보안

2FA: 피싱 사기로부터 보호

/

4

이중 인증(2FA)이 온라인 보안을 개선하고 피싱 사기로부터 보호하는 방법
마이크로소프트 인증자

원천: Ed Hardie, Unsplash

이전 기사에서 암호 관리자를 사용하여 보안을 강화하는 방법에 대해 설명했습니다. 고려해야 할 또 다른 중요한 측면은 2단계 인증(2FA)을 사용하는 것입니다. 2FA는 계정에 대한 추가 보안 계층을 제공합니다. 암호가 손상되어 허가 없이 사용되는 경우 이 두 번째 인증 계층은 새 키가 필요하므로 계정에 대한 무단 액세스를 방지합니다. 현재 다음과 같은 다양한 형태의 2단계 인증을 사용할 수 있습니다.

  1. 문자/SMS 메시지 또는 음성통화
  2. 이메일 로그인 링크, 코드 또는 원클릭 로그인
  3. 전용 인증 애플리케이션
  4. YubiKey와 같은 보안 키

다양한 옵션을 사용할 수 있으므로 올바른 옵션을 선택하는 것이 항상 제어할 수 있는 것은 아닙니다. 널리 사용되는 많은 애플리케이션에는 전용 애플리케이션 또는 텍스트 기반 서비스를 통해 인증 방법을 처리하는 기능이 내장되어 있습니다.

전용 인증기 애플리케이션

전용 인증 애플리케이션은 일련의 숫자를 표시하는 QR 코드를 스캔하거나 링크를 복사하여 생성된 특수 키를 저장합니다. 이 코드는 15~30초마다 변경되며 2FA를 사용하는 서비스에 로그인할 때 인증에 사용됩니다.

이에 대한 일반적인 응용 프로그램은 다음과 같습니다.

  • 구글 OTP
  • Twilio Authy
  • 마이크로소프트 인증자

이들은 휴대 전화에서 작동합니다. 그러나 Google Authenticator의 주목할만한 문제는 코드가 백업되지 않는다는 것입니다. 휴대폰을 제거하거나 재설정하면 인증 키가 손실되어 계정에 액세스해야 할 때 심각한 문제가 발생할 수 있습니다.

좋은 옵션은 코드를 백업하고 좀 더 보안을 제공하는 기능이 있는 인증자를 사용하는 것입니다. 위의 옵션이 기본 사항을 제공할 수 있지만 대신 사용할 것을 권장하는 몇 가지가 있습니다.

Aegis

Aegis Authenticator 로고

Aegis는 Google Play 스토어 및 F-Droid를 통해 Android에서 사용할 수 있는 무료 오픈 소스 인증 앱입니다. 앱을 열자마자 토큰이 표시되지 않기 때문에 표준 소프트웨어에 비해 보안이 강화되었습니다.

또한 장치 간에 토큰을 내보내고 가져올 수 있으므로 전화를 전환할 때 편리합니다. 오픈 소스 앱으로서 투명성과 보안을 위해 코드베이스를 검토할 수 있습니다.

getaegis.app 를 방문하여 Aegis에 대해 자세히 알아보세요.

2FAS

2FAS 인증 로고

2FAS는 제가 개인적으로 가장 좋아하는 것으로, Android와 iOS 모두에서 완벽한 2단계 인증 경험을 제공합니다. 또한 Brave, Firefox, Opera 등을 위한 브라우저 확장 기능이 있어 브라우저에서 2FA 코드에 빠르게 액세스할 수 있습니다.

몇 가지 주목할만한 기능은 다음과 같습니다.

  • 원터치 인증
  • 장치 간 동기화
  • 백업 및 복원 기능
  • 생체 인식/암호 보호
  • 오프라인 기능.

2FAS는 오픈 소스이며 무료로 사용할 수 있으며 암호나 메타데이터를 저장하지 않으므로 보안 및 개인 정보 보호 측면에서 안심할 수 있습니다. 더 많은 기능이 작업 중이며 2fas.com 을 방문하여 이에 대해 자세히 알아볼 수 있습니다.

Raivo OTP

Ravio Authenticator 로고

Raivo OTP는 경량의 오픈 소스이며 모든 Apple 장치에서 동기화되는 인증 앱을 무료로 사용할 수 있습니다. Swift 5를 사용하여 제작된 이 앱은 Apple 에코시스템의 기본 앱이며 모바일 장치와 MacOS 모두에서 작동합니다.

주목할만한 기능은 다음과 같습니다.

  • 토큰 내보내기
  • iCloud와 동기화
  • 각각의 일회용 비밀번호(OTP)를 사용자 정의합니다.
raivo-otp.com 을 방문하면 Ravio OTP에 대해 자세히 알아볼 수 있습니다.

SMS 인증

문자/SMS 메시징은 서비스가 로그인을 위해 장치에 코드를 보내는 방법입니다. 코드는 일반적으로 5043과 같은 짧은 숫자에서 나오며 계정 잠금을 해제하는 데 사용되는 인증 코드를 제공합니다.

공통 위험

이 방법은 휴대폰 번호에 바인딩되어 SIM 스와핑으로 알려진 보안 위협으로 인한 위험을 초래할 수 있습니다. SIM 스와핑은 공격자가 SIM을 가로채 메시지에 대한 액세스 권한을 얻는 경우로, 이러한 유형의 공격의 대상이 될 가능성이 높은 영향력 있는 사용자에게 중요한 보안 문제가 됩니다.

SIM 스와핑의 위험을 방지하기 위해 다음을 수행할 수 있습니다.

  1. SIM 핀 또는 비밀번호 설정 및 사용
  2. 장치를 최신 상태로 유지
  3. 사기 전화 및 문자 메시지에 주의하세요.
  4. 모든 계정에 강력한 비밀번호 사용
  5. 이중 인증을 활성화합니다.

이메일 인증

이메일 인증은 계정 잠금 해제를 위해 입력할 링크 또는 코드를 표시할 수 있습니다. 이 방법은 일반적이고 빠른 로그인에 편리하지만 모든 2단계 인증 설정에서 널리 사용되지는 않습니다. 암호 재설정 및 일회성 로그인에 자주 사용됩니다.

이메일을 사용할 때는 항상 위험이 따르므로 보안을 유지하고 다음 사항을 고려하는 것이 중요합니다.

  • 비정상적인 활동에 대한 계정 모니터링
  • 계정이 안전한 암호를 사용하는지 확인
  • 이중 인증 활성화.

보안 키

보안 키는 온라인 계정에 추가 보안 계층을 추가하는 물리적 형태의 다단계 인증(MFA)입니다. 널리 사용되는 솔루션 중 하나는 USB 포트에 삽입하거나 NFC를 통해 무선으로 액세스할 수 있는 Yubico의 YubiKey입니다.

이 인증 방법은 손에 들고 있는 물리적 장치이므로 공격자가 계정을 손상시키는 것이 거의 불가능하므로 더 안전합니다. 보안 키를 사용하면 계정에서 키가 확인되면 추가 인증이 필요하지 않으므로 인증을 위한 추가 코드가 필요하지 않습니다.

MFA는 WebAuth/FIDO 및 스마트 카드/PIV 인증과 통합되어 일반적인 피싱 시도로부터 보호하므로 엔터프라이즈 사용에 이상적입니다. 보안 키는 이 기술이 발전함에 따라 플랫폼과 서비스에서 계속 널리 채택될 것입니다. Yubico.com 을 방문하여 보안 키 및 해당 기능에 대해 자세히 알아볼 수 있습니다.

요약

이중 인증(2FA)은 온라인 계정에 추가 보안 계층을 제공하여 공격자가 개인 정보에 액세스하는 것을 어렵게 만듭니다. SMS, 이메일 및 인증 앱과 같은 다양한 방법을 사용할 수 있으므로 다양한 사용자의 요구에 맞는 솔루션이 있습니다.

Yubico의 YubiKey와 같은 보안 키도 MFA용 물리적 장치를 선호하는 사용자를 위한 옵션입니다. 암호가 계속 복잡해짐에 따라 생체 인식 데이터는 앞으로 더 널리 사용되는 확인 형식이 될 수 있습니다.

어떤 방법을 사용하든 금융, SNS, 모바일/인터넷 서비스와 같은 중요한 계정에 대해서는 2단계 인증(2FA)을 구현하는 것이 좋습니다. 공격자가 귀하의 계정을 제어하도록 허용하지 마십시오!