비밀번호 관리 및 이중 인증(2FA)

*상태: 레벨 1

대상: 모든 멤버 — 기초 보안 위생*

비밀번호 위생은 귀하가 할 수 있는 가장 수익률이 높은 단일 보안 투자입니다. 자격 증명 손상(취약한 비밀번호, 재사용된 비밀번호, 피싱, 데이터 유출)은 활동가, 언론인 및 일반인의 계정이 탈취되는 가장 일반적인 방식입니다. 이 가이드는 비밀번호 관리자, 강력한 비밀번호 생성 및 가장 취약한 것부터 가장 강력한 것까지 모든 형태의 이중 인증을 다룹니다.

1. 비밀번호 문제

비밀번호를 직접 관리할 수 없는 이유

일반적인 사람은 100개 이상의 온라인 계정을 가지고 있습니다. 인간의 뇌는 다음을 수행할 수 없습니다:

진정으로 무작위적이고 고유한 비밀번호 생성
100개 이상의 각기 다른 복잡한 비밀번호 기억
그중 어떤 비밀번호가 데이터 유출로 노출되었는지 파악

일반적인 실패 유형:

비밀번호 재사용: 여러 사이트에서 동일한 비밀번호를 사용한다는 것은 한 사이트가 뚫리면(모든 주요 사이트가 결국 뚫리듯이) 해당 비밀번호를 사용하는 모든 계정이 손상됨을 의미합니다.
취약한 비밀번호: “Summer2024!”는 대부분의 사이트 요구 사항을 통과하지만 최신 도구를 사용하면 몇 초 만에 해독할 수 있습니다.
예측 가능한 패턴: “Password1!”, “P@ssw0rd”, 이름+생일 — 모두 공격자의 단어 목록(wordlists)에 있습니다.

해결책: 비밀번호 관리자

비밀번호 관리자는 모든 사이트에 대해 길고 무작위적이며 고유한 비밀번호를 생성, 저장 및 자동 입력합니다. 귀하는 마스터 비밀번호 하나만 기억하면 되고, 관리자가 나머지를 처리합니다.

2. 비밀번호 관리자 옵션

2.1 Bitwarden (대부분의 사용자에게 권장)

무엇인가: 무료 및 유료 등급이 있는 오픈 소스, 감사를 거친 교차 플랫폼 비밀번호 관리자입니다.

권장 이유:

오픈 소스 — 코드를 공개적으로 감사할 수 있습니다.
영지식(Zero-knowledge) 아키텍처 — Bitwarden은 귀하의 비밀번호를 절대 볼 수 없으며, 동기화되기 전에 귀하의 기기에서 암호화됩니다.
독립적인 보안 감사가 공개적으로 발표됩니다.
무료 등급에 대부분의 사용자가 필요로 하는 모든 것이 포함되어 있습니다.
iOS, Android, Windows, Mac, Linux 및 브라우저 확장 프로그램으로 작동합니다.

설정:

안전한 이메일 주소를 사용하여 bitwarden.com에서 계정을 만듭니다.
모든 기기와 브라우저에 설치합니다.
길고(16자 이상) 기억하기 쉬우며 고유한 마스터 비밀번호를 생성합니다 — 암호 구문(passphrase)이 효과적입니다 (“correct-horse-battery-staple” 방식).
즉시 Bitwarden 계정에서 이중 인증을 활성화합니다 (섹션 3 참조).
다른 관리자를 사용한 적이 있다면 기존 비밀번호를 가져오거나, 로그인할 때마다 계정을 추가합니다.

자체 호스팅 옵션: Vaultwarden을 사용하여 Bitwarden을 자체 호스팅할 수 있습니다 — 제어력 극대화, 타사 서버 없음. 약간의 기술적 설정이 필요합니다.

2.2 KeePassXC (고위험 사용자에게 권장)

무엇인가: 오픈 소스, 오프라인 전용 비밀번호 관리자입니다. 금고를 암호화된 로컬 파일로 저장합니다.

선택하는 이유:

클라우드 동기화 없음 — 귀하가 명시적으로 복사하지 않는 한 금고는 기기를 벗어나지 않습니다.
오픈 소스이며 광범위한 감사를 받았습니다.
에어갭(air-gapped) 설정이나 클라우드 제공업체를 신뢰하지 않는 사람들에게 이상적입니다.

트레이드오프: 기기 간 동기화(예: 암호화된 USB 드라이브 또는 Syncthing을 통해)를 수동으로 관리해야 합니다. 더 많은 노력이 필요하지만 통제력은 더 큽니다.

2.3 1Password

강력한 보안 실적을 보유하고 널리 사용되는 상용 옵션입니다. 오픈 소스가 아닙니다. 강력한 팀/조직 비밀번호 공유 기능이 필요한 경우 좋습니다.

2.4 사용하지 말아야 할 것

브라우저 내장 비밀번호 관리자 (Chrome, Firefox, Safari): 덜 중요한 계정에는 허용되지만 Google/Apple/Mozilla 계정에 묶여 있으며 전용 관리자의 감사 추적, 정리 또는 교차 플랫폼 기능을 제공하지 않습니다.
스프레드시트 또는 텍스트 파일: 절대 안 됩니다. 암호화된 파일조차도 취약합니다.
오직 당신의 기억력: 확장성이 없으며 진정으로 무작위적인 비밀번호를 생성할 수 없습니다.

3. 비밀번호 모범 사례

강력한 비밀번호 생성

무작위 비밀번호 (대부분의 계정): 비밀번호 관리자의 생성기를 사용하십시오. 다음과 같이 구성하십시오:

길이: 20자 이상
포함: 대문자, 소문자, 숫자, 기호
사이트에서 요구하는 경우에만 모호한 문자를 제외

암호 구문 / Passphrases (마스터 비밀번호, 기기 잠금 해제): 암호 구문은 무작위 단어의 시퀀스입니다:

예: turbine-oracle-glacier-8-lamp
단어 길이: 최소 5개, 중요한 용도에는 6~7개
단어 무작위 생성기(Diceware 방법론)를 사용하십시오 — 본인이 선택한 단어가 아닌 진정한 무작위 단어.
비밀번호 관리자 없이 키보드로 입력하기가 더 쉽습니다.
개별 단어는 단순해 보일지라도 길이가 길기 때문에 강력합니다.

비밀번호 위생을 위한 계정 우선순위

다음 순서대로 처리하십시오:

이메일 계정 (가장 중요함 — 이메일은 다른 모든 계정의 복구 수단입니다)
비밀번호 관리자의 마스터 비밀번호
은행 및 금융 계정
법률 및 의료 계정
조직 계정 (조직 이메일, 공유 플랫폼)
소셜 미디어 (대외적 노출; 손상 시 평판 하락 유발)
그 외 모든 것

유출 모니터링

haveibeenpwned.com: 알려진 데이터 유출에 귀하의 이메일이 등장했는지 확인하십시오. 모든 이메일 주소를 확인하십시오.
Bitwarden 프리미엄에는 저장된 비밀번호에 대한 자동 유출 모니터링이 포함되어 있습니다.
비밀번호가 유출된 경우 해당 비밀번호가 사용된 모든 곳에서 즉시 변경하십시오.

4. 이중 인증 (2FA)

이중 인증은 비밀번호를 넘어선 두 번째 확인 단계를 추가합니다. 비밀번호가 노출되더라도 공격자는 두 번째 요소 없이는 계정에 액세스할 수 없습니다.

4.1 2FA 방법: 가장 약한 것부터 가장 강한 것까지

⚠️ SMS/문자 메시지 (민감한 계정에는 피할 것)

전화번호로 코드가 문자로 전송됩니다.
SIM 스와핑 공격에 취약: 공격자가 통신사를 속여 귀하의 번호를 자신의 SIM으로 전송하게 하여 귀하의 모든 SMS를 수신합니다.
SS7 공격에 취약: 공격자가 전 세계적으로 SMS를 가로채기 위해 통신 인프라를 악용합니다.
더 강력한 옵션이 없을 때만 사용하십시오. 이메일, 비밀번호 관리자 또는 민감한 조직 계정에는 절대 사용하지 마십시오.

✓ 시간 기반 일회용 비밀번호(TOTP) 앱 (좋음)

앱에서 30초마다 변경되는 6자리 코드를 생성합니다.
코드는 로컬에서 생성됩니다 — SMS 없음, 통신사 의존성 없음.
SIM 스와핑 공격은 TOTP에 통하지 않습니다.
여전히 피싱에 취약합니다 (공격자가 비밀번호와 TOTP를 실시간으로 캡처하는 가짜 로그인 페이지를 생성함).

권장 TOTP 앱:

Aegis Authenticator (Android): 오픈 소스, 암호화된 백업, 현재 Android를 위한 최상의 옵션
Raivo OTP (iOS): 오픈 소스, iCloud 백업(암호화됨)
Bitwarden Authenticator: Bitwarden과 통합됨 — 편리하지만 2FA와 비밀번호가 동일한 금고에 있음을 의미합니다 (약간의 보안 절충).
피해야 할 것: Google OTP (내보내기 불가), Authy (독점적, 일부 우려 사항)

설정: 사이트에서 TOTP 2FA(“인증 앱”)를 제공하면 QR 코드가 표시됩니다. TOTP 앱으로 스캔합니다. 사이트에서 제공하는 백업 코드를 비밀번호 관리자나 암호화된 금고에 저장하십시오.

✓✓ 하드웨어 보안 키 (최고)

인증하기 위해 누르는 물리적 USB 또는 NFC 기기(YubiKey, Google Titan)입니다.
피싱에 면역 — 키는 특정 웹사이트 도메인에 연결된 암호화를 사용합니다; 가짜 사이트에서는 사용할 수 없습니다.
SIM 스와핑에 면역 — 완전히 오프라인 인증입니다.
네트워크 기반 가로채기에 면역입니다.

권장 하드웨어 키:

YubiKey 5 시리즈: 업계 표준. USB-A, USB-C 또는 NFC를 통해 작동합니다. FIDO2/WebAuthn 및 TOTP를 지원합니다. 기본용 하나, 백업용 하나로 두 개를 구입하십시오.
Google Titan Key: USB-A, USB-C 및 Bluetooth 버전으로 제공되는 훌륭한 Google의 대안입니다.

하드웨어 키 사용처:

비밀번호 관리자 (Bitwarden, 1Password)
이메일 (Gmail, Proton Mail, Fastmail)
GitHub, GitLab
FIDO2/WebAuthn을 지원하는 모든 서비스

제한 사항: 모든 사이트가 하드웨어 키를 지원하는 것은 아닙니다. 하드웨어 키가 지원되지 않는 곳에서는 TOTP를 사용하십시오.

5. 피싱 방어

2FA는 피싱 위험을 크게 줄이지만 완전히 제거하지는 못합니다. 하드웨어 키는 가장 효과적인 피싱 대응책입니다.

피싱의 위험 신호 (Red flags):

올바른 것처럼 보이지만 실제로는 그렇지 않은 주소의 이메일 (support@paypal.com vs. support@paypa1.com)
긴급한 어조 (“24시간 내에 계정이 정지됩니다”)
올바른 것처럼 보이지만 도메인이 다른 페이지로의 링크 (paypal.com.security-update.net)
예상치 못한 첨부파일, 특히 .zip, .doc, .pdf, .exe

피싱 방어하기:

민감한 계정에 대한 이메일 링크는 절대 클릭하지 마십시오. 브라우저에 URL을 직접 입력하거나 북마크를 사용하십시오.
자격 증명을 입력하기 전에 브라우저 표시줄의 URL을 확인하십시오. 정확한 도메인을 찾으십시오 (signal.org.login.com이 아닌 signal.org).
하드웨어 키를 사용하십시오 — 하드웨어 키는 피싱 사이트에 대한 인증을 거부합니다.
다른 사람들에게 경고할 수 있도록 조직에 피싱을 신고하십시오.

6. 조직을 위한 비밀번호 관리자

조직이 자격 증명(예: 공유 소셜 미디어 계정, 공유 서버)을 공유하는 경우 조직용 비밀번호 관리자가 필요합니다:

Bitwarden Organizations: 특정 자격 증명을 특정 팀원과 공유할 수 있으며 전체 감사 로그(audit logs)를 제공합니다. 소규모 팀은 무료 등급으로 처리할 수 있습니다.
1Password Teams: 우수한 관리 제어 기능을 갖춘 강력한 옵션입니다.
Vaultwarden (자체 호스팅 Bitwarden): 완전한 제어, 클라우드 의존성 없음, 기술적 설정이 필요합니다.

핵심 조직 관행:

비밀번호를 구두로 또는 Signal을 통해 공유하지 마십시오 — 비밀번호 관리자의 공유 기능을 사용하십시오.
구성원이 떠나거나 신뢰가 변하면 즉시 액세스 권한을 취소하십시오.
감사 로그를 사용하여 비정상적인 액세스 패턴을 모니터링하십시오.
모든 조직 계정에 2FA를 활성화하십시오. 이를 의무 정책으로 만드십시오.

이 가이드는 법률적 조언을 구성하지 않습니다. 법률은 관할 구역마다 다릅니다.

← 목차로 돌아가기