오늘은 간편 로그인(소셜 로그인)은 문제점 애 대해 글을 적어 보겠습니다.
인터넷에서 다른 서비스의 계정에 기대어 새로운 계정을 만들거나 계정에 접속하는 것입니다.
서비스별로 아이디와 암호를 모두 외우는 대신 뿌리계정 하나의 아이디와 암호만 외우는 게 서비스 이용자에게 훨씬 쉬워서 빠르게 접속을 하게 만들어 사용하게 하여졌습니다. 한국에서 쓸 수 있는 대표적인 간편 로그인은 아마도 구글, 페이스북, 트위터, 애플, 네이버, 카카오, 삼성일 것입니다. 해당 계정을 사용하면 정말 편리하게 사용을 할 수가 있습니다.
물론 편리한 만큼 대가가 있습니다. 계정이 연결되어 있기 때문에 한 계정에 문제가 생기면 다른 계정에도 영향을 주게 되고 계정 데이터를 지울 때도 뿌리 계정을 지우더라도 소셜 로그인한 계정의 데이터는 사라지지 않음
예를 들어 청와대 국민청원에 페이스북 계정으로 소셜로그인 했다가 페이스북에서 연동을 해제해도 국민청원 계정은 멀쩡한 이유입니다.
연동을 해제하는 것은 페이스북 계정의 새로운 개인정보들을 국민청원 계정이 더는 가져갈 수 없게 되지!
국민청원 계정과 계정에 남은 개인정보를 지우려면 국민청원 관리자에게 요청해야 합니다.
소셜 로그인의 위험성 예시
사용자가 악의적인 웹사이트에서 소셜 로그인을 선택
해당 웹사이트는 필요 이상의 개인 정보(예: 주소, 전화번호, 직장 등)를 요구
사용자가 이러한 정보를 공유하면 해커가 이 정보를 악용할 가능성 매우 큼
해커의 공격으로 말미암은 소셜 로그인 탈취:
해커가 사용자의 액세스 토큰을 탈취 ->해커는 탈취한 액세스 토큰을 사용하여 사용자의 계정으로 로그인->이 때문에 사용자의 계정이 탈취되고, 해커가 사용자의 계정을 악용할 수 있습니다.
인증 (Authentication): 누가 로그인하는지 확인하는 과정입니다. (예: 비밀번호, 지문, 얼굴 인식)
허가 (Authorization): 누가 어떤 권한을 가지는지 결정하는 과정입니다. (예: Spotify에 Google 계정 정보를 공유할 권한 부여)
웬만하면 따로 간편로그인 보다 일반 가입을 추천하면 굳이 의심스러운 사이트는 계정 하나 만들어서 따로 분리하는 것을 추천
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 김수키(Kimsuky) 에서 만든 거래명세서로 위장한 악성코드-거래명세서(2024,10,02) (0) | 2025.02.07 |
|---|---|
| Firefox 135 새로운 번역 언어 및 보안 업데이트 (0) | 2025.02.06 |
| 노드 VPN 스마트폰 IP 우회 변경 사용법(3개월 무료,신년 노드 VPN 70% 할인) (2) | 2025.02.05 |
| 김수키(Kimsuky)에서 만든 보험 사칭 악성코드-241002-2024년 GA영업본부 담당지점 배분(10월)(2025.1.31) (0) | 2025.02.04 |
| 삼성 갤럭시 S24,삼성 갤럭시 S23(Galaxy S24/S23 Explain) 타겟으로 하는 취약점 CVE-2024-49415 (0) | 2025.01.31 |
| 김수키(Kimsuky)로 추정이 되는 카카오 고객센터 피싱 메일(2024.12.16) (0) | 2025.01.31 |
| Kimsuky(김수키) 로 추측이 되는 부가가치세 확정신고 납부 통지서 피싱 메일 분석(2025.1.20) (0) | 2025.01.30 |
| 딥씨크(DeepSeek) 개인정보,기기,폰번호 등 수집 및 중국 서버 저장 (0) | 2025.01.29 |
