나 SMS를 통해 비밀번호와 일회용 코드를 보내 추가 인증을 받는 것을 예시로 들 수 있다. 이중인증이 2단계 확인보다 보안 강도가 더 높긴 하지만 두 가지 모두 단일 인증 방식보다는 낫다.[1]

기타 인증[편집]

이중인증 외에 사용자가 점점 늘어나는 인증 방식에는 싱글 사인 온(Single Sign On, SSO), 현재 시간 기반 일회용 패스워드(Time-based One-time Password, TOTP), 토큰 인증(Token Authentication) 등이 있다.

  • 싱글 사인 온(Single Sign On, SSO) : 이중인증 방식보다 더 간단한 보안 방식으로 싱글 사인 온 소프트웨어가 여러 웹사이트 및 서비스에 연결되어 있기 때문에 한 사이트에서 인증하면 다른 사이트에서 인증을 되풀이할 필요가 없어진다. 그러나 단독으로 쓰기에는 안정성이 좋지 않아 주로 다중 인증 방식에서 사용된다. 또한, 싱글 사인 온 소프트웨어가 오프라인 상태가 되면 다른 사이트들에도 접속할 수 없다는 점을 주의해야 한다.[4]
  • 현재시간 기반 일회용 패스워드(Time-based One-time Password, TOTP) : 단 한 번만 생성되는 암호(OTP)에 시간이라는 변수를 더한 것으로, 단 한 번만 사용이 가능한 암호를 생성할 때, 서버와 사용자로부터 같은 시드, 같은 타임스탬프를 추출해 계산 알고리즘에 추가하는 것이다. 사용자와 서버의 임시 코드가 일치하면 사용자가 사이트에 접근할 수 있다. 사용자와 서버의 코드 입력 및 처리 시간이 크게 차이 나서는 안 되며 주로 시스템에서 1분 정도의 시간을 주는 편이다. 생성 기기 분실의 취약점 때문에 단독으로 사용되지는 않는다.[4]
  • 토큰 인증(Token Authentication) : 일반적인 하드웨어형 토큰 이외에도 여러 가지 형태의 토큰이 존재한다. 다만 그리 강한 수준의 보안력을 갖추고 있지 않기 때문에 단독적으로 사용하는 것은 추천하지 않는다[4]

활용[편집]

아이폰[편집]

설정 > 사용자 이름 > 암호 및 보안으로 이동하여 ‘이중인증 켜기’를 탭 한 뒤, 확인 코드를 받을 전화번호와 코드를 받을 방식을 선택한 뒤 이중인증을 켜주면 아이폰(iPhone)에서의 이중인증 설정이 완료된다. 이중인증 방식을 사용할 때는 계정에 접근하지 못하는 상황이 발생하지 않도록 하기 위해 ID와 암호를 기억, 모든 기기에 기기 암호를 사용, 신뢰할 수 있는 전화번호를 최신 상태로 유지, 신뢰할 수 있는 기기를 물리적으로 안전하게 보관하는 등 몇 가지 지침을 따라야 한다. 앞의 지시 사항들을 통하여 이중인증 방식을 사용하게 되면 신뢰할 수 있는 기기나 웹에서 계정 소유자 본인만이 계정에 접근할 수 있게 된다. 단순히 암호만으로는 계정에 접근할 수 없기 때문에 ID 및 개인 정보의 보안이 크게 향상되는 것이다. 새로운 기기에 처음 로그인하는 경우 신뢰하는 기기에 자동으로 표시되거나 전화번호로 전송되는 확인 코드와 암호를 입력해야 한다. 그렇지만 한 번 로그인하면 로그아웃하거나 암호를 변경하는 몇 가지 경우를 제외하고는 해당 기기에서 다시 확인 코드를 요청하지 않는다.[5] 다만 애플의 경우 이중인증 설치를 위한 절차를 한 번 거치고 나면 이중인증을 취소할 수 없다.

[편집]

줌 비디오 커뮤니케이션즈(Zoom Video Communications)는 사용자를 검증하고 보안 침해로부터 보호할 수 있는 안전한 방법을 제공하는 이중인증 기능을 업데이트하여 플랫폼의 보안을 강화했다. 줌의 이중인증 기능은 악의적인 행위자들이 다른 사용자의 계정에 접근하여 신분 도용 및 보안 침해의 위험을 줄이고, 민감한 데이터와 고객 정보에 대한 컴플라이언스 의무를 수월하게 충족하는 등 여러 가지 혜택을 제공한다. 또한 구글 어센티케이터, 마이크로소프트 어센티케이터, Free OTP 등 시간 기반의 일회용 비밀번호 프로토콜을 이용하거나 SMS 전화 인증 등 여러 가지 계정 인증 방식 중 사용자가 원하는 방식을 택하여 사용할 수 있도록 하였다. 줌에서 이중인증 활성화하는 방법은 다음과 같다. 줌 대시보드에 로그인한 후, 탐색 메뉴에서 고급과 보안을 차례로 클릭하면 이중인증으로 로그인하기 옵션이 나온다. 이를 활성화한 뒤 어떤 사용자에 대하여 이중인증을 활성화할지 설정하고 저장을 하면 줌의 이중인증 기능이 활성화된다.[6]

구글[편집]

구글(Google) 2단계 인증을 사용하는 법은 다음과 같다. 구글 계정으로 로그인한 뒤 계정 관리에 들어가서 보안 메뉴를 선택하면 2단계 인증을 활성화하거나 비활성화할 수 있는 메뉴가 있다. 구글은 사용자가 다양한 수준의 보안을 유지할 수 있도록 다양한 옵션을 제공하는데, 문자 메시지나 전화 통화를 통하여 인증 코드를 받을 수 있고, 그 외에 OTP 앱을 통하여 인증 코드를 받거나 보안 키를 통하여 인증하는 방식들을 지원하고 있다. 예상치 못한 휴대폰 분실이나 휴대폰을 사용할 수 없는 경우를 위한 백업 경로도 만들어 준다. 전화번호를 통하여 인증하거나 일회성 백업 코드를 통하여 인증하는 방법을 통하여 사용자는 백업을 할 수 있다. 다만 후자는 코드 자체를 인쇄나 파일 형식으로 보관하는 것으로 코드 자체가 분실된 염려가 있기 때문에 전화번호로 백업하는 것을 추천한다. 구글 역시 신뢰하는 기기로 등록을 하여 동일 기기에서 로그인할 경우 2차 인증을 생략할 수 있다.[7]

페이스북[편집]

페이스북(Facebook) 로그인 후 설정에서 보안 및 로그인 설정으로 이동하면 2단계 인증을 설정할 수 있다. 2단계 인증을 사용하기 위해서는 타사 인증 앱을 이용한 로그인 코드나 휴대폰의 문자 메시지 코드 중 어떤 방식으로 로그인할 것인지를 설정해 주어야 한다. 그러면 확인된 기기를 설정하여 동일한 기기에서 로그인할 때 2단계 인증을 하지 않고 로그인을 할 수 있다. 휴대폰을 사용할 수 없는 경우를 위한 복구 코드나 보안키 방식을 사용할 수 있게 된다.[8]

인스타그램[편집]

인스타그램(Instagram)의 2단계 인증은 로그인 시 등록된 휴대폰 번호로 인증 코드를 발송해 한 번 더 인증을 받는 방식만을 사용한다. 또한 2단계 인증 시스템 관리는 웹사이트가 아닌 모바일 앱에서만 가능하다고 하다. 인스타그램 앱을 실행한 후 설정으로 들어가면 2단계 인증을 선택하여 보안 코드 필요 기능을 켜주면 된다. 휴대폰 번호로 인증 코드를 발송해 인증하는 방식이기 때문에 2단계 인증을 처음 설정할 경우 개인 전화번호를 추가해야 한다. 전화번호를 등록하고 인증하면 문자 메시지를 수신하기 어려울 경우에 사용할 수 있는 백업 코드를 제공해 준다. 다른 웹사이트와 달리 하나의 옵션만을 사용할 수 있는 2단계 인증이지만 사진이나 동영상을 자주 올리는 사용자라면 2단계 인증을 통하여 자신의 계정을 지킬 수 있다.[9]

네이버[편집]

네이버(Naver)의 2단계 인증은 다른 웹 사이트의 이중인증이나 2단계 인증과는 달리 스마트폰에 설치되어 있는 네이버 앱을 통해서 인증하는 방식만을 사용한다. 로그인을 시도할 경우 사전에 등록한 네이버 앱에서 승인하지 않으면 로그인을 할 수 없다. 네이버는 2단계 인증 외에도 해외, 타지역 로그인 차단과 새로운 기기 로그인 알림, 로그인 전용 아이디를 이용하여 사용자의 정보를 안전하게 보호할 수 있다.[10]

패스[편집]

2020년 12월 10일부터 공인인증서가 폐지되면서 인증 역할을 여러 민간 전자서명 업체들이 넘겨받게 되어 국내 이동통신 3사(SKT, KT, LG 유플러스)의 본인인증 앱인 ‘패스’(PASS)가 대체 수단으로 떠오르고 있다. 패스는 2018년 8월 27부터 서비스를 시작해 2020년 11월 기준 인증서 누적 발금 건수가 2000만건을 넘어섰다. 모바일에서 6자리 핀 번호나 지문 등 생체 인증을 진행하면 1분 안에 3년간 무료로 사용할 수 있는 인증서가 발급된다. 공공분야를 비롯한 대형 금융기관에서 사용할 수 있고, 화이트 박스 암호화 기술 등을 적용했기 때문에 보안성이 높다. 패스는 휴대폰 가입 정보를 기반으로 명의 인증과 기기 인증을 사용하여 이중인증을 진행하고, 휴대폰을 분실하거나 도난당할 경우 인증서 이용을 자동으로 차단한다.[11]

보급 현황[편집]

미국의 보안 업체인 듀오 랩스가 2017년 이중인증의 도입률을 파악하기 위한 조사를 했는데 당시 이중인증이라는 말을 들어본 적조차 없는 미국인들이 56%나 되었고, 한 개 이상의 웹사이트나 앱에서 이중인증을 사용하고 있는 사용자는 28% 정도밖에 되지 않았다. 2년 후인 2019년에 다시 조사했을 때는 이중인증 사용자가 51%로 늘어났고, 이중인증에 대해 들어본 적이 있다는 응답자는 77%로 이중인증의 사용 비율이 빠르게 늘어나고 있다는 것을 알 수 있었다. 특히 이중인증 사용자의 69%가 18~24세로, 젊은 세대 사이에서 이중인증 방식이 인기인 것으로 보인다. 이는 젊은 세대일수록 신기술을 능숙하게 다루기 때문도 있지만, 게임 산업이 큰 역할을 한 것으로 보인다. 교과 과정 중 보안 교육을 포함하고, 아이들을 대상으로 한 보안 교육 또한 빼놓을 수 없다. 이중인증 기술 중 가장 인기가 높은 것은 문자 메시지를 기반으로 한 것으로 이중인증 사용자 중 72% 정도가 문자 기반 기술을 활용하고 있었다. 이메일, 인증 전용 앱은 각각 57%, 36%로 그 뒤를 따랐다. 이중인증 사용자들이 이중인증 방식을 통하여 보호하고 있는 계정은 은행 및 금융 관련 계정이 제일 많았고, 소셜 미디어 및 통신, 의료 건강 등이 있었다. 이메일 계정에 관한 관심은 상대적으로 적었는데 이에 대하여 듀오 랩스의 전문가들은 가장 많은 사이버 공격이 이메일로부터 발생하고, 생각보다 많은 정보가 담겨 있는 이메일은 중요하게 생각할 만한 요소라고 덧붙였다.[12]

각주[편집]

  1. 1.0 1.1 병아리 기획자, 〈이중인증, 2단계 인증, 2단계 확인〉, 《브런치》, 2019-06-05
  2. 이중 인증 네이버 지식백과 - https://terms.naver.com/entry.nhn?docId=859932&cid=42346&categoryId=42346
  3. Lucian Constantin, 〈이중 인증에 대해 알아야 할 5가지〉, 《아이티월드》, 2016-04-04
  4. 4.0 4.1 4.2 홍나경 기자, 〈차기 인증 방식으로 떠오르는 이중 인증이란〉, 《보안뉴스》, 2017-01-17
  5. Apple ID의 이중 인증〉, 《애플》, 2020-12-31
  6. Edward Lee, 〈ZOOM의 2FA활성화 방법〉, 《줌 블로그》, 2020-09-10
  7. Google 2단계 인증〉, 《구글》
  8. 2단계 인증이란 무엇이고 Facebook에서 어떤 방식으로 작동하나요?〉, 《페이스북》
  9. 세아향, 〈인스타그램(instagram), 보다 안전하게 사용하는 방법! 2단계 인증 설정 방법〉, 《네이버 포스트》, 2017-04-25
  10. 네이버 회원, 〈네이버의 보안 기능들을 소개합니다.〉, 《네이버 블로그》, 2017-12-14
  11. 김동원 기자, 〈공인인증서 폐지 소식에 통신 3사 PASS 인증서 사용 급증〉, 《디일렉》, 2020-12-02
  12. 문가용 기자, 〈이중인증의 보급, 젊은 세대가 담당하고 있다〉, 《보안뉴스》, 2019-12-16

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 이중인증 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.