brunch

You can make anything
by writing

C.S.Lewis

by delight Aug 18. 2024

투팩터 인증의 어리석음에 대하여?

학습 차원에서 틈틈이 해외 전문가들이 블로그나 미디어 그리고 책에서 쓴 글을 번역 또는 요약 정리하고 있습니다. 이번 포스팅도 그중 하나고요. 거칠고 오역된 부분이 있을 수 있습니다. 제대로 번역되지 않은 부분은 확인 주시면 반영토록 하겠습니다. 의미 전달이 애매한 문장은 삭제했습니다. 이번에는 Douglas Giles가 미디엄에 올린 글을 정리한 것입니다 참고로 필자는 .21년간 교수로 재직한 철학자입니다.


생각은 좋은 것이다. 잘 생각하면 문제를 해결할 수 있다. 생각하지 않으면 문제가 일어난다. 최악의 문제는 실제로는 그렇지 않은데도 사람들이 자신이 잘 생각하고 있다고 믿는 데서 비롯된다.


집단 사고와 충분히 생각하지 않는 것에 대해

투팩터 인증(two-factor authentication) 또는 2FA가 있다. 어떤 사람들은 이것이 영리한 발명품이라고 믿는다.그들은 자신이 잘 생각하고 있다고 믿는다. 그렇지 않다.

내가 여러 조직 '고객 지원팀'과 주고받은 실제 이메일 두 통을 의역하여 설명하겠다. 나는 그들의 문법 오류를 바로잡지 않았다. 이 두 가지 예는 투팩터 인증 어리석음과 무심코 이를 강요하는 사람들의 어리석음을 보여준다.


대화 1- 앱에 액세스하기 위해 비밀번호를 2FA로 대체하기

IT: 이 이메일은 이제 계정에 로그인하려면 투팩터 인증이 필요함을 알리기 위한 것이다. 보안을 위해 더 이상 비밀번호를 입력할 필요가 없다. 사용자 아이디를 입력하면 인증 코드가 장치로 전송된다. 로그인할 때마다 인증 코드를 받아 입력해야 한다. 궁금한 점이 있으면 알려달라.


질문이 있다. 왜 지금 비밀번호 대신 인증 코드를 받으라고 하나?


IT: 누군가 디바이스를 도용하는 경우 계정을 보호하기 위해 보안 수단으로 투팩터 인증을 설치했다. 궁금한 점이 있으면 알려달라.


나: 누군가 내 디바이스를 도용하여 내 계정에 로그인하려고 하면 어떻게 되나?


IT: 보안을 위해 서버에서 인증 코드를 디바이스로 전송한다. 궁금한 점이 있으면 알려달라.

나: 하지만 누군가 내 디바이스를 도용하면 내 디바이스를 도용한 사람에게 인증 코드가 전송되는 것이지 않

나? 그 사람에게 내 계정에 대한 액세스 권한을 주는 것이 아닌가?


IT: 보안을 위해 디바이스로 전송된 인증 코드를 입력해야만 계정에 액세스할 수 있다. 궁금한 점이 있으면 알려달라

나: 좋다, 잘 생각해 보라. 누군가 내 디바이스를 훔치면 내 디바이스를 소유하게 된다. 내 계정에 로그인할 수 있는 수단을 디바이스로 전송하면 도둑이 내 계정에 액세스하도록 허용하는 것이다. 비밀번호 인증을 투팩터 인증으로 대체해 내 계정 보안을 약화시켰다.


IT: 회원님 우려를 이해한다. 이제 계정에 로그인할 때 2중 인증이 필요함을 알려드리게 되어 기쁘게 생각한다. 보안을 위해 더 이상 비밀번호를 입력하지 않는다. 사용자 아이디를 입력하면 인증 코드가 디바이스로 전송된다. 로그인할 때마다 인증 코드를 받아 입력해야 한다. 궁금한 점이 있으면 알려달라.


대화 2: 웹사이트에 액세스하기 위해 비밀번호에 2FA 추가하기

나: 계정에 로그인하려면 왜 캡차 3개를 풀고 휴대폰으로 인증 코드를 받으라고 하나?

IT: 추가 단계라는 점은 이해하지만, 회원 계정을 항상 보호하기 위해 보안을 위해 반드시 필요한 단계다. 인증 방법을 선택할 수 있으며, 문자 메시지 또는 전화로 코드를 받을 수 있다..


나: 이 단계는 필수 단계가 아니며 계정 보안이 강화되는 것도 아니다. 보안 VPN을 통해 전용 개인 IP 주소를 사용하여 집 데스크톱 컴퓨터에서만 로그인한다. 로그인할 때마다 보안 문자 세 개를 풀고 전화를 받아야 한다. 항상 동일한 IP 주소에서 동일한 장치로 로그인하는데도 불구하고 이런 일이 발생한다.

IT: 문의 감사하며 유감이다. 투팩터 로그인은 계정을 더욱 안전하게 보호하는 방법이다. 매번 동일한 보안 단계를 수행하는 것이 번거로울 수 있다는 점을 잘 알고 있다. 우리는 앱을 통해 액세스하는 것을 권장하며, 투팩터 인증으로 한 번만 로그인하면 휴대폰에서 해당 앱이 인증한다.


나: 좋다, 잘 생각해 보라. 아무도 내 집에 침입해 데스크톱 PC를 켜고 금융 기관 신원을 알아내어 내 사용자 이름과 비밀번호를 마술처럼 추측하고 내 계정에 액세스하지 않을 것이다. 대신 누군가가 쉽게 훔칠 수 있는 내 휴대폰에 앱을 설치하도록 하면 휴대폰 앱 로고를 볼 수 있고 인증 코드를 앱에 전송하기 때문에 내 계정에 액세스할 수 있다. 이 앱은 문이 잠긴 집에 있는 데스크톱 PC보다 안전하지 않다.

IT: 앱은 비밀번호로 보호되므로 안전하다.

나: 앱의 비밀번호로 보안이 충분하다면 왜 내 PC 비밀번호는 충분하지 않은 건가?????

브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari