지난 5월 5일은 비밀번호의 날이었다. 특이하게도 이를 기념한 기업들은 비밀번호를 없애는 것을 목표로 삼고 있고, 그것에 대한 노력과 결의를 다지는 것이 비밀번호 기념일에 해야 할 일이라고 믿고 있다.

[보안뉴스 문정후 기자] 뭔가 IT와 프라이버시와 관련된 문제가 생길 때마다 쿠키를 삭제하는 걸 좋아하는 사람은 그리 많지 않다. 당장의 문제는 해결될 수 있을지 몰라도, 자동으로 로그인 되도록 설정한 옵션 등 쿠키와 함께 사라지는 편리한 것들이 많기 때문이다. 쿠키 삭제했다가 생각지도 못한 비밀번호까지 잊어버려 곤란해진 경험들 누구나 한 번쯤 있을 것이다.


그런 경험들이 쌓이면 누구나 비밀번호를 똑같이 혹은 비슷하게 만들 수밖에 없다. 세계 비밀번호의 날이었던 5월 5일, 보안 전문가들과 테크 기업들은 이런 비밀번호의 단점을 지적하며, 비밀번호가 사용되지 않는 안전한 미래에 대해 다시 한 번 강조하고 나섰다. 하지만 그 누구도 비밀번호 없는 미래가 조만간 도래할 것이라고 보고 있지는 않다.

비밀번호의 문제
어느 서비스에나 똑같이 사용되는 비밀번호는 오랜 기간 동안 사이버 보안의 가장 큰 문제 중 하나였다. 2022년 스파이클라우드 애뉴얼 아이덴티티 엑스포저 보고서(2022 SpyCloud Annual Identity Exposure Report)에 의하면 작년 한 해 동안 똑같은 비밀번호를 다양한 서비스에 적용해 사용한 경우가 64%나 되었다고 한다. 그리고 노드패스(NordPass)가 조사한 바에 의하면 가장 인기 있는 비밀번호는 123456과 password였다고 한다.

아주 단순한 비밀번호가 인기리에 사용되고 있고, 그나마도 서비스마다 똑같이 설정되고 있다는 것에 대한 경고는 수년 전부터 나왔었다. 하지만 눈꼽만큼도 개선되지 않고 있다. 그리고 그것 때문에 각종 사고들이 터져나오는 중이다. 비밀번호와 관련된 현재의 상황에는 문제가 있음이 분명하다. 비밀번호를 옹호하든 옹호하지 않든, 현존하는 비밀번호 사용법에 오류가 있음은 인정해야 한다. 

이 때문에 비밀번호 외에 몇 가지 인증 장치를 더한 다중인증이 적극 권장되고 있다. 하지만 다중인증이 완벽한 대안은 아니다. 일단 인증을 몇 번 더 거쳐야 하다 보니 생산성과 속도의 측면에 제동이 걸리기 때문이다. 이는 사용자들에게 큰 문제로 다가온다. 불편하기 때문에 안 쓰게 되고, 안 쓰게 되면 다중인증이 아무리 좋은 보안 장치라고 해도 무용지물이 된다. 그러면서 다시 비밀번호로 돌아가는 것이 현실 세계에서 일어나고 있는 일이다.

비밀번호, 어떻게 없애나
“비밀번호를 완전히 없앤다는 건 꽤나 대담한 생각”이라고 아이덴티티 서버 전문 업체 WSO2의 부회장인 그렉 스투에클린(Greg Stuecklin)은 말한다. “하지만 진지하게 고민해야 할 일이라는 것도 분명합니다. 왜냐하면 모든 데이터 사건의 84%가 취약한 비밀번호 관리 문제 때문에 발생하고 있거든요.” 그러면서 스투에클린은 FIDO2 표준이나 생체인증처럼 더 간편하면서 더 안전한 인증 방법이 존재한다고 덧붙인다.

디지털 보안 업체 엔트러스트(Entrust)의 CISO인 마크 루치(Mark Ruchie)도 “비밀번호보다 편리하고 안전한 방법들이 이미 존재한다”는 것을 강조한다. “모바일 푸시 토큰, 인증서 기반 크리덴셜, 각종 생체인증 기술 등이 존재합니다. 공격은 거세지고, 방어 인력은 모자라는 이 때에 비밀번호를 고집한다는 건 무모한 일일 수밖에 없습니다. 게다가 더 나은 기술들이 현존하는데 말이죠. 그저 익숙한 것을 버리기 싫어서 조직 전체를 위험하게 하는 건 어리석다고밖에 표현할 수가 없습니다.”

애플, 구글, 마이크로소프트도 FIDO 지지
세계 비밀번호의 날을 기념하기 위해 애플, 구글, 마이크로소프트라는 기라성 같은 테크 기업 셋은 FIDO에 대한 지원 범위를 확대하겠다고 발표했다. 비밀번호 없는 로그인이 더 빨리 도입될 수 있도록 더 노력하겠다고도 밝혔다. 이미 이 세 기업이 비밀번호 없는 시스템을 선호한다는 건 널리 알려진 사실이다. 다만 이번 발표에서는 몇 가지 구체적인 제안이 포함되어 있어 과거의 발언들과는 사뭇 다른 무게감을 선보였다.

하나는 ‘패스키(pass-key)’라는 걸 장비에 심음으로써, 그 장비를 사용해 모바일 브라우저나 앱을 사용할 때는 매번 로그인을 하지 않아도 되도록 하는 것이다. 이는 OS 플랫폼이나 브라우저 종류에 상관없이 작동할 것이라고 하며, 올해 안에 애플과 구글, MS가 운영하는 플랫폼에 도입되기 시작할 것이라고 한다. 

구글은 자사 블로그를 통해 비밀번호 없이 인증이 가능하도록 하는 FIDO의 표준을 안드로이드와 크롬에 도입할 것이라고 발표하기도 했다. MS도 테크 커뮤니티(Tech Community) 사이트를 통해 윈도 365와 애저 가상 데스크톱, 가상 데스크톱 인프라에 비밀번호 없는 로그인 시스템을 도입할 것이라고 예고했다.  

비밀번호로부터 벗어나려는 이러한 노력들은 사실 소비자가 지지해야만 속도와 힘이 붙는다. 소비자들로서는 반대할 이유가 없다. 더 쉽고 안전한 인증 체계이기 때문이다. “비밀번호의 날에 비밀번호로부터의 해방을 선포한다는 건 대단히 의미가 깊은 일입니다. 비밀번호를 벗어난 소비자들은 더 안전하고 편리한 선택지를 누릴 수 있게 될 것입니다. 그리고 그런 소비자들을 보안 업계도 더 잘 보호할 수 있을 것이고요.” 스투에클린의 말이다.

글 : 제시카 데이비스(Jessica Davis), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>