서버정보
필독: 오솔길 음악방 운영자 빨강모자님에 대한 공식 입장

  • home
  • 보안/해킹


이중 인증 방식, 이제 보안에 있어 없어서 안 될 존재
싱글 사인 온, TOTP, 토큰 인증 방식도 함께 사용돼

2FAVODY.jpg

[보안뉴스 홍나경 기자] 이중 인증 방식은 다중 인증 방식 중 가장 간단한 형태를 가지고 있다. 이중 인증 방식 같은 경우, 이제는 구식이고 안전하지 않은 방식으로 여겨지고 있는 ‘기존 로그인 방식(아이디와 비밀번호로만 로그인이 가능 한 것)’에 추가로 인증 단계를 하나 더 넣은 것이다.

야후, 링크드인과 같은 다양한 사이트에서 유출된 로그인 크리덴셜의 수를 생각해 본다면 이렇게 추가 인증 단계를 넣는 것이 사람들의 개인정보 및 온라인 권한을 관리하는 데 있어 매우 중요한 것이라는 걸 알 수 있다. 이중 인증 방식은 해커가 다른 기기 또는 지역에서 사용자의 계정으로 접속하는 것을 효과적으로 막아준다.

최근엔 사용자가 인증 코드를 휴대폰 문자 메시지로 받고, 그 코드를 입력해 인증하는 방식이 널리 사용되고 있다. 그 외에는 다음과 같은 방법들이 인기를 끌고 있다.

- PIN 번호 또는 TAN 번호(입출금, 송금 시 필요한 코드)
- 이메일 계정 인증
- 최초 가입 시 설정해놓은 본인확인 질문
- 물리 키(카드리더기, USB 키 등)
- 생체 인식(지문 인식, 홍채 인식)
- 바코드를 인식할 수 있는 모바일 기기 또는 QR 코드와 사용자 임시 인증 코드 측정기
(예 : 구글 오센티케이터(Google Authenticator),오씨(Authy) 등)

이외에도 현재 사용자가 점점 늘어나는 인증 방식들로는 다음과 같은 것들이 있다.

1. 싱글 사인 온(SSO: Single Sign On)
이중 인식 방식보다 더 간단한 보안 방식으로는 싱글 사인 온이 있다. 싱글 사인 온으로 한 사이트에서 인증을 하면 다른 사이트에서 인증을 되풀이 할 필요가 없어진다. 싱글 사인 온 소프트웨어가 여러 웹사이트 및 서비스에 연결되어 있기 때문이다. 그러나 싱글 사인 온 소프트웨어는 단독으로 쓰기에는 안정성이 좋지 않기 때문에 주로 다중 인증 방식과 함께 사용된다. 또한, 싱글 사인 온 소프트웨어가 오프라인 상태로 되면 관련된 다른 사이트들도 접속이 되지 않는다는 점도 고려해야 할 듯 하다.

2. 현재시간 기반 일회용 패스워드(TOTP: Time-based One-time Password)
OTP는 one-time password, 즉 단 한 번만 생성되는 암호를 가지고 인증하는 방식이다. 여기에 시간이라는 변수를 더한 TOTP, 즉 Time-based OTP는 단 한 번만 사용이 가능한 암호를 생성할 때, 서버와 사용자로부터 같은 시드와 같은 타임 스탬프를 추출해 계산 알고리즘에 추가하는 것이다. 기존 OTP에 시간 변수를 더한 것.

그래서 사용자와 서버의 임시 코드가 일치하면 사용자는 사이트에 접근할 수 있게 된다. 주로 시스템에서 1분 정도의 시간을 주는 편이며 사용자와 서버의 코드 입력 및 처리 시간이 크게 차이가 나서는 안된다. TOTP 생성 기기 분실의 취약점이 있어 단독으로 사용되지 않는 편이다.

3. 토큰 인증(Token Authentication)
토큰 인증이라고 하면 보통 하드웨어형 토큰을 생각하는데, 다른 형태의 토큰도 존재한다. 하지만 현재 이 방식은 그리 강한 수준의 보안력을 갖추고 있지 않기 때문에 단독적으로 사용하는 것을 추천하지 않는다.

글 : 멀웨어바이츠(Malwarebytes)
[국제부 홍나경 기자(hnk726@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>





번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 [5] Op 2016.10.16 51
146 알약,V3 이후 10년여 만에 국내 백신 출시 MAX Anti-Virus (공개 베타테스트) j1159 2017.02.20 53
145 진화하는 '한국 맞춤형' 랜섬웨어.. 교육 일정표 위장한 '비너스락커' 변종 국내서 발견 j1159 2017.02.20 13
144 암호화 랜섬웨어 75%, 러시아권 범죄조직서 배포 [7] 쪼쪼 2017.02.17 90
143 자연스런 '한글 이메일'…신종 랜섬웨어 '비너스락커' 주의보 [9] 크로커스 2017.02.14 109
142 백신이 못 막는 랜섬웨어, 윈도가 막나 [14] 크로커스 2017.02.08 441
141 원조 해커는 전기기차 속도를 높이려는 모범생이었다 [8] 구름 2017.02.03 236
140 일반 사용자들이 꼭 실천해야 할 보안 관련 팁 9가지 [13] 구름 2017.02.01 221
139 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 [16] 크로커스 2017.01.31 391
138 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? [12] file Op 2017.01.27 218
137 슈퍼마리오 런, 악성코드 런? [6] Op 2017.01.27 92
136 '북한민주화' 한글문서, 열람 시 악성코드 감염 [5] 크로커스 2017.01.26 73
135 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 [7] 크로커스 2017.01.25 141
134 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 [12] 크로커스 2017.01.20 162
133 로그인 하기 전에 주소 확인 하셨나요? [12] 크로커스 2017.01.19 159
132 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! [12] 크로커스 2017.01.18 104
» 차기 인증 방식으로 떠오르는 이중 인증이란 [6] 크로커스 2017.01.18 158
130 성공가도 달리는 랜섬웨어의 본질은 “속도전” [5] 크로커스 2017.01.18 71
129 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 [11] 크로커스 2017.01.10 157
128 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 [8] file 따봉 2017.01.05 236
127 비트코인 대신 다른 인질을 달라는 랜섬웨어 [6] 크로커스 2017.01.05 206