이중인증 나의 개인정보 지키미
편리하지만 위험했던 네이버 로그인 연동
네이버 안쓰는 사람? 우리나라 사람 중에서는 거의 없겠죠. 게다가 네이버 연동 로그인은 여러 사이트를 편리하게 사용할 수 있게 만들어주었습니다.
그런데 지난 5월, 일본 호텔 예약 사이트 ‘료칸클럽’이 해킹을 당해, 네이버 아이디 연동 로그인을 할 경우 실제 네이버 사이트가 아니라 피싱사이트로 연결 되어 로그인 하려는 사용자의 아이디와 비번이 고스란히 해커의 손에 들어간 사건이 보도되었습니다. 실제 눈으로 보기엔 네이버의 로그인 페이지와 식별할 수 없이 똑같이 생겼지만, ID로그인 창이 아닌 일회용 번호나 QR코드 로그인이 연동되지 않아 그나마 해킹당했다는 사실을 알게 된 것입니다. 하지만 일반적으로 네이버 ID로그인을 사용하기에, 무심코 썼다가는 각자의 아이디와 비번을 해커들에게 알려줄 수밖에 없는 아주 위험한 상황입니다. 현재 료칸클럽 사이트는 네이버 로그인 연동을 더 이상 하고 있지 않지만 이런 네이버 아이디 로그인의 해킹 위험은 다른 사이트에도 여전히 존재하고 있습니다.
아래 그림의 사이트 중 진짜 네이버 사이트를 구별하실 수 있나요? 마치 틀린그림찾기 같습니다.
하지만 더 큰 문제는 우리의 아이디와 비밀번호가 해킹당했을 때 그 피해가 네이버 사이트에서만 끝나지 않는다는 것입니다. 서비스 사용자의 개인정보를 취급하고 있는 사이트들은 개인정보보호법에 의해 6개월마다 한 번씩 비밀번호를 변경하도록 되어 있어서 사용자들에게 비밀번호 변경 안내를 하지만, 그때마다 비밀번호를 변경하고 나면 뭘로 변경했는지 잊어버리고, 관리하는 것 또한 일이라 우리는 거의 모든 사이트에 동일한 아이디와 비밀번호를 사용하는 현실 때문입니다.
그렇다면 가짜 네이버 사이트에 속지 않기 위해서는 어떻게 해야할까요? 바로 아이디와 비밀번호 입력뿐 아니라 다른 인증과정을 한 번 더 거치는 것입니다.
이중 잠금장치
먼저는 기업들이 이중로그인 등을 도입해 단순히 아이디와 비밀번호가 유출되더라도 해커가 로그인을 할 수 없도록 하는 것이 필요합니다.
현재 사이버 보안 분야에서 꾸준히 많은 관심을 받으며 중요성을 강조하고 있는 것이 ‘제로 트러스트(Zero Trust)’입니다. 바로 ‘결코 신뢰하지 말고 항상 검증하라(Never Trust, Always Verify)’라는 의미로, 아이디와 비밀번호를 올바르게 입력 했더라도 다른 방법으로 한번 더 검증하는 것입니다.
인증은 방식에 따라 크게 5가지로 나누어집니다.
| 인증 종류 | 대표적인 예 |
| 지식기반(What I know) 인증 | ID/비밀번호 |
| 소유기반(What I have) 인증 | OTP, 스마트폰, 보안카드 |
| 속성기반(What I am) 인증 | 지문인식, 홍채인식 |
| 행위기반(What I do) 인증 | 반복된 행동, 기기사용 방식 |
| 장소기반(Where you are) 인증 | 로그인 하는 위치 |
이 중에 두 가지 이상의 방식을 동시에 사용해서 인증하는 것을 ‘2단계 인증’ 혹은 ‘다요소인증’이라고 하는데, 단순히 아이디/비밀번호만 사용하는 로그인이 아니라 소유기반, 속성기반 인증 등을 추가로 하여 정말 본인이 맞는지를 확인해야 할 것입니다. 스마트폰이 대중화되면서 지문인식 등을 추가로 사용하는 것이 이러한 실례입니다.
좋기만 한가?
하지만 여기에는 사용자가 불편함을 감수해야 한다는 단점이 있습니다. 특정 사이트에 로그인 할 때마다 매번 아이디/비밀번호 외에 다른 인증을 계속 해야하는가의 문제입니다. 물론 기업들도 이것을 해결하기 위해 계속 고민하며 ‘신뢰할 수 있는 기기로 추가하시겠습니까?’라는 등의 방법들로 보안과 편리함, 두 마리의 토끼를 모두 잡기 위해 노력하고 있지요.
내 정보는 내가 지켜야
인터넷 상에서 우리의 정보를 지키기 위해 기업들뿐 아니라 우리 모두의 인식 개선도 필요합니다. 예전엔 ‘나의 아이디와 비밀번호를 가지고 있는 회사가 알아서 지켜주겠지’라고 생각했다면 이제는 우리집 현관문은 내가 잘 잠궈야 하듯이 나의 아이디와 비밀번호, 개인정보는 내가 스스로 지켜야 한다는 생각이 중요합니다. 조금은 귀찮더라도 모든 사이트에 동일하게 사용하던 아이디/비밀번호는 한두 자리라도 바꿔가면서 설정하는 것이 좋습니다. 예를 들면 항상 쓰던 비밀번호 맨 뒤에 네이버는 n을 추가하고, 구글은 g를 추가하는 등의 방식입니다. 그리고 기업들이 2단계인증/다요소인증 방식을 사용함으로 해킹에 잘 대비하고 있는지 우리들이 깨어서 지켜보고, 만약 그런 절차가 없다면 기업들에게 적극적으로 보안강화를 요구하는 것 또한 필요합니다.
처음엔 PC(personal computer)에서 시작해서 인터넷, 그리고 스마트폰을 거쳐 이젠 스마트 워치, 스마트 TV, 스마트 가전 등 점점 더 우리의 삶에서 온라인에 연결되는 접점이 기하급수적으로 늘어나고 있습니다. 이럴수록 해커들은 더 눈을 뒤집고 사기쳐서 돈이 될만한 정보를 찾느라 혈안이 될 터인데, 기업뿐 아니라 각 개인이, 그리고 국가가, 나아가 전 세계가 보안에 더욱 민감하게 대처해야 할 것입니다.
더Culture 이강
