삼성클라우드 2단계 보안 인증

어제오늘 뉴스로 뜬 이야기.. 안해준 분들은 해주세요.

용량도 얼마 안 되는^[각주:1] 삼성클라우드를 꼭 써야 할 이유를 잘 모르겠지만.

어쩌다 뚫렸나…같은 비밀번호 여러 곳에 쓰다가? MBC 2020.1.10

사건 자체는 경위를 이렇게 짐작한다고 합니다:

웹이나 SMS를 통해 어떻게 설치된^[각주:2] 희생양의 스마트폰에 깔린 악성앱이, 

희생양의 스마트폰과 삼성클라우드에 들어있는 걸 털어간 거 아니냐"는.

(삼성클라우드 접속 자체는 PC웹에서도 돼서^{[각주:3] [각주:4]} 해킹 경로는 하나가 아닐 수 있다고.)

그리고 삼성클라우드는 애플이나 스팀과 달리 '2단계 인증'^[각주:5]이 강제가 아니기에,

저런 공격에 덜 불편한 대신 더 허술하다는 지적입니다.^[각주:6]

다른 뉴스를 보면 과거 애플도 털린 적이 있었다고 하고^[각주:7], 그런 뒤로 개선하면서 로그인쪽도 까다로워졌다고 합니다^[각주:8]. 삼성쪽도 서버가 털리진 않았다고 말했다는데.. 그래서 사건 자체는 사용자 과실이 되어가는 분위기지만, 이런 얘기가 나왔으니 2단계 인증을 강제하겠군요.

삼성전자, 갤럭시 보안 논란에 '2단계 인증' 활용 당부 - 전자신문 2020.01.10

주진모 폰 해킹 수법은...계정마다 비밀번호 같은 허점 노렸다 - 전자신문 2010.01.13

"크리덴셜 스터핑"수법으로 짐작

1. 무료사용자기준 5GB. 그 다음 시작플랜이 50GB/월 1100원. http://news.einfomax.co.kr/news/articleView.html?idxno=4032774 [본문으로]
2. 보통은 OS기본 설정상 플레이스토어같은 인정된 출처가 아니면 안 깔리게 되어 있는데, 평소 관리를 잘못했거나, 플레이스토어같은 공식 앱마켓에 악성앱을 위장해서 올려놓고 링크를 걸었다거나 했던 모양. [본문으로]
3. 이번에 처음 알았습니다. [본문으로]
4. 이런 경우에 찜찜한 게, 구글과 파이어폭스 웹 스토어에 올라와 있는 "모든 권한을 요구하는" 확장기능들.. [본문으로]
5. 등록한 이메일이나 전화번호로 일회용 비밀번호를 하나 더 받아 그것을 입력해야 하는 것. [본문으로]
6. 만약 악성앱이 SMS를 하이재킹하는 경우라면 2단계 인증을 SMS로 받으면 안되고 이메일로 받도록 해야 하나요? 아, 폰이 장악된 시점에서 의미없나. [본문으로]
7. http://www.dt.co.kr/contents.html?article_no=2017032802101460041001 이런 기사를 보면 사용자과실만은 아니었던 것 같고, 애플이 그랬다면 삼성? 이런 생각도 드는데.. [본문으로]
8. 애플도 무료 5GB였을 텐데, 여기는 키체인과 함께 강제였습니다(구형 맥북을 쓸 때 경험으로 그랬습니다). 애플다운 "네가 포기하면 편해"라서 선택권이란 게 없음.^^ [본문으로]