온라인 계정의 무단 접근을 막는 데 가장 강력한 방법 중 하나는 바로 이중 인증(2FA)입니다. 아직도 망설여지시나요? Microsoft가 발표한 놀라운 통계 자료를 살펴보겠습니다.
놀라운 수치
2020년 2월, Microsoft는 RSA 컨퍼런스에서 “암호 의존성 탈피: Microsoft의 최종 단계에서의 과제”라는 제목의 발표를 했습니다. 사용자 계정 보안에 관심이 있다면, 이 발표 전체가 매우 흥미로웠을 것입니다. 발표된 통계와 수치는 매우 충격적입니다.
Microsoft는 매달 10억 개가 넘는 활성 계정을 모니터링합니다. 이는 전 세계 인구의 거의 1/8에 해당하는 수치입니다. 이 계정들은 매달 300억 건 이상의 로그인 활동을 생성합니다. 기업 O365 계정 로그인 시 여러 앱에서 여러 로그 항목이 생성될 수 있으며, O365를 싱글 사인온으로 사용하는 다른 앱에서도 추가 이벤트가 발생합니다.
만약 이 숫자가 크다고 느껴진다면, Microsoft는 하루에 3억 건의 악의적인 로그인 시도를 차단하고 있다는 사실을 알아야 합니다. 다시 강조하지만, 이는 1년이나 1개월이 아닌 하루에 3억 건입니다.
2020년 1월에 48만 개의 Microsoft 계정(전체 계정의 0.048%)이 스프레이 공격으로 인해 피해를 입었습니다. 스프레이 공격은 공격자가 “Spring2020!”과 같이 흔히 사용되는 비밀번호를 수천 개의 계정 목록에 시도하는 방식입니다. 공격자들은 이 중에서 일부 계정이 해당 비밀번호를 사용할 것이라고 기대하는 것입니다.
스프레이 공격은 공격 방법 중 하나일 뿐입니다. 수많은 계정이 자격 증명 스터핑으로 인해 피해를 보았습니다. 공격자들은 다크 웹에서 훔친 사용자 이름과 비밀번호를 구입한 후 다른 시스템에서 이를 시도합니다.
또한 공격자가 사용자를 속여 가짜 웹사이트에 로그인하도록 유도하는 피싱 공격도 있습니다. 이러한 방법은 온라인 계정이 “해킹”되는 주요 원인입니다.
1월에만 총 100만 개 이상의 Microsoft 계정이 침해당했습니다. 이는 하루에 32,000개 이상의 계정이 손상된 것입니다. 하지만 Microsoft가 하루에 3억 건의 악의적인 로그인 시도를 차단하고 있다는 사실을 떠올려 보면, 이 수치가 얼마나 심각한지 알 수 있습니다.
무엇보다 가장 중요한 사실은, 이중 인증을 활성화한 경우, Microsoft 계정 침해의 99.9%를 막을 수 있었다는 것입니다.
이중 인증이란 무엇일까요?
이중 인증(2FA)은 사용자 이름과 비밀번호 외에 추가적인 계정 인증 방법을 요구합니다. 이 추가 방법은 주로 SMS를 통해 휴대폰으로 전송되거나 앱에서 생성된 6자리 코드입니다. 사용자는 계정 로그인 과정의 일부로 이 6자리 코드를 입력해야 합니다.
이중 인증은 다단계 인증(MFA)의 한 종류입니다. USB 토큰, 지문이나 눈의 생체 인식 스캔과 같은 다른 MFA 방법도 있습니다. 하지만 휴대폰으로 전송되는 코드가 가장 일반적입니다.
다단계 인증은 폭넓은 용어이며, 매우 안전한 계정의 경우 2가지가 아닌 3가지 요소가 필요할 수 있습니다.
2FA가 침해를 막을 수 있을까요?
스프레이 공격이나 자격 증명 스터핑의 경우, 공격자는 이미 비밀번호를 가지고 있으며 해당 비밀번호가 작동하는 계정을 찾기만 하면 됩니다. 피싱 공격을 통해 공격자는 사용자 이름과 비밀번호를 모두 알아내므로 더욱 심각한 문제가 됩니다.
만약 1월에 침해당한 Microsoft 계정에 다단계 인증이 활성화되어 있었다면, 비밀번호만으로는 충분하지 않았을 것입니다. 해커는 계정에 접근하기 위해 피해자의 휴대폰에 접근하여 MFA 코드를 얻어야만 합니다. 휴대폰을 얻을 수 없었다면, 공격자는 해당 계정에 접근할 수 없었을 것이고 계정 침해는 발생하지 않았을 것입니다.
만약 본인이 비밀번호를 절대 추측당하지 않거나 피싱 공격에 넘어가지 않을 것이라고 생각한다면, 사실을 자세히 살펴볼 필요가 있습니다. Microsoft의 수석 설계자 Alex Weinart에 따르면, 비밀번호는 계정 보안에 있어 별로 중요하지 않습니다.
이것은 Microsoft 계정에만 해당되는 것이 아닙니다. MFA를 사용하지 않는 모든 온라인 계정은 취약합니다. Google에 따르면 MFA는 자동화된 봇 공격(스프레이 공격, 자격 증명 스터핑 및 유사한 자동화 방식)을 100% 차단합니다.
Google 연구 차트의 왼쪽 하단 부분을 보면, ‘보안 키’ 방식이 자동화된 봇, 피싱, 표적 공격을 100% 차단하는 데 효과적임을 알 수 있습니다.
그렇다면 ‘보안 키’ 방식이란 무엇일까요? 휴대폰 앱을 사용하여 MFA 코드를 생성하는 것입니다.
‘SMS 코드’ 방식도 매우 효과적이지만, 앱 방식이 훨씬 더 좋습니다. Authy 앱은 무료이고 사용하기 쉽고 강력하기 때문에 추천합니다.
모든 계정에 2FA를 활성화하는 방법
대부분의 온라인 계정에서 2FA 또는 다른 유형의 MFA를 활성화할 수 있습니다. 계정마다 설정 위치가 다르지만, 일반적으로 계정 설정 메뉴의 “계정” 또는 “보안” 섹션에서 찾을 수 있습니다.
다행히도, 가장 인기 있는 웹사이트 및 앱에서 MFA를 설정하는 방법을 알려주는 가이드가 많이 있습니다.
| 아마존 | 애플 ID | 페이스북 |
| 구글/지메일 | 인스타그램 | 링크드인 |
| 마이크로소프트 | 네스트 | 닌텐도 |
| 레딧 | 링 | 슬랙 |
| 스팀 | 트위터 |
MFA는 온라인 계정을 보호하는 가장 효과적인 방법입니다. 아직 활성화하지 않았다면 시간을 내어 최대한 빨리 활성화해야 합니다. 특히 이메일이나 은행 계좌와 같은 중요한 계정의 경우에는 더욱 그렇습니다.