Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

이중 인증 방식, 이제 보안에 있어 없어서 안 될 존재
싱글 사인 온, TOTP, 토큰 인증 방식도 함께 사용돼

2FAVODY.jpg

[보안뉴스 홍나경 기자] 이중 인증 방식은 다중 인증 방식 중 가장 간단한 형태를 가지고 있다. 이중 인증 방식 같은 경우, 이제는 구식이고 안전하지 않은 방식으로 여겨지고 있는 ‘기존 로그인 방식(아이디와 비밀번호로만 로그인이 가능 한 것)’에 추가로 인증 단계를 하나 더 넣은 것이다.

야후, 링크드인과 같은 다양한 사이트에서 유출된 로그인 크리덴셜의 수를 생각해 본다면 이렇게 추가 인증 단계를 넣는 것이 사람들의 개인정보 및 온라인 권한을 관리하는 데 있어 매우 중요한 것이라는 걸 알 수 있다. 이중 인증 방식은 해커가 다른 기기 또는 지역에서 사용자의 계정으로 접속하는 것을 효과적으로 막아준다.

최근엔 사용자가 인증 코드를 휴대폰 문자 메시지로 받고, 그 코드를 입력해 인증하는 방식이 널리 사용되고 있다. 그 외에는 다음과 같은 방법들이 인기를 끌고 있다.

- PIN 번호 또는 TAN 번호(입출금, 송금 시 필요한 코드)
- 이메일 계정 인증
- 최초 가입 시 설정해놓은 본인확인 질문
- 물리 키(카드리더기, USB 키 등)
- 생체 인식(지문 인식, 홍채 인식)
- 바코드를 인식할 수 있는 모바일 기기 또는 QR 코드와 사용자 임시 인증 코드 측정기
(예 : 구글 오센티케이터(Google Authenticator),오씨(Authy) 등)

이외에도 현재 사용자가 점점 늘어나는 인증 방식들로는 다음과 같은 것들이 있다.

1. 싱글 사인 온(SSO: Single Sign On)
이중 인식 방식보다 더 간단한 보안 방식으로는 싱글 사인 온이 있다. 싱글 사인 온으로 한 사이트에서 인증을 하면 다른 사이트에서 인증을 되풀이 할 필요가 없어진다. 싱글 사인 온 소프트웨어가 여러 웹사이트 및 서비스에 연결되어 있기 때문이다. 그러나 싱글 사인 온 소프트웨어는 단독으로 쓰기에는 안정성이 좋지 않기 때문에 주로 다중 인증 방식과 함께 사용된다. 또한, 싱글 사인 온 소프트웨어가 오프라인 상태로 되면 관련된 다른 사이트들도 접속이 되지 않는다는 점도 고려해야 할 듯 하다.

2. 현재시간 기반 일회용 패스워드(TOTP: Time-based One-time Password)
OTP는 one-time password, 즉 단 한 번만 생성되는 암호를 가지고 인증하는 방식이다. 여기에 시간이라는 변수를 더한 TOTP, 즉 Time-based OTP는 단 한 번만 사용이 가능한 암호를 생성할 때, 서버와 사용자로부터 같은 시드와 같은 타임 스탬프를 추출해 계산 알고리즘에 추가하는 것이다. 기존 OTP에 시간 변수를 더한 것.

그래서 사용자와 서버의 임시 코드가 일치하면 사용자는 사이트에 접근할 수 있게 된다. 주로 시스템에서 1분 정도의 시간을 주는 편이며 사용자와 서버의 코드 입력 및 처리 시간이 크게 차이가 나서는 안된다. TOTP 생성 기기 분실의 취약점이 있어 단독으로 사용되지 않는 편이다.

3. 토큰 인증(Token Authentication)
토큰 인증이라고 하면 보통 하드웨어형 토큰을 생각하는데, 다른 형태의 토큰도 존재한다. 하지만 현재 이 방식은 그리 강한 수준의 보안력을 갖추고 있지 않기 때문에 단독적으로 사용하는 것을 추천하지 않는다.

글 : 멀웨어바이츠(Malwarebytes)
[국제부 홍나경 기자(hnk726@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>




자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.01.18 13:59
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

막상 내가하자니 귀찮은게 함정...ㅠㅠ

profile

Bobono

2017.01.18 21:57
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

프리네

2017.01.20 03:30
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

아이디만으로도 머리 포개질것 같은데....

profile

무무심

2017.01.20 17:52
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다

profile

건강하고행복하게

2017.01.20 20:03
가입일: 2016:07.24
총 게시물수: 83
총 댓글수: 337

로그인도 홍채인식 으로....정보 고마워요

profile

쪼쪼

2017.02.15 15:38
가입일: 2017:02.15
총 게시물수: 9
총 댓글수: 325

유용한 정보 감사합니다.

profile

glencheck

2017.02.23 18:32
가입일:
총 게시물수: 0
총 댓글수: 179

좋은 정보 감사합니다

profile

sonagisky

2017.03.07 17:08
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

유익한 정보 감사합니다. ^^*

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 704
145 보안 소식 진화하는 '한국 맞춤형' 랜섬웨어.. 교육 일정표 위장한 '비너스락커' 변종 국내서 발견 + 8 j1159 02-20 362
144 보안 소식 암호화 랜섬웨어 75%, 러시아권 범죄조직서 배포 + 12 쪼쪼 02-17 338
143 보안 소식 자연스런 '한글 이메일'…신종 랜섬웨어 '비너스락커' 주의보 + 14 크로커스 02-14 497
142 보안 소식 백신이 못 막는 랜섬웨어, 윈도가 막나 + 32 크로커스 02-08 1156
141 보안 소식 원조 해커는 전기기차 속도를 높이려는 모범생이었다 + 13 구름 02-03 607
140 보안 소식 일반 사용자들이 꼭 실천해야 할 보안 관련 팁 9가지 + 18 구름 02-01 601
139 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 + 27 크로커스 01-31 926
138 일반 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? file + 15 Op 01-27 586
137 바이러스 슈퍼마리오 런, 악성코드 런? + 11 Op 01-27 439
136 보안 소식 '북한민주화' 한글문서, 열람 시 악성코드 감염 + 10 크로커스 01-26 447
135 보안 소식 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 + 12 크로커스 01-25 417
134 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 + 17 크로커스 01-20 568
133 보안 소식 로그인 하기 전에 주소 확인 하셨나요? + 17 크로커스 01-19 478
132 보안 소식 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! + 15 크로커스 01-18 379
» 보안 소식 차기 인증 방식으로 떠오르는 이중 인증이란 + 8 크로커스 01-18 494
130 보안 소식 성공가도 달리는 랜섬웨어의 본질은 “속도전” + 7 크로커스 01-18 284
129 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 + 13 크로커스 01-10 1819
128 보안 소식 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 file + 11 따봉 01-05 469
127 보안 소식 비트코인 대신 다른 인질을 달라는 랜섬웨어 + 7 크로커스 01-05 554
126 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file + 7 따봉 01-04 256
125 보안 소식 구글 서비스 위장한 스파이앱, 기업 임직원 노린다 file + 6 따봉 01-04 226
124 보안 소식 왓츠앱 통한 멀웨어 공격, 인도가 첫 스타트 끊어 file + 6 따봉 01-04 212
123 보안 소식 2017년 해킹을 일반인에게 이해시켜야 할지도 모르는 해 file + 7 따봉 01-04 172
122 보안 소식 새해맞이 보안 강화 결심이 작심삼일로 그치지 않으려면 file + 5 따봉 01-04 114
121 보안 소식 씁쓸하고 치밀하新 해커들: 2017년 보안 위협 전망 file + 5 따봉 01-04 96