비밀번호를 관리하는 최선의 방법

1. 유명 여배우들의 사적인 사진 유출 사건

Jennifer Lawrence

9월 1일, 갑자기 헝거게임의 주인공으로 유명한 제니퍼 로렌스가 검색 순위에 뜨기 시작했다. 제니퍼 로렌스의 누드 사진이 유출되었다는 소문 때문이었다.

이 사건은 미국의 4chan이라는 커뮤니티에 아이클라우드를 뚫어서 수많은 연예인들의 사진을 입수했다는 글을 올리면서 시작됐다. 그러고나서 실제로 그 사진들이 풀리기 시작했고, 사진이 공개된 연예인들만 해도 20여명에 이른다.

이 사진들 중에는 제니퍼 로렌스의 노출 사진도 있었는데, 제니퍼 로렌스가 지금까지 베드씬이나 노출씬을 전혀 찍은 적이 없기 때문에 더욱 더 화제가 됐다. 또한 케이트 업튼의 사진은 포르노를 연상케 할만한 사진들도 있어서 큰 충격을 주었다.

(노파심에서 하는 말이지만 이 글을 읽고 제니퍼 로렌스나 케이트 업튼의 사진을 찾아보는 사람들이 없었으면 한다. 제니퍼 로렌스가 말했듯이 ‘이건 스캔들이 아니다. 성범죄이고 성적인 폭력이다.’)

이 사건은 자위행위를 할 때 나는 소리를 뜻하는 fap과 happening을 조합해서 만든 fappening이라고도 불리며 많은 사람들의 관심을 모았고 아직까지 정확한 사건 경위가 밝혀지지 않은 상태라 아직도 상당히 논란이 되고 있는 상태다. 사건이 커지면서 FBI가 수사에 참여했다는 소식도 들려왔다.

그런데 사건이 터지고 얼마후에 Find my iPhone API를 이용한 iBrute라는 해킹툴에 대해서 알려지기 시작했다. 이 해킹툴은 Find my iPhone API를 이용해서 제한없이 Brute Force Attack(무차별 대입 공격)을 할 수 있는 해킹툴이다. 원래 대부분의 사이트는 일정 횟수 이상 로그인을 실패하면 그림문자를 보고 입력해야 하는 CAPTCHA를 사용하던가, 핸드폰을 통한 인증을 하던가, 아니면 일정기간동안 아예 로그인이 안 되도록 계정을 잠궈버리던가 하는 보안 조치를 취하곤 한다. 하지만 저 툴을 사용하면 그런 제약 없이 지속적으로 로그인 시도를 할 수 있다는 것이었다.

애플은 저 취약점을 9월 1일에 패치했다고 한다. 하지만 저런 취약점이 드러난 이상, 그 전에 유명인들의 사진이 저 취약점을 이용한 공격을 통해 유출되었다고 의심하는 사람들이 많다.

그리고 2014년 9월 3일 애플이 다음과 같은 입장 발표를 했다.

We wanted to provide an update to our investigation into the theft of photos of certain celebrities. When we learned of the theft, we were outraged and immediately mobilized Apple’s engineers to discover the source. Our customers’ privacy and security are of utmost importance to us. After more than 40 hours of investigation, we have discovered that certain celebrity accounts were compromised by a very targeted attack on user names, passwords and security questions, a practice that has become all too common on the Internet. None of the cases we have investigated has resulted from any breach in any of Apple’s systems including iCloud® or Find my iPhone. We are continuing to work with law enforcement to help identify the criminals involved.

To protect against this type of attack, we advise all users to always use a strong password and enable two-step verification. Both of these are addressed on our website at http://support.apple.com/kb/ht4232.

출처: Update to Celebrity Photo Investigation | apple.com

아이클라우드나 Find my iPhone 이 해킹당한 것은 아니라는 애플의 발표다. 그리고 아이클라우드 계정을 습득한 방법은 사용자 이름과 비밀번호, 그리고 보안 질문을 통한 것이었다는 해명이다.

애플의 발표만으로는 해커가 어떤 방식으로 계정을 뚫었는지 알 수 없다. 다만 확실한 것은 지금 계정이 뚫린 연예인들은 그다지 복잡한 비밀번호를 사용하지 않았을 가능성이 높다는 것이다. 또한 보안 질문과 답도 적절하게 선택하고 작성하지 않았을 가능성이 높다.

만약 애플 서버가 Brute Force Attack(무차별 대입 공격)에 대한 취약점이 있었더라도, 비밀번호를 충분히 복잡하게 설정했더라면 계정이 뚫리진 않았을 것이다. 비밀번호가 길어지고, 복잡해지는만큼 그 비밀번호를 뚫는 시간도 기하급수적으로 길어지기 때문이다.

그럼 어떻게 해야 뚫기 힘든 비밀번호를 만들고, 그 비밀번호를 관리할 수 있을까?

2. 최고의 비밀번호를 만드는 8가지 방법

Password

비밀번호 관리의 시작은 해커가 쉽게 뚫지 못하면서, 자신은 쉽게 기억할 수 있는 강력한 비밀번호를 만드는 것이다. 다음 목록들을 참고해서 최선의 비밀번호를 만들어보자.

2.1 최악의 비밀번호를 피하라

Worst Password 2013 | splashdata.com
▲ 2013년 최악의 비밀번호 (출처: “Password” unseated by “123456” on SplashData’s annual “Worst Passwords” list | splashdata.com)

비밀번호를 너무 쉽게 만드는 사람들이 있다. 그런 비밀번호들은 이미 해커들에게 잘 알려져 있어서 아주 쉽게 해킹당할 수 있다. 따라서 절대로 이런 최악의 패스워드드를 피해야 한다. splashdata.com에서는 매년 최악의 패스워드를 발표하는데, 2013년에는 다음 25개를 선정해서 발표했다. 절대로 이 패스워드들은 사용하지 말자.

RankPasswordChange from 2012
1123456Up 1
2passwordDown 1
312345678Unchanged
4qwertyUp 1
5abc123Down 1
6123456789New
7111111Up 2
81234567Up 5
9iloveyouUp 2
10adobe123New
11123123Up 5
12adminNew
131234567890New
14letmeinDown 7
15photoshopNew
161234New
17monkeyDown 11
18shadowUnchanged
19sunshineDown 5
2012345New
21password1Up 4
22princessNew
23azertyNew
24trustno1Down 12
250New

2.2 비밀번호는 최소8~10자 이상의 길이로 만들어라

비밀번호의 길이야말로 비밀번호를 만드는데 있어서 가장 중요한 부분이다. 특수문자를 섞은 8자리 비밀번호보다 특수문자를 섞지 않은 10자리 비밀번호를 깨는데 시간이 더 많이 걸린다.

password strength korean
▲ 비밀번호의 길이와 해킹 시간간에 대한 웹툰. (출처: 유용한 암호 | GyparkWiki)

위의 웹툰에서 볼 수 있듯이 비밀번호가 뚫리지 않는데 있어서 가장 중요한 것은 바로 비밀번호의 길이다. 특수문자나 숫자를 꼭 섞어야 한다는 조언에 따라 중간 중간에 특수문자와 숫자를 섞다보면 비밀번호를 기억하기 힘든 경우가 많다. 그러다보면 기억하기 쉽게하기 위해서 비밀번호를 그다지 길지 않게 설정하게 된다. 그리고 그 것은 컴퓨터에게 있어서는 더 뚫기 쉬운 비밀번호가 된다.

길게 만들기만 해도 컴퓨터가 비밀번호를 추측하기 힘들어진다는 것은 상당히 좋은 소식이다. 긴 문장을 비밀번호로 사용할 수 있기 때문이다. 문장을 비밀번호로 사용한다면 사람은 기억하기 쉽지만 컴퓨터는 너무 길어서 추측하기 힘들어진다.

따라서 비밀번호를 만들 때, 잘 기억할 수 있으면서 긴 비밀번호를 만들도록 해야한다.

2.3 숫자와 문자, 특수문자 등 최소3가지 이상이 조합된 비밀번호를 만들어라

위에서 특수문자를 섞는 것보다 비밀번호의 길이를 늘리는 것이 더 중요하다고 말했다. 하지만 이것은 계산을 매우 단순하게 한 것이다. 해커들은 이런 제한을 넘어서기 위해서 일종의 암호 해독표 같은 것을 개발해냈고, 여러 해커들이 힘을 합쳐 계속 개선중이다. 암호 해독표는 일단 특수문자를 섞지 않은 비밀번호를 우선적으로 타겟으로 하고 있다. 그래서 어떤 경우에는 특수문자를 섞은 8자리 비밀번호가 특수문자를 섞지 않은 10자리 비밀번호보다 뚫는데 오래 걸릴 수도 있다.

그래서 중간에 특수문자나 숫자를 섞어주면 컴퓨터가 더 추측하기 어려운 비밀번호가 만들어진다. 너무 어렵게 생각할 필요는 없다. 문장을 만들었다면 그 문장에 들어갈 문장기호도 넣으면 되기 때문이다. 예를 들면 다음과 같은 식이다.

12WewishyouamerryChristmas,too!

이런 비밀번호는 정말 외우기 쉽다. ’12월’에서 ’12’를 따고 ‘We wish you a merry Christmas’는 유명한 캐롤송의 제목에서 따왔다. ‘,too!’는 특수문자를 좀 더 삽입하기 위해서 넣었다. 아마 이런 식의 비밀번호를 컴퓨터가 알아내려면 천문학적인 시간이 필요할 것이다.

2.4 전화번호, 생일, 주민등록번호 등 개인 정보 사용을 피하라

요즘 유행하는 해킹 기법중 하나가 바로 사회공학적 해킹이다. 사회공학적 해킹이란 기술적인 방법이 아닌 사람들간의 기본적인 신뢰를 기반으로 사람을 속여 비밀 정보를 획득하는 기법이다. 스미싱(전기통신금융사기)도 사회공학적 해킹의 일종이라고 할 수 있다.

직접 사람을 속여 정보를 습득하는 방법도 있지만, 요즘에는 검색을 통해서 개인 정보를 입수하는 것이 어렵지 않으므로, 그런 개인 정보를 바탕으로 비밀번호나 보안질문에 대한 답을 알아내는 것도 사회공학적 해킹이라고 볼 수 있다.

이렇게 여러가지 정보를 이용해서 비밀번호나 보안질문의 답을 추측하는 것은 많은 정보를 수집해야 해서 시간이 상당히 오래 걸린다. 따라서 이런 방법은 일반적인 사람들이 당하는 해킹과는 거리가 멀다고 볼 수 있다.

하지만 일반인들도 주의해야 하는 부분이 있다. 바로 비밀번호에 전화번호, 생일, 주민등록번호, 결혼기념일 등 개인 정보를 넣는 것이다. 이런 기본적인 정보를 통해 비밀번호를 추측하는 것은 어렵지 않은 일이기 때문에 비밀번호에 개인 정보를 넣는 것은 절대 해서는 안 된다.

2.5 중요한 모든 사이트마다 서로 다른 별도의 비밀번호를 사용하라

이번 유명 여배우들 사진 유출 사건도 한 서비스에서 비밀번호를 입수한 후 그와 같은 비밀번호를 사용하는 다른 서비스의 개인 자료도 함께 입수한 것으로 보인다. 만약에 그 여배우들이 모든 사이트마다 다른 비밀번호를 사용했다면 해킹된 사이트 이외의 서비스에 저장한 사진이나 동영상을 공개되지 않았을 것이다.

2014년 10월 14일에는 드롭박스가 해킹당해서 아이디와 비밀번호가 유출됐다는 기사가 뜨기도 했다. 이후에 드롭박스 측은 이것이 써드파티 앱을 통한 유출이었으면, 지금은 조치되서 유출된 아이디는 바로 로그인되지 않고, 등록된 이메일을 통해서 비밀번호를 바꾸도록 조치했다고 발표했다. 하지만 그래도 이전에 사용하던 아이디와 비밀번호를 이제는 쓰기 힘들어졌다는 것은 바뀌지 않는 사실이다.

만약에 드롭박스와 아이디, 비밀번호를 동일하게 쓰고 있는 다른 사이트가 있다면, 해커가 손쉽게 그 사이트에 로그인이 가능하다는 말이다.

결국 요즘처럼 해킹이 빈번한 때에, 모든 사이트의 아이디와 비밀번호를 동일하게 한다는 것은 현관문에 비밀번호를 1234와 같은 번호로 지정하는 것과 다름없는 일이다.

하지만 비밀번호를 사이트마다 따로 만들고 관리한다는 것이 쉬운 일은 아니다. 그래서 추천하는 것이 바로 ‘기초 비밀번호’를 만드는 것이다. 기초 비밀번호를 만들고 이용하라는 것은, 기초 비밀단어를 만든 다음에 사이트에 따라 단어를 추가하여 사이트별 비밀번호를 만들라는 것이다.

기초비밀번호를 이용해서 사이트별 비밀번호를 만드는 과정은 다음과 같다.

  • 먼저 기초가 될 비밀번호를 만든다. 이 때 기초가 될 비밀번호는 암기하기 쉽고 영어, 숫자, 특수문자가 다 섞여있는 것이 좋다. 예를 들어 기초 비밀번호를 ’12 We wish you a merry Christmas, too!’의 앞자만 따서 ’12WwyamCo!’와 같이 만들었다고 해보자.1
  • 이제 사이트별로 기초 비밀번호에 단어를 추가한다. 이것도 가능하면 기억하기 쉽게 만드는 것이 좋다. 가장 좋은 방법중 하나는 도메인을 이용하는 것이다. 네이버 비밀번호를 만들 때 ‘naver’라는 도메인을 이용해서 기초 비밀번호 앞에는 ‘nav’ 뒤에는 ‘er’을 붙여주는 식으로 네이버 비밀번호를 만드는 것이다. 즉, ‘nav12WwyamCo!er’과 같은 식이다.
  • 여기서 문제가 되는 것은 네이버 비밀번호가 유출되었을 때다. 그러면 비밀번호를 바꿔줘야 하는데, 이럴 때 모든 비밀번호를 다 바꾸는 것은 쉽지 않은 일이다. 그래서 비밀번호 마지막에 숫자를 붙여서 유출될 때마다 그 숫자를 바꿔주는 방법을 사용하는 것도 좋다. 예를 들면 ‘nav12WwyamCo!er01’과 같은 식이다. 이 비밀번호가 유출되면 다음에는 ‘nav12WwyamCo!er02’와 같이 바꿔준다. 이런 방법에 무슨 도움이 되겠느냐고 생각할 수도 있겠지만, 대부분의 해킹에서 사람이 직접 비밀번호를 입력하는 것이 아니라 컴퓨터 프로그램을 통해서 비밀번호를 추측하므로 저렇게 조금만 바꿔줘도 컴퓨터가 추측하기 힘들어진다. 만약에 저런 방법이 너무 단순해보인다면, 한글타자를 이용해도되고 키보드의 순서를 가지고 만들어도 된다. 중요한 것은 컴퓨터가 추측하기는 어렵지만 본인은 기억하기 쉬운 비밀번호를 만드는 것이다.

이런 식으로 ‘기초 비밀번호’를 이용해서 사이트마다 비밀번호를 따로 만든다면 하나의 사이트가 해킹당했을 때 추가로 다른 사이트까지 함께 피해를 볼 가능성을 최소화할 수 있다.

2.6 비밀번호는 주기적으로 변경하라

완벽한 비밀번호를 만들었더라도 비밀번호는 주기적으로 변경하는 것이 좋다. 추천 변경주기 6개월 정도다.

하지만 모든 사이트의 비밀번호를 바꾸는 것은 쉬운 일이 아니다. 이럴 때 중요한 사이트는 6개월, 덜 중요한 사이트는 1년 정도의 주기로 바꾸는 것도 나쁘지 않은 방법이다.

2.7 기억하기 힘든 비밀번호는 암호를 적용한 파일에 보관하라

아무리 기억하기 쉽게 비밀번호를 만들었더라도, 비밀번호가 잘 기억나지 않는 경우가 생길 수 있다. 이럴 때를 대비하여 비밀번호를 암호를 적용한 파일에 보관하는 것도 하나의 방법이다.

다만 이런 파일은 오프라인에만 저장해놓는 것이 좋다. 집 PC, 직장 PC, 폰 정도에만 저장해놓으면 나중에 비밀번호를 잊어버려도 크게 문제되지 않을 것이다.

이 파일에 모든 비밀번호를 다 저장해 두는 것은 추천하지 않는다. 그럴경우 비밀번호를 하나 추가할 때마다 이 파일을 갱신해야 하는데, 그러면 여러 곳에 있는 비밀번호 저장 파일을 함께 갱신시키기 쉽지 않기 때문이다.

대신 앞에서 말했던 것처럼 기초 비밀번호를 사용하고, 그 기초 비밀번호와 사이트별로 어떻게 비밀번호를 만들었는지를 기록해두는 것이 좋다. 그러면 그 내용만 보고서도 쉽게 비밀번호를 추측할 수 있을 것이다.

2.8 보안 질문과 답을 적절하게 선택하고 입력하라

요즘에는 사이트에 가입할 때 보안 질문과 답을 선택하고 입력하게 되어있다. 문제는 이것을 있는 그대로 입력하는 사람들이 너무 많다는 것이다.

예를 들어 ‘고향은?’ 이라는 보안 질문을 선택했다고 하자. 그럴 때 곧이곧대로 자신의 진짜 고향을 답에 적지 말아야 한다. 그럴경우 자신의 고향을 알고 있는 사람이 쉽게 자신의 계정을 뚫을 수 있게 된다.

따라서 보안 질문과 답은 완전히 엉뚱한 것으로 설정해야 한다. 즉 ‘생일은?’ 이라는 보안 질문‘여자친구 보고 싶어요!’와 같은 식으로 답변을 하는 것이다. 그래야 다른 사람들이 개인 정보를 통해서 계정을 뚫는 것을 방지할 수 있다.

3. 자신의 계정을 보호하는 추가적인 3가지 방법

3.1 2단계 인증 사용하기

요즘 많은 사이트들이 2단계 인증을 제공한다. 2단계 인증이란 아이디와 비밀번호에 추가적으로 SMS(문자)나 OTP(One-Time Password) 생성기등을 통해 받은 일회용 코드를 입력해야 로그인이 가능하도록 하는 것을 의미한다.

SMS나 특정 OTP 생성기가 있어야 로그인할 수 있으므로 보안성을 상당히 높여준다. 또한 일회용 코드는 시간이 지나면 폐기되므로 코드가 유출되어도 상관없다. 물론 2단계 인증이 해킹을 완전히 막아주는 것은 아니다. 하지만 현재로선 개인이 자신의 계정을 보호하기 위해 할 수 있는 최선의 방법이 바로 2단계 인증을 적용하는 것이다.

2단계 인증은 일반적으로 2가지 방법을 이용한다. 코드를 SMS(문자)를 통해 받는 방법OTP 생성기를 이용해서 시간에 따라 달라지는 코드를 입력하는 방법이다. 여기서는 사이트의 보안에 대해서 말하고 있으므로 스마트폰에 설치할 수 있는 OTP 생성기에 대해서만 다룰 것이다.

2단계 인증을 적용하는 방법은 대동소이하다. 이 글에서는 구글에서 2단계 인증을 설정하는 방법을 소개해보려 한다. 안드로이드폰을 사용하다보면 구글 플레이에서 결제를 하는 경우가 많은데, 이 때문에 구글에 카드를 등록한 사람이 많을 것이다. 따라서 구글 계정을 탈취당하면 그냥 개인정보가 조금 유출되는 것뿐만 아니라, 유출된 카드정보를 통해 부정 결제가 되는 경우도 생길 수 있다. 따라서 어떤 사이트보다도 구글 계정은 안전하게 보호해야 한다. 그런 면에서 구글에서 2단계 인증하는 방법을 소개하는 것이 좋을 것 같다.

3.1.1 구글 2단계 인증 적용하기 (SMS 이용)

1) 계정 보안 설정 페이지로 이동한다.

2) 계정 보안 설정 페이지에서 2단계 인증 우측의 ‘설정’을 누른다.

계정 보안 설정 페이지.jpg
▲ 계정 보안 설정 페이지

3) 새로 뜨는 창에서 ‘설정 시작’ 버튼을 누른다.

구글 2단계 인증 설정 시작.jpg
▲ 구글 2단계 인증 설정 시작

4) 그러면 ‘휴대전화 설정’ 창이 뜬다. 여기서 ①전화번호를 입력하고, ②코드 전송 방법을 문자 메세지(SMS)로 설정하고 마지막으로 ③코드 전송 버튼을 눌러준다.

구글 2단계 인증 - 휴대전화 설정.jpg
▲ 구글 2단계 인증 – 휴대전화 설정

5) 이제 ‘전화 확인’ 창으로 넘어간다. 여기서 설정한 폰에 SMS로 온 코드를 ①인증 코드 입력란에 입력하고 ②확인을 누른다.

구글 2단계 인증 - 전화 확인.jpg
▲ 구글 2단계 인증 – 전화 확인

6) 다음에는 ‘이 컴퓨터를 신뢰하시겠습니까?’ 창이 뜬다. 만약 자신만 사용하는 컴퓨터라면 ①이 컴퓨터를 신뢰함에 체크한다. 그러면 브라우저에서 쿠키를 지우기 전까지는 또 다시 2단계 인증을 할 필요가 없어진다. 물론 공공기관등에서 로그인할 때는 체크를 해제해야 한다. 체크를 했으면 ②다음 버튼을 눌러 다음 단계로 넘어간다.

구글 2단계 인증 - 이 컴퓨터를 신뢰하겠습니까?.jpg
▲ 구글 2단계 인증 – 이 컴퓨터를 신뢰하겠습니까?

7) 2단계 인증 사용창에서 확인 버튼만 클릭하면 2단계 인증 설정이 마무리된다.

구글 2단계 인증 - 2단계 인증 사용.jpg
▲ 구글 2단계 인증 – 2단계 인증 사용

3.1.2 구글 2단계 인증 기타 참고 사항

구글 2단계 인증 SMS 설정 페이지에 가면 몇가지 설정이 가능하다. 그 중 중요한 설정 몇가지를 소개한다.

구글 2단계 인증 SMS 설정 페이지.jpg
▲ 구글 2단계 인증 SMS 설정 페이지

1. 2단계 인증 사용 중지:
구글 2단계 인증 SMS 설정 페이지에서 우측에 ①사용중지 버튼을 누르면 2단계 인증 사용을 중지할 수 있다.

 

2. 백업 전화번호 추가

1) 중앙에 ②전화번호 추가를 클릭하면 백업 전화번호를 추가할 수 있다. 자신의 전화에 문제가 생겨서 문자를 받을 수 없는 경우에, 백업 전화를 통해 문자를 수신할 수 있다.

2) 이제 다음과 같은 창이 나온다. 그럼 ①전화번호란에 국가는 대한민국을 선택하고 전화번호를 입력한다. 그리고 ②어떤 방법으로 코드를 받으시겠습니까?에서 문자 메세지(SMS)를 선택하고, ③선택사항에서 코드전송 버튼을 눌러서 제대로 작동하는지 테스트를 해본다. 그런 후 ④저장 버튼을 클릭하면 모든 과정이 끝난다.

구글 2단계 인증 - 백업 전화번호 추가.jpg
▲ 구글 2단계 인증 – 백업 전화번호 추가

 

3. 백업코드 생성

휴대전화로 코드를 받을 수 없는 환경일 때가 있다. 예를 들면 해외로 여행을 가거나 했을 경우에는 로밍을 신청하지 않았다면 휴대전화로 SMS를 받을 수 없을 것이다. 이럴 때 백업 코드를 만들어서 인쇄를 해서 가지고 간다면 2단계 인증이 설정된 계정에 로그인을 할 수 있다.

1) 구글 2단계 인증 SMS 설정 페이지에서 하단의 백업 코드 부분의 ③인쇄/다운로드를 클릭한다.

2) 백업 인증코드 인쇄 창이 뜨면 그 것을 인쇄하거나 텍스트파일로 저장할 수 있다.

구글 2단계 인증 - 백업 전화번호 추가.jpg
▲ 구글 2단계 인증 – 백업 전화번호 추가

3) 위 화면에서 ①인쇄 버튼을 누르면 코드를 인쇄할 수 있고, ②텍스트 파일에 저장 버튼을 누르면 코드를 텍스트 파일로 저정할 수 있다. ③새 코드 생성 버튼을 누르면 이전 코드를 폐기하고 새로운 코드를 생성할 수 있다.

 

4. 앱 비밀번호 추가

어떤 프로그램들은 구글 2단계 인증을 제대로 지원하지 못한다. 그럴 때는 앱 비밀번호를 수동으로 생성해서 그 비밀번호를 이용해서 로그인해야 한다.

1) 앱 비밀번호 페이지에서 ①내 기기 선택과 앱 선택을 적절히 한 후 ②생성 버튼을 누르고 ③확인 버튼을 누르면 앱 비밀번호가 생성된다.

구글 2단계 인증 - 앱 비밀번호 추가 1.jpg
▲ 구글 2단계 인증 – 앱 비밀번호 추가

2) 생성된 앱 비밀번호 페이지에서 오른쪽에 생성된 기기용 앱 비밀번호를 복사해서 앱 비밀번호가 필요한 앱의 비밀번호란에 입력한다.

구글 2단계 인증 - 생성된 앱 비밀번호 페이지.jpg
▲ 구글 2단계 인증 – 생성된 앱 비밀번호 페이지

3) 이후에 그 앱의 접근을 막으려면 앱 비밀번호 페이지에서 액세스를 취소하면 된다. 그러면 그 비밀번호로는 계정에 접근하는 것이 불가능해진다.

구글 2단계 인증 - 앱 비밀번호 액세스 취소.jpg
▲ 구글 2단계 인증 – 앱 비밀번호 액세스 취소

3.1.3 드롭박스(dropbox) 2단계 인증 (OTP 이용)

1) 스마트폰에 구글 OTP 앱을 설치한다.

2) 드롭박스 설정 보안탭에 접속해서 2단계 인증 부분에서 사용을 눌러준다.

드롭박스 2단계 인증 - 드롭박스 설정 보안탭.jpg
▲ 드롭박스 2단계 인증 – 드롭박스 설정 보안탭

3) 이제 2단계 인증 사용이라는 제목의 창이 뜨는데 거기에서 시작하기 버튼을 누른다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 시작하기.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 시작하기

4) 이제 그 계정의 비밀번호를 한 번 더 입력하고 다음 버튼을 누른다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 비밀번호 재입력.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 비밀번호 재입력

5) 다음 창에서 보안코드 받는 방법을 선택한다. 여기서는 OTP를 사용해서 인증하는 방법을 설명하고 있으므로 모바일 앱 사용 을 선택한 후 다음 버튼을 누른다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 보안코드 받는 방법 선택하기.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 보안코드 받는 방법 선택하기

6) 다음 창에는 ①QR 코드가 나온다. 이것을 앞서 설치한 OTP앱에서 인식시키면 된다. 만약에 바코드 인식앱을 사용하고 싶지 않다면 ②비밀키를 수동으로 입력 을 누른다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - QR 코드 인식.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – QR 코드 인식

7) 위 창에서 ②비밀키를 수동으로 입력을 누르면 다음과 같은 창이 뜬다. 이 창에서 ①안에 있는 숫자를 OTP 앱에 입력하면 된다. 설정이 완료되면 ③다음 버튼들 클릭한다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 비밀키 수동 입력.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 비밀키 수동 입력

8) 이제 모바일폰의 OTP 앱을 실행한다. 그러면 다음과 같은 창이 뜨는데 거기서 설정 시작하기 버튼을 터치한다.

드롭박스 2단계 인증 - OTP 앱 - 설정 시작하기.jpg
▲ 드롭박스 2단계 인증 – OTP 앱 – 설정 시작하기

9) 바코드를 인식시키려면 ①바코드 스캔을 비밀키를 수동으로 입력하려면 ②제공된 키 입력하기를 터치한다.

드롭박스 2단계 인증 - OTP 앱 - 계정추가.jpg
▲ 드롭박스 2단계 인증 – OTP 앱 – 계정추가

10) 바코드 스캔을 터치하면 바코드 스캐너 앱이 뜬다. 그러면 가운데 사각형 안에 6)에서 설명했던 QR 코드가 보이도록 해서 QR 코드를 인식시킨다. 이 때 만약에 폰에 바코드 스캐너 앱이 깔려있지 않다면 먼저 바코드 스캐너앱을 설치해야 한다.

드롭박스 2단계 인증 - OTP 앱 - 바코드 스캔.jpg
▲ 드롭박스 2단계 인증 – OTP 앱 – 바코드 스캔

11) 만약에 제공된 키 입력하기를 선택했다면 ①계정 이름 입력 칸에 임의로 이름을 정해서 입력하고 ②키를 입력하세요 칸에 7)에서 받아놓았던 비밀키를 입력한 후 ③추가 버튼을 터치한다.

드롭박스 2단계 인증 - OTP 앱 - 제공된 키 입력하기.jpg
▲ 드롭박스 2단계 인증 – OTP 앱 – 제공된 키 입력하기

12) 이제 OTP 앱에 계정이 정상적으로 등록됐다. 에는 계정 이름과 OTP에서 임시적으로 생성된 비밀번호가 나오고 에는 임시 비밀번호가 사용가능한 기한이 표시된다. 기한이 지나면 비밀번호가 새로 바뀌고 이전 비밀번호는 사용할 수 없게 된다.

드롭박스 2단계 인증 - OTP 앱 - OTP 기본화면.jpg
▲ 드롭박스 2단계 인증 – OTP 앱 – OTP 기본화면

13) 이후에 다른 계정을 OTP 앱에 추가하려면 OTP 기본화면에서 메뉴키를 눌러 메뉴를 띄운 후 계정 설정을 터치하면 된다.

드롭박스 2단계 인증 - OTP 앱 - 계정 설정 메뉴.jpg
▲ 드롭박스 2단계 인증 – OTP 앱 – 계정 설정 메뉴

14) OTP 앱 설정이 완료됐으면 다시 드롭박스 2단계 인증 설정으로 돌아가서, 에 OTP앱에서 생성된 임시 비밀번호를 입력한 후 ②다음 버튼을 클릭한다. 제대로 설정이 되었다면 다음 화면으로 넘어갈 것이다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 인증 앱 확인.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 인증 앱 확인

15) 다음 창에서는 백업 휴대폰 번호를 추가할 수 있다. 이 것은 선택사항이라서 그냥 넘어가도 되지만, OTP 앱을 사용할 수 없는 환경이 되었을 때 필요하므로 설정하는 것이 좋다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 백업 휴대폰 번호 추가.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 백업 휴대폰 번호 추가

16) 다음 창에서는 긴급 백업 코드가 나온다. 이 번호를 잘 저장해놔야 나중에 OTP앱과 백업 휴대폰을 모두 사용할 수 없을 때 로그인이 가능해진다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 긴급 백업 코드.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 긴급 백업 코드

17) 이제 확인버튼들 누르면 드롭박스의 2단계 인증 설정이 모두 완료된다.

드롭박스 2단계 인증 - 2단계 인증 사용창 - 2단계 인증 설정 완료.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 사용창 – 2단계 인증 설정 완료

18) 이제 다음에 드롭박스에 로그인하면 아이디와 비밀번호를 입력한 후 다음과 같은 창이 뜬다. 여기서 에 OTP에서 생성된 임시 비밀번호를 입력하고, 혼자만 쓰는 컴퓨터라면 ②Trust this computer에 체크해서 계속 OTP 비밀번호를 입력하는 불편을 겪지 않도록 한다. 그 후 ③보내기 버튼을 클릭하면 로그인이 완료된다. 만약 OTP 앱을 사용할 수 없을 때는 ④제 인증자 앱을 사용할 수 없습니다.를 클릭한다.

드롭박스 2단계 인증 - 2단계 인증시 로그인창.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증시 로그인창

19) 위 창에서 제 인증자 앱을 사용할 수 없습니다.를 클릭하면 다음 창으로 전환된다. ①16자리 백업코드16)에서 저장해놓은 긴급 백업 코드를 입력하고 ②코드 보내기 버튼을 클릭하면 로그인이 가능해진다.

드롭박스 2단계 인증 -  휴대폰을 분실함 창.jpg
▲ 드롭박스 2단계 인증 – 휴대폰을 분실함 창

20) 이제 드롭박스 설정 보안탭에 접속하면 2단계 인증 부분이 좀 달라져 있을 것이다. ①상태에서 사용중지를 클릭하면 2단계 인증을 그만 사용할 수 있고, ②기본에서 인증 앱 수정을 클릭하면 인증앱 설정을 새롭게 다시 할 수 있다. ③백업을 클릭하면 백업 휴대폰 번호를 추가할 수 있고, ④복구 코드에서 표시를 클릭하면 복구 코드를 다시 볼 수있다.

드롭박스 2단계 인증 - 2단계 인증 설정 후 보안탭.jpg
▲ 드롭박스 2단계 인증 – 2단계 인증 설정 후 보안탭

3.2 비밀번호 관리 프로그램 사용하기

앞에서 사이트마다 비밀번호를 다르게 써야한다고 썼다. 사이트마다 완전히 다른 비밀번호를 사용하는 것은 쉽지 않은 일이므로, 기초 비밀번호를 이용하는 방법을 추천했다.

그런데 아무리 그래도 사이트에 갈 때마다 비밀번호를 기억해내고, 그 비밀번호를 입력하는 것이 쉬운 것은 아니다. 최고의 비밀번호는 길고, 복잡하고, 사이트마다 달라야하기 때문에 비밀번호를 입력하는데 익숙해지기도 힘들다.

그러므로 사이트별로 비밀번호를 관리해주고 자동으로 입력해주는 비밀번호 관리 프로그램을 사용하는 것이 좋다. 한 번 아이디와 비밀번호가 프로그램에 저장되면 그 다음부터는 그 사이트에 방문할 때 자동으로 프로그램이 아이디와 비밀번호를 입력해준다. 따라서 사이트마다 비밀번호가 달라도 전혀 불편함을 느끼지 못하게 된다.

이런 비밀번호 관리 프로그램들은 다양하다. 그 중에서 가장 추천할만한 프로그램 혹은 서비스는 다음과 같다.

이름라이센스OS 지원저장 위치
1Password유료맥 OS, iOS, 윈도우즈, 안드로이드로컬에 저장.
(동기화는 타 클라우드 서비스를 이용)
Dashlane유료맥 OS, iOS, 윈도우즈, 안드로이드로컬에 저장.
(동기화는 자체 클라우드 서비스를 이용할수도 있고,
타 클라우드 서비스를 이용할 수도 있다.)
KeePass무료윈도우즈
(비공식: 리눅스, 맥 OS, iOS, 안드로이드, 윈도우 폰)
로컬에 저장.
(동기화는 타 클라우드 서비스를 이용)
Lastpass무료 /
유료(구독형)
브라우저 확장 프로그램만 제공
(모바일 앱은 유료 사용자에게만 제공)
클라우드에 저장
RoboForm유료(구독형)윈도우즈, 리눅스, 맥 OS, 안드로이드, iOS, 윈도우폰클라우드에 저장

Lastpass는 클라우드에 모든 정보를 저장하고, 그 정보를 편집하는 것도 웹에서만 가능해서 좀 불편할 수 있다. 하지만 브라우저 확장 기능이 다른 비밀번호 관리 프로그램들에 비해서 잘 만들어져서 일반적인 웹서핑시에는 가장 편하게 쓸 수 있는 프로그램이다. 기본적인 기능들은 모두 무료이기 때문에 어떤 비밀번호 관리 프로그램을 쓸까 고민하는 사람들에게 가장 추천해주고 싶은 프로그램이다. 하지만 모바일 앱을 꼭 써야한다면 상황이 좀 달라진다. 모바일 앱은 유료 구독자들만 제대로 사용할 수 있기 때문이다. 유료 구독 비용은 연간 $24이므로, 꼭 모바일 앱이 필요하다면 유료 구독을 해야한다.

KeePass는 오픈소스 프로그램이다. 그래서 완전히 무료로 사용할 수 있다. 비공식이긴 하지만 지원하는 OS도 가장 다양하다. 하지만 다른 프로그램들에 비해서 사용법이 좀 복잡하고 인터페이스가 그리 좋지 않다는 단점이 있다. 또한 여러기기와 동기화를 하려면 드롭박스등의 클라우드 서비스를 따로 이용해야만 한다. 그것도 동기화 기능이 내장된 것이 아니므로, 다른 프로그램이나 앱을 사용해서 비밀번호 저장 파일을 동기화해야 한다.

1Password 맥 OS와 iOS를 사용하는 사람들에게 가장 추천해주고 싶은 프로그램이다. 맥 OS와 iOS에 최적화되어 있어서 사용이 매우 편리하다. 하지만 사용하는 OS가 여러가지일 경우 각각의 프로그램을 다 사야하므로 비용면에서 부담이 될 수 있다. 가격도 싼 편이 아니라서 초기 비용이 꽤 들게된다. 또한 타 클라우드 서비스를 써야만 동기화가 가능하다. 하지만 동기화 기능은 자체적으로 내장하고 있어서 여러기기에 동기화하는 것이 그리 어렵지는 않다.

RoboForm은 유료로만 사용할 수 있다. 무료로는 10개의 비밀번호만 관리할 수 있기 때문에 무료로 사용하는 것은 불가능에 가깝다. RoboForm은 모든 정보를 클라우드에 저장하기는 하지만 PC용 프로그램을 따로 제공해서, 좀 더 편하게 비밀번호를 관리할 수 있다.

Dashlane은 유료로만 사용이 가능하다. 년간 구독료가 $39.99로, 다른 프로그램들에 비해 꽤 비싼 편이다. 무료로도 쓸 수 있기는 하지만, 여러기기마다 동기화가 되지 않아서 제대로 쓸 수가 없다. Dashlane의 가장 특징 중 하나는 비밀번호를 로컬에 저장할지 Dashlane 서버에 저장할지 선택이 가능하다는 것이다. 또한 PC용 프로그램도 따로 제공하므로 비밀번호를 간편하게 관리할 수 있다.

위에서 간단하게 설명한 것처럼 프로그램마다 각각 장단점이 있다. 하지만 어떤 프로그램을 사용해도 비밀번호 관리 프로그램을 사용하지 않는 것보다는 훨씬 편리하다. 따라서 비밀번호 관리 프로그램은 꼭 사용하길 추천한다.

3.3 가능한 한 가입 사이트 수를 줄인다.

제목을 보고, ‘이게 뭐야?’ 라는 생각이 들었을지도 모르겠다. 하지만 농담으로 하는 말이 아니다. 앞에서 자신의 계정을 지키기 위한 여러가지 방법을 소개했지만 보안에 신경을 쓰는 것은 꽤 수고스럽다. 거기에 가입한 사이트가 많아지면 관리가 여간 어려운 것이 아니다.

사람은 귀찮은 것을 싫어한다. 처음에는 대단한 의지와 열정을 가지고 비밀번호 관리를 완벽하게 하겠다고 생각하고 시작했어도, 시간이 지나면서 열정이 사그라들면 다 귀찮게 느껴지기 마련이다.

따라서 최대한 자신이 필요한 사이트만 가입해야 한다. 또한 기존에 가입했던 사이트도 이제 사용하지 않는다면 과감히 탈퇴하는 것이 좋다. 특히 가입하고 사용하지 않고 놓아둔 사이트라면 해킹을 당해도 그것을 알아차리지도 못하는 경우가 있을 수 있다. 당연히 2차 피해까지 생길 수 있다.

1년에 한 번 정도 날을 정해서 필요하지 않은 사이트들은 탈퇴하는 식으로 가입 사이트를 관리한다면 훨씬 더 편하게 여러 계정을 안전하게 관리할 수 있을 것이다.

4. 맺으며

예전에는 해킹이라는 말이 컴퓨터 전문가들에게나 의미있던 시절이 있었다. 하지만 요즘에는 IT에 밝지 않은 보통 사람들도 개인 정보를 클라우드에 저장하는 일이 빈번해졌다. 스마트폰이 일상화되면서 내 주소록은 당연하다는 듯 구글 주소록에 올라가 있고, 내가 찍은 사진과 동영상은 아이클라우드나 구글 포토에 자동으로 업로드되는 시대다.

예전에 비해 가입한 사이트는 기하급수적으로 늘어났고, 그에 따라 본인조차 어떤 사이트에 가입했는지 기억하지 못하는 경우가 많다. 물론 그렇게 방치되는 사이트들은 해킹될 가능성이 훨씬 높아진다.

또한 온라인 결제가 일상화되면서 계정을 해킹당하면 등록된 카드로 결제까지 가능해겨서 그로 인한 피해도 속출하고 있다.

보안에 신경쓴다는 것은 상당히 귀찮은 일이다. 하지만 자신의 계정이 탈취됨으로서 입을 수 있는 피해가 예전과는 달리 엄청나게 커졌다. 결국 이제는 IT에 밝지 않은 사람들도 이런 해킹에 대해서 관심을 가지고 스스로 자신의 개인정보를 지켜야하는 시대가 된 것이다.

나 역시 보안부분에 전문가는 아니지만, 내가 모아놓은 정보들이 IT에 밝지 않은 보통 사람들에게 조금이나마 도움이 됐으면 하는 바람이다.


  1. 기초 비밀번호가 너무 길면 비밀번호의 길이 제한이 있는 사이트에서 문제가 될 수 있기 때문에 기초 비밀번호는 너무 길지 않게 설정하는 것이 좋다. 

이 글 공유하기:

댓글 남기기

6 댓글 / "비밀번호를 관리하는 최선의 방법"

댓글 이메일 구독
avatar
정렬:   최신순 | 오래된 순
wpDiscuz