잘못된 정보를 사용하면 계정 해킹을 예방할 수 있나요?

데이터 도난과 사이버 공격이 증가함에 따라 일부 사람들은 계정을 보호하기 위해 색다른 방법을 사용하기 시작했습니다. 즉, 등록할 때나 보안 질문에 답할 때 잘못된 정보를 입력하는 것입니다. 좋아하는 선생님의 이름을 가짜로 입력하거나, 어느 도시에서 태어났는지 묻는 질문에 무작위로 답하는 것과 같습니다. 아이디어는 간단해 보이지만 중요한 질문이 떠오릅니다. 이런 종류의 "긍정적 사기"가 실제로 계정을 보호하는 데 도움이 될까요? 이 글에서는 이 개념을 모든 각도에서 살펴보고, 언제 효과가 있고 언제 도움이 되기보다 해로울 수 있는지 알아보겠습니다.

지금은 2025년입니다. 비밀번호 관리자와 패스키가 많음에도 불구하고 온라인 계정 도용은 여전히 ​​흔합니다. 이런 공격으로부터 나 자신을 보호하는 한 가지 방법은 오랜 전통인 거짓말입니다.

보안 질문이란 무엇인가요?

보안 질문은 다중 요소 인증(MFA)의 한 형태로, 비밀번호를 입력한 후 "본인만 아는" 질문에 답해야 합니다. 이러한 질문에는 첫 번째 애완동물의 이름이나 고향과 같은 사실이 포함됩니다. 이는 그 단순성으로 인해 인터넷에서 가장 오래된 다중 요소 인증 형태 중 하나입니다.

오래되었지만, 더욱 발전된 다중 인증 방법이 확산되었음에도 불구하고, 보안 질문은 온라인에서 여전히 인기가 많습니다. 사실, 저는 지난주에 중요한 계정을 만들어야 했는데, 이를 위해 세 개의 보안 질문을 만들어야 했습니다. 제 계정의 보안을 보호하기 위해, 저는 진실하게 대답하지 않았습니다.

보안 질문이 안전하지 않은 것으로 간주되는 이유는 무엇입니까?

이는 다중 요소 인증(MFA)의 간단한 방법이기는 하지만 매우 간단합니다. 이는 잘못된 전제에 크게 의존합니다. 즉, 이러한 질문에는 나만이 답할 수 있다는 것입니다. 예를 들어, 많은 사람들은 태어날 때부터 할머니의 이름을 알고 있습니다. 법원 기록, 계보 문서, 부고 등 어디에나 있을 법한 일이죠.

저는 많은 보안 질문이 사람들이 인터넷이 없는 환경에서 자랐다고 가정하는 걸 보았습니다. 어렸을 때 인터넷, 특히 블로그와 소셜 미디어를 이용할 수 있었다면, 아직도 당신의 첫 반려동물에 대한 게시물이 돌아다니는 것을 볼 수 있을 것입니다. 사실, 저는 이런 저에 대한 질문에 대한 답을 온라인에서 찾을 수 있는 곳을 정확히 알고 있습니다.

이를 오픈소스 인텔리전스라고 부르며, 종종 OSINT로 줄여서 부릅니다. OSINT에 대해 많이 알고 있다면 간단한 도구를 사용하여 인터넷에서 누군가에 대한 정확한 정보를 얼마나 쉽게 찾을 수 있는지 알 것입니다.

인터넷을 탐색하는 것 외에, 보안 질문을 해킹하는 것은 나 또는 내 가까운 사람과 대화하는 것만큼 쉽습니다. 이것을 사회공학이라고 합니다. 예를 들어, 누군가가 세무 공무원 등 권위 있는 인물을 사칭하여 할머니의 본명과 같은 질문에 답하여 "신원을 확인"해 달라고 요청할 수도 있습니다. 보안 질문이 유출되는 것을 방지하려면 이러한 숨겨진 공격에 항상 주의해야 합니다.

하지만 우리는 더 나아갈 수 있습니다. 당신과 당신이 아는 모든 사람들이 사회 공학에 대해 잘 알고 있다고 가정해 보겠습니다. 또한 당신을 아는 사람들이 이 사실을 이용할 수도 있다는 것을 알아야 합니다. 학대 생존자에게 물어보세요. 누군가가 당신과 가깝다고 해서 그 사람을 신뢰할 수 있는 사람은 아닙니다. 보안 질문에 대한 답을 알 만큼 가까운 사람이 귀하의 계정에 접근할 수 있다고 가정하는 것도 보안 질문에 대한 또 다른 잘못된 가정입니다.

보안 질문에 대한 최상의 선택: 거짓말

이 모든 것을 염두에 두고 나는 보안 질문에 정직하게 대답하는 것을 중단했습니다. 계정 해킹을 방지하기 위해 보안 질문을 사용해야 하는 경우, 저는 만들어낸 이상한 답변으로 대답합니다. 당신은 어디에서 태어났습니까? 나니아. 내 첫 번째 애완동물은 무엇이었나요? 밥이라는 이름의 사슴. 물론 이것이 제가 한 실제 답변은 아니지만, 대략 이런 뜻이겠죠.

어떤 사람들은 보안 질문에 대한 답변에 알려진 단어를 하나도 넣지 않는 경우도 있습니다. 할머니의 본명은 무엇이었나요? 아마도 H41%hg67Vc0s5^jQ일 거예요. 이는 강력한 보조 비밀번호를 사용하는 것과 유사하며, 보안 질문을 사전 공격으로부터 보호합니다. 하지만 저는 이것이 꼭 필요한지 확신하지 못합니다. 제 온라인 계정 제공자가 누군가 보안 질문에 대해 두 번 이상 추측을 시도하면 제 계정을 잠글 가능성이 높기 때문입니다.

글쎄요, 만약 당신이 답을 완전히 기억할 자신이 없다면 이런 짓은 하지 마세요. 기존의 보안 질문에는 큰 장점 하나가 있습니다. 기억하기 쉽다는 것입니다. 보안 질문에 거짓을 적으면 이러한 혜택을 누릴 수 없습니다. 왜냐하면 이제 자신에 대한 부정확한 사실을 기억해야 하기 때문입니다.

이러한 답변을 가족 계보나 상상 속의 삶을 묘사한 짧은 이야기 형태로 적어 보는 것이 도움이 될 수 있습니다. 저와 비슷하다면 상상 속의 사람, 장소, 애완동물을 그림으로 그려보는 것도 도움이 될 것입니다.

물론, 작성한 내용은 안전한 곳에 보관하세요. 비밀번호 관리자에 저장할 수도 있고, 보안을 강화하려면 별도의 비밀번호 관리자에 저장할 수도 있습니다. 중요한 것은 계정 보안을 유지하면서도 계정 접근 권한을 잃지 않는 것입니다.

일부 분야에서 잘못된 정보를 사용하면, 특히 유출된 개인 정보를 기반으로 한 공격에 대비해 일정 수준의 보호를 제공할 수 있습니다. 하지만 이는 강력한 비밀번호 사용, 2단계 인증 활성화, 계정 활동 정기 모니터링을 대체할 수 없습니다. 이 방법을 사용하기로 결정했다면, 나중에 계정을 복구할 수 있는 능력을 잃지 않도록 사용한 가짜 정보를 안전한 곳에 기록해 두세요. 똑똑한 방법은 신중하고 다른 기본 보안 단계와 통합될 때에만 완벽해집니다.