거래소와 지갑에 있는 암호화폐(비트코인, 이더리움, 스팀 등)을 보호하는 첫번째 수단 OTP의 "허와 실" / 이것만은 꼭 확인해보자.."OTP백업"
오늘은 전자화폐 이해하기의 번외편으로 국내/외 거래소 뿐아니라, 부분적으로는 설치형 전자지갑, 국내 모든 금융기관이라 해도 빠지지 않을만큼 보편화 되어 있는 추가 인증 수단인 OTP(One Time Password)에 대해서 이야기 드리고자 합니다.
항상 제 이야기를 통해 공감과 지식에 앞에 많은 분들이 실제 유용하게 사용할 수 있는 정보가 되고자 하는 목적으로 설명 드리고자 합니다. (최대한 깊이 있는 기술의 내용은 배제 합니다.)
ID(아이디 혹은 계정), Password(비밀번호)이라는 인증방법은 약 20여년 전 이상도 더 거슬러 올라 가는 본인인증, 혹은 신분인증을 위한 최소한의 방법으로 이야기 드릴 수 있습니다.
(IT전문서, 암호학관련서, 기타 전문문서나 참고자료를 보면, 늘 엘리스와 밥을 거론하며, 무결성, 가용성, 어쩌구 저쩌구, 부인방지가 어떻게 성립이 됩니다. 라는 용어들이 등장합니다. )
이런 이론적인 이야기를 드리고자 함은 아닙니다.
- "ID/PW" 가 왜 필요 할까요??
지금 생각하시는 그 이유에서가 맞습니다. 내가 아닌 다른사람의 내 정보나 내 자산에 접근하게 하지 못하게 위해서 입니다. 반대로 나, 본인 스스로만 스스로 접근 할 수 있도록 하기 위함입니다. 그렇다면, PW(비밀번호)가 노출되었다면 어떨까요?? 끔직합니다. 노출된 비밀번호로 아둥바둥 모아놓은 수개 혹은 수십개의 비트코인이 사라진다??? 끔찍, 또 끔찍 일수 있습니다.
비밀번호가 노출되어도, 제목에서 언급한 OTP와 같은 추가인증수단(통상 멀티팩트 인증, 또는 다중팩트 인증이라 하여 MFA, 2FA등의 표현을 사용합니다.)을 이용하면, 큰 위험에서 많은 부분에서의 위험성을 제거 할 수 있습니다. (물론 다중인증의 방법에는 OTP외에서 SMS인증, ARS인증 등 다양한 인증수단이 존재 합니다. )
하지만 여기서 한번더 고민해 봐야 할 것이 있습니다. "OTP의 형태 입니다." OTP의 최초 등장무렵에는 작고 가벼운(휴대의 편리성을 고려하여)책과 같은형태, 카드 타입형태, 토큰형태, 그리고 최근 보편화된 App 형태로 구분 할 수 있습니다.
- 만약, OTP를 분실 했다면 어떻게 할까요?? 혹은 정상 동작을 하지 않는다면?? 어떻게 해야 할까요??
가장 단순한 방법은 그것을 발급해준 곳으로 찾아 갈수 있습니다. 하지만 그게 가깝지 않은 곳이거나, 국외? 혹은 알수 없다면 어떻게 해야 할까요? 해결책이 쉽지 않으실 것입니다.
그래서 보통(일반적인 경우 대부분) OTP를 발급시, 분실이나 회손에 대비하여 복구키나 복구방법을 제시하고 백업해 둘것을 강조 합니다. 또는 두가지 이상의 다중인증 방법을 선택해 둘것을 권장합니다. (필수사항은 아님).. 그럼에도 많은 분들이, 웹사이트에 가입할 때, 약관을 읽지 않고 동의하고 넘어 가는것과 같이 멀티인증(다중인증)만큼은 십중팔구 개개인의 금융자산과 관련있기 때문에 미루거나, 귀찮아 해서는 안될 것입니다.
- 다중인증(OTP 등)을 사용하는것이 그렇지 않는것 보다 안전한 방법임에는 틀림없는 사실이다.
- 다중인증을 등록하는 경우 가능한 두가지 이상의 방법을 선택하자
- 다중인증 사용시 가장 중요한것은 복구키 백업을 반드시 해두자
오늘의 드리고자 하는 핵심입니다. 첫번째는 큰 이견 없이 공감하시리라 생각 듭니다. 두번째도, 대부분의 경우 큰 이견은 없으실 것 같습니다. 저희들에게 익숙한 국내/해외 거래소의 경우 대부분 ARS, SMS-OTP, Email-OTP, Google-OTP 를 지원합니다. 가능한 하나 이상의 다중 인증을 등록하여 만약를 위해 대비 하시길 권장 드립니다.
세번째 입니다. 다중인증을 사용하고, 어쩔수 없이 한가지의 다중인증을 사용한다면, 무슨일이 있어도 반드시 반드시 복구키를 잘 보관하자 입니다. 국내거래소나 국내 금융기관이라면, 정말 하다 하다 안되겠다 싶으면 찾아 가면 됩니다. 하지만 폴로닉스, 비트렉스?? 어떻게 해야 할까요??? 최근들어 Google-OTP를 사용하는 사용율이 급증 하고 있습니다. 저역시도 사용하고 있습니다. 편리하니. 사실 사용하지 않을 이유가 없는것 같습니다.
하지만, App 형태의 OTP의 최대 장점은 편리성이지만, 최대 단점일 수도 있습니다. App이라는 것이 SW(소프트웨어)형태이다 보니, HW 고장에 대한 대안이 존재하기 어렵습니다. 더군다나 이렇게 암호, 인증과 관련된 App의 경우 데이터를 백업한다는 형태의 App을 백업한다고 해서 그속에 있는 암호 Key가 함께 백업되지 않습니다. (되지 않는것이 당연히 안전하겠지요..) 이렇기 때문에 해당 App에 등록할때, 이를 복구 할수 있는 Key를 백업해 두라는 문구와 함께 복구 QR이나 백업 숫자 들을 제공하게 됩니다.
오늘의 결론입니다. OTP와 같은 "멀티(다중)인증" 수단은 우리 개개인의 자산보호를 위해 반드시 필요하고, 꼭 사용해야 할 방법 중 하나 입니다. 하지만, 이를 잘못 이용하거나, 백업, 복구키등의 준비사항을 무시 하였다면, 발생한 만일의 상황(분실 등)에 소중한 자산을 잃게 되는데 OTP가 오히려 독이 될 수도 있습니다. 오늘 이 글을 읽으셨다면, 시간이 얼마가 소요되더라도, "자신의 자산 보호"를 위해 체크해 보시길 권해 드립니다.
(참고적으로 복구코드를 백업시, 파일로 저장을 공공의 장소나, 공용으로 사용하는 PC에 보관하는 것은 또다른 위험을 발생 할수 있습니다. 안전한 곳에 보관하는 점도 유의해주시길 당부 드립니다.)
오늘도 긴 글 읽어 주셔서 감사합니다.
(참고적으로 안전한곳에 저장하는 방법에 대해서는 예전 참고할 만한 포스팅을 추가로 링크해 드립니다. )
- 스팀(steem)을 보호하는 정말 중요한 방법들 (업데이트됨)/ The most important ways to protect steem. (updated)
https://steemit.com/kr/@skt1/11-steem-the-most-important-ways-to-protect-steam
[ 혹시 제 포스팅이 유익하셨다면, Vote으로 추천을, 그리고 Follow 아이콘을 클릭하여 구독 하실 수 있습니다. ]
(이미지 출처:상단OTP-infosec, 복구-free recovery,