디지털 시대에 살아가는 우리에게 계정 보안은 가장 중요한 이슈 중 하나입니다. 중요한 계정이 하나 털리는 순간 경우에 따라서는 금전적인 손실은 물론 그동안 쌓아왔던 온라인 아이덴티티나 사이버 상의 평판이 나락으로 떨어질 가능성도 있고, 이는 특히 사업을 하시는 분이나 기업을 운영하시는 분, 인터넷으로 비즈니스를 하시는 분들에게는 치명적인 문제가 아닐 수 없습니다. 온라인에서는 많은 거래와 활동이 이뤄지는 만큼 그만큼의 충분한 보안 역시 필요합니다. 계정을 보호하는 방법 중 하나로써 이제는 전통적인 방법이 TOTP 인증자(Authenticator)를 이용한 2단계 인증이 있습니다만, 이 글에서는 그것보다 한 단계 더 나아가 더 강고한 2단계 인증 방식인 ‘하드웨어 키를 이용한 2단계 인증’에 대해 알아보겠습니다.
하드웨어 키란?
하드웨어 키는, 이름에서도 알 수 있듯이, 물리적인 형태를 가진 보안 장치입니다. USB 메모리와 비슷한 형태를 가지며, 컴퓨터나 휴대폰의 USB 포트에 연결하거나, NFC 기능을 이용해 갖다대서 연결할 수 있습니다. 이 장치는 사용자의 신원을 인증하기 위해 고유한 암호를 생성하고, 이를 통해 서버와 안전하게 통신합니다. 대표적인 하드웨어키로 Yubico의 YubiKey 시리즈, 구글의 Titan 키가 있습니다.
하드웨어 키를 이용한 2단계 인증
2단계 인증은 사용자의 신원을 확인하는 데에 두 가지 방법을 사용하는 보안 절차입니다. 일반적으로 이는 암호(패스워드)와 하드웨어 키를 통해 이루어집니다. 사용자가 로그인할 때마다 하드웨어 키가 신규 인증 코드를 생성하며, 이를 통해 사용자는 자신의 신원을 증명하게 됩니다.
장점
하드웨어 키를 이용한 2단계 인증의 가장 큰 장점은 안전성입니다. 이메일이나 SMS 메시지를 통한 인증은 악의적인 침입자에게 해킹당할 위험이 있습니다. 인증자 앱을 사용하는 TOTP 조차도 사회학적인 피싱 공격을 통해 유출될 가능성이 있습니다. 하지만 하드웨어 키는 물리적으로 소유하고 장치에 접속하지 않으면 인증을 통과할 수 없기 때문에 매우 안전합니다. 또 물리적인 키의 삽입을 요구하는 프롬프트를 피싱으로 표출하기는 굉장히 어려울 뿐더러, 하드웨어 키의 암호는 암호화되어 있기 때문에 인증키를 훔치기 어려우므로 종합적으로 계정 도용과 피싱 피해의 위험을 크게 줄여줍니다.
실제로 구글, 마이크로소프트, 드롭박스, 깃허브, 세일스포스, 클라우드플레어 등이 하드웨어 키 2FA를 강제했고 현재까지 계정 침입 사례가 보고된 바가 없는 것으로 알려져 있습니다.
단점
그러나 몇 가지 주의해야 할 점들이 있습니다. 하드웨어 키를 잃어버리게 되면, 재발급 과정이 거의 불가능에 가까울 정도로 복잡하거나 로그인 자체가 불가능해질 수 있습니다. 따라서 많은 서비스가 최소 2개 이상의 키를 만들 것을 권장 또는 요구하고 있습니다(대표적으로 애플은 2개 이상의 키를 강제하고 있습니다) 또한, 아직 모든 플랫폼이나 서비스가 하드웨어 키를 지원하지 않습니다. 오히려 키를 지원하는 회사가 소수파지요. 그리고 아직은 적지 않은 가격의 하드웨어 키를 (여러개) 구매하는데 적잖은 비용이 드는 것 역시 고려할 사항입니다.
그럼에도 불구하고 사용해야하는 이유
앞서 언급한 단점들에도 불구하고, 디지털 자산과 정보의 중요성이 증가함에 따라, 2단계 보안은 필수품이 되었습니다. 특히 중요한 정보를 다루거나, 자주 온라인 거래를 이용하는 사용자들에게 하드웨어 키는 현재로써는 가장 강력한 2단계 보안 수단 중 하나가 될 수 있습니다. 본인의 개인정보보호에 관심이 있으시다면 반드시 채용을 검토 하실 것을 강력하게 권유합니다.