다중 인증으로 계정을 안전하게 보호하는 방법

이 글은 35년의 기술 경력을 가진 기업가 하이디 포터의 의견 기고문입니다.

사용자 보안

보안 및 데이터 유출에 관한 이전 기사에서 우리는 비트코인 계정 및 보호하고자 하는 다른 계정에 대한 다중 인증(MFA)의 필요성에 대해 논의했습니다.

해킹은 계속 발생할 것이며, 계정이 손상되거나 사람들이 악의적인 사이트로 전송되어 확인된 소프트웨어 대신 악성 코드를 우연히 다운로드하는 경우가 있을 것입니다.

이 기사는 귀하의 계정, 노드 및 앱에 대한 보다 탄력적인 사용자 보안에 관한 일련의 기사 중 첫 번째입니다. 우리는 또한 더 나은 이메일 옵션, 더 나은 비밀번호 및 가상 사설망(VPN)의 더 나은 사용에 대해 다룰 것입니다.

현실은 어떤 시스템에서도 온라인 금융 거래에서 완전히 안전할 수 없다는 것입니다. 그러나 더 강력한 보안을 위한 보다 탄력적인 도구 세트와 모범 사례를 구현할 수 있습니다.

다중 인증(MFA)이란 무엇이며 왜 중요할까요?

사이버 보안 및 인프라 보안 기관에 따르면, “다중 인증은 시스템이 사용자가 로그인하기 위해 사용자의 신원을 확인하기 위해 두 개 이상의 자격 증명의 조합을 제시하도록 요구하는 데이터 및 애플리케이션 보안을 위한 계층적 접근 방식입니다.”

온라인 계정에 로그인할 때 우리는 종종 추가 검증 계층 또는 잠금을 사용하여 공격자나 해커를 저지하려고 합니다.

자신의 집과 비교할 때, 여러 개의 잠금 장치는 더 많은 보안을 제공합니다. 하나의 인증 방식이 좋다면, 두 개의 인증 방식(즉, MFA)은 더 나을 수 있습니다.

생체 인증만 사용하는 경우, 이는 단일 인증입니다. 사용하는 생체 정보의 종류에 따라 다릅니다: 지문, 홍채, 얼굴 인식 등. 비밀번호 없이 하드웨어 키 하나만 사용하는 경우도 단일 인증입니다.

그러나 생체 인증이나 키가 두 번째 요소로 사용되면 다중 인증의 목표를 충족할 수 있으며 많은 앱 기반 MFA보다 더 안전할 수 있습니다.

MFA를 사용하려면 다음 세 가지 인증 메커니즘 중 최소 2개를 사용해야 합니다:

• 당신이 아는 것(비밀번호, PIN 등)
• 당신이 가진 것(코드, 장치)
• 당신이 누구인지(지문 또는 기타 생체 정보)

MFA를 어디에 사용해야 하며 어떤 종류의 MFA를 사용해야 하나요?

MFA를 사용하려면 최소 두 개의 인증 메커니즘이 필요합니다.

최소한, 다음에 대해 MFA를 설정해야 합니다:

• 비트코인 거래소(구매 후 가능한 한 빨리 자금을 인출하세요).
• 비트코인 노드 및 채굴기.
• 비트코인 및 라이트닝 지갑.
• RTL 또는 Thunderhub과 같은 라이트닝 앱.
• Voltage 계정과 같은 클라우드 제공업체.

참고: 각 계정 또는 애플리케이션은 사용 중인 MFA 유형을 지원해야 하며, MFA를 계정 또는 애플리케이션에 등록해야 합니다.

MFA 제공업체는 종종 다음과 같은 덜 안전한 옵션을 포함합니다:

• SMS, 전화 또는 이메일 일회용 비밀번호(OTP) 또는 시간 기반 일회용 비밀번호(TOTP)
• 모바일 푸시 기반 인증(적절히 관리되면 더 안전함).

MFA 제공업체는 때때로 다음과 같은 더 안전한 옵션도 포함합니다:

• 인증기 앱.
• 생체 인증.
• 하드웨어 키.
• 스마트 카드.

대부분의 전통적인 금융 기관이 사용하는 MFA 유형은 무엇일까요? 보통 덜 안전한 MFA 옵션 중 하나입니다. 그렇지만, MFA를 위한 인증기 앱과 하드웨어 키는 모두 동일하게 만들어지지 않습니다.

MFA와 마케팅 잘못된 정보

먼저, MFA의 마케팅에 대해 이야기해 보겠습니다. MFA 제공업체가 해킹이 불가능하거나 99% 해킹이 불가능하다고 주장한다면, 그들은 다중 인증에 대한 허위 정보를 퍼뜨리고 있으며 다른 제공업체를 찾아야 합니다. 모든 MFA는 해킹될 수 있습니다. 목표는 덜 해킹 가능하고 피싱에 저항하며 더 탄력적인 MFA를 갖는 것입니다.

전화번호를 등록하면 MFA가 SIM 스와핑에 취약해집니다. MFA에 좋은 백업 메커니즘이 없다면, 해당 MFA 옵션은 손실에 취약합니다.

일부 MFA는 더 해킹 가능성이 높습니다.

일부 MFA는 더 추적 가능성이 높습니다.

일부 MFA는 백업이 가능하거나 불가능합니다.

일부 MFA는 특정 환경에서 접근 가능성이 높거나 낮습니다.

덜 해킹 가능하고 추적 가능한 MFA

다중 인증은 인증기 앱, 스마트 카드 또는 Yubikey와 같은 하드웨어 키를 사용하여 더 안전하게 수행됩니다.

그렇다면 앱 기반 또는 하드웨어 MFA를 사용하고 있다면 괜찮은 건가요? 아닙니다. 앱 기반 또는 하드웨어 MFA를 사용하더라도 모든 인증기 앱과 하드웨어 장치가 동일하게 만들어지지 않습니다. 가장 인기 있는 인증기 앱과 그들의 추적, 해킹 및 백업과 관련된 취약성을 살펴보겠습니다.

• Twilio Authy는 전화번호를 요구하며, 이는 SIM 카드 스와핑을 통해 손상될 수 있습니다. 초기 설정은 SMS입니다. 참고: 최근 Twilio의 내부 데이터 유출 사건을 고려할 때 Authy에 대해 얼마나 편안하신가요?
• Microsoft Authenticator는 전화번호를 요구하지 않지만, iCloud에 백업되어 Android로 전송할 수 없습니다.
• Google Authenticator도 전화번호를 요구하지 않지만, 온라인 백업이 없으며 한 전화에서 다른 전화로만 전송할 수 있습니다.

게다가, 이러한 모든 앱은 일부에서 덜 탄력적이며 피싱 또는 중간자 공격(MITM)에 취약하다고 간주됩니다.

계정과 재정이 손상될 수 있는 방법

“사람들은 귀중한 데이터와 시스템을 보호하기 위해 가능한 한 피싱 저항 MFA를 사용해야 합니다.” – 로저 A. 그라임스, 사이버 보안 전문가이자 “다중 인증 해킹”의 저자

많은 금융 및 데이터 회사와 마찬가지로 비트코인 회사도 공격자가 고객의 이메일 주소와 전화번호를 얻은 여러 데이터 유출의 표적이 되었습니다.

이러한 유출이 없더라도, 누군가의 이메일 주소와 전화번호를 찾는 것은 특히 어렵지 않습니다(이전 기사에서 언급했듯이, 비트코인 계정에 대해 별도의 이메일과 전화번호를 사용하는 것이 모범 사례입니다).

이 이메일을 통해 공격자는 피싱 공격을 수행하고 로그인 자격 증명을 가로챌 수 있습니다: 비밀번호와 다중 인증을 모두 사용하여 계정에 대한 두 번째 인증 요소로 사용한 것입니다.

전형적인 MITM 피싱 공격 프로세스를 살펴보겠습니다:

1. 링크를 클릭하거나 QR 코드를 스캔하면 접근하려는 합법적인 사이트와 매우 유사한 사이트로 전송됩니다.
2. 로그인 자격 증명을 입력한 후 MFA 코드를 입력하라는 메시지가 표시됩니다.
3. 공격자는 합법적인 사이트에 대한 성공적인 인증을 위한 접근 세션 토큰을 캡처합니다. 당신은 심지어 유효한 사이트로 리디렉션되어 해킹당했다는 사실을 알지 못할 수도 있습니다(세션 토큰은 일반적으로 해당 세션에만 유효합니다).
4. 공격자는 귀하의 계정에 접근할 수 있습니다.

덧붙여서, 지갑이나 거래소에서 인출 시 MFA를 연결해 두는 것이 중요합니다. 편리함은 보안의 적입니다.

피싱 저항 MFA

피싱에 저항하기 위해서는 MFA가 인증기 보증 수준 3(AAL3) 솔루션이어야 합니다. AAL3는 AAL2를 넘어서는 여러 새로운 요구 사항을 도입하며, 가장 중요한 것은 하드웨어 기반 인증기의 사용입니다. 추가로 요구되는 인증 특성이 몇 가지 있습니다:

• 검증자 사칭 저항.
• 검증자 손상 저항.
• 인증 의도.

빠른 신원 온라인 2(FIDO2)는 AAL3 솔루션입니다. 다양한 FIDO 표준에 대한 세부 사항은 이 기사의 범위를 넘어가지만, “FIDO, FIDO2 및 WebAuthn에 대한 완벽한 가이드”에서 조금 읽어볼 수 있습니다. 로저 그라임스는 2022년 3월 그의 LinkedIn 기사 “내가 추천하는 강력한 MFA 목록”에서 다음 AAL3 수준 MFA 제공업체를 추천했습니다.

중요한 참고 사항: 개인적으로 이들 모두를 사용해 보지는 않았지만, 비트코인 구축자나 비트코인 회사는 제3자 제공업체나 통합 제공업체에 어떤 종류의 MFA 제공업체를 사용하는지에 대한 세부 정보를 요청하고 피싱 저항이 되는지 확인해야 한다고 믿습니다. 

MFA 하드웨어 키 및 스마트 카드

Yubikey와 같은 하드웨어 키는 덜 해킹 가능한 MFA 형태입니다. 또한, 전화번호가 키에 연결되어 있지 않기 때문에 덜 추적 가능합니다. (저는 Yubikey를 사용합니다). 입력하는 생성된 코드 대신, 하드웨어 키의 버튼을 눌러 인증합니다. 하드웨어 키는 신원을 확인하기 위한 고유 코드를 생성하는 데 사용됩니다.

하드웨어 키에 대한 두 가지 주의 사항이 있습니다:

• 귀하의 앱이 하드웨어 키를 지원해야 합니다.
• 하드웨어 키를 잃어버리거나 손상할 수 있습니다. 많은 서비스에서 두 개 이상의 하드웨어 키를 구성할 수 있도록 허용합니다. 하나를 잃어버리면 예비 키를 사용할 수 있습니다.

스마트 카드는 유사한 피싱 저항을 가진 또 다른 형태의 MFA입니다. 비트코인이나 라이트닝 관련 MFA에 사용될 가능성이 낮아 보이므로 여기서 자세히 다루지는 않겠습니다.

모바일: 제한된 공간에서는 하드웨어 장치가 필요합니다

다중 인증에 대한 또 다른 고려 사항은 MFA가 필요하지만 휴대폰이나 스마트폰을 사용할 수 없는 상황에 처할 수 있는지 여부입니다.

비트코인 사용자에게 이러한 일이 발생할 수 있는 두 가지 주요 이유가 있습니다:

• 셀룰러 신호가 낮거나 없음
• 스마트폰이 없거나 사용할 수 없음

고객 대면 작업 환경이나 개인적 선호로 인해 휴대폰 사용에 대한 다른 제한이 있을 수 있습니다. 콜센터, K-12 학교 또는 연구 및 개발 실험실과 같은 고안전 환경은 전화 사용이 제한되는 일부 영역이며, 따라서 전화 인증기 앱을 사용할 수 없습니다.

이러한 특별한 경우에 컴퓨터를 사용하고 스마트폰이 없다면, MFA를 위해 스마트 카드나 하드웨어 키가 필요합니다. 또한, 귀하의 애플리케이션이 이러한 하드웨어 옵션을 지원해야 합니다.

또한, 직장에서 휴대폰을 사용할 수 없다면, 어떻게 휴식 시간에 화장실에서 비트코인을 쌓을 수 있을까요?

더 탄력적인 MFA를 향하여

MFA는 해킹될 수 있으며 귀하의 계정이 손상될 수 있습니다. 그러나 더 탄력적이고 피싱 저항 MFA로 자신을 더 잘 보호할 수 있습니다. 또한, 전화번호와 연결되지 않고 적절한 백업 메커니즘이나 예비 키를 가질 수 있는 MFA를 선택할 수 있습니다.

사이버 공격에 대한 지속적인 방어는 계속되는 고양이와 쥐의 게임 또는 두더지 잡기와 같습니다. 귀하의 목표는 덜 해킹 가능하고 덜 추적 가능해지는 것입니다.

추가 자료:

• “다중 인증”
• “디지털 아이덴티티 가이드라인”
• “쉽게 피싱될 수 있는 MFA를 사용하지 마세요, 그것이 대부분의 MFA입니다”
• “다중 인증을 우회하는 해킹 및 MFA 솔루션을 피싱 저항으로 만드는 방법”
• “MFA로 모바일 제한 환경을 보호하기 위한 모범 사례”

이 글은 하이디 포터의 게스트 포스트입니다. 표현된 의견은 전적으로 그들의 것이며 BTC Inc. 또는 비트코인 매거진의 의견을 반드시 반영하지는 않습니다.