⚠️유출된 비밀번호가 있습니다

IT에 관심 있는 밀레니얼 세대를 위한 뉴스레터, 1 STEP입니다.

특집편에서는 궁금했던 IT 소식에 대해 알아가보는 시간입니다.

멀게만 느껴졌던 IT 분야에 한 걸음 한 걸음 나아갈 수 있도록, 1 STEP과 함께해요! 😉

최근, 교원 임용시험을 준비하던 수험생이 지인에게 아이디를 해킹당해 원서 접수를 취소당한 사건이 있었습니다. 원서 접수 사이트가 아이디와 비밀번호만 알면 별도의 본인 인증 절차 없이 로그인을 할 수 있었기 때문에, 피해자가 다른 사이트와 동일한 아이디를 사용하는 점을 악용해 해킹한 겁니다. 다행히 범인은 검거되었지만, 가해자의 악의적인 해킹으로 인해 피해자는 수년간 준비했던 시험을 치르지 못했습니다.

계정 해킹 피해는 우리 주변에서도 자주 일어나고 있습니다. OTT 서비스인 넷플릭스의 경우, 계정을 해킹한 후 계정을 몰래 팔아버리고, 요금은 피해자에게 그대로 부과하는 경우가 있었습니다. 또한 2019년, 디즈니 플러스가 서비스를 시작하자마자 사용자들의 계정이 해킹되어 거래되고 있다는 논란도 있었죠. 해커들은 프로그램이나 웹사이트의 사용자 정보를 해킹해 다크웹에서 단돈 몇 달러에 판매하고 있는데요, 이렇게 판매된 불법 정보들은 피싱 공격이나 2차 사이버 공격에 악용되고 있어 주의가 필요합니다.

사용자가 해킹에 노출된 이유를 살펴보니, 사용자 중 상당수가 다른 사이트와 같은 암호를 사용하였기 때문입니다. 암호 관리 프로그램 lastpass의 조사에 따르면, 모든 계정에 똑같은 비밀번호를 쓰는 사용자는 전체의 59%에 이른다고 합니다. 한번 등록한 비밀번호를 거의 바꾸지 않고, 데이터 유출 사고가 발생한 후에도 비밀번호를 그대로 사용하는 비율도 매우 높습니다.

지난 수년간 야후, 디즈니+, 페이스북 등 유명 웹사이트에서 대규모의 비밀번호 유출 사고가 이어졌지만, 이미 손에 익숙해진 비밀번호를 바꾸기는 쉽지 않습니다. 하지만 그러다 한 사이트의 암호가 유출되면 같은 아이디를 사용하는 다른 사이트도 속속무책으로 뚫리게 되므로 주의해야 합니다.

내 계정과 개인정보가 해킹되는 것을 막으려면, 1) 주기적으로 비밀번호를 변경하고, 2) 사이트나 서비스별로 다른 비밀번호를 사용하고 3) 서비스가 문자 메시지 확인, 앱 인증 등 이중 인증을 지원한다면 반드시 사용하는 게 좋습니다.

⚠️ 구글 : 유출된 비밀번호가 있습니다.

내 계정이 해킹될까 걱정스러우시다면, '구글 계정-비밀번호 관리자'에서 간단하게 비밀번호 진단을 할 수 있습니다. 구글 계정은 사용자가 등록해 놓은 타사 웹사이트의 로그인 정보 중, 데이터 유출로 인해 노출된 비밀번호가 있으면 알림을 보냅니다. 위 페이지에서 동일한 비밀번호를 사용하는 사이트의 비밀번호를 변경하고, 관리할 수 있습니다. (개별 사이트의 로그인이 필요합니다.)

비밀번호가 유출되었다면, 사이트마다 일일이 비밀번호를 변경해야 합니다. 생일이나 전화번호가 포함되어 유추하기 쉽거나, 'a12345678'같이 보안에 취약한 비밀번호, 여러 계정에서 공통으로 사용하는 비밀번호는 사이트마다 다른 비밀번호를 사용하면 계정을 보다 안전하게 사용할 수 있습니다.

보안을 위해서 비밀번호를 변경해도, 수많은 사이트의 다양한 비밀번호를 다 어떻게 기억할까요?😥 미래의 나를 위해 종이나 휴대폰 메모장에 적어 놓아도, 해킹의 위험은 여전합니다. 웹·모바일 브라우저나 구글 계정, iCloud 키체인에 사이트별 아이디, 비밀번호를 저장하고 자동 로그인을 해놓아도 누군가 기기 잠금을 해제하거나, 구글 계정에 접근할 수 있거나, 클라이언트 단계*에서 해킹을 당하면 개인정보는 물론, 저장된 비밀번호를 통째로 빼낼 수 있어 위험합니다. 그래서 일부 사용자들은 암호 관리 프로그램을 선호하죠.

*클라이언트 : 메신저나 인터넷 기반 서비스 프로그램 등, 개인 사용자의 컴퓨터에 설치된 웹 브라우저나 프로그램

🤔 암호 관리 프로그램, 구글 계정 비밀번호 저장이나 iCloud 키체인과 뭐가 다를까요?

암호 관리 프로그램으로는 enpass, safe-in-cloud, bitwarden이 유명한데요, 그중에서도 오픈소스 프로그램이며, 무료로 iOS, 윈도우, 브라우저 등 다양한 플랫폼에서 사용할 수 있는 bitwarden을 직접 사용해 보았습니다. 광고 아니니 안심하세요! 😉

🛡️ Bitwarden

Bitwarden은 무료로 윈도우, 맥OS, 크롬, 사파리, 핸드폰 등 여러 환경에서 로그인 정보를 동기화하고, 256비트로 암호화하여 계정 정보를 저장할 수 있는 프로그램입니다. 사용자 본인만이 데이터에 접근할 수 있어, Bitwarden 팀 멤버조차 사용자의 데이터를 읽을 수 없습니다. 오픈 소스 소프트웨어로, GitHub에 소스 코드가 공개되어 있어 모든 사람이 악성코드나 백도어 여부가 있는지 감시할 수 있습니다.

원래는 개인 NAS*나 Docker**가 있어야 사용 가능했지만, 이제는 Bitwarden 웹사이트를 이용해 쉽게 계정을 만들고, 크롬 플러그인을 이용해 사이트의 비밀번호를 관리하고 생성할 수 있습니다. 구글 계정에 저장된 계정 정보를 추출해 동기화할 수 있고, 매번 변경되는 암호 생성기가 있어 계정을 만들 때도, 암호를 바꿀 때도 암호를 미리 생성한 후 동기화할 수 있습니다.

*NAS : 컴퓨터에 직접 연결하지 않고 네트워크를 통해 데이터를 주고받는 저장장치**Docker : 리눅스의 응용 프로그램들을 소프트웨어 컨테이너 안에 배치시키는 일을 자동화하는 오픈 소스 프로젝트

윈도우의 PIN, Windows Hello 얼굴 인식을 지원하고, 맥OS, iOS의 터치ID와 페이스 ID, 안드로이드의 지문 인식이나 얼굴 인식을 지원합니다. 사이트에 로그인할 때마다 얼굴 인식+암호 관리 프로그램+비밀번호로 3중 보안을 할 수 있죠.

어떻게 사용하는지 궁금하시다면, Bitwarden 크롬 플러그인 사용 영상을 참고하세요.

🔐 결국은, 2단계 인증

위에서 보았던 해킹 사례와, 구글 계정이나 iCloud 키체인이 가진 취약점을 보완할 수 있는 수단은 2단계 인증입니다. 아이디와 비밀번호를 입력하는 1차 인증과 함께 이메일, 문자메시지, 애플리케이션, 생체 인식 등 다양한 수단을 활용해 추가적인 인증을 거치는 방식으로 이뤄지며, 최근에는 스마트폰을 기반으로 하는 2단계 인증을 주로 사용하죠.

2단계 인증을 설정할 경우 비밀번호가 노출되더라도 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있습니다. 또한, 사용자 입장에서도 자신이 로그인을 시도하지 않았을 때 2차 인증과 관련한 메시지를 받을 경우 자신의 비밀번호가 노출됐다는 사실을 인지할 수 있습니다. 이러한 이유에서 네이버, 카카오톡, 구글, 마이크로소프트 등 많은 기업이 2단계 인증 기능을 갖춰 사용자를 보호하고 있습니다.

📚 TL;DR | 요약

구독자님의 계정 보안 상태는 어떤가요? 네이버, 구글, 학교나 회사 계정, 자주 들어가는 카페나 웹사이트의 비밀번호가 다 똑같진 않나요? 마지막으로 비밀번호를 바꾼 게 언제인가요? 2단계 인증, 사용하고 계신가요?

🔖 1분 지식 | 요새 핫한 인싸들의 앱, Clubhouse🎉

클럽하우스는 누구나 방을 만들어 지인을 초대하고, 해당 방에 관심 있는 사람들이 자유롭게 참여할 수 있는 디지털 라디오입니다. IT, 비즈니스, 음악, 문화, 투자, 정치 등의 다양한 분야에 활동하는 유명인들이 참여함으로써 이들의 팬들에게도 더불어 주목을 받고 있죠.

특정 주제와 셀럽의 이야기를 듣기에 기능이 최적화되어있는데요, 앱을 실행하면 현재 개설된 다양한 주제의 방과 팔로워 중에서 현재 클럽하우스 방에 참여한 사람들의 명단을 볼 수 있습니다. 라디오처럼 그 시간대에 열리는 관심 분야의 방에 들어갈 수 있어 이용자들이 함께 수다, 잡담, 토론을 하는데 최적화되어 있죠.

현재 베타 버전에서는 지인으로부터 초대장을 받아 가입이 승인되면 나에게도 2장의 초대권이 와서 다시 지인을 초청할 수 있는 구조입니다. 초대장이 없어도, 서로 연락처를 가지고 있는 지인이 가입하고 승인을 기다릴 때 이미 사용하고 있는 사용자가 'Let them in'을 눌러서 가입을 승인해줄 수 있죠. iOS에서만 이용할 수 있으며, 런칭한지 1년도 안 되었는데도 현재 1조 정도의 가치로 평가되고 있습니다.

🎙️ 짤막 인터뷰 with Go Lee

6일, 고리 님이 "인스타그램은 이제 안녕, 클럽하우스 앱에서 만나요" 하면서 클럽하우스 앱으로 SNS를 옮겼는데요, 고리 님과의 짧은 인터뷰를 준비해 보았습니다.

Q. 인스타그램에서 클럽하우스로 계정을 옮기셨던데요?

평소 사진을 잘 찍지 않는 편이라 이미지 공유 중심의 플랫폼인 인스타그램의 사용이 굉장히 뜸했는데요. 팟캐스트 헤비유저로서 음성 커뮤니케이션이 메인으로 다루어지는 클럽하우스에 큰 매력을 느껴, 소통용 플랫폼을 옮기기로 결심했습니다.

Q. 클럽 룸에서 대화룸을 열어 보셨나요?

오픈은 부담스러워서 가까운 지인들과의 closed 룸만 열어 이야기를 나누어 보았습니다.

Q. 향후 클럽하우스에서 대화 룸을 여신다면?

아직은 이야기를 듣는 리스너 입장이 더 편하고 재밌어서 딱히 대화 룸을 열고 싶은 생각은 없지만, 만약 대화 룸을 열게 된다면 아무래도 XXIT(여성 IT 커뮤니티) 관련된 주제나 관심 기술 공유라는 주제에 초점을 둘 것 같습니다.

향후 고리 님이 여실 대화 룸과 주제가 굉장히 기대되는데요, 클럽하우스 하시는 구독자분이 계시면 @goleedev와 @aimbbb를 추가하시고, 저희의 추후 행보를 기대해 주세요! 😉

오늘 뉴스레터, 어떠셨나요?

피드백은 1 STEP이 더 좋은 콘텐츠를 고민하고 만드는 데 큰 도움이 됩니다.

오늘의 아쉬웠던 점, 칭찬, 주제 건의는 여기에서 부탁드려요 👐