| [시큐리티 Q&A] SNS 계정 탈취, 보안대책은? | 2014.09.02 | |
Q. 하나의 SNS 계정으로 다른 서비스에 자동 로그인 됨으로써 각 사이트에서의 회원가입은 물론, 가입 후에도 아이디와 비밀번호를 입력하는 등의 번거로운 절차를 해결하는 소셜 로그인이라는 개념이 활성화되고 있다. 장점으로는 개인정보를 각 사이트에 저장을 하지 않는다는 점과 사용자의 이용 편의성이 높아진다. 그러나 단점으로는 SNS 계정이 해킹당하면 각 사이트의 로그인 권한을 해커한테 주는 상황도 발생할 것 같다. 이러한 소셜 로그인 서비스에서의 보안상 문제와 향후 추가되어야 할 보안대책이 있다면 무엇일까?
소셜 로그인을 제공하는 서비스를 선택할 때, ①해당 서비스 제공자가 회원가입 당시 최소한의 정보만을 수집하는지, ②로그인 기능 외, 제3자에게 추가적인 개인정보를 제공(API)하는지, ③인증 Protocol을 공개하는지 여부 등을 고려해 선택할 수 있을 것이다. 소셜 로그인 자체가 보안상 취약하다기 보다는, 반드시 필요한 경우가 아님에도 편리성만을 추구하여 1개의 계정으로 여러 사이트에 접근하는 이용자의 행태에 개선이 필요할 것이다. 개인정보가 불필요하고 보안성이 확보된 사이트에만 한정적으로 소셜 로그인을 이용할 필요가 있다. 또한, 소셜 로그인을 제공하는 서비스 제공자는 기본적인 인증 프로토콜(Protocol)을 공개하고 대외적으로 프로토콜의 견고함을 검증받아야 할 것이다. (이진규 네이버 개인정보보호팀장/davidlee@nhn.com) [김경애 기자(boan3@boannews.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
||
 |
