보안 / 퍼스널 컴퓨팅

IDG 블로그 | ‘비밀번호 필요 없는 보안’은 가능할까?

Paul Gillin | Computerworld 2021.12.07
비밀번호 구성이 단순하던 시절, 비밀번호는 꼭 필요한 골칫덩이였다. 하지만 150억 개 이상의 크리덴셜이 다크웹에서 거래되고 있는 지금은 비밀번호 안전을 유지하는 것이 일종의 과학 프로젝트가 됐다.
 
ⓒ Getty Images Bank

많은 전문가가 비밀번호를 최소 12가지의 무작위 문자로 구성하고, 한 사이트에서 사용한 비밀번호를 다른 사이트에서 사용하지 말라고 조언한다. 각 사이트별 비밀번호를 모두 기억하는 것에 한계가 있기 때문에, 비밀번호 관리자 같은 서비스가 등장하기도 했다. 하지만 이런 비밀번호 관리자 앱도 마찬가지로 비밀번호로 보호된다. 

웹사이트 운영자만큼이나 비밀번호를 싫어하는 사람은 없을 것이다. 개인정보 관리 스타트업 비욘드 아이덴티티(Beyond Identity)가 사용자 1,000명을 대상으로 실시한 설문조사 결과, 2/3는 새로운 비밀번호 설정 때문에 신규 계정 생성을 중단했다고 답했다. 3/4는 비밀번호 재설정 문제로 물건 구매를 포기했다. 

비밀번호를 모두 없앨 수 있을까? 좋은 소식은 수많은 업체가 많은 시간과 비용을 투입해 비밀번호를 없애는 방법 개발에 매진한다는 점이다. 나쁜 소식은, 그럼에도 불구하고 비밀번호가 완전히 사라지지 않는다는 것이다.


대표 솔루션 ‘오쓰(OAuth)’도 보편화 쉽지 않아

선도 업체를 중심으로 비밀번호가 필요 없는 솔루션이 꾸준히 발전하고 있다. ID 및 액세스 관리 업체 옥타(Okta)나 핑 아이덴티티(Ping Identity), 원로그인(OneLogin), 시스코와 같은 업체는 사전 승인된 사이트에 대해서는 비밀번호 없이 접근할 수 있는 기업용 서비스를 제공한다. 서비스 이용을 위해서는 비밀번호가 필요하지만, 일단 승인된 후에는 자유롭다. 단점을 꼽자면 업무 외적으로 사용하는 은행이나 넷플릭스는 승인된 사이트 목록에서 찾을 수 없다.

일반 사용자가 가장 많이 사용하는 것은 오쓰(OAuth)다. 새로운 계정을 생성하는 대신 페이스북이나 구글, 애플처럼 신뢰할 수 있는 사이트의 로그인 정보를 다른 사이트에 제공하는 오픈 프로토콜이다. 오쓰는 인증된 서버에만 로그인한다는 전제하에서 안전하고, 사용이 쉬운 솔루션이다. 하지만 웹사이트 관리자 입장에서 본다면 조금 다르다. 

키퍼 시큐리티(Keeper Security) 제품 관리 책임자 제인 본드는 “오쓰는 암호학적으로 안전하지만, 웹사이트 관리자가 오쓰를 올바르게 적용하는 것은 상당히 어렵다. 모든 수정사항과 버전을 알고 있어야 하며, 필요한 정보가 설정 가이드에 없는 경우도 있다. 또 보안 기술을 사용하고 있지만 구성을 잘못 설정했을 수도 있다”라고 설명했다. 수많은 소규모 자영업체 사이트가 오쓰를 사용하지 않는 것도 이런 이유에서다.


우후죽순 생겨나는 솔루션…‘표준’이 필요하다

마이크로소프트는 이 분야에 가장 최근에 뛰어든 업체다. 마이크로소프트는 지난 9월 비밀번호 입력 없이 마이크로소프트 계정에 로그인할 수 있는 기능을 선보였다. 하지만 이 기능은 로그인을 근본적으로 없애지는 못했다. 마이크로소프트 어센티케이터 앱이나 다른 방식으로 로그인이 필요한 데다가, 아직은 마이크로소프트 계정에서만 작동하기 때문이다. 

더 큰 문제는 비밀번호 관리 시장에 오쓰를 비롯해 수많은 솔루션이 혼재한다는 것이다. 단일 표준 규격이 부재한 탓에 사용자는 비밀번호 관리자, 인증 앱(필자는 3개를 사용한다), 생체인식 제어 장치, 문자 코드에 여전히 의존한다.

이런 문제를 해결하기 위해 많은 스타트업이 도전하고 있다. 매직 랩스(Magic Labs)는 이더리움 블록체인에서 생성된 공개키와 비밀키를 사용하며, 시크릿 더블 옥토퍼스(Secret Double Octopus)는 핵 발사 코드 보호용 기술을 활용한 것으로 알려졌다. 최근 5억 4,300만 달러의 투자금을 유치한 트랜스밋 시큐리티(Transmit Security)는 기기 간 사용자 인증에 생체정보를 활용했다. 비욘드 아이덴티티는 컴퓨터나 스마트폰에 탑재되는 TPM을 사용해 사이트에 공개키와 암호키를 저장하는 기술로 투자금 1억 달러를 조달했다.

비욘드 아이덴티티 제품 마케팅 매니저 징 구는 “계정을 보유하고 있으면 비밀번호 없이 로그인할 수 있다. 사용자가 이메일 주소를 알려주면, 비욘드 아이덴티티에서 이메일을 보내면서 바인딩을 만든다”라고 설명했다.

신원 관리 업체가 직면한 문제는 웹사이트 운영자에게 솔루션을 판매하는 일이다. 경쟁 업체가 많을수록 목표 사용자를 확보할 가능성은 낮아진다. 본드는 “인터넷상에 웹사이트가 넘쳐나기 때문에 비밀번호가 필요 없는 보안은 실현이 어렵다. 업체 간 경쟁보다는 표준을 확립하는 것이 빠른 방법이다”라고 조언했다.

‘비밀번호가 필요 없는 보안’이 실현되는 날까지 사용자는 자신을 직접 지켜야 한다. 비밀번호 관리자 프로그램에 일정 비용을 투자하고, 12가지 무작위 문자 규칙을 지키며, 민감한 계정에서는 다중 인증을 활성화하는 방법을 사용하는 것이다. 힘들겠지만, 개인정보가 위험에 노출된 경험이 있다면 가치 있는 일임을 이해할 것이다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.