로그인 정보 보호하기

학습 목표

이 유닛을 완료하면 다음을 수행할 수 있습니다.

• 강력한 비밀번호를 만들 수 있습니다.
  
• 비밀번호 관리자 역할의 중요성에 대해 설명할 수 있습니다.
  
• 다단계 인증을 정의할 수 있습니다.
  

이 모듈은 Fortinet과 공동으로 제작되었습니다. Trailhead에서 파트너 컨텐츠에 대해 자세히 알아보세요.

강력한 비밀번호 만들기

데이터 유출을 통해 암호를 수집한 한 연구팀의 연구에 따르면 숫자 패턴과 'hello'라는 단어를 사용하는 것이 전 세계에서 사용하는 암호의 공통적인 경향이라는 사실이 발견되었습니다. '나는 사이버 범죄자들에게 그렇게 쉽게 당하진 않을거야!'라고 생각할 수도 있습니다. 가족 구성원의 이름, 좋아하는 음식, 심지어 좋아하는 색깔을 사용하여 비밀번호를 만들었으니 다른 사람들이 추측할 수 없다고 생각하시나요? 안타깝게도, 그러한 비밀번호 설정은 공격자들도 쉽게 간파할 수 있는 방식으로, 소셜 미디어와 공개 인터넷에서 여러분에 대해 조금만 조사하더라도 비밀번호를 쉽게 추측할 수 있습니다. 여러 계정에서 비밀번호를 재사용할 경우 이전에 발생한 보안 사고를 통해 다크 웹에서 비밀번호를 찾을 수도 있습니다. 그렇다면 어떻게 스스로를 보호할 수 있을까요? 

• 강력한 비밀번호를 만듭니다. 문자를 많이 사용할수록 공격자가 비밀번호를 해독하기가 어려워집니다. 긴 비밀번호를 사용하고(시스템마다 기술적으로 시행되는 비밀번호 요구 사항이 다름, 일반적으로 비밀번호가 길수록 공격자가 공격하기 어려움), 12345 또는 aaaaaa와 같은 일반적인 단어와 비밀번호, 순차적이고 반복적인 문자는 피합니다. 비밀번호에 본인, 사용자 이름 또는 액세스하는 서비스에 대한 식별 정보를 사용하지 마세요. 공격자가 여러분의 계정을 공격하는 것이 더 어려워집니다. 강력한 비밀번호를 만드는 한 가지 방법은 다음과 같은 문구의 일부인 노래 가사 또는 영화 대사를 선택하는 것입니다. InSuddenImpactfrom1983ClintsaysMakeMyDay@!
  
• 각 계정마다 고유 암호를 사용합니다. 더 많은 고유한 비밀번호를 만들수록 해커는 이를 추측하기 위해 더 열심히 노력해야 합니다. 여러 계정에 동일한 비밀번호를 재사용했다가 해킹을 당할 경우 모든 계정이 위험에 처할 수 있습니다.
  
• 비밀번호를 공유하지 않습니다. 비밀번호는 사용자 고유의 자산입니다. 누구도 여러분 비밀번호를 알 수 없습니다. 또한 안전하지 않은 장소에 보관하는 경우 실수로 공유할 수 있습니다. (접착식 메모지에 적어두지 마세요!)
  
• 공장 설정의 기본 사용자 이름 및 비밀번호를 변경합니다.
  
• 브라우저의 '비밀번호 저장' 기능에 주의합니다. 편리한 기능이지만 브라우저에 비밀번호를 저장하면 컴퓨터에 액세스하는 모든 사람에게 비밀번호가 노출될 수 있습니다.
  
• 공유 컴퓨터에서 로그아웃합니다. 공유 컴퓨터나 공용 컴퓨터에서는 항상 로그아웃하여 비밀번호가 저장되지 않도록 하여 다음 사용자가 액세스하지 못하도록 하세요.
  
• 암호 자동 채우기를 비활성화하는 것이 좋습니다. 자동 채우기는 편리할 수 있지만 다른 사람이 내 기기에 액세스할 경우 보안 위험이 발생할 수 있습니다.
  

이렇게 길고 고유한 비밀번호를 어떻게 만들고 기억해야 하는지 궁금하실 겁니다. 비밀번호 관리자가 필요한 부분입니다. 

비밀번호 관리자 사용하기

비밀번호 관리자는 인터넷 서핑 중에 비밀번호를 저장하고 기억하는 온라인 도구입니다. 비밀번호 관리자를 본인만 액세스할 수 있는 마스터 키에 의해 잠겨있는 모든 비밀번호에 대한 집과 같이 생각할 수 있습니다. 

비밀번호 관리자는 사용자가 선택한 브라우저에 거주하며 여러 계정에서 사용자를 위해 로그인 자격 증명을 작성합니다. 관리자 자체의 마스터 비밀번호(아주 강력한)를 하나만 기억하면 나머지를 처리합니다. 멋지지 않나요? 그러나 이러한 도구는 비밀번호만 저장하는 것이 아니라 강력한 비밀번호를 만드는 데도 유용합니다. 

수십 개의 비밀번호 관리자 중에 본인에게 맞는 관리자를 선택했다면 다음 단계에 따라 설정하세요. 

1. 사용자 가이드를 읽습니다: 시간을 내어 선택한 비밀번호 관리자의 사용자 가이드나 FAQ를 읽어 보고 모든 기능과 효과적인 사용 방법을 알아보세요.
   
2. 모든 계정에 대해 사용자 이름 및 비밀번호와 같은 자격 증명을 수집합니다. 먼저 기기 및 브라우저에 내장된 비밀번호 관리자를 확인하세요. 다음은 이메일 받은 편지함을 확인하세요. 정기적으로 이메일을 보내는 모든 회사에서 사용자 이름과 비밀번호를 가지고 있을 수 있습니다.
   
3. 비밀번호 관리자로 자격 증명을 가져옵니다. 몇 가지 방법을 시도해볼 수 있습니다. 가장 쉬운 방법은 새 비밀번호 관리자에서 자동 가져오기 도구를 이용하는 것입니다. 또한 시간이 지남에 따라 여러 사이트에 로그인할 경우 서비스에 비밀번호를 추가할 수도 있습니다. 또는 언제든지 계정 정보를 수동으로 입력할 수 있습니다.
   
4. 취약한 비밀번호를 업데이트합니다. 비밀번호 관리자에 모든 정보를 입력하면 계정에 약한 비밀번호가 있는지 검사합니다. 도구에 기본으로 내장된 비밀번호 생성기를 사용한 다음 계정 전체에서 업데이트하는 프로세스를 시작하세요.
   
5. 기기 간에 비밀번호 관리자를 동기화합니다. 많은 비밀번호 관리자가 여러 기기에서 동기화되므로 휴대폰이나 태블릿에서도 어디서나 비밀번호에 액세스할 수 있습니다.
   
6. 비밀번호 관리자를 정기적으로 업데이트합니다. 소프트웨어 업데이트에는 보안 패치가 포함되는 경우가 많습니다. 비밀번호 관리자가 자동으로 업데이트되도록 설정되어 있는지 확인하거나 수동으로 업데이트하세요.
   
7. 브라우저 확장 프로그램을 확인합니다. 일부 비밀번호 관리자는 로그인과 양식 채우기를 더 간편하게 할 수 있도록 브라우저 확장 프로그램을 제공합니다. 이러한 확장 프로그램은 신뢰할 수 있는 출처를 통해서만 설치하세요.
   

이러한 단계를 수행하여 모든 계정에서 강력하고 고유한 비밀번호를 만들 수 있습니다. 새 비밀번호 관리자 덕분에 기억에 의존할 필요가 없어집니다. 하지만 비밀번호는 여전히 유출될 수 있습니다. 이제 다단계 인증을 통해 보안을 더욱 강화할 수 있는 방법에 대해 살펴보겠습니다.  

다단계 인증 이해하기

온라인 계정에 로그인할 때 그렇게 안전하지 않은 방법은 사용자 이름과 대부분의 온라인 계정에 사용하는 익숙한 비밀번호를 입력하는 것입니다. 그러나 비밀번호를 사용하고 여러 계정에 비밀번호를 재사용하는 것만으로 공격자가 하나의 비밀번호를 알아내어 여러 계정을 간편하게 공격할 수 있게 만듭니다. MFA라고도 하는 다단계 인증을 사용하여 계정을 더 잘 보호할 수 있는 간편한 방법이 있습니다. 

다단계 인증은 계정에 로그인할 때 서로 다른 인증 유형의 인증 요소를 두 개 이상 제시해야 하는 보안 강화 방법입니다. 자격 증명은 다음 세 가지 범주 중 하나에 해당합니다. 

• 알고 있는 정보. 일반적인 사용자 이름 및 비밀번호 시나리오입니다. 여러분은 어떤 내용을 알고 있으며, 해당 정보를 넘겨 본인의 정보에 액세스할 수 있도록 합니다.
  
• 가지고 있는 것. 이 방법은 조금 더 까다롭습니다. 일반적으로 토큰의 형태는 숫자를 만들고 로그인 요청을 승인하도록 입력하라는 메시지를 표시하거나 배지 또는 직불 카드와 같은 카드를 입력하는 형태로 제공됩니다.
  
• 나에 대한 정보. 최근에 볼 수 있는 생체 인증 방법입니다. 사용되는 방법 중 일부는 지문, 얼굴 인식, 손 기하학, 망막 또는 홍채 스캔, 서명 및 음성 분석입니다. 여기에는 사용자의 움직임과 행동 방식에 대한 측정 또는 행동 특성도 포함됩니다. 이 기술은 백그라운드에서 작동하며 사용자의 행동을 지속적으로 모니터링하므로, 로그인을 시도할 때 사용자의 움직임만으로 사용자를 인식할 수 있습니다. 예시로는 키 입력(keystroke) 리듬, 마우스 사용 등이 있습니다.
  

ATM에서 은행 카드(가지고 있는 것)를 인식한 후 개인 식별 번호 또는 PIN을 입력한 경우(알고 있는 정보) MFA를 사용한 것입니다. 또 다른 예는 휴대전화로 숫자 코드를 전송하는 웹 사이트에 로그인한 다음 계정에 액세스하기 위해 입력하는 것입니다. 여기에서 권장하는 것은 벤더가 MFA 옵션을 가지고 있다면 비밀번호만 사용하는 것보다 더 안전할 것이라는 것입니다. 가능한 한, YubiKey 또는 시간 기반 일회용 비밀번호(TOTP) 와 같은 하드웨어 토큰을 사용하는 것이 가장 좋은 방법입니다. 공격자가 기기를 물리적으로 도용하지 않고는 유출하기 가장 어렵기 때문입니다. 이 항목을 사용할 수 없는 경우에도 SMS나 이메일을 두 번째 요소로 사용하는 것이 사용자 이름과 비밀번호만 사용하는 것보다 더 좋습니다. 

사실 비밀번호가 얼마나 강력한지는 중요하지 않습니다. 비밀번호 유출은 언제나 일어날 수 있습니다. 계정 중 하나가 해킹되면 중요한 정보에 사이버 범죄자가 접근할 수 있습니다. 중요: MFA를 활성화하여 지속적으로 더 높은 권한, 원격 액세스 및 가치 있는 자산이 있는 모든 계정에 대한 보호를 우선 순위로 설정하세요. 이렇게 하면 본인만이 이메일, 뱅킹, 소셜 미디어 및 로그인이 필요한 기타 서비스를 위해 계정에 액세스할 수 있게 됩니다. 다단계 인증에 대해 자세히 알아보려면 이 사이트를 확인하세요.

지식 평가

학습한 내용을 점검할 준비가 되셨나요? 아래의 지식 평가는 채점되지 않으며, 스스로 지식을 확인하는 간편한 방법일 뿐입니다. 시작하려면 왼쪽 열의 설명을 오른쪽의 일치하는 범주 아래로 드래그하세요. 모든 항목을 정렬한 경우 Submit(제출)을 클릭하여 결과를 확인합니다. 다시 시작하려면 Reset(초기화)을 클릭합니다.

잘하셨어요!

다음 유닛에서는 디지털 생활을 안전하게 유지하는 추가적인 방법, 특히 기기에 대해 살펴보겠습니다.  

리소스

• PDF: Verizon: 2023 데이터 유출 조사 보고서(가입 필요)
  
• 외부 사이트: Fortinet: 다단계 인증(MFA)
  
• 외부 사이트: Cyber News: 암호 관리자는 2023년에 사용하기 안전한가요?
  
• 외부 사이트: 미국 국립표준기술연구소: 기본으로 돌아가기: 다단계 인증(MFA)
  
• 외부 사이트: NIST 특별 간행물 800-63B: 디지털 ID 가이드라인
  
• 외부 사이트: Expert Insights: 사용자 인증의 미래: 행동 생체 인식 가이드