포인트순위 Top100


보안/해킹
이중 인증 방식, 이제 보안에 있어 없어서 안 될 존재
싱글 사인 온, TOTP, 토큰 인증 방식도 함께 사용돼

2FAVODY.jpg

[보안뉴스 홍나경 기자] 이중 인증 방식은 다중 인증 방식 중 가장 간단한 형태를 가지고 있다. 이중 인증 방식 같은 경우, 이제는 구식이고 안전하지 않은 방식으로 여겨지고 있는 ‘기존 로그인 방식(아이디와 비밀번호로만 로그인이 가능 한 것)’에 추가로 인증 단계를 하나 더 넣은 것이다.

야후, 링크드인과 같은 다양한 사이트에서 유출된 로그인 크리덴셜의 수를 생각해 본다면 이렇게 추가 인증 단계를 넣는 것이 사람들의 개인정보 및 온라인 권한을 관리하는 데 있어 매우 중요한 것이라는 걸 알 수 있다. 이중 인증 방식은 해커가 다른 기기 또는 지역에서 사용자의 계정으로 접속하는 것을 효과적으로 막아준다.

최근엔 사용자가 인증 코드를 휴대폰 문자 메시지로 받고, 그 코드를 입력해 인증하는 방식이 널리 사용되고 있다. 그 외에는 다음과 같은 방법들이 인기를 끌고 있다.

- PIN 번호 또는 TAN 번호(입출금, 송금 시 필요한 코드)
- 이메일 계정 인증
- 최초 가입 시 설정해놓은 본인확인 질문
- 물리 키(카드리더기, USB 키 등)
- 생체 인식(지문 인식, 홍채 인식)
- 바코드를 인식할 수 있는 모바일 기기 또는 QR 코드와 사용자 임시 인증 코드 측정기
(예 : 구글 오센티케이터(Google Authenticator),오씨(Authy) 등)

이외에도 현재 사용자가 점점 늘어나는 인증 방식들로는 다음과 같은 것들이 있다.

1. 싱글 사인 온(SSO: Single Sign On)
이중 인식 방식보다 더 간단한 보안 방식으로는 싱글 사인 온이 있다. 싱글 사인 온으로 한 사이트에서 인증을 하면 다른 사이트에서 인증을 되풀이 할 필요가 없어진다. 싱글 사인 온 소프트웨어가 여러 웹사이트 및 서비스에 연결되어 있기 때문이다. 그러나 싱글 사인 온 소프트웨어는 단독으로 쓰기에는 안정성이 좋지 않기 때문에 주로 다중 인증 방식과 함께 사용된다. 또한, 싱글 사인 온 소프트웨어가 오프라인 상태로 되면 관련된 다른 사이트들도 접속이 되지 않는다는 점도 고려해야 할 듯 하다.

2. 현재시간 기반 일회용 패스워드(TOTP: Time-based One-time Password)
OTP는 one-time password, 즉 단 한 번만 생성되는 암호를 가지고 인증하는 방식이다. 여기에 시간이라는 변수를 더한 TOTP, 즉 Time-based OTP는 단 한 번만 사용이 가능한 암호를 생성할 때, 서버와 사용자로부터 같은 시드와 같은 타임 스탬프를 추출해 계산 알고리즘에 추가하는 것이다. 기존 OTP에 시간 변수를 더한 것.

그래서 사용자와 서버의 임시 코드가 일치하면 사용자는 사이트에 접근할 수 있게 된다. 주로 시스템에서 1분 정도의 시간을 주는 편이며 사용자와 서버의 코드 입력 및 처리 시간이 크게 차이가 나서는 안된다. TOTP 생성 기기 분실의 취약점이 있어 단독으로 사용되지 않는 편이다.

3. 토큰 인증(Token Authentication)
토큰 인증이라고 하면 보통 하드웨어형 토큰을 생각하는데, 다른 형태의 토큰도 존재한다. 하지만 현재 이 방식은 그리 강한 수준의 보안력을 갖추고 있지 않기 때문에 단독적으로 사용하는 것을 추천하지 않는다.

글 : 멀웨어바이츠(Malwarebytes)
[국제부 홍나경 기자(hnk726@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




profile 시간은 너무 없고 할 일도 너무 없다
엮인글 :

shaula

2017.01.18 13:59:16
*.116.43.184

막상 내가하자니 귀찮은게 함정...ㅠㅠ

Bobono

2017.01.18 21:57:36
*.252.163.164

유용한 정보 고맙습니다.

profile

프리네

2017.01.20 03:30:47
*.212.248.12

아이디만으로도 머리 포개질것 같은데....

무무심

2017.01.20 17:52:14
*.249.221.133

정보 감사합니다

profile

건강하고행복하게

2017.01.20 20:03:06
*.202.45.195

로그인도 홍채인식 으로....정보 고마워요

profile

쪼쪼

2017.02.15 15:38:14
*.232.176.56

유용한 정보 감사합니다.

profile

glencheck

2017.02.23 18:32:55
*.178.153.214

좋은 정보 감사합니다

sonagisky

2017.03.07 17:08:12
*.81.72.135

유익한 정보 감사합니다. ^^*


우측 광고
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [5] Op 2016-10-16 60
» 보안 소식 차기 인증 방식으로 떠오르는 이중 인증이란 [8] 크로커스 2017-01-18 177
130 보안 소식 성공가도 달리는 랜섬웨어의 본질은 “속도전” [6] 크로커스 2017-01-18 75
129 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 [12] 크로커스 2017-01-10 195
128 보안 소식 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 file [10] 따봉 2017-01-05 246
127 보안 소식 비트코인 대신 다른 인질을 달라는 랜섬웨어 [6] 크로커스 2017-01-05 219
126 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file [5] 따봉 2017-01-04 44
125 보안 소식 구글 서비스 위장한 스파이앱, 기업 임직원 노린다 file [5] 따봉 2017-01-04 48
124 보안 소식 왓츠앱 통한 멀웨어 공격, 인도가 첫 스타트 끊어 file [5] 따봉 2017-01-04 28
123 보안 소식 2017년 해킹을 일반인에게 이해시켜야 할지도 모르는 해 file [6] 따봉 2017-01-04 47
122 보안 소식 새해맞이 보안 강화 결심이 작심삼일로 그치지 않으려면 file [4] 따봉 2017-01-04 9
121 보안 소식 씁쓸하고 치밀하新 해커들: 2017년 보안 위협 전망 file [4] 따봉 2017-01-04 20
120 보안 소식 비트코인 지갑 제조사 킵키, 사이버 공격 당해 file [5] 따봉 2017-01-04 19
119 보안 소식 이제 비행기 티켓도 해커들의 먹잇감 되나 file [4] 따봉 2017-01-04 17
118 보안 소식 英 국가 사이버보안 센터, 설립 첫 달에 총 86번 공격 당해 file [4] 따봉 2017-01-04 9
117 보안 소식 와이파이 장악하는 악성 트로이목마, 스위처 등장 file [5] 따봉 2017-01-04 42
116 보안 소식 핀테크 시대, 사용성과 안전성의 두 마리 토끼를 잡아라 file [4] 따봉 2017-01-04 4
115 보안 소식 국가 기관 및 기업 대상으로 랜섬웨어 다량 유포...관계자 주의 file [7] 따봉 2017-01-03 41
114 보안 소식 中, 계정 탈취 노린 신종 트로이목마에 137만대 PC 감염 file [6] 따봉 2017-01-03 33
113 보안 소식 올 하반기 보안업계 M&A와 MOU 보니...2017년 트렌드 보인다 file [6] 따봉 2017-01-03 18
112 보안 소식 본격 냉전시대 다시 열리나? 미국, 러시아에 응징 시작 file [6] 따봉 2017-01-03 18