lastpass 의 보안강화 방법

lastpass 같은 암호관리 프로그램/사이트 는 매우 유용합니다.

사실 여러 사이트를 가입해서 쓰다보면 그 사이트들의 암호를 일일이 관리해 주는것도 쉬운일이 아니거든요. 사실 암호는 어느정도 주기적으로 교체해 주는게 좋은데 그렇게 정기적으로 교체되는 암호들을 일일이 기억한다는건 사실 거의 불가능합니다.

하지만 lastpass 같은 사이트를 이용하는것 또한 위험성은 존재합니다. lastpass 의 암호가 누출된다면 나머지 암호들도 모두 유출되기 때문이죠.

물론 대부분 충분히 조심해서 암호를 관리하겠지만 그렇다고 해도 언제나 만약의 경우가 있는거니까요.

때문에 lastpass 도 이에 대한 대비책을 몇가지 마련해 두고 있습니다. 이번엔 그에대해 좀 적어볼까 합니다.

---

보안강화를 위해 lastpass 는 암호외에 별도의 2번째 인증방법을 하나 더 사용할 수 있습니다. 그 방법을 간단하게 적어 보겠습니다. 사실 lastpass 사이트에서 찾아보면 다 나오는 내용이긴 합니다만.....

1. Yubikey 를 이용하는 방법

yubikey는 OTP 발생기의 일종입니다. usb 메모리에 연결해 사용하는 기기고요.

OTP는 One Time Password 의 약자로 특정한 알고리즘에 의해 일시적인 암호를 생성해 내는 기계입니다. 따라서 사용자의 아이디, 패스워드와 OTP 암호를 이용해서 계정을 보호하는 겁니다.

사실 이 방법이 가장 편하면서도 강력한 보호방법으로 생각되지만 문제는 국내에서 yubikey를 구하긴 어렵다는게 문제입니다. 그리고 이 서비스를 이용하려면 유료서비스를 이용해야 합니다. 1년에 $12 이니 그렇게 부담되는 비용은 아닙니다만....


위는 lastpass 에서 올려놓은 yubikey 사용법에 대한 설명입니다. 영어로 설명하지만 대충 화면만 봐도 사용법은 간단히 알 수 있을겁니다.

2. Sesame 을 이용한 방법

위의 yubikey는 별도로 $25 정도에 구입해야 하는 물건입니다.

이 방법은 그런 별도의 비용부담 없이 사용할 수 있는 방법입니다. 별도의 usb 메모리에 sesame 프로그램을 설치하고 그 프로그램을 이용해서 One Time Password 를 부여받아 사용합니다.

sesame 프로그램은 윈도우용과 맥용, 리눅스용이 모두 준비되어 있습니다.
yubikey를 이용하는 방법보단 좀 번거롭지만 usb 메모리는 다들 하나씩 있으실테니 별도의 비용부담은 없겠죠. 하지만 이 역시 유료서비스를 이용해야 사용할 수 있습니다.



sesame 이용 방법동영상 입니다.

3. Grid 인증을 이용한 방법

위의 2방법은 상당히 강력하긴 하지만 유료서비스를 이용할 경우에 사용할 수 있는 방법들입니다. 그에 비해 이 방법은 무료서비스를 이용하는 경우에도 쓸 수 있어서 사실 대부분은 사용자들은 이 방법이 최선의 방법이 될겁니다.

이 방법은 국내은행에서 쓰는 보안카드 입력방법과 비슷한 방법입니다.
해당 방법을 사용하겠다고 설정해 준 후에, 해당 Grid 를 인쇄하거나 파일을 다운받습니다. 그러면 로그인할때 해당 Grid 의 값을 요구하는 화면이 하나 추가되고 해당 값을 입력해서 로그인 하는 방식입니다.



위의 lastpass 에서 올린 유튜브 동영상을 보시면 확실한 사용법을 보실수 있습니다.

화면을 보면 알수 있지만 사실 이 방법을 매번 로그인할때 사용하는건 보안성은 좋을지 몰라도 너무 번거롭습니다. 그래서 이 방법을 써서 로그인할때 이 컴퓨터를 신뢰한다라는 부분에 체크를 해 놓으면 그 컴퓨터는 신뢰되는 컴퓨터로 등록이 되고 신뢰되는 컴퓨터로 등록된 컴퓨터에선 로그인할때 더이상 Grid 인증을 요구하지 않게 됩니다.

집이 아닌 다른곳에서 로그인 할때나 그럴때 바이러스나 키로거로 인해 비밀번호가 유출된다고 해도 Grid 인증이 필요하므로 조금 더 안전하게 사용할 수 있습니다.
외부에서 너무 Grid를 많이 사용했다 싶으면 Grid 인증 설정하는곳에서 초기화 시켜주면 새로운 Grid 를 쓸 수 있습니다. 물론 바뀐 Grid 는 새로 인쇄해 둬야 됩니다.

* 주의 할 점

위에서 설명한 방법을 적용하기전에 한가지 먼저 해둬야 하는 일이있습니다. 등록된 이메일 비밀번호를 확실히 기억해야 한다는 것입니다.

위 방법을 적용할때 문제점은 ybikey의 경우 고장날수도 있고, sesame의 경우 프로그램을 설치하고 등록해놓은 usb 메모리가 고장난다거나 분실했을 수도 있고, Grid 인증의 경우 인쇄해놓은 Grid를 잃어버릴 수도 있습니다.

이런경우 로그인 자체가 불가능하게 됩니다. 때문에 이를 복구하기위해 별도의 2번째 인증을 할때보면 2번째 인증을 더이상 이용하지 않도록 하는 링크가 존재합니다. 문제가 생겼을때는 일단 2번째 인증방법을 제외해야 일단 로그인이 가능하니까요.

이때 이메일을 사용합니다.
만일 2번째 인증을 하지않도록 요구했을 경우 이메일을 받을 수 있고 그 이메일에 2번째 인증을 제외할 수 있는 링크가 있어 이를 이용해 해당기능을 정지할 수 있습니다.

하지만 이메일암호를 모른다면 2번째 인증을 제외할 수 없으니 해당 lastpass 계정은 더이상 이용할 수 없을수도 있게 됩니다.

lastpass 를 이용하면 대부분의 암호는 lastpass 에게 맞겨도 되지만 lastpass 를 로그인할때 쓰는 등록된 이메일 암호만은 반드시 기억해 두시길 바랍니다.
물론 lastpass 암호를 잊었을때 암호에 대한 힌트메일을 받기 위해서라도 이메일 암호만큼은 반드시 따로 기억해 둬야 합니다만....

---

위의 보안과는 좀 다르지만 One Time Password 에 대해 간단히 이야기 할까 합니다. 여기서 이용하는 One Time Password는 위에서 이야기 한것과는 조금 다른 용도로 사용하는 것입니다.

여기서 말하는것은 로그인할때 단 한번만 이용할 수 있는 암호를 생성해서 사용하는 것입니다. 이 암호는 단 한번만 사용할 수 있고 일단 한번 사용한 이후는 폐기되어 다시 사용할 수 없습니다.

용도는 내 컴퓨터가 아닌 다른 컴퓨터에서 lastpass 를 이용할때 사용하는 것입니다. 가령 게임방에서 lastpass 를 사용하자면 걱정이 되지 않을 수 없습니다. 해당 컴퓨터에 키로거가 설치되어 있다면 비밀번호가 고스란히 노출되는 것 이니까요. 이럴때 One Time Password를 생성해 적어뒀다면 안심하고 쓸 수 있게 됩니다. 해당비밀번호는 한번만 쓸 수 있으므로 노출된다고 해도 다시 사용할 수 없으니까요.



lastpass 에서 올린 One Time Password 사용법 동영상 입니다.

---

lastpass 같은 사이트는 분명 유용하지만 그와 더불어 사용에 주의도 기울여야 합니다. 따라서 위와같은 2차적 보안장치는 가급적 사용하기를 권장합니다.

물론 개인의 컴퓨터의 보안에도 신경써야 한다는것은 너무도 당연한 것이고요.

암호를 만들때도 주의를 기울일 필요가 있습니다. 외국의 사례이긴 합니다만 가장 흔한 암호가 "123456" 이라던가 "qwert" 라던가(키보드 영어 윗줄을 보시면 압니다) 하는 이야기를 보면 웃기기도하고, 걱정되기도 하고 그렇습니다.

암호를 만들때는 영어 대문자와 소문자를 섞어서 만드시고 숫자와 특수문자도 넣어주면 좋습니다.
특수문자까지는 외우기 힘들어 어렵다고 하신다면..... 최소한 영어 대문자와 소문자를 섞어서 사용하기만 해도 보안성은 상당히 올라간다고 하니 참고하시길 바랍니다.


아무리 조심한다고 해도 위험이 제로가 될수는 없습니다. 하지만 그렇다고 인터넷을 안쓸수도 없는 것이니 가급적 안전하게 쓰도록 노력해야 겠죠. 최소한의 보안의식은 스스로 갖출 필요가 있습니다.