brunch

라이킷 10 댓글 공유

You can make anything
by writing

C.S.Lewis

프로젝트 리스트 바로가기
계정을 잊어버리셨나요?
by delight Aug 18. 2024

투팩터 인증의 어리석음에 대하여?

학습 차원에서 틈틈이 해외 전문가들이 블로그나 미디어 그리고 책에서 쓴 글을 번역 또는 요약 정리하고 있습니다. 이번 포스팅도 그중 하나고요. 거칠고 오역된 부분이 있을 수 있습니다. 제대로 번역되지 않은 부분은 확인 주시면 반영토록 하겠습니다. 의미 전달이 애매한 문장은 삭제했습니다. 이번에는 Douglas Giles가 미디엄에 올린 글을 정리한 것입니다 참고로 필자는 .21년간 교수로 재직한 철학자입니다.


생각은 좋은 것이다. 잘 생각하면 문제를 해결할 수 있다. 생각하지 않으면 문제가 일어난다. 최악의 문제는 실제로는 그렇지 않은데도 사람들이 자신이 잘 생각하고 있다고 믿는 데서 비롯된다.


집단 사고와 충분히 생각하지 않는 것에 대해

투팩터 인증(two-factor authentication) 또는 2FA가 있다. 어떤 사람들은 이것이 영리한 발명품이라고 믿는다.그들은 자신이 잘 생각하고 있다고 믿는다. 그렇지 않다.

내가 여러 조직 '고객 지원팀'과 주고받은 실제 이메일 두 통을 의역하여 설명하겠다. 나는 그들의 문법 오류를 바로잡지 않았다. 이 두 가지 예는 투팩터 인증 어리석음과 무심코 이를 강요하는 사람들의 어리석음을 보여준다.


대화 1- 앱에 액세스하기 위해 비밀번호를 2FA로 대체하기

IT: 이 이메일은 이제 계정에 로그인하려면 투팩터 인증이 필요함을 알리기 위한 것이다. 보안을 위해 더 이상 비밀번호를 입력할 필요가 없다. 사용자 아이디를 입력하면 인증 코드가 장치로 전송된다. 로그인할 때마다 인증 코드를 받아 입력해야 한다. 궁금한 점이 있으면 알려달라.


질문이 있다. 왜 지금 비밀번호 대신 인증 코드를 받으라고 하나?


IT: 누군가 디바이스를 도용하는 경우 계정을 보호하기 위해 보안 수단으로 투팩터 인증을 설치했다. 궁금한 점이 있으면 알려달라.


나: 누군가 내 디바이스를 도용하여 내 계정에 로그인하려고 하면 어떻게 되나?


IT: 보안을 위해 서버에서 인증 코드를 디바이스로 전송한다. 궁금한 점이 있으면 알려달라.

나: 하지만 누군가 내 디바이스를 도용하면 내 디바이스를 도용한 사람에게 인증 코드가 전송되는 것이지 않

나? 그 사람에게 내 계정에 대한 액세스 권한을 주는 것이 아닌가?


IT: 보안을 위해 디바이스로 전송된 인증 코드를 입력해야만 계정에 액세스할 수 있다. 궁금한 점이 있으면 알려달라

나: 좋다, 잘 생각해 보라. 누군가 내 디바이스를 훔치면 내 디바이스를 소유하게 된다. 내 계정에 로그인할 수 있는 수단을 디바이스로 전송하면 도둑이 내 계정에 액세스하도록 허용하는 것이다. 비밀번호 인증을 투팩터 인증으로 대체해 내 계정 보안을 약화시켰다.


IT: 회원님 우려를 이해한다. 이제 계정에 로그인할 때 2중 인증이 필요함을 알려드리게 되어 기쁘게 생각한다. 보안을 위해 더 이상 비밀번호를 입력하지 않는다. 사용자 아이디를 입력하면 인증 코드가 디바이스로 전송된다. 로그인할 때마다 인증 코드를 받아 입력해야 한다. 궁금한 점이 있으면 알려달라.


대화 2: 웹사이트에 액세스하기 위해 비밀번호에 2FA 추가하기

나: 계정에 로그인하려면 왜 캡차 3개를 풀고 휴대폰으로 인증 코드를 받으라고 하나?

IT: 추가 단계라는 점은 이해하지만, 회원 계정을 항상 보호하기 위해 보안을 위해 반드시 필요한 단계다. 인증 방법을 선택할 수 있으며, 문자 메시지 또는 전화로 코드를 받을 수 있다..


나: 이 단계는 필수 단계가 아니며 계정 보안이 강화되는 것도 아니다. 보안 VPN을 통해 전용 개인 IP 주소를 사용하여 집 데스크톱 컴퓨터에서만 로그인한다. 로그인할 때마다 보안 문자 세 개를 풀고 전화를 받아야 한다. 항상 동일한 IP 주소에서 동일한 장치로 로그인하는데도 불구하고 이런 일이 발생한다.

IT: 문의 감사하며 유감이다. 투팩터 로그인은 계정을 더욱 안전하게 보호하는 방법이다. 매번 동일한 보안 단계를 수행하는 것이 번거로울 수 있다는 점을 잘 알고 있다. 우리는 앱을 통해 액세스하는 것을 권장하며, 투팩터 인증으로 한 번만 로그인하면 휴대폰에서 해당 앱이 인증한다.


나: 좋다, 잘 생각해 보라. 아무도 내 집에 침입해 데스크톱 PC를 켜고 금융 기관 신원을 알아내어 내 사용자 이름과 비밀번호를 마술처럼 추측하고 내 계정에 액세스하지 않을 것이다. 대신 누군가가 쉽게 훔칠 수 있는 내 휴대폰에 앱을 설치하도록 하면 휴대폰 앱 로고를 볼 수 있고 인증 코드를 앱에 전송하기 때문에 내 계정에 액세스할 수 있다. 이 앱은 문이 잠긴 집에 있는 데스크톱 PC보다 안전하지 않다.

IT: 앱은 비밀번호로 보호되므로 안전하다.

나: 앱의 비밀번호로 보안이 충분하다면 왜 내 PC 비밀번호는 충분하지 않은 건가?????

keyword
delight IT 분야 크리에이터

delight의 브런치입니다. 책과 디지털 공간에서 곱씹어볼만한 오피니언을 정리하고 있습니다. delight412@gmail.com
구독자 1,280
작가의 이전글 기로에선 코스모스, 다시 앞서 나가기 위한 조건
브런치는 최신 브라우저에 최적화 되어있습니다. IE chrome safari