구글 2단계 인증으로 안전하게 접속하기

  

얼마 전 와이어드 수석 기자 맷 호넌의 계정이 해킹되어 지메일과 애플 계정이 해킹되고 결국 아이패드, 아이폰, 맥을 원격 삭제 당하는 큰 사건이 발생했습니다.

맷 호넌 기자의 계정이 어떤 과정을 통해 해킹을 당했는지 살펴보면, 

아마존과 애플의 보안 헛점으로 손쉽게 애플 계정에 접근할수 있음이 드러나

일반 개인들의 비밀번호도 생각보다 쉽고 간단하게 뚫린다는 것을 알 수 있습니다.

 

얼마 전 KT 의 개인정보 유출도 그렇고, SK 네이트의 개인정보 유출에서 보듯 수 많은 사이트에 퍼져있는 개인 정보, 특히 비밀번호 등이 너무 손쉽게 해커에게 넘어가고 있습니다. (두 경우 모두 비밀번호까지 넘어 갔는지는 확실치 않음)

만약 해커가 개인정보 DB 에 접근가능하거나 탈취했다면, 그 사이트에 사용하는 비밀번호는 더 이상 안전하다고 보장할 수 없습니다. (해당 회사에서 얼마나 강력하게 비밀번호를 암호화 했는지에 달렸겠지만, 이미 해커에 뚫릴정도로 허술한 회사라면 DB 암호화 역시 제대로 했다고 믿기가 힘들죠)

농협 전상망처럼 언제 또 인터넷 사이트들이 북한(?)에게 침투 당해 개인정보가 홀라당 날아 갈 지 모르는 이 때

가장 기본적인 보안은, 각 사이트마다 비밀번호를 다르게 가져가는 것이고

중요한 메일 서비스 등은 반드시 보안 SSL 이 적용된 사이트인지 확인이 필요 합니다. 

네이버 메일이 이제야 SSL 이 적용되는 걸 보면 국내 서비스 쪽은 보안이 아직도 참 갈 길이 멀어 보입니다)

NHN, 네이버 메일에 '보안접속(SSL)' 기능 적용

이미 중국의 수 많은 해커로부터 구글 메일 계정 탈취를 방어하기 위해 노력하고 있는 구글은 구글 2단계 인증이라는 훌륭한 보안 옵션을 제공하고 있습니다.

구글 2단계 인증을 사용하면

• 구글 계정으로 접속하려면 우선 그PC 가 이미 인증된 PC 인지 확인합니다.
• 허가 받지 않은 곳에서 접속 할 경우 반드시 핸드폰 문자로 전송되는 SMS 인증키를 입력해야만 구글 계정으로 로그인이 가능합니다. 비밀번호를 안다고 해도 핸드폰까지 탈취하지 않는 한 접속이 불가능 합니다. (OTP 방식과 유사)
• 핸드폰을 받을 수 없거나, 잃어버리는 경우를 대비해서, 인쇄용 백업코드를 미리 내려 받을 수 있습니다. 만일의 사태에는 그 키로 접속하면 됩니다.
• 핸드폰뿐만 아니라 모바일 OTP 앱을 내려 받으면, SMS 인증 대신 OTP 앱으로 대신할 수 있습니다.

 

길게 적었지만, 구글 2단계 인증의 핵심은 고객 비밀번호 + SMS 문자 인증 방식입니다. 

일반적으로 사용되는 비밀번호와, 사용자가 직접 지니고 있는 보안매체를 합한 인증이기 때문에 설사 비밀번호가 해커에게 넘어갔다고 해도 사용자의 정보에 접근할 수 없게 됩니다.

조금 다른 얘기지만, 조만간 공인인증 신규 발급/재발급의 경우에도 인증 강화 방식이 적용되어 구글 2단계 인증과 유사하게 처리 된다고 합니다. 

매번 구글 계정 접속할 때마다 SMS 인증을 방기엔 상당히 귀찮을 수 있기때문에, 본인이 항상 사용하는 PC 나 노트북 등에서는 30일까지 해당 PC 의 인증을 유지 시키는 기능도 있습니다. 

다음은 보안 강화를 위한 구글 2단계 인증에 대한 간단한 설명입니다.

구글 2단계 인증 설정하기

1.  구글 계정 설정을 클릭합니다.

2.  보안 탭에서 > 2단계 인증 상태를 확인하고 "수정" 을 누릅니다 

3.  간단한 설명이 나오고, 자세한 동영상도 볼 수 있습니다. 동영상에 한글 자막으로 나와 있고 자세하게 잘 설명되어 있어 처음 하시는 사용자라면 꼭 보시길 권합니다.

4.  휴대전화를 설정합니다. SMS를 전달 받을 중요한 핸드폰 번호라 다시 한번 확인합니다.

5. '4'번에서 설정한 번호로 SMS 인증 번호가 오면 해당 번호를 입력하고 인증 받으면 2단계 인증 설정이 끝납니다

6. 이제부터 구글 계정 사인온을 할 때는 반드시 SMS 인증을 거쳐야만 통과가 가능합니다.
사용자의 선택에 따라 이미 인증한 PC 에 대해 30일 동안 인증 받지 않도록 설정이 가능합니다.

 

 

애플리케이션 비밀번호 생성

모든 비밀번호 확인이 구글 2단계 인증을 거치는 것은 아니고 아래의 경우는 별도의 애플리케이션 비밀번호를 신규로 만든 다음 그 비밀번호를 입력해야 합니다.

구글 크롬의 경우에도 크롬 동기화를 위해서는 애플리케이션 비밀번호를 입력해야 하는데 아래는 그 설명입니다.

1. 크롬 동기화 설정 화면 > 동기화를 위해 구글 계정 로그인

 

2. 크롬에서 애플리케이션 비밀번호 요구

3. 크롬에서 요구한 애플리케이션 비밀번호 생성을 위해 

"구글 계정 > 보안 > 애플리케이션 및 사이트 인증" 으로 접속하고, 새로운 애플리케이션 비밀번호를 만듭니다.

아래와 같은 화면이 나오면 적당히 해당 비밀번호에 대한 이름을 만들고, "비밀번호 생성"을 누릅니다.

 

4. 꽤 긴 비밀번호가 만들어지는데, 당연히 외울 필요는 없고 필요하면 또 만들면 그만입니다.

이 키를 복사해서 크롬의 애플리케이션 비밀번호 입력하는 곳에 넣으면 크롬 동기화가 가능해 집니다.

 

보안은 편리함과 항상 반대로 갑니다.

2단계 인증을 함으로써, 문자 인증이나, 애플리케이션 비밀번호 추가 입력 같은 귀찮은 일이 동반하는 법입니다.

하지만, 이 귀찮음이 키보드 해킹 등으로 비밀번호 탈취될 경우 안전하게 개인 데이터를 지켜주는 마지막 보루라 생각하면 어쩔 수 없는 선택인거 거 같습니다.

 

구글 2단계 인증에 대한 동영상

 

동영상을 아주 잘 만들어 놓아서, 제 설명보다 동영상 보는 편이 나을 듯 합니다.

핸드폰을 OTP 삼아 사용하는 구글 2단계 인증은 비밀번호 하나 만으로는 해커로부터 안전하게 지키기 힘든 요즘 같은 때에 필수 선택 사항입니다