연예인 클라우드 계정 유출 사고 파장…2단계 인증으로 보안강도 높여야

최근 일부 연예인의 휴대전화 연동 클라우드 계정이 해킹 돼 민감한 자료가 유출 되면서 사회적 파장이 일었다. 일반인 피해 사례도 다수 확인 되면서 클라우드 계정 사용자들의 걱정이 이만저만이 아니다.

보안 관련 전문가들에 따르면 배우 A 씨의 클라우드 계정 유출 피해는 기업의 클라우드 서버 해킹이 아닌 개인계정 해킹이라는 점에서 구분된다. 이들은 클라우드 계정의 문제점으로 해커가 계정 아이디 및 비밀번호를 획득할 시 모든 데이터에 접근할 수 있다는 점을 꼽고 있다. 미국 최대 이동통신사 버라이즌(Verizon)이 지난해 발표한 ‘데이터 침해 수사 보고서(DBIR)’에 따르면 침해 사고의 80%가 ‘훔치거나 취약한 비밀번호’를 통해 이뤄졌다.

이번 유출사고의 대상이 된 삼성 클라우드도 공식입장을 통해 “갤럭시폰 또는 클라우드 서버가 해킹을 당한 것이 아니며, 개인 사용자의 계정이 유출 및 도용된 사례”라며 “이중보안설정 등 보안강화조치를 취해 주시길 당부한다”고 설명했다.

대다수 웹서비스 환경에선 모바일 일회용 비밀번호 생성기(OTP), 단문문자메시지(SMS) 인증 방식 등을 제공하고 있지만, 폰 복제, 번호복제 범죄 위험으로부터 자유롭지 못하며 특히 OTP는 소유자가 타인에게 원격으로 알려줄 수 있다는 점에서도 불안감이 높다.

이에 2단계 인증방식에 대한 관심이 높아지고 있다. 대표적으로 애플 아이폰이 제공하는 아이클라우드(iCloud) 서비스는 3단계 인증절차를 사용자에게 요구해 보다 강도 높은 보안환경을 제공하고 있다. 대기업을 포함한 많은 기업에서도 내부 데이터 유출을 방지하기 위해 주로 2단계 인증 방법을 사용 중이다.

2단계 인증방안은 OTP, 생체인증(지문인식, 안면인식), FIDO(Fast Identity Online·생체인증 국제 표준 규격) 보안키 등이 해당한다. 기업 내 B2B(기업간 거래) 관련 보안은 내부 보안 전문가가 관련 솔루션을 제공하지만 SNS, 클라우드, 이메일 등 B2C(기업과 소비자간 거래) 관련 데이터는 개인 차원에서 보안 강화 방안을 위해 많은 주의를 기울여야 한다.

구글, 페이스북, 네이버 등 글로벌 기업의 직원은 FIDO 표준에 따른 보안키를 주로 사용한다. 2단계 인증 보안 수단인 FIDO는 USB, NFC, BLE 인터페이스를 지원하는 보안키를 제공하는데, 이는 노트북이나 스마트폰에 제시해야만 웹서비스 접근이 가능하다. 또한 지문이 적용된 2단계 인증 보안키는 지문 소유자만 원하는 서비스에 접근할 수 있는 한층 강화된 보안 아키텍처를 제공한다.

기존 OTP 외에 미국, 유럽에서 많이 사용되는 유비키(YubiKey)의 국내총판으로 지문 인증키, FIDO2 표준키를 제공 중인 인증보안 전문기업 ㈜에어큐브의 김유진 대표이사는 “구글은 유비키와 같은 보안키를 이용한 이중인증 방식을 도입한 2017년도부터 1년 동안 직원 8만 5000명 가운데 단 한 명도 계정 해킹 피해를 보지 않았다”며 “에어큐브의 V-FRONT 2단계 통합 인증플랫폼과 2단계 인증 보안키는 기업 및 개인의 클라우드 환경에서 강력한 계정보안을 제공한다”고 밝혔다.

에어큐브에 따르면 미국의 하드웨어 인증 장치 제조사 유비코(Yubico) 사가 개발한 유비키는 하드웨어 보안키(Security Key)로 USB 포트 연결 후 터치만 하면 OTP 값을 자동생성 및 입력해 로그인하고, 피싱 사이트를 방지하는 기능도 갖추고 있다.

일반 사용자도 2중 인증 보안키를 구매해 계정 로그인 설정에서 2단계 인증을 활성화하고 보안키를 등록하면 구글, 페이스북, 드롭박스, 윈도우, 마이크로소프트 등에 2차 인증 로그인 서비스를 사용할 수 있다.

박해식 동아닷컴 기자 pistols@donga.com