[세계 비밀번호의 날] 이제 비밀번호를 모두 버려라

2022-05-08 08:00
2단계 인증, 비밀번호 유출돼도 계정 보호하는 수단으로 주목
길고 복잡한 비밀번호 대신, 인증 앱으로 빠르고 안전한 로그인

[사진=게티이미지뱅크]

매년 5월 첫 주 목요일 '세계 비밀번호의 날(World Password Day)'이다. 세계 비밀번호의 날은 인텔을 중심으로 지난 2013년부터 시작된 기념일로, 각종 디지털 서비스와 기기를 보호하는 데 강력한 비밀번호의 중요성 인식을 높이기 위해 제정됐다. 

인텔에 따르면 지난 60여년간 비밀번호는 사용자가 각종 기기나 서비스에서 사용 권한을 인증하는 대표 방법으로 쓰여왔다. 스마트폰 잠금을 풀거나 포털 사이트에 로그인하는 것은 물론, 중요한 업무 시스템에 접근하기 위해서도 이러한 비밀번호를 사용한다.

하지만 보안업계에서는 비밀번호가 더 이상 안전하지 않다고 강조한다. 해커는 사용자의 ID와 비밀번호를 노리는 피싱 이메일이나 정보유출 악성코드(인포스틸러) 등을 활용해 비밀번호를 알아내고 있다. 뿐만 아니라 ID와 비밀번호를 무작위로 입력하는 무차별 대입 공격, 미리 만들어둔 문자열을 순차적으로 입력하는 사전 대입 공격 등 해킹 기법 역시 자동화되고 있다. 마이크로소프트에 따르면 최근 12개월간 비밀번호를 노리는 공격이 두 배로 증가했으며, 매 초 921건의 공격이 발생하는 추세다.

이러한 공격에 대응하기 위해 대문자와 소문자, 숫자, 특수문자 등을 조합한 비밀번호를 추천하고 있지만, 많은 사용자가 외우기 어렵다는 이유로 단순한 문구 뒤에 숫자와 느낌표 정도만 추가하는 형태로 비밀번호를 만든다. 역설적으로 보안을 강화하기 위한 복잡한 비밀번호가 오히려 비밀번호를 취약하게 만드는 셈이다.

특히 다크웹 등에서는 유출된 ID와 비밀번호가 거래되고 있는데, 이를 입수한 해커는 ID·비밀번호 조합을 수많은 서비스 입력하며 로그인을 시도한다. 일명 크리덴셜 스터핑 공격이다. 사용자가 다른 서비스에도 동일한 ID와 비밀번호를 사용한다면, 서비스 하나만 노출돼도 여러 다른 서비스가 해킹당할 수 있다.

애플에 따르면 비밀번호만을 이용한 인증 방식은 인터넷 환경에서 가장 큰 보안 문제 중 하나로 손꼽혀 왔으며, 사용자는 다수의 비밀번호를 관리하는 번거로움으로 인해 사용 중인 온라인 서비스에 걸쳐 동일한 비밀번호를 사용하는 경우가 많다. 이러한 관행은 계정 탈취, 데이터 침해, 심지어는 신원 도용의 원인이 되기도 한다.
 
2단계 인증, 비밀번호 지키는 대표 수단으로 주목
위협 인텔리전스 기업 맨디언트는 비밀번호를 지킬 수 있는 수단으로 다요소 인증(MFA, Multi Factor Authentication)을 권고했다. 다요소 인증 혹은 2단계 인증(2FA, 2 Factor Authentication)은 ID와 비밀번호를 통한 1차 인증 외에 다른 수단을 이용해 추가적인 본인인증을 거치는 보안 기법이다.

인증보안 업계에서는 인증 수단을 크게 지식 기반, 소유 기반, 특징 기반 인증으로 나뉜다. 지식 기반 인증이란 우리가 흔히 사용하는 ID와 비밀번호, 패턴처럼 이전에 알고 있는 정보를 통해 인증하는 방식을 말한다. 

소유 기반 인증은 사용자가 소유한 기기를 이용해 추가적인 인증을 하는 방식이다. 로그인 시 스마트폰에 설치한 애플리케이션(이하 앱)을 실행해 인증을 하거나, 문자 메시지로 받은 6자리 코드를 입력하는 방식이 대표적이다.

특징 기반 인증은 사용자의 생체적 특징을 이용해 인증하는 방식으로, 지문이나 얼굴인식이 대표적이다. 얼굴인식의 경우 과거에는 사진과 실제 얼굴을 구분하지 못하는 경우도 있었지만, 최근에는 3D 카메라나 적외선 센서 등을 카메라와 함께 이용하면서 인식 정확도를 높이는 방식이 많이 쓰인다.

스마트폰 대중화는 이러한 인증 방식을 더 쉽게 사용할 수 있도록 했다. 스마트폰에 내장된 카메라나 생체인식 센서 등을 인증에 활용할 수 있다. 특히 스마트폰에 설치된 인증 앱과 연동한 2단계 인증은 지식 기반, 소유 기반, 특징 기반 인증을 동시에 사용할 수 있다.
 
비밀번호 없는 로그인, 더 안전하고 빠르다
애플, 구글, 마이크로소프트는 5월 5일(현지시간) FIDO 얼라이언스가 정립한 비밀번호 없는 로그인 기술 표준에 대한 확대 지원을 발표했다. 이러한 기술을 통해 사용자는 길고 복잡한 비밀번호를 단 한 번만 입력하고, 이후 인증 앱 등을 이용해 비밀번호를 추가로 입력하지 쉽게 로그인할 수 있다. 가령, 로그인 시 앱을 실행해 PC 화면에 나타난 QR코드를 촬영하거나, 로그인 시 앱에 지문을 인식하는 방식으로 간편하게 로그인할 수 있다.

이번 3사의 협력을 통해 향후 기기, 플랫폼, 웹 브라우저와 관계없이 앱과 서비스에 로그인할 수 있다. 예를 들어 아이폰에 설치된 인증 앱을 통해 윈도 운영체제에서 실행 중인 구글 크롬 브라우저에 로그인하는 것이 가능하다.

이르면 내년부터 이러한 통합 인증 기능이 도입될 전망이다. 마이크로소프트는 이러한 유형의 로그인을 통해 사용자에게 안전하고 일관된 인증 경험을 제공할 수 있을 것으로 전망했다.

알렉스 시몬스(Alex Simons) 마이크로소프트 인증 프로그램 관리 부문 부사장은 "비밀번호 없는 세상으로의 완전한 전환은 사용자가 자연스럽게 이를 삶의 일부로 받아들이는 것에서 시작한다"며 "이번 협력을 통해 안전하고 간편한 인증 솔루션을 제공하고, 비밀번호를 제거하기 위한 상당한 진전을 이루어냈다. FIDO 기반 자격 증명이 소비자는 물론 기업 고객에게 널리 사용될 것"이라고 말했다.

마크 리셔(Mark Risher) 구글 제품 관리 수석 책임자는 "이번 협력은 온라인 사용자 보호를 강화하고 구식의 비밀번호 기반 인증 방식을 제거하기 위한 업계 전반의 모습"이라며 "이는 비밀번호를 필요로 하지 않는 미래를 위해 구글과 FIDO 얼라이언스가 지난 10여년간 작업한 성과를 나타낸다. FIDO 기반의 기술이 크롬, 크롬OS, 안드로이드를 포함한 다양한 플랫폼에서 활용되고, 앱과 웹 개발자가 이를 적극적으로 도입해 전 세계 사용자가 비밀번호의 위험성이나 불편함으로부터 안전하게 벗어날 수 있기를 기대한다"고 말했다.