오늘은 2단계 인증 설정하기 좋은 날.
지금 잠시 하던 일을 멈추고 주요 계정의 ‘2단계 인증’을 설정하도록 하자. 바쁘면 아마도 여러 서비스에 엮여 있을 구글 계정만이라도 해보자. 특히 안드로이드를 쓰고 있다면 최근 구글이 여러분 폰을 물리적 보안 키처럼 쓸 수 있게 했다고 하니, 어떻게 하기로 했는지 구경해 보기만이라도 하자.
복잡하고 귀찮아 보이는 일이지만, 계정이 언젠가 털리게되는 날 오늘 나의 이 간절한 부탁이 공허하게 떠오를지도 모른다.
계정이 털리는 일은 늘 남의 일처럼 여겨지지만 영원히 남의 일로 남으리란 보장은 없다. 지난 2월 북한 소행이 의심되는 해커 활동이 뉴스 지면을 장식했다. 지방 도시의 버스 정보 앱을 설치하면 사용자 정보를 탈취하는 악성 코드가 발견된 것. 폰에서 각종 군사용어가 들어 있는 파일을 찾아 외부 서버로 유출하려 했다고 한다. 게다가 사용자 암호를 입력받아 갈취하려는 징후마저 포착되었다. 이처럼 남이 털리면 덩달아 털릴 수도 있는 것이 계정이다.
피해자인 개발자의 주장에 의하면 개발자 구글 계정이 해킹당하고, 악성코드가 삽입되어 개발자 몰래 업그레이드되었다는 것. 특히 구글 계정은 구글 이외의 여러 사이트의 로그온에도 사용되는 만큼 앱의 소스코드까지 속수무책으로 당하고 말았다. 뒤늦게 ‘2단계 인증’을 설정했다고 하지만 사후약방문이었다.
사실 패스워드는 유출되지만 않는다면 여전히 믿을만한 보안수단. 하지만 의지와 노력만으로 유출을 막기는 힘들다. 특히 너무 스마트해진 일상에서 관리해야 하는 계정 수가 늘어나면서 사람들은 암호를 암기하는 일을 포기하기 시작했다. 결국 어디에 적어두던가, 이곳저곳 암호를 통일해 만드는 일이 많아졌다. 기억이란 참 위태로운 보안 수단인 셈이다.
그래서 등장한 것이 바로 ‘2요소 인증(2FA, 2 Factor Authentication)’이다. 내가 알고 있는 것(패스워드)이라는 요소 하나 만에 의지하지 말고, 폰처럼 내가 늘 가지고 있는 것, 혹은 내 신체처럼 나의 존재 그 자체라는 별도 요소까지 한 겹 더 확인하게끔 하는 것을 말한다. 암호가 입력되었으면 바로 인증 성공을 허락하는 대신, 내 소유의 기기를 가지고 있음을 증명하라고 요구할 수 있다.
내 기계에서 지문을 다시 한 번 더 입력하게 알림이 온다면 든든한 2FA라 할 수 있겠지만, 이를 지원하는 장비가 필요하고 구성이 복잡하니 '보안 키'라고 하는 얇은 USB 키를 삽입하는 방식이 제안되었다. 그렇지만 이 또한 비용이 들고 번잡하니 널리 퍼지지는 못했다. 대신 보편적이 된 대책이란 바로 문자(SMS) 등으로 추가적인 암호숫자를 발송하여 입력하게끔 하는 것이다.
하지만 잘 생각해 보면 이는 ‘2요소’는 아니다. 그 문자란 것이 어디로 날아갈지 알 수 없어서인데, 패스워드를 탈취할 수 있다면, 문자도 탈취할 수 있을 가능성이 없지 않다.
그렇다면 숫자를 발송하는 대신 코드를 사용자 단말에 설치하고 이에 의존하는 식으로 조금 더 진보한 것이 구글이나 마이크로소프트에서 나온 어센티케이터(Authenticator) 앱. 일종의 범용 OTP로 타기업 서비스에서도 쓸 수 있다. 그러나 이조차도 그 앱이 내 소지품에서 정말 떠서 보여지고 있는지는 확신할 수는 없다. 그래서 2요소라는 말 대신 2단계 인증(2SV, 2 Step Verification)이라는 말이 근래에는 널리 쓰인다.
지난주 구글은 안드로이드 7.0 이후의 안드로이드폰으로 물리적 보안키와 비슷한 일을 가능하게 했다. 아직 PC나 맥의 크롬 브라우저에서만 되지만, 블루투스를 통해 내 폰이 물리적으로 PC 옆에 있음을 증명할 수 있다.
실제로 써보면 그리 힘들지 않고 편리하다. 2단계 인증은 여러 옵션이 있어, 복수로 선택하게끔 되어 있는데 그 중에서 ‘보안 키’ 항목에 이제 내 폰이 들어가게 된 것. 내 폰은 이제 어엿한 보안 키다.
2단계 인증에는 여러 선택지가 있다. 있으면 있는 대로 없으면 없는 대로 무엇이 되었든 이번 기회에 2단계 인증을 최선을 다해 설정해 보도록 하자.