조직의 온라인 보안은 아무리 신경을 써도 지나치지 않습니다. 사이버 보안 위협의 규모와 정교함은 급속도로 증가하고 있으며, 미국 기업 4곳 중 3곳은 중대한 사이버 공격(회사의 재정적 지위에 중대한 영향을 미치는 사건) 위험에 처해 있습니다. 그 결과, 많은 기업이 현재의 정보 보안 방식에 비판적인 시각을 보이고 있습니다.
비즈니스의 온라인 계정에는 많은 양의 개인정보, 금융 정보, 기밀 정보가 보관되어 있기 때문에 데이터 유출은 매출의 손실로 이어지는 경우가 많습니다. 하지만 한 가지 간단한 방식으로 직원 전체의 사이버 보안을 개선할 수 있습니다. 바로 대부분의 조직에 적용할 수 있는 2단계 인증(2FA) 방식이죠.
2단계 인증 완전 분석
인증은 컴퓨터 시스템이나 온라인 계정으로의 액세스를 구축할 때 사용자의 신원을 검증하는 프로세스입니다. 인증을 위한 세 가지 주요 "요소"가 있습니다.
- 지식 요소(비밀번호나 PIN 등 자신이 알고 있는 것).
- 소유 요소(당신이 가지고 있는 것, 예: 모바일 기기나 신분증).
- 고유한 요소(지문이나 음성 등 자신 안에 있는 것).
이외에도 '위치 요소'와 '시간 요소'도 있지만, 앞서 언급한 3가지 주요 요소보다는 훨씬 드물게 사용됩니다. 2단계 인증은 이 중에서 2가지 요소를 사용하는 보안 시스템을 말합니다.
다시 말해, 2단계 인증은 비밀번호나 PIN외에 추가로 적용되는 두 번째 보안 단계를 의미하죠. 비밀번호로 로그인한 후 모바일 장치로 전송된 숫자 코드를 입력해 신원을 확인해야 했던 적이 있다면 여러분도 이미 2단계 인증을 사용해본 적이 있는 겁니다.
하지만 2단계 인증 방식에는 문자메시지로 전송된 코드만 있는 것은 아닙니다. 인증자 앱, 푸시 알림, 소프트웨어 토큰, 음성 기반 인증 등 다양한 유형의 옵션이 있죠. 하지만 대부분의 경우 SMS 문자메시지 코드를 추가 보안 계층으로 사용합니다.
인증자 앱이란?
아마 많은 사람이 문자메시지, 음성 기반 메시지, 푸시 알림 등 대부분의 2단계 인증 유형에 익숙하겠지만, 인증자 앱은 조금 생소할지도 모릅니다. 사실 인증자 앱은 꽤 간단한데요,
그렇다면 인증자 앱이란 과연 무엇일까요? 기본적으로 인증자 앱이란 디지털 인증 코드를 생성하는 휴대폰 앱을 말합니다. 웹사이트나 애플리케이션에 로그인할 때 앱에 생성된 코드를 사용해 신원을 확인하는 방식이죠. 선택할 수 있는 인증 앱에는 Google Authenticator 앱과 Duo Mobile 등 다양한 앱이 있으며, 모두 대략 동일한 절차를 따릅니다.
일반적으로 인증자 앱은 SMS 문자메시지로 코드를 전송받는 방식보다 조금 더 안전한 것으로 여겨지고 있습니다. 그 이유는 엄밀히 말하면 SMS 문자메시지는 사용자가 가지고 있는 것이라기보다는 사용자에게 전송된 것이기 때문이죠.
그렇기 때문에 해커가 통신사를 속여 휴대폰 번호를 다른 장치로 포트하게 할 가능성도 작긴 하지만 여전히 남아 있으며, 이러한 사기 수법을 '심 스와프(SIM swap)'라고 부릅니다. 해커가 이미 비밀번호를 탈취한 상태라고 가정하면, 심 스와프를 통해 사용자 계정으로 액세스할 수 있게 됩니다. 하지만 인증자 앱에서 생성된 인증 코드는 보통 20~30초 안에 빠르게 만료되고 앱 밖으로 절대 유출되지 않습니다.
2단계 인증은 어떻게 작동하나요?
그렇다면 2단계 인증은 어떻게 사용할까요? 시스템에 인증자 앱, 푸시 알림, SMS 문자메시지 등 원하는 유형의 2단계 인증을 설정했다면 그 다음은 꽤 간단합니다. 아래에서 2단계 인증 프로세스의 단계별 설명을 살펴보도록 하죠.
- 웹사이트 또는 애플리케이션에서 로그인 화면이 표시됩니다.
- 사용자가 사용자 이름과 비밀번호를 입력해 첫 번째 보안 요소를 충족합니다.
- 사이트의 사용자 인식이 완료되면 로그인 프로세스의 두 번째 단계를 시작하는 화면이 표시됩니다. 이 단계에서 사용자는 신분증이나 스마트폰처럼 가지고 있는 물건을 입증해 두 번째 보안 요소인 '소유 요소'를 충족합니다. 대부분의 경우, 신원 확인에 사용할 수 있는 일회성 보안 코드가 전송됩니다.
- 마지막으로, 사용자가 보안 키를 입력하면 사이트가 이를 인증한 후 액세스를 부여합니다.
2단계 인증을 사용해야 하는 이유
기업의 파일과 콘텐츠를 보호하는 것의 중요성은 결코 과장될 수 없습니다. 2029년까지 전 세계 사이버범죄 피해액은 연간 약 15조 6,300억 달러에 달할 것으로 추산됩니다. 사이버범죄와 관련된 비용에는 데이터 파괴/오용, 돈 도난, 공격 후 혼란, 지적 재산 도난, 생산성 저하 등이 포함됩니다.
뿐만 아니라 해킹된 데이터/시스템의 복원, 포렌식 조사, 평판 손상과 관련된 잠재적인 비용도 고려해야 합니다.
사이버 범죄가 점점 정교해지고 2단계 인증의 사용이 점점 더 많아지는 오늘날, 위험에 대한 대비를 제대로 하지 않는 기업은 해커의 공격에 취약할 수밖에 없습니다. 마치 차에 에어백이 있으니 안전벨트를 매지 않는 것과도 같죠. 엄밀히 따지면 보호 장치가 있는 것은 맞지만, 더 강력한 보호가 가능한 상황에서 안일하게 상황을 인식하는 꼴입니다.
"강력한" 비밀번호에 의존해서는 안 되는 이유
지금까지 온라인 보안에서 가장 일반적으로 사용되어 온 인증 요소는 사용자 이름/비밀번호 조합입니다. 이는 대부분의 시스템이 단일 요소 인증 방식만을 사용하고 있다는 뜻입니다. 비밀번호는 수십 년간 가장 일반적인 보안 정보 표준으로 여겨져 왔지만, 이제 비밀번호의 세상에서 완전히 벗어나야 하는 이유가 몇 가지 있습니다.
1. 인간은 기억력이 좋지 않은 경향이 있습니다
안타깝게도 이는 당연한 일입니다. 게다가 많은 경우 우리가 선택하는 비밀번호는 추측하기 어려울 정도로 쉽습니다. "password", "12345", "qwerty" 등이 그렇습니다.
2. 사람들은 비밀번호가 처음 도입되었을 때보다 더 많은 온라인 계정을 가지고 있습니다.
즉, 기억해야 할 비밀번호가 너무 많은 경우가 많습니다. 이는 같은 비밀번호를 여러 개의 계정에 똑같이 사용하는 '비밀번호 재활용'으로 이어지고, 그 결과 해커들이 보다 손쉽게 액세스를 획득할 수 있게 됩니다.
3. 일부 웹사이트에서는 보안 질문을 사용합니다.
예를 들어, "당신 어머니의 성은 무엇입니까?"는 두 번째 요인의 일종입니다. 오늘날에는 웹에서 수많은 개인정보를 쉽게 얻을 수 있어 이렇게 상대적으로 기본적인 질문에 대한 답변은 해커들이 추측하기가 쉽습니다.
보안 질문은 단순히 두 번째 지식 요소일 뿐이며, 이 관행은 "진짜" 2FA가 아니라는 점을 알아두는 것이 중요합니다. 비밀번호를 다른 비밀번호로 뒷받침하는 것일 뿐이죠. 이러한 의미에서 이 방식은 서로 다른 요소가 아니라 단지 복수의 단계만을 필요로 하는 인증 방식인 2단계 검증(2SV)에 훨씬 가깝습니다.
결론은 비밀번호는 가장 취약한 보안 방식이라는 것이고, 2단계 인증이 기업의 보안 표준으로 자리 잡고 있는 이유도 바로 이 때문입니다.
2단계 인증 이외의 보안
2단계 인증과 관련된 이점은 상당합니다. 하지만 2FA가 정보 보안의 최종 목적지는 아닙니다. 오히려 그 반대이죠.
2단계 인증은 완벽하지 않습니다. 해커가 컴퓨터 시스템으로의 액세스를 탈취하려고 할 때 집안을 뒤져 직원 ID 카드나 비밀번호가 보관되어 있는 버려진 스토리지 장치를 가져갈 수도 있으니까요.
게다가 해커들이 피싱 이메일을 통해 문자메시지를 가로채 두 번째 인증 요소를 우회할 가능성도 있죠. 결국 2단계 인증은 보안 프로세스에서 가장 약한 요소 정도의 강도를 가진 것에 지나지 않습니다.
2단계 인증의 대안
그렇다면 2단계 인증 이외에 또 어떤 조치를 취해야 할까요? 2단계 인증은 훨씬 더 큰 개념인 다중 요소 인증(MFA)의 하위 개념입니다.
이론적으로는 3단계 인증, 4단계 인증, 5단계 인증 등 인증 단계가 끝도 없이 이어질 수 있죠. 보통의 사용자라면 2단계 인증 이외의 보안을 사용할 일이 없겠지만 고도의 보안 환경에서는 지문이나 홍채 스캔 등의 고유 요소까지 포함하는 3단계 인증(3FA)을 사용할 수 있습니다.
Dropbox를 통한 2단계 인증
2단계 인증을 활성화하면 기업에 큰 이점을 가져다 줄 수 있다는 것은 분명하지만, 회사 전체에 2FA를 도입하는 과정은 다소 어려울 수 있습니다. 다행히도, 그렇게 큰 도전이 될 필요는 없습니다.
Dropbox는 2단계 인증을 제공합니다. 2단계 인증을 활성화하면 Dropbox 계정에 로그인하거나 새로운 태블릿, 컴퓨터, 휴대폰을 연결할 때 Dropbox가 6자리 암호, 보안 키 등의 두 번째 인증 양식을 제공하도록 요청하죠.
또한, Dropbox는 기업의 민감한 정보를 안전하게 보호하고 제어할 수 있는 다양한 비밀번호 보호 기능을 제공합니다. 공유 링크에 만료일을 설정할 수도 있고, PDF와 폴더에 비밀번호를 걸 수도 있죠.
파일의 보안을 보다 효율적으로 유지할 수 있는 다른 사이버 보안 예방 조치도 있습니다. 클라우드 데이터 보호는 당사의 최우선 과제이며, 클라우드 보안은 2단계 인증을 이상적으로 보완합니다. 분산 클라우드 인프라 전반에 걸쳐 여러 계층의 보호를 통해 모든 온라인 파일에 동일한 수준의 보호가 제공되도록 할 수 있습니다. 또한, 엔터프라이즈급 암호화 클라우드 스토리지를 사용하여 대부분의 글로벌 규제 표준을 준수할 수 있습니다.
Dropbox로 데이터를 안전하게 보호하고 2FA의 이점을 누리세요
파일과 데이터를 보호하기 위해 단일 비밀번호에만 의존하면 예방 가능한 위협에 취약해집니다. 2FA를 사용하면 악의적인 사용자가 귀하의 콘텐츠에 액세스하는 것이 훨씬 어려워집니다.
Dropbox 사용자로서 더욱 안심하고 이용하고 싶은 분이든, 여러 계층의 보호 기능을 갖춘 클라우드 스토리지 솔루션이 필요하신 분이든, Dropbox가 도와드리겠습니다.
오늘부터 계정에 가입하여 2단계 인증의 이점을 누려보세요.
