사용자 도구

사이트 도구


blog:yubikey

유비키 사용기

유비키

한 반년쯤 유비키를 사용해볼까 고민하다가 얼마 전에 시험 삼아 구입해봤습니다. 글을 쓰기 전에 혹시나 하고 한국어로 ‘유비키’라고 검색해보니 공인인증서 저장하는 서비스가 맨 위에 있고 그 아래로는 온갖 욕설이 난무하는 글이 가득하던데 그 유비키 아닙니다. 유비키(Yubikey)는 유비코라는 회사에서 만드는 인증 보조장치입니다. 일종의 OTP 기계라고 생각하면 됩니다. 대신에 내가 번호를 보고 직접 타이핑하는 대신 USB 포트에 꽂으면 스마트카드 혹은 키보드로 인식해서 직접 긴 문자열을 타이핑해주는 식으로 동작합니다. 이 글에서는 한영키를 누르기 귀찮으므로 ‘유비키’라고 하겠습니다. 하지만 분명 검색엔진을 교란하겠죠. :(

알려진 기능

유비키는 인증 보조 수단입니다. 온라인 상에서 나를 인증하는 대표적 방법은 아이디와 패스워드 조합을 제시하는 것입니다만, 요즘 세상에는 상당히 피곤한 방법입니다. 일단 아이디는 아예 노출된 정보이고 패스워드를 잘 관리하는데는 상당한 비용이 듭니다. 원패스워드를 쓰고 있는데 모든 사이트에 패스워드를 달리 만들어 관리하는 것은 꽤 피곤합니다. 매번 원패스워드에 마스터 패스워드를 입력하는 것도 귀찮고요. 최근에는 아이디와 이메일도 패스워드와 비슷하게 추측할 수 없는 문자열로 바꾸는 실험을 하고 있는데 피곤함이 두 배로 증가했습니다. :(

이런 피곤함을 줄이지는 않을테지만 패스워드만으로는 인증수단이 충분하지 않다고 생각했고 그래서 지원하는 모든 사이트에서 Authy 앱을 사용하고 있지만 이쪽도 과정이 아름답지는 않습니다. 앱을 실행해 사이트 이름을 터치하고 번호를 보고 잠깐 외워 타이핑하는 과정이 귀찮았고 이걸 줄일 방법을 찾아보다가 유비키라는 물건이 있다는 것을 알게 됐습니다. 아이디어는 간단합니다. 몇 가지 OTP 표준을 하드웨어 하나에 집어넣되 번호를 사람이 보고 타이핑하는 대신 USB 포트에 꽂아 자동으로 타이핑하도록 하는 겁니다. 일단 사람이 타이핑하지 않으니까 OTP 길이가 길어져도 상관 없고 몇 가지 표준을 동시에 지원하므로 Authy 처럼 사이트 이름을 터치하지 않아도 됩니다.

참고로 이 장치는 인증 보조장치입니다. 암호화와는 아무런 관련이 없고 단지 인증 절차를 공격할 때 조금 더 까다롭게 만들어줄 뿐입니다.

예상한 활용 방법

일단 구글과 드랍박스에서 지원합니다. 크롬 브라우저에서 이 사이트에 로그인할 때 Authy 에서 생성한 코드를 입력하는 대신 버튼을 터치하기만 하면 됩니다. 그리고 윈도우 10에서 로그인을 편하게 할 수 있을 것을 기대했습니다. 윈도우 헬로는 쳐다보기만 해도 로그인 되어 버려서 영 불편했는데 이 과정이 조금 더 까다로워지길 기대했습니다. 또 스태틱 패스워드 기능을 사용해 원패스워드 마스터 패스워드를 조금 편하게 입력할 수 있기를 기대했습니다.

실제 활용

윈도우 10 로그인

일단 윈도우 10 로그인은 디바이스를 처음 시작할 때는 사용할 수 없습니다. 이 때는 패스워드, PIN, 윈도우 헬로 중 한 가지 방법을 선택해서 로그인해야 합니다. 이 때 유비키 로그인을 선택하면 ‘다른 옵션을 선택하라’는 메시지가 나타납니다. 일단 로그인한 다음 시스템을 잠근 상태에서는 유비키로 로그인할 수 있습니다. 하지만 이 상태는 로그오프 하기 전까지만 유지됩니다. 즉 윈도우 10 로그인에는 사용할 수 없고 잠금을 해제하는 용도에만 사용할 수 있습니다.

구글과 드랍박스

구글과 드랍박스 등 유비키를 지원하는 사이트에는 너무 쉽게 등록하고 사용할 수 있습니다. 기존에 세컨드 팩터 인증을 활성화했다면 로그인할 때 Authy 같은 앱과 유비키 중 하나를 사용하게 됩니다. 만약 유비키를 분실해도 Authy 앱을 사용해 로그인할 수 있고 그 반대의 경우도 가능합니다. 사이트에 유비키 하드웨어를 등록하는 절차는 상당히 편하게 되어 있었습니다.

스태틱 패스워드

유비키에는 스태틱 패스워드 기능이 있는데 말 그대로 고정 패스워드 하나를 자동으로 입력해주는 기능입니다. 이쪽은 패스워드를 사용하는 아무데나 호환되지만 패스워드가 고정되어 있으므로 기기 분실과 함께 쉽게 노출될 수 있습니다. 그래서 제조사에서는 절대 패스워드 전체를 스태틱 패스워드로 사용하지 말 것을 권고합니다. 유비키는 패스워드를 입력한 다음 자동으로 엔터를 누르므로 패스워드 앞부분 일부를 직접 입력하고 나머지를 유비키 디바이스가 입력하는 식으로 설정하면 인생이 아주 조금 편해집니다. 덕분에 매번 원패스워드 마스터 패스워드 전체를 입력하는 수고를 아주 조금 줄였습니다.

설정 소프트웨어

다만 스태틱 패스워드를 설정하기 위해 제조사에서 제공하는 설정 소프트웨어를 실행해봤는데 기능을 충실하게 지원하지만 사용자를 일절 배려하지 않은 오직 기능 위주로 구성된 모습입니다. 아마존 구매자 평가 중 하나에는 ‘컴퓨터 공학 박사가 아니면 구입하지 말라’는 메시지가 있을 정도인데 그 정도는 아니지만 소프트웨어는 대단히 불친절합니다.

결론

예상한 대로 동작합니다. Authy 의존을 약간 줄이고 원패스워드를 아주 조금 쉽게 사용할 수 있게 됐습니다. 아이디와 패스워드 인증이 의미를 잃어가는 시대에 기왕 표준이라면 좀 더 널리 지원해줬으면 하는 생각입니다. 유비키의 문제는 아니지만 윈도우 인증서와 연결하는 과정이 상당히 복잡하고 원패스워드에서 유비키를 지원하지 않는다는 포럼의 긴 글을 보고 나서는 보안 문제 일부가 지나치게 불편한 인증 과정에서 일어난다는 점과 함께 불쾌함마저 느껴졌습니다. 하드웨어 자체는 멀쩡하지만 전체적으로 소프트웨어 지원이나 서비스 지원이 좀 부실하다는 느낌을 받았습니다. 여튼 일단 샀으니 문제가 생기기 전까지는 계속해서 사용할 작정입니다.

blog/yubikey.txt · 마지막으로 수정됨: 2017-10-09 21:32 저자 neoocean