• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

비밀번호 없는 미래, 아직 오지 않았다 2021.10.22

비밀번호 없는 미래를 외치는 목소리가 점점 커지고 있다. 업계의 큰손들은 벌써 패스워드리스를 선언하고 나섰다. 하지만 마땅한 대체자가 없는 지금 상황에서 이 외침과 선언은 공허할 수밖에 없다.

[보안뉴스 문가용 기자] 비밀번호라는 보안 장치의 악명은 높아져만 가고 있다. 오래전부터 사용해온 거라 익숙하긴 하지만 성능에 있어서는 분명히 의문이 드는 지점들이 있다. 비밀번호로 보호되는 각종 자원들은 더 이상 안전하다고 말하기 힘들다. 버라이즌의 2021년 데이터 침해 수사 보고서에 의하면 침해 사고의 61%가 비밀번호에서부터 발생한다고 한다. 그럼에도 아무도 이 비밀번호를 치워내지 않고 있다. 없애자는 운동이 있긴 하지만 아직 대세에 영향을 주지는 않는다.

[이미지 = utoimage]


비밀번호를 대체할 만한 기술들은 크게 세 가지 정도로 정리할 수 있다. 비밀번호 관리 프로그램, 싱글사인온, 다중인증이다. 셋 다 고유의 강점과 단점을 보유하고 있으며, 따라서 어느 것 하나 비밀번호의 굳건한 후예로서 자리를 잡지는 못하고 있는 상황이다. 대체자들이 힘을 쓰지 못하고 있으니 우리는 비밀번호를 버리지 못하고 있다.

비밀번호 관리자의 강점은 비밀번호의 사용을 보다 안전하고 편리하게 해 준다는 데 있다. 어려운 비밀번호를 사용자 대신 생성하고 기억하며 심지어 대신 입력까지 해 준다. 사용자는 마스터 키 역할을 하는 비밀번호 하나만 기억하면 된다. 비밀번호를 어렵게 생성하고 기억까지 하는 게 힘들 수밖에 없는 인간의 한계를 보완해 주는 것이라고 볼 수 있다. 그래서 비밀번호 관리자를 추천하는 보안 전문가가 대단히 많은 상황이다.

하지만 비밀번호 관리자에는 단점이 존재한다. 기업망처럼 사용자가 많은 환경에서 사용하기가 부적절하다는 것이다. 사용자 개개인이 비밀번호 관리자를 사용하도록 모든 업무용 PC에 설치할 수는 있지만, 이를 중앙에서 관리하는 건 아직까지 대단히 힘들다. 결국 임직원 중 누군가는 비밀번호 관리자 프로그램을 꺼두기 시작한다. 심지어 마스터키가 되는 비밀번호를 너무 쉽게 만들어 비밀번호 관리자 프로그램을 사용하는 의미가 퇴색하기도 한다.

이럴 경우 조직 전체의 보안성이 잘못 평가되기 일쑤다. 보안에 대한 잘못된 자신감은 대부분 보안 사고로 이어진다. 사실은 아무도 사용하고 있지 않은데 비밀번호 관리 프로그램을 설치했기 때문에 앱들이 강력하게 보호되고 있다고 잘못 생각할 때부터 각종 오류들이 누적되기 시작한다. 그러면서 네트워크 내에 노이즈가 많이 끼고 오탐이 증가하고 조직 전체의 보안 수준이 하락한다.

싱글사인온은 어떨까? 여러 개의 계정에 접속하기 위해 로그인 절차를 단 한 번만 거치면 되기 때문에 사용자 입장에서는 대단히 편리한 방식이다. 보안이 편리해진다. 하지만 싱글사인온의 강점을 전부 활용하는 조직은 그리 많지 않다. 로그인이 필요한 모든 앱을 싱글사인온 시스템에 다 연결시키지 않는 게 보통이기 때문이다. 보통 많은 앱을 싱글사인온에 연결시키면 시킬수록 비용이 더 들어간다. 라이선스 비용도 만만치 않다. 비슷한 이유로 다중인증 시스템도 한 조직 내에서 이상적으로 활용되지 못하는 경우가 많다. 개념은 좋지만 실제 활용에 있어 장벽이 존재한다는 것이다.

위에 언급된 단점들은 사용자 기업 및 기관 입장에서 대단히 치명적인 것들이다. 아무리 비밀번호가 불안전해도 이런 단점들보다 크지 않다고 느낄 법 하다. 그러니 비밀번호가 아무리 안 좋아도 한 동안은 쓰일 수밖에 없다. 적어도 위 세 가지 방법 중 단점을 제일 빨리 없애는 것이 대체자로 확고히 자리를 잡기 전까지 비밀번호는 우리 곁에 있을 것이다. 그러니 보안 전문가들은 비밀번호 퇴치 운동을 벌이는 것과 동시에 현실적인 비밀번호 관리 방법을 고안하고 전파해야 한다. ‘패스워드리스(passwordless)’는 미래다. 그러나 현재는 아니다.

그러기 위해 우리는 뭘 해야 할까? 첫 번째는 애플리케이션 및 계정 인벤토리에 대한 ‘가시성’을 확보해야 한다. 그런데 이 작업을 수행하면 아마 어마어마한 결과와 마주하게 될 것이다. 거의 모든 조직에서 예상보다 훨씬 많은 애플리케이션과 계정들이 존재하고 있음을 알게 될 텐데, 그 어떤 보안 조직이라도 다 다룰 수 없을 만큼 많을 것이다. 그렇기에 두 번째 할 일은 중요도에 따라 우선순위를 정하는 것이다. 어떤 앱과 계정부터 보호해야 하는지를 정해서 비밀번호에 외에 더 적용해야 할 보호 장치를 마련해야 한다.

그 다음으로 할 일은 위 세 가지 대체자들이 가지고 있는 단점을 없애기 위한 방법을 생각해 내는 것이다. 이건 업계 전체가 해야 할 일이기도 하다. 혹은 전혀 다른 대체자를 고안하는 것도 나쁘지 않다. 비밀번호 없는 미래로 가는 길은 포장까지 완료된 매끄러운 도로가 아니다.

글 : 이단 패스트(Idan Fast), Grip Security
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>