1억 5천만 사용자들이 구글에 이중 인증으로 접속한다. 그리고 이 때문에 보안 수준이 50% 증가했다고 한다. 이에 힘을 얻은 구글은 점진적으로 이러한 사용자들을 늘릴 계획이라고 한다.

[보안뉴스 문가용 기자] 1억 5천만 명이 넘는 구글 사용자들의 계정 침해 가능성이 절반 수준으로 떨어졌으며, 이는 이중 인증을 도입했기 때문이라고 구글이 발표했다. 이 1억 5천만 사용자는 구글에 로그인 할 때 ID와 비밀번호를 입력한 후 사용자가 설정한 두 번째 장비로 들어온 알림 메시지에 대응을 해야만 한다.


구글은 자사 고객의 계정을 보호하기 위해 여러 가지 방법을 실험적으로 도입해 왔다. 지난 6개월 정도는 1억 5천만 명의 사용자들을 대상으로 이중 인증을 시범적으로 적용했고, 그 결과가 가히 나쁘지 않다는 것이 오늘의 발표 내용이다. 구글의 계정 보안 책임자인 구에미 킴(Guemmy Kim)은 “계속해서 비밀번호만 사용하는 계정을 이중 인증으로 보호해 나갈 방침”이라고 말했다.

구글의 계정용 이중 인증은 2SV라고 불리는데, 비밀번호를 입력한 후 활용할 인증 수단을 여러 가지 중에서 선택할 수 있다. “예를 들어 구글 프롬프트(Google Prompts)와 보안 키(Security Keys)의 경우 꽤나 강력한 보호 성능을 가지고 있죠. 사용자들은 아무 때나 원하는 대로 인증 옵션을 업그레이드할 수 있습니다. 지금은 일단 2SV 사용량 자체를 늘리고자 하는 기간이라 특별히 더 안전하거나 덜 안전한 인증 수단들에 대해 따로 강조해 알리고 있지는 않습니다.”

구글이 새로운 인증 체계를 점진적으로 도입하는 가장 큰 이유는 비밀번호라는 오래된 인증 수단을 완전히 다른 것으로 대체하기 위함이다. 코로나로 인해 재택 근무 환경에 처한 수많은 근무자들 때문에 여러 조직들에서 강제적으로 분산 네트워크 체제를 도입하게 되니 비밀번호의 취약성이 도드라지고 있다는 게 구글의 설명이다. 구글만이 아니라 여러 업체들에서 수년 전부터 비밀번호가 아니라 다중 인증을 사용해야 안전하다고 사용자들을 교육해 왔고, 그 대표 주자 중 하나는 마이크로소프트다.

2019년 마이크로소프트는 한 보고서를 발표했다. 대규모 데이터 침해 피해를 입는 사람이나 조직들 중 대다수(거의 전부)가 이중 인증 옵션을 활용하지 않고 있었다는 내용이었다. 마이크로소프트 보안 제품 수석 책임자인 멜라니 메인즈(Melanie Maynes)는 블로그 게시글을 통해 “보안을 위해 일반 사용자가 할 수 있는 가장 쉽고 효과적인 일은 다중 인증 체제를 활성화시키고 사용하는 것”이라고 쓰기도 했다.

“인증 단계를 한두 개 추가하는 것이 해커들에게는 넘어야 할 산이 계속해서 늘어나는 것과 같습니다.” 하지만 MS가 최근 조사한 바에 의하면 다중 인증을 사내 계정에 도입한 기업은 22%밖에 되지 않는다고 한다.

이중 인증이나 다중 인증이 추가된다는 건 계정 복구의 절차 역시 상당히 까다로워질 수 있다는 뜻이 된다. 그리고 그 부분에서 새로운 공격의 통로가 생길 수도 있다. 그래서 구글은 “고객들과 여러 가지로 소통을 할 수 있는 방법을 마련 중에 있고, 그러한 노력의 일환으로 전화번호 입력을 요청하고 있다”고 한다.

“이중 인증은 그냥 시스템만 마련해서 도입하면 끝이 나는 게 아닙니다. 사용자 대상으로 한 교육 사업도 상당히 늘어나게 됩니다. 2SV가 무엇이며, 왜 사용해야 하며, 어떤 변화가 있는지, 어떻게 설정해야 하는지를 상세히 알려줘야 합니다. 복구의 과정과 복구용 이메일 및 연락처도 구글과 공유하도록 설득해야 하고요.”

따라서 먼저 이중 인증을 도입한 1억 5천만 개의 계정의 보안 상태가 나아졌다는 것을 단순히 이중 인증의 힘이라고만 해석할 수 없다고 킴은 강조한다. “이중 인증을 먼저 도입했다는 건 그만큼 보안에 대한 인식 수준이 다른 사람들보다 높다는 뜻이 될 수도 있고, 이중 인증을 도입하면서 여러 가지 보안에 대한 교육 효과가 나타났다는 뜻이 될 수도 있습니다. 다시 말해 이중 인증 도입은 단순히 강화된 보안 장치를 추가하는 것 이상의 의미를 가지고 있다는 뜻이 됩니다. 이중 인증이 도입되어야 하는 또 다른 이유가 되지요.”

그래서 구글은 계속해서 이중 인증 도입 계정을 늘려갈 예정이다. 교육과 설득, 인지 제고를 통해서다. “2022년이 됐으니 더 많은 사용자들을 이중 인중 쪽으로 끌어당길 계획입니다. 2SV를 좀 더 다가가기 쉽고, 강력하며 친절한 시스템으로 만드는 방식으로 말이죠. 그러면서 또 사용자들에게 적극 권장하기도 할 것이고요. 인증과 관련된 부분에 있어서 구글의 할 일은 아직 많이 남아 있습니다.”

3줄 요약
1. 구글이 시범적으로 도입한 이중 인증, 계정 보호에 성과 보이는 듯.
2. 그 성과는 오로지 이중 인증에서 나오는 것은 아니고, 이중 인증을 도입하는 과정에 부수적으로 얻어지는 교육 효과들 때문이기도 함.
3. 현재 구글 이중 인증 도입한 사용자는 1억 5천만 정도. 더 확대할 계획.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>