티스토리 뷰

Web

Dropbox 2차 보안(OTP) 활성화 하기

taehwan 2014. 1. 13. 21:37
728x90

OTP(One-Time Password)

 OTP는 One-Time Password의 약자로 1 회성 비밀번호입니다. 1 회성 비밀번호를 제공하기 때문에 한번만 사용가능하고, 동일한 번호에 대해서는 이후에 사용이 불가능 합니다. 이 인증 방식은 S/KEY 방식, 챌린지 응답 방식, 이벤트 동기화 방식 그리고 시간 동기화 방식 4가지가 존재합니다. wiki 백과를 참고하시면 되겠습니다. 그 중 가장 많이 사용되는 시간 동기화 방식을 간단하게 소개하도록 하겠습니다.


시간 동기화 방식

 OTP를 생성하는 방법 중 시간을 이용하는 방식입니다. 클라이언트는 현재의 시각을 기준으로 OTP 번호를 생성하고, 서버에서도 같은 방식으로 OTP 번호를 생성하여, 일치 여부를 판가름하게 되는 방법입니다. 1~2분 정도의 시간 간격으로 번호가 생성되게 됩니다.

 별도의 암호화 키가 필요치 않고, 시간을 기준으로 동작화 하기에 다른 3가지 방식에 비해서 안전하며, 스마트폰 등에서도 쉽게 사용이 가능하여 저렴한 비용으로 사용할 수 있다는 장점이 있습니다.


 이번 글에서는 Dropbox에서 2 차 인증을 추가하는 방법을 소개하려고 합니다. Google에서 만든 Authenticator을 사용하여 간단하게 2차 인증 방법을 추가하는 방법을 살펴보겠습니다.



한국의 은행들의 OTP

 그외 국내의 은행들이 기존 1장 짜리 보안키 36개의 번호가 한장의 카드에 들어있습니다. 이를 악용한 피싱 사이트들이 많이 있습니다. 이 번호는 1회성이 아닌 계속 사용할 수 있다는 문제가 있습니다. 원래 은행에서는 이 보안카드의 앞번호 2자리와 뒷번호 2자리만을 요구하지만 이 피싱사이트들은 모든 보안카드의 번호를 요구하게 됩니다. 이 번호를 다 입력하면 소멸되는것이 아닌 계속 사용이 가능하다는 보안상의 문제가 있습니다.


 그래서 발급이 가능한 OTP 매체가 존재합니다. 이 매체는 덩치가 큰것도 있고, 단순히 카드만한 크기의 OTP도 있습니다. 저는 우리은행에서 발급해주는 카드형 OTP를 타사의 은행에 모두 등록하여 사용하고 있습니다. One-Time Password로써 유효기간은 화면이 들어오지 않을 때까지 사용이 가능합니다. 다른 OTP에 비해서 가격이 들어가긴 하지만 항상 소지하고 다닐 수 있는 장점이 있는 OTP 입니다. 이런 OTP 들이 외국의 사이트들처럼 저런 프로그램 하나로도 충분해 보이지만... 한국의 이상한? 보안 시스템에 따라서 하지 않는것 같습니다. 해킹은 2개다 가능할탠데 말이죠.



 원래 구글의 2차 인증 글을 먼저 작성하려고 했으나 최근에 2차 인증을 등록한 Dropbox를 먼저 작성하기로 하였습니다. 추후에 Google의 2차 인증 하는 방법도 작성하도록 하겠습니다.


구글 2차보안 설정하기 : http://thdev.net/547



Dropbox의 2차 인증

 https://www.dropbox.com/account#newsecurity

 위의 주소로 접속하면 Dropbox의 2차 인증을 진행할 수 있습니다. 아래의 2차 보안을 활성화 하면 됩니다.


 2차 보안인증을 할려면 비밀번호를 한번더 입력해야합니다. 그리고 아래와 같이 2가지 인증 방식을 선택할 수 있습니다. 왼쪽은 매번 텍스트 메시지를 받아서 인증하는 방식이고, 오른쪽은 mobile app을 통해서 인증을 받는 방식입니다. 저는 2 번째 mobile app을 통해 인증하는 방식을 사용하고 있습니다. 그 프로그램은 Google에서 만든 Authenticator을 사용하고있습니다. 등록하는 방법도 mobile app을 통한 방법이 text messages를 통한 방법보다 더 간단합니다.



 mobile app을 통한 방법은 아래와 같이 QR코드 한장을 제공해줍니다. 이 QR코드를 통한 인증방법을 사용하면 간단하게 인증이 가능합니다. 또는 secret key를 직접 입력하여 등록이 가능합니다.


Google의 Authenticator

 Google의 Authenticator - play storehttp://bit.thdev.net/1iGQlXC

 Google의 Authenticator - iOShttp://bit.thdev.net/1eOCKLl

 

 위의 주소를 통해 앱을 설치할 수 있습니다. 해당 어플의 메뉴에서 "계정 설정" 버튼의 barcode를 통해서 등록하시면 됩니다. 등록하면 해당 어플에 Time-base로 OTP가 생성됩니다. 해당 어플은 1분에 한번씩 코드를 생성하게 됩니다.


등록이 완료되면 1회성 번호 6자리를 입력하시면 됩니다.


 백업 번호를 받을 폰번호를 등록하시면 되지만 옵션입니다.


백업 키는 아래 12자리 키가 생성됩니다. 이 키는 복구를 위한 키입니다.


 2차 비밀번호가 등록되면 활성화 되었다고 표시되며, 현재 사용중인 앱과 백업 휴대폰 번호가 보여지게 됩니다. 복구 코드 역시 새로 생성이 가능합니다. 이 코드는 모두 OTP 번호를 잃어버리면 사용할 수 없으니 백업키도 잘 보관해두셔야 합니다.


마무리

 간단하게 Dropbox의 2차 비밀번호인 OTP를 등록하는 방법과 OTP가 무엇인지를 살펴보았습니다. 해외에는 상당 부분 Google에서 서비스하는 Authenticator을 사용하고 있습니다. 해당 어플은 안드로이드, iOS 모두 사용가능합니다. 2차 비밀번호를 등록함으로 인해서 비밀번호 조금더 안전하게 사용이 가능하다는 장점이 있습니다. 단순히 비밀번호 노출 이될 수 있으니 이런 추가 적인 방법을 통해 보안을 해두시는게 안전하다고 생각됩니다. 다음 글에서는 Google의 2차 보안키 생성 방법을 살펴보겠습니다.


구글 2차보안 설정하기 : http://thdev.net/547



댓글