작성일 : 19-04-16 13:18
[보안뉴스] 업데이트 : “이중인증이 이중인증이 아닐 때” 애플 아이클라우드 인증의 보안 구멍 , How To : 안드로이드에서 VPN 사용하는 방법
 글쓴이 : happy
조회 : 2  

업데이트 : “이중인증이 이중인증이 아닐 때” 애플 아이클라우드 인증의 보안 구멍

Macworld
*2019년 4월 16일 업데이트 : 애플은 이 문제가 아이클라우드의 이중인증 시스템 때문이 아니라 브라우저가 처리되는 방식 때문이라고 설명했다. 애플 대변인은 브라우저는 별도의 신뢰할 수 있는 디바이스로 인식된다고 설명했다.

아이클라우드 계정과 애플 디바이스 간의 이중인증은 다른 디바이스와 계정 간의 이중인증과 매우 다르다. 애플 방식으로 아이폰이나 맥의 이중인증은 사용자가 소유한 디바이스에 종속되어 있고, 시스템 설정은 이론적으로 물리적인 시큐리티 키(security key)만큼 안전하다. 다만, 그렇지 않을 때가 있다.

예를 들어보자. 아이클라우드나 애플 뮤직 계정에 아이폰에서 로그인하려고 하면 먼저 암호를 입력해야 한다. 암호를 입력하면 신뢰할 수 있는 디바이스, 즉, 아이패드와 같은 디바이스로 전송된 코드를 입력해야 한다. 아이패드에서 누군가 자신의 계정에 로그인을 시도하고 있으며, 허용할 것인지를 묻는 창이 나타난다. 허용을 탭하면 6자리 코드가 나타나는데, 이것을 다시 아이폰의 코드 입력 창에 넣으면 된다.

코드를 받지 못하면(때때로 발생하는 현상) SMS 코드나 아이폰의 설정앱 혹은 환경 설정에서 생성되는 하나를 사용할 수 있다. 아이폰에서 아이클라우드 이름을 탭하거나 맥에서 계정 정보를 탭한 다음 ‘암호 및 보안’을 탭하고 ‘확인 코드 받기’를 탭하면 된다. 6자리 코드가 나타나면 이를 다른 디바이스를 통해 입력해서 인증할 수 있다.

애플이 기본적인 이중인증을 지원하는 것으로 보이며, 신뢰할 수 있는 디바이스를 우선순위에 두는 시스템에는 결함이 없다. 1대 이상의 iOS 디바이스를 사용할 때 최적이다. 두 번째 디바이스를 추가해서 사용자가 알고 있는 것(암호)과 사용자가 소유한 것(디바이스)를 결합하는 것은 진정한 이중인증이다.
 

애플 이중인증 시스템의 구멍

하지만 애플 디바이스를 1대만 갖고 있다면, 문제가 된다. 예를 들어, 아이폰이 유일한 애플 디바이스라고 한다면, 이중인증을 위해 SMS를 사용할 수밖에 없다. 애플이 신뢰할 수 있는 디바이스를 아이폰, 아이패드, 아이팟 터치(iOS 9 이후), OS X 엘 캐피탄 이후로 한정했기 때문에 다른 애플 디바이스로 코드를 받을 수 없다. 즉, PC, 크롬북, 안드로이드 폰 등을 사용할 수 없다는 것이며, 이런 제약은 매우 크다. 아이클라우드에 설정 앱으로 로그인하기 때문에 내장된 인증 탭도 사용할 수 없다.
 
브라우저로 아이클라우드 계정에 로그인해야 할 때 이중인증 코드는 같은 디바이스로 전송된다. ⓒ IDG

이중인증을 통해 기술적으로 계정과 서비스를 보호한다지만, 이는 최소한의 보호 방법이다. 텍스트 기반으로 전송되는 코드들은 스푸핑과 탈취에 취약하다는 점이 잘 알려져 있다. 대부분의 안드로이드 사용자들이 휴대폰에 2가지 옵션이 있다는 점을 인정하지만, 최소한 이들은 생체 인증을 위한 인증 앱을 다운로드할 수 있다. 애플은 아이클라우드를 위한 하드웨어 보안 키를 지원하지 않기 때문에 두 번째 애플 디바이스를 쓰는 것 외에 대안은 없다.

애플 디바이스 한대로 아이클라우드 이중인증을 사용하게 되면 웹에서 계정을 관리해야 할 때 결함이 발생한다. 애플 ID 계정 페이지에서 암호를 넣고 로그인을 하면, 애플은 자동으로 이중인증 코드를 입력하라는 창을 띄운다.

근데 이 코드는 신뢰할 수 있는 디바이스로만 전달이 되는데, 여기에는 현재 사용 중인 디바이스도 포함된다. 맥에서 사파리를 사용하고 있다면 이중인증 코드가 같은 창에서 나타나기 때문에 맥을 도난당한 경우 민감한 데이터를 취약하게 만들 수 있는 요소다. 맥을 훔쳐 간 사람이 계정에 로그인하기 위해 필요한 것은 암호뿐이기 때문이다.

애플은 이 문제에 대해 아이클라우드의 이중인증 시스템이 아니라 브라우저가 처리되는 방식에 따른 것이라고 해명했다. 한 대변인은 아이클라우드 이중인증에서는 브라우저가 별도의 신뢰할 수 있는 디바이스로 처리되며, 이 때문에 현재 사용 중인 같은 디바이스로 코드가 전송되는 것이라고 설명했다. 이해가 되는 부분이지만, 여전히 보안 구멍은 맞으며 애플의 강력한 이중인증 시스템을 덜 안정한 단일 인증 시스템으로 만든다. editor@itworld.co.kr


How To : 안드로이드에서 VPN 사용하는 방법

인터넷을 사용하지만 궁극의 개인정보 보호를 원한다면 VPN이 필요하다. 안드로이드 기기에서 VPN을 사용하는 방법을 알아보자. 



VPN(Virtual Private Networks)은 자국에서 방문할 수 없는 웹사이트에 접속할 수 있을뿐만 아니라 디지털 염탐꾼으로부터 자신을 보호하는 데 유용한 방법이다. 

오늘날 사람들은 온라인 생활의 대부분을 스마트폰과 태블릿을 통해 살아간다. 안드로이드 용 노드VPN(NordVPN)이나 익스프레스VPN(ExpressVPN)과 같은 VPN 애플리케이션 및 서비스가 많이 있다. VPN을 설치하고 실행하는 것은 놀랍도록 간단하며, 작동 원리는 다음에서 설명한다. 


VPN이란 무엇인가 

이름에서 알 수 있듯이 VPN은 두 지점 간 송수신된 모든 데이터를 암호화하는 소프트웨어 기반의 연결이다. 사용자는 자신의 정보를 훔치려는 해커의 위협 없이 퍼블릭 와이파이, 호텔 인터넷, 또는 잠재적으로 안전하지 않은 네트워크를 사용하기 위해 종종 VPN을 사용한다. 
 

VPN의 또 다른 효과는 컴퓨터 위치를 위장해 실제로 런던의 커피숍에 앉아 있으면서도 미국 LA에서 로그인한 것처럼 보일 수 있다는 것이다. VPN은 여러 곳에서 유용하게 쓰일 수 있다. 우선 ISP와 정부가 사용자의 온라인 활동을 모니터할 수 없기 때문에 훌륭한 개인정보 보호 기능을 제공한다. 두번째로 넷플릭스(Netflix)와 같은 서비스에 대한 지역 제한을 피할 수 있다. 후자에 대한 자세한 내용은 지역 필터에 의해 차단된 유튜브 동영상 보는 방법을 참조하자.

안드로이드 기기에서 VPN을 실행하는 것은 매우 쉽다. 우선 다운로드 할 파일을 하나 선택하자. 무료 또는 구독 기반 2가지 유형의 서비스를 사용할 수 있다. 

무료라는 것은 엄청난 매력이긴 하지만 몇 가지 위험을 감수해야 한다. 일반적으로 사용자의 데이터는 서드파티에게 판매되거나 사용중인 VPN 서버의 대역폭을 지불하기 위한 광고가 표시된다. 따라서 서비스를 사용하기 전에 모든 서비스의 개인정보취급방침을 읽어보는 것이 좋다. 물론 지루하겠지만, 개인정보보호가 VPN에 있어서는 가장 중요한 일이기 때문이다. 
  
VPN 서비스 비용을 지불하는 것이 좋으며, 가격은 한달에 4,000원~1만 4,000원 수준이다. 대부분 체험 서비스나 환불 서비스를 보장한다. 
 

이번 기사에서는 익스프레스VPN을 사용해 VPN을 시작하고 실행하는 방법을 설명한다. 먼저 구글 플레이 스토어로 이동해 익스프레스VPN을 검색하라. 앱을 다운로드하거나 설치 프로세스가 완료되면 열기 버튼을 탭하라. 

계정을 설정해야 하기 때문에 무료 체험 시작하기를 선택하고 이메일 주소를 입력하라. 체험 서비스는 7일 동안 지속되며, 그 기간 동안 모든 서비스를 이용할 수 있다. 기간이 지난 후 계속 사용하려면 구독해야 한다. 

대부분의 유료 VPN은 여러 장치를 지원하는데, 익스프레스 VPN의 경우, 전화기, 태블릿, PC를 3대를 동시에 사용할 수 있다. VPN을 구성할 수 있는 권한이 필요할 수도 있지만, 보통은 OK 버튼을 누른 다음, 프로세스가 자동으로 연결 요청하는 데 동의하면 된다. 
 

마지막 옵션은 VPN 공유가 보고서 및 기타 기술 데이터를 개발자에게 알려주는 것이다. 이는 익명으로 전달되며, 시스템이 어떻게 이행되는지 모니터하는 데 도움이 된다. 이 정보를 보내려면 허용에 탭하면 되고, 그렇게 하기 싫다면 허용하지 않음을 선택하면 된다.

이제 계정을 만들면 VPN을 통한 인터넷을 탐색할 수 있다. 실제로 VPN을 사용하는 것은 큰 전원 버튼을 누르는 것만큼 쉽다. 

앱을 열면 중앙에 큰 버튼이 표시된다. 해당 버튼은 VPN을 켜고 끄는 데 사용된다. 그 아래에는 권장 서버 위치가 표시되는데, 위치 선택 버튼을 눌러 변경할 수 있다. 
 

위치 선택 버튼은 다른 국가의 넷플릭스를 보고싶을 때 사용하는데, 해당 국가의 서버를 선택하기만 하면 된다. 때로는 특정 서버에 트래픽이 많거나 멀리 떨어져 있어 문제가 발생할 수 있으므로 연결 속도가 느린 경우 편리하다. VPN 속도를 높이고 싶다면 How-To : VPN 속도를 높이는 5가지 방법을 참조하라. 

버튼을 누르거나 국가를 선택하면, 버튼 주변에 녹색 방패가 표시된다. 이제 일반 브라우저에서 자유롭게 사용할 수 있다. 모든 인터넷 활동을 감시 활동으로부터 숨길 수 있다. 알림 표시 줄에 VPN 아이콘이 표시된다. 이 아이콘은 VPN이 실행 중임을 나타내며 연결을 암호화한다. 
 

물론 페이스북이나 유튜브에 로그인하면 사이트 자체가 자신을 알게 되고 자신의 행동이 기록되지만, 일반적인 서핑이나 온라인 엔터테인먼트에서는 실질적으로 익명으로 표시된다. 

연결 속도가 느려지는 것을 느낄 수도 있다. 이는 데이터의 암호화 및 재라우팅 때문에 불가피한 현상이지만 최소한이어야 한다. 너무 느리다면 서버를 전환해야 한다. VPN 사용을 비공개로 유지하려는 특정 활동만으로 제한할 수도 있다. 

작업이 끝나면 앱으로 돌아가서 다시 온/오프 버튼을 누르면 자신의 기기는 정상 연결 상태로 돌아간다. editor@itworld.co.kr