털리기 쉬운 내 계정, 귀찮아도 이것만은 꼭

Photo Image
출처: Unsplash / towfiqu barbhuiya

최근 지인으로부터 섬뜩한 말을 들었습니다. 마이크로소프트(MS) 계정을 살펴보고 있는데, 외국에서 로그인을 시도한 기록이 발견됐다는 겁니다. 혹시나 해서 살펴본 제 계정에서도 비슷한 시도가 있었다는 걸 알게 됐습니다. 미국, 독일, 터키, 크로아티아 등 로그인을 시도했던 지역도 다양하더군요. 아마 인터넷 주소(IP)를 우회해, 비밀번호를 마구잡이로 입력하는 무차별 공격을 시도한 것 같습니다.

다행히 계정은 무사했습니다. 모든 해외 로그인 시도가 실패했다고 뜨더라고요. 운이 좋았던 것 같아요. 평소 자주 사용하는 서비스는 반드시 비밀번호 외 추가 절차를 거쳐야 로그인되도록 설정해 놓는데요. 마이크로소프트 계정은 부가적인 보안 수단을 하나도 설정해 놓지 않은 상태였거든요. 자주 접속할 일이 없다 보니 방심했었나 봐요.

Photo Image
해외서 마이크로소프트 계정 로그인을 시도한 기록

이처럼 계정 탈취 시도를 경험하거나, 해킹까지 당한 사용자들이 적지 않을 텐데요. 계정을 안전하게 지키려면 어떻게 해야 할까요.

당신의 비밀번호는 안전하지 않다
가장 많이 사용되는 로그인 수단은 비밀번호입니다. 하지만 비밀번호에만 의지해서는 계정을 제대로 지킬 수 없어요. 비밀번호가 노출되는 순간 계정을 탈취당하기 때문이죠. 적지 않은 사용자들이 개인정보를 토대로 비밀번호를 조합하다 보니 유추하기 쉽습니다. 하나의 비밀번호를 여러 곳에서 사용하기도 해서, 계정 하나가 해킹당하면 나머지 계정도 위험해집니다.

Photo Image
비밀번호 조합별 해독에 걸리는 시간 / 출처: Hivesystems

특히 단순하게 구성된 비밀번호는 해커의 좋은 먹잇감입니다. 미국 사이버 보안기업 하이브시스템에 따르면 숫자로만 구성된 13자리 비밀번호를 푸는 데 걸린 시간은 단 19초에 불과했어요. 알파벳 대소문자와 숫자, 특수기호를 포함하더라도 안심할 수 없습니다. 4~6자리 비밀번호는 즉시, 7~10자리 비밀번호는 5개월이면 알아낼 수 있어요.

문제는 비밀번호 탈취 시도가 빈번하게 일어나고 있다는 건데요. 마이크로소프트가 발간한 2023년 디지털 디펜스 보고에 의하면, 자사 서비스를 이용하는 고객을 대상으로 한 비밀번호 해킹 시도 감지 건수가 월 300억 건에 달했다고 해요. 이는 전년 대비 10배 증가한 수치입니다. 해킹 시도가 가장 많았던 지난해 4월에는 초당 1만1000건의 비밀번호 탈취 공격을 감지했다고 하죠.

2차 인증 수단 마련해야

Photo Image
비밀번호 조합별 해독에 걸리는 시간 / 출처: Hivesystems

다중 인증(MFA, Multi-Factor Authentication)을 설정하지 않은 계정이 해커들의 공격에 취약했다고 하는데요. 다중 인증이란, 두 개 이상의 인증 방법을 활용해서 로그인하는 방법을 뜻해요. 2차 인증(2FA, Two-factor authentication)이라는 용어도 많이 들어봤을 텐데요. 두 개의 수단으로 사용자를 인증하는 방법이에요. 다중 인증은 2차 인증을 포괄하는 더 큰 개념이라고 생각하면 됩니다.

국내에서 자주 사용되는 용어는 2차 인증인데요. 구글, 네이버, 다음과 같은 포털 웹사이트에 접속할 때 자주 마주쳤을 거예요. 2차 인증을 설정하면, 비밀번호를 제외한 추가 인증 방법을 거쳐야 합니다. 해커가 계정 비밀번호를 얻는 데 성공했더라도, 바로 로그인할 수 없게 만드는 거죠. 쉽게 말해 계정에 비밀번호 이외 추가 방어막을 두르는 겁니다.

Photo Image
네이버, 카카오 포털 2차 인증 요청 화면

2차 인증 수단에는 여러 가지가 있어요. 가장 오래된 방식은 사용자 이메일로 인증 코드를 발송하는 거예요. 아이디와 비밀번호를 쓰면, 코드가 포함된 메일을 전송합니다. 사용자는 이 코드를 로그인 창에 입력해야 하죠. 메일 대신 문자로 코드를 보낼 수도 있어요. 스마트폰 앱 알림으로 본인을 확인하는 방식도 있습니다.

전용 OTP 앱을 마련해 일회용 비밀번호(OTP)를 요구하는 방식도 쓰이는데요. OTP 앱은 암호화된 계산식을 사용해, 시간에 따라 변하는 숫자 값을 만들어 냅니다. 사용자는 이 값을 아이디, 비밀번호 입력 후 써내야 하죠. 숫자 값은 시간이 흐르면 변하기 때문에, 바로 사용하지 않으면 무용지물이 됩니다. 해커에게 ‘시간’이라는 장애물을 부여한 거죠.

Photo Image
네이버 계정 보안 설정 화면

2차 인증은 비밀번호가 유출되더라도 계정에 접근할 수 없도록 하는 안전장치입니다. 그러니 귀찮더라도 꼭 설정하는 게 좋아요. 보통 로그인 후 ‘계정-설정-보안’ 관련 메뉴에서 2차 인증을 설정할 수 있어요. 참고로 네이버, 다음 등 대형 포털은 보안 메뉴에서 해외 IP 차단 옵션을 제공하니, 2차 인증을 설정하는 김에 같이 활성화하면 보안에 도움이 됩니다.

단 2차 인증도 완벽하진 않습니다. 피싱 공격에 당할 수 있어요. 가짜 웹사이트 로그인 페이지가 대표적입니다. 사용자가 거짓 웹사이트에서 로그인을 시도하면 아이디와 비밀번호 정보가 해커에게 전달됩니다. 해커는 이 정보로 진짜 웹사이트에서 로그인을 시도하죠. 그러면 사용자에게 2차 인증 알림이 가게 되고, 이를 승인하면 해커가 계정 탈취에 성공하게 되는 구조입니다.

더 강한 보안을 원한다면 패스키

Photo Image
패스키 로고 / 출처: FIDO 얼라이언스

비밀번호는 불편합니다. 복잡하게 만들면 기억하기 쉽지 않고, 단순하게 만들면 보안에 취약해집니다. 아이디마다 각기 다른 비밀번호를 설정하는 일도 여간 번거로운 게 아닙니다. 웹사이트, 앱 등 평소 사용하는 서비스만 수십개 이상이니까요. 그러다 보니 종종 자주 사용하지 않은 곳의 비밀번호를 까먹기도 하죠. 2차 인증은 로그인 과정이 복잡하다는 단점이 있어요.

보안과 편의성이라는 두 마리 토끼를 잡고 싶다면 패스키(Passkey)를 사용해 보세요. 패스키는 보안 기술 표준화 단체 FIDO 얼라이언스(FIDO Alliance)가 주도한 새로운 로그인 방식인데요. 비밀번호를 입력하지 않아도 돼, 로그인 절차가 간단합니다. 이중삼중으로 암호화 처리돼 있어, 계정 보안 능력도 뛰어나다고 평가됩니다.

패스키를 발급받으면 암호화된 ‘공개키’와 ‘개인키’가 생성됩니다. 공개키는 서버에, 개인키는 사용자 기기에 저장되죠. 로그인을 하려면 공개키와 개인키 모두 필요합니다. 로그인을 시도하면 서버는 사용자 본인이 맞는지 확인하기 위해 디지털 서명을 요구해요. 일종의 증거를 보내라는 거죠. 사용자가 개인 키를 활용해 이를 만들어 보내면, 서버는 비공개키로 암호를 해독합니다. 이러한 절차는 암호화 처리돼 있기에, 아무도 무엇이 오갔는지 알 수 없습니다.

Photo Image
구글, 아이폰 패스키 로그인 화면

패스키는 사용자 인증 수단으로 얼굴인식, 지문인식과 같은 생체인증을 요구합니다. 본인 확인 절차를 거치지 않으면 작동하지 않는다는 거예요. 즉 개인키가 들어있는 사용자 소유의 기기, 기기를 통한 생체 인식 정보가 모두 있어야 하기에 보안이 뛰어나다는 거죠. 글로 설명하면 복잡하지만, 실제로는 그렇지 않아요. 사용자가 본인 인증을 하면, 바로 로그인이 끝납니다.

비밀번호를 사용하지 않으니 로그인 과정이 줄어들고, 키가 분산돼 있어 탈취 위협도 줄어드는 거죠. 사용자는 그저 얼굴, 지문, 홍채 등 기존에 등록한 생체 보안 기술로 ‘사용자 인증’만 하면 됩니다.

단 패스키도 단점이 있어요. 구형 운영체제(OS)를 탑재한 기기를 지원하지 않고, 최신 기술이라 지원하지 않는 웹사이트가 꽤 있어요. 지원하는 곳을 찾는 게 더 빠를 겁니다.

귀찮더라도 내 계정은 내가 지켜야

Photo Image
출처: Unsplash / flyd

2차 인증, 패스키. 복잡해 보이고 막상 설정하려니, 굉장히 번거롭게 느껴질 겁니다. 하지만 이러한 대안은 여러분의 계정을 지키는 가장 쉽고 확실한 방법이에요. 마이크로소프트에 따르면 2차 인증 수단을 마련하는 것만으로도 계정 탈취 위험을 99.2%가량 줄일 수 있다고 해요. 패스키는 키가 분산돼 있고 생체 인증 등 보안이 철저하니 걱정할 필요가 없죠.

그러니 사용 중인 웹사이트나 서비스에서 2차 인증을 제공한다면 꼭 설정하세요. 2차 인증은 이메일, 문자 메시지, 앱 확인, OTP 등 어떤 것이라도 상관없어요. 비밀번호가 뚫렸을 때 계정을 보호해줄 최소한의 대책이라고 생각하세요. 패스키를 지원하는 곳이 있다면, 패스키를 사용하는 게 좋아요. 보안이 뛰어난 건 물론, 편의성까지 비밀번호를 앞서니까요.

△구글 △마이크로소프트 △네이버 △다음 △삼성전자 △애플 △아마존처럼 유명 기업 웹사이트나 서비스는 대부분 2차 인증을 지원합니다. △아마존 △쿠팡 등 돈이 오가는 전자상거래 서비스도 지원하고요.

Photo Image
출처: fidoalliance.org

패스키를 지원하는 웹사이트는 FIDO 얼라이언스 공식 홈페이지에서 확인 가능합니다. 들어가 보니 △마이크로소프트 △구글 △아마존 △이베이 △디스코드 △페이스북 등 거대 기업 위주로 패스키를 지원하고 있네요.

단 모든 곳에서 2차 인증이나 패스키를 사용할 수 있는 건 아니에요. 이때는 구글 비밀번호 관리자, 삼성 패스와 같은 앱과 같은 비밀번호 관리자 서비스를 이용하면 좋습니다. 보안을 위해선 비밀번호를 복잡하게 설정하는 게 그나마 낫지만, 그렇게 하면 기억하기 어려워집니다. 비밀번호 관리자 서비스를 사용하면 복잡한 비밀번호를 쉽게 관리할 수 있어요.

테크플러스 윤정환 기자 (tech-plus@naver.com)


브랜드 뉴스룸