MFA
이 태그가 달린 문서 7건
AI 시대의 보안: 지금 다잡아야 할 기본기 (우선순위 체크리스트)
AI는 새로운 약점을 만들기보다 기존 약점(패치 안 된 CVE, 재사용된 비밀번호, 노출된 시크릿)에 대한 공격을 주로 증폭한다 — 자동으로, 빠르게, 대규모로 찾아내며. 따라서 가장 좋은 대비는 기본기를 올바른 순서로 다잡는 것이다: CVE 패치 + 의존성 모니터링, 재사용 차단 + MFA, 노출 시크릿 제거, 최소 권한, 공개 표면 축소, 로그/IOC, 백업.
피싱이란? 공격 유형과 '알아채기'보다 확실한 방어법
피싱은 신뢰하는 상대를 사칭해 가짜 로그인 페이지로 유인하여 자격 증명이나 데이터를 훔치거나 악성코드를 실행시킵니다. 소프트웨어 결함이 아닌 사람의 판단을 노리며, 랜섬웨어와 정보 유출의 최대 진입 경로입니다. 현대의 중간자(AiTM) 피싱은 일회용 코드까지 실시간으로 실제 사이트에 중계하므로 SMS/앱 MFA가 무력화될 수 있습니다. 확실한 방어는 '알아채기'가 아니라 메커니즘입니다. 도메인에 묶인 피싱에 강한 MFA(패스키/보안 키), 링크 대신 공식 사이트로 직접 가기, 이메일 인증(SPF/DKIM/DMARC).
MFA를 제대로 고르기: '피싱 저항'이 무엇이고, SMS가 왜 약한가
MFA는 유출된 비밀번호만으로는 못 들어오게 하는 두 번째 잠금이다 — 하지만 무엇을 켜느냐에 따라 강도가 세 등급으로 갈린다. SMS/이메일 코드는 릴레이 피싱과 SIM 스왑에 무너지고, 인증 앱(TOTP)은 중간, 패스키/보안 키(FIDO2)는 가짜 사이트에 아예 제시될 수 없다 — 그것이 피싱 저항이다. 최우선: 왕국의 열쇠(이메일, 도메인, 결제)에 피싱 저항 MFA를. 복구 코드 저장과 백업 요소가 설정을 완성한다.
비밀번호 관리자는 안전한가? 작동 원리, 클라우드 vs 로컬, 선택법
비밀번호 관리자는 재사용이나 평문 보관보다 안전합니다. 핵심은 제로 지식 암호화: 마스터 비밀번호가 당신의 기기에서만 금고를 복호화하고, 제공자는 암호문만 보관하므로 제공자 침해로도 비밀번호가 노출되지 않습니다. 진짜 단일 지점은 마스터 비밀번호 + 금고 MFA입니다. 용도에 따라 클라우드(Bitwarden/1Password)나 로컬(KeePass)을 고르세요.
1인 개발자와 소규모 운영자를 위한 보안 베이스라인: 표준 세트 전부
베이스라인은 '모두 똑같이 중요'가 아닙니다. 본 사이트의 우선순위: 1) 왕국의 열쇠(MFA, 도메인, 이메일), 2) 시크릿과 코드, 3) 앱 자체, 4) 패치·탐지·복구. 시간이 유한할 때 위에서부터 채우세요. 심각한 침해는 대부분 새로운 공격이 아니라 이 토대의 틈에서 옵니다.
스마트폰 보안 기초 — 키, 금고, 신분증을 하나로 담은 기기를 지키기
폰은 2FA, 이메일, 뱅킹, 신분증을 하나의 단일 실패 지점에 집약합니다. 진짜 방어는 보안 앱이 아닙니다: (1) 강한 잠금 + 짧은 자동 잠금(암호가 암호화 키); (2) 자동 OS/앱 업데이트; (3) 공식 스토어 + 권한 검토; (4) 원격 잠금/초기화 사전 설정; (5) 2FA 백업 보관. iOS/Android는 이미 기본으로 암호화·샌드박스합니다.
비밀번호를 Google Drive에 저장하면 안전한가? 제대로 보관하는 법
비밀번호를 평문 Google 문서/시트에 두는 것은 위험합니다: Google 계정 하나가 모든 비밀번호의 단일 실패 지점이 됩니다 — 계정 탈취, 악성 연결 앱, 피싱이 한꺼번에 누출시킵니다. 해법은 전용 비밀번호 관리자입니다(동기화해도 내용은 암호화). Drive를 꼭 써야 한다면 암호화된 금고 파일만 저장하고 계정에 피싱 저항 MFA를 거세요.