Home > 전체기사
트위터, 계정 강화 위한 이중 인증 옵션 세 가지로 늘려
  |  입력 : 2019-11-25 10:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
심 스와핑 공격으로 CEO까지 뚫려 망신 당한 트위터, 이중 인증 강화해
문자 메시지를 기반으로 한 기존 이중 인증 옵션에 더해 보안 앱과 보안 키 옵션까지


[보안뉴스 문가용 기자] 트위터가 전화번호를 필요로 하지 않는 이중 인증 옵션을 공개했다. 여태까지 트위터에서 이중 인증을 사용하려면 전화번호를 제출해야만 했다. 등록된 번호로 일회용 비밀번호가 전달되면, 그 정보를 활용해 로그인을 하도록 한 것이다.

[이미지 = iclickart]


하지만 트위터는 여기에 더해 두 가지 옵션을 더해 총 세 가지 옵션을 제공하기 시작했다.
1) 텍스트 메시지
2) 모바일 보안 앱
3) 보안 키

이 중 보안 키 옵션은 웹에서만 지원이 되기 때문에 텍스트 메시지나 보안 앱이 활성화 된 상태에서만 활용이 가능하다. “현재 보안 키 옵션은 웹 환경에서만 활성화시킬 수 있습니다. 따라서 텍스트 메시지나 보안 앱을 활용한 이중 인증 옵션이 전제되어 있어야만 사용이 가능합니다. 아직 완벽하다고 말하기 힘들지만, 빠르게 개선시킬 계획입니다.” 트위터의 보안 엔지니어인 제어드 밀러(Jared Miller)가 트위터로 밝힌 내용이다.

약간은 불완전하지만 새로운 다중 인증 옵션을 공개하며 트위터는 ‘이중 인증 설정 방법’에 관한 ‘헬프’ 항목도 변경했다. 인증용 보안 앱을 어떤 식으로 트위터와 연계해서 사용해야 하는지가 집중적으로 추가됐다고 한다.

트위터와 같은 대중 서비스가 이중 인증 옵션을 추가한 것은 꽤나 반가운 일이라고 평가받고 있다. 특히 미국의 NIST가 3년 전부터 문자 메시지를 기반으로 한 이중 인증이 안전하지 않다고 계속해서 알리고 있는 상황이라 더 그렇다.

게다가 올해에는 트위터의 CEO인 잭 도시(Jack Dorsey)가 문자 메시지를 기반으로 한 이중 인증을 공격하는 방법 중 하나인 심 스와핑 공격에 당해 계정을 탈취당하기도 했었다. 심 스와핑 공격이란 공격자들이 전화 통신사를 속여 공격 표적(이 경우 잭 도시)의 통신사 정보를 손에 쥔 뒤 심 카드에 이식시켜 일회용 비밀번호가 담긴 문자를 중간에서 가로채는 것을 말한다.

불행 중 다행으로 잭 도시를 공격한 자들은 그의 계정을 통해 불쾌한 트윗을 연속적으로 남기는 데에 그쳤다. 하지만 잭 도시와 트위터는 보안을 강화한다는 인상을 계속해서 남기고 있다가 사이버 공격에 뚫림으로써 조롱의 대상이 되어야 했다.

3줄 요약
1. 트위터, 기존 문자 기반 이중 인증 외 두 가지 이중 인증 옵션 추가.
2. 보안 앱을 사용하든가, 보안 키를 사용하든가, 이전처럼 문자를 사용하든가.
3. 보안 키 옵션은 아직 웹에서만 구동 가능. 향후 업그레이드 예정.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)