계정 보안 기초

비밀번호 재사용은 하나의 서비스 문제를 여러 계정 문제로 키웁니다. 고유 비밀번호는 그 연쇄를 막아 줍니다.

비밀번호 재사용의 문제는 다른 서비스의 유출을 여기의 암호화폐 문제로 바꿔 버린다는 데 있습니다. 자격 증명 대입이 통하는 한 공격자는 복잡한 익스플로잇이 필요 없습니다.

비밀번호 관리자가 중요한 이유는 기억하기 쉬운 한 가지 로그인에 의존하지 않게 해 주기 때문입니다. 이메일, 거래소, 결제 앱에서 같은 기억형 비밀번호를 쓰지 않는 것만으로도 보안은 크게 올라갑니다.

2단계 인증은 도난 비밀번호와 실제 계정 탈취 사이에 한 단계 더 장벽을 세웁니다. 자금이 들어오기 전에 켜 두는 편이 훨씬 가치가 큽니다.

2단계 인증은 단순히 코드 하나를 더 받는 문제가 아닙니다. 백업 코드, 기기 변경, SIM 스왑이나 약한 이메일 복구 흐름으로 우회될 수 있는지도 함께 봐야 합니다.

이 설정을 하기 가장 좋은 시점은 큰 잔고가 들어오기 전입니다. 긴급 로그인 문제 속에서는 사람들은 빨리 들어갈 수 있는 방법을 택하고, 그 복구 경로 자체가 새로운 약점이 되기 쉽습니다.

주소 화이트리스트, 기기 승인, 로그인 알림은 성급한 탈취를 어렵게 만듭니다. 지루할 정도로 평범하지만, 그 점이 공격자를 느리게 만듭니다.

출금 화이트리스트, 기기 승인, 로그인 알림은 마찰 도구입니다. 예쁘게 보이기 위한 것이 아니라, 이미 일부 접근권을 가진 공격자를 사용자가 눈치챌 수 있을 만큼 느리게 만드는 것이 목적입니다.

정기 점검이 중요한 이유도 같습니다. 계정 침해는 처음에는 작아 보이는 경우가 많습니다. 낯선 기기, 새로운 API 키, 바뀐 출금 주소, 모르는 도시의 로그인 같은 형태입니다.

최근 로그인, 승인된 기기, API 키, 출금 설정을 주기적으로 확인하세요. 작은 이상 징후를 긴급 상황 전에 잡아낼 수 있습니다.

실제로 지킬 수 있는 점검 주기를 정하세요. 많은 초보자에게는 월 1회면 충분하지만, 최근 세션, 승인 기기, 오래된 화이트리스트, 백업 코드, 사용하지 않는 API 권한까지 실제로 확인해야 합니다.

오래된 권한은 오래된 비밀번호처럼 다뤄야 합니다. 왜 아직 남아 있는지 설명할 수 없는 권한이라면, 아직 사고가 없었다는 이유만으로 유지하면 안 됩니다.