- 심(SIM) 스와핑 등 해커 공격 심각⋯'텍스트 코드'로 로그인 권장
디지털 세계화가 된 오늘날, 온라인 계정에 대한 보안은 가장 중요한 문제가 됐다. 그런데 최근 전문가들이 모든 아이폰과 안드로이드 사용자들에게 '텍스트 코드'로 로그인하는 것을 중단하라고 경고했다.
영국 최대 언론사 더 선(The SUN)은 스마트폰 소유자는 다단계 인증을 켜야 하며 그렇지 않으면 해커가 이를 감시할 위험이 있다고 16일(현지시간) 보도했다.
그러면서 모바일 장치에 추가 보호 계층을 추가하는 한 가지 방법은 다단계 인증(MFA, Multi-Factor Authentication)을 활성화하는 것이라고 강조했다.
MFA는 로그인 프로세스에 보호 계층을 더하고 보안 침해로부터 보호하는 것을 말하는데, 로그인하기 전에 문자 확인과 같은 추가 수준의 확인을 통해 계정을 보호한다.
그러나 SMS 메시지는 심(SIM) 스와핑, 중간자 공격 등 다양한 기술을 통한 가로채기에 취약하고, SMS는 네트워크 문제나 지연으로 인해 신뢰할 수 없다.
실제로 지난달 미국 증권거래위원회(SEC)가 공식 X(구 '트위터') 계정에 '비트코인 현물 상장지수펀드(ETF) 승인' 가짜뉴스는 '심(SIM) 스와핑' 해킹 공격으로 이뤄졌다고 밝힌 바 있다.
심 스와핑은 유심칩으로 불리는 휴대전화 심 카드를 복제 또는 옮겨서 설치한 후 피해자의 휴대전화 번호를 통해 개인정보를 빼돌리는 해킹수법이다.
이러한 이유로 전문가들은 인증 앱 사용을 권장하고 있다. 많은 스마트폰과 앱에는 구글, 애플, 메타(구 '페이스북')과 같은 자체 2FA(2단계 인증)가 내장되어 있다.
애플은 자사의 웹사이트에서 아이폰(iPhone)의 2FA를 "누군가가 당신의 비밀번호를 알고 있더라도 당신이 자신의 계정에 접근할 수 있도록 보장하기 위해 설계된 '추가 보안 계층'이다"라고 설명했다.
이러한 앱은 기기에서 직접 시간 기반 코드를 생성해, SMS와 같은 외부 통신 채널이 필요하지 않는다.
또한 잠재적으로 손상된 와이파이(Wi-Fi) 네트워크를 통해 코드가 전송되지 않아 훨씬 더 안전해지고, 많은 인증 앱은 PIN(개인식별 번호)이나 생체 인식 인증과 같은 추가 보안 기능을 제공하여 추가 보호 계층을 추가한다.
애플 인증자 사용법
애플 인증기를 켜려면 아이폰의 설정으로 이동한 다음 비밀번호를 누른다. 얼굴인식이나 ID를 터치해 비밀번호에 액세스한 다음, 2FA를 설정하려는 계정을 누른다. 다만, 이 2FA 방법은 모든 웹사이트나 앱에서 작동하지 않는다는 점에 주의해야 한다.
다음으로 인증코드 설정을 클릭한다. 설정 키 입력 및 QR 코드 스캔이라는 두 가지 옵션 메뉴가 표시되면, 설정 키를 선택한 경우 앱이나 웹사이트 페이지로 이동하여 설정 키를 복사하면 된다.
구글 인증기 설정
구글 인증(Google Authenticator)을 설정하는 것은 어렵지 않다. 애플 앱 스토어 또는 구글 플레이 스토어에서 앱을 다운로드 하면 된다. 기기 상단 구글 계정으로 이동해 보안 탭을 누른다. 구글 로그인에서 2단계 확인을 누르면 된다. '인증 앱'에서 설정을 탭하고 화면에 표시되는 단계를 따르면 된다.