오래간만의 근황 : 보안키 직구.

그 동안 현생을 사느라, 또 SNS 때문에 블로그에 신경을 쓸 시간이 없었는데, 오래간만에 글 쓸 거리가 생긴 김에 이 블로그에 글을 쓴다.

구매 완료 인증 사진

얼마 전, 휴대용 하드웨어 보안 장치(HSM)인 YubiKey 5 시리즈를 한 쌍(NFC 지원 + 각각 USB-A 및 C타입 단자) 구매했다. 스샷에서 보듯 해당 제품의 제조사인 Yubico 공식몰 직구로 말이다.

그 배경은 이렇다.

예전부터 각종 수많은 플랫폼 및 사이트들의 계정들이 해킹 공격으로 도용되어 컨텐츠 이용료 부정 결제나 그 외 각종 사이버 범죄(피싱이나 암호화폐 사기 등)에 악용되는 등의 피해가 발생한 사례가 수도 없이 많고, 특히 구글 계정 및 마이크로소프트 계정, AWS(아마존 클라우드) 계정 또한 표적이 되는 등 여러 심각한 계정 해킹 사례들도 많이 봐왔다.

이로 인해 암호 변경(본인의 경우는 자주 하진 않음) 등의 기본적 대책에 더해 모바일 OTP 앱(Authy나 구글 OTP 등), 휴대폰 SMS 메시지 등의 2차 인증 수단도 활용하고 있지만 이들 또한 여러가지 취약점이 있다 보니 근본적인 해결책은 아닐지라도 더 강력한 보안을 제공하는 인증 수단의 필요성을 느끼게 되었고, 고심 끝에 구매를 결정했다.

(사실 몇년 전에 모 커뮤니티 사이트를 통해 해당 라인업의 제품을 무료로 얻을 수 있었던 기회를 알게 되었지만 정작 내 과실로 인해 눈 앞에서 놓쳐버린 경험도 있고...)

왜 한 쌍으로 샀느냐. 한 개만 샀다가 잃어버리거나 도난당하면 제 아무리 강력한 보안을 제공하는 하드웨어 보안 키라도 손쓸 수 없기 때문이다.

그리고 이 YubiKey 시리즈는 두 국가에서 생산이 되는데, 미국과 스웨덴이다. 전자는 제조사인 Yubico 본사가 미국에 있어서 그런 것이고(이 때문에 미국 연방 정부 보안 표준인 FIPS 140-2를 따르는 FIPS 시리즈도 생산이 되고, 이러한 특성상 미국 당국의 제재를 받고 있는 일부 국가들에서는 YubiKey 전 제품의 구매가 원천 금지 및 차단되어 있다. 또한 우크라이나 등의 일부 국가에서는 현지 총판을 통해서만 판매된다) 후자는 제조사의 창업주가 스웨덴 출신이어서 그런 것이다. 내가 구매한 제품은 스웨덴에서 생산된 제품이다.

아무튼 구매 후 내 손에 들어오게 된 과정은 이렇다.

1월 21일 저녁 9시 조금 넘어서 결제했고, 결제 알림 메일에 발송까지 최대 5~7영업일 소요된다고 나와있었지만 그 시점에서 재고가 있었던 모양인지, 결제 다음날인 1월 22일(월요일) 저녁 9시(스웨덴의 현지시간으로 오후 1시) 조금 넘어서 발송이 되었다는 알림이 도착했는데, 배송 업체가 UPS였고, 예상 배송일은 26일이었다.

그리고 독일 쾰른 - 중국 선전시를 거쳐 4일차(1월 24일) 아침 일찍(8시쯤) 인천공항으로 입항했고 (아무리 인천공항이라지만) 시기 상 통관이 오래 걸릴 것으로 예상을 했으나, 의외로 7시간 정도 지난 그날 오후 3시 즈음에 통관 절차가 마무리.

아무래도 제조사에서 직접 KC인증(전파인증)을 받은 모델이라 (추가 증빙 요구 없이) 빨리 된 모양이었다. (물론 배송되던 도중 관세사에서 받은 연락을 통해 개인 통관고유부호 등 통관 절차에 필요한 정보를 입력하긴 했다)

그리고 5일차(25일) 오전에 국내 택배사(UPS 특송의 국내 위탁 배송업체인 일양로지스)로 인계되었고, 예상 배송일(26일)보다 하루 빠르게 받을 수 있었다.

내가 구매한 보안키 제품의 실물 사진. 왼쪽이 YubiKey 5C, 오른쪽이 YubiKey 5(USB-A)이다.

도착하자마자 구글 및 마이크로소프트, AWS 및 클라우드플레어(Cloudflare) 등 본인의 계정이 있는 주요 플랫폼 및 클라우드 계정에 우선적으로 적용했다.

이제 더 이상 계정이 털릴 일은 없겠지. 물론 내가 실수를 하거나(휴먼 에러), 저 두 물건을 잃어버리지 않는다는 전제 하에서 말이다.