암호 인증 시스템을 이을 가장 강력한 주자는 무엇일까?

비용과 시장성, 생산성을 해결할 강력한 후보는 바이오인식

[보안뉴스 문가용] 인증 방법에 있어서 암호 시스템처럼 약한 게 없다는 것이 정설처럼 자리잡아가고 있다. 그런데 아직도 인터넷에 기반을 둔 서비스들 대부분이 암호 시스템에서 벗어나지 못하고 있다. 그러니 사용자들 입장에선 외워야 할 암호가 너무 많고, 그래서 어떤 사이트에서건 암호를 하나로 통일하는 습관을 가지고 있으며, 그래서 더 암호가 취약해지는 상황이다.

그렇다면 암호보다 더 강력한 인증 방법에는 어떤 게 있을까? 지금 단어 1~2개만 요구하는 암호 인증보다 더 많은 요소를 요구하는 수단이라면 전부 현재의 암호 시스템보다 더 강력하다고 볼 수 있다. 한 개가 두 개로 늘어나면, 두 개가 세 개로 늘어나면 인증 시스템은 훨씬 강력해진다. 그런데 왜 우리는 이런 걸 흔히 보지 못할까? 인증이 강력하면 할수록 접근이 어렵기 때문이다. 이는 사용자와 서비스 제공자 모두에게 해당한다.

첫 번째 어려움 : 비용

서비스 제공업자들은 인증 강화를 꾀하다가 ‘비용’이라는 어마어마한 장벽에 부딪힌다. 사용자가 한두 명이 아닌데, 그 사용자 한명 한명에게 새로운 시스템을 모두 적용시킨다는 건 값비싼 일이다. 사용자마다 제각각인 PC 환경, 스마트폰 기종과 환경, 태블릿까지 전부 고려한다면 비용 증가는 소폭에 그치지도 않는 게 보통이다.

가격이 저렴하다고 알려진 클라우드 기반의 솔루션도 그 사정이 별반 다르지 않다. 소유총비용(TCO)가 사용횟수에 따라 두 배, 세 배로 훌쩍 뛰기 때문이다. 게다가 가격을 산출할 때도 개발, 통합, 배포, 지원, 연간 유지비용 등의 변수들이 들쑥날쑥 반영되기 마련이다.

하지만 사용자 수만큼 비용 산출에 큰 영향을 미치는 건 없다. 쉽게 생각해서 USB 인증 시스템을 도입한다고 했을 때 사용자 전원에게 USB를 제공하려면 큰 돈이 나갈 수밖에 없다. USB의 단가만 생각해도 그런데 발송에 필요한 우편료, 포장료, 인건비까지 계산하면 기하급수적으로 뛰어오른다. 또한 USB가 고장 나거나 부서졌을 경우는 어떤가?

USB 대신 이중 인증을 위한 모바일 앱을 배포한다고 했을 때는 어떨까? 분명 많은 고객에게서 설치문의 전화를 받을 것이다. 최초 설치를 다 도와주고 나면 사용은 어떻게 하느냐, 암호 어떻게 바꾸냐는 따위의 질문들이 쇄도할 것이다. 고객 응대만 하다가 다른 일은 손도 못 대는 경우가 발생할 가능성이 높다. 이것도 다 비용이다.

이럴 때 생각할 수 있는 대안이 바로 바이오인식이다. 바이오인식에 필요한 요소들은 이미 사용자들이 가지고 있으니 따로 만들거나 배포할 필요가 없어지며 바이오인식에 필요한 센서는 빠르게 확산되고 있는 최신형 스마트폰으로 해결이 가능하기 때문이다.

두 번째 어려움 : 사용의 어려움

소비자 애플리케이션들은 대부분 간단한 암호 입력으로 인증 절차가 끝난다. 소비자들이 사용의 편리성을 선호하기 때문이다. 업체들 인식 속에 아직은 소비자의 편의성이 보안성보다 중요하다. 시장 전체의 정서이기도 하다. 그래서 인증 절차를 강화시키기가 두려운 것이다.

이럴 때 먼저 바뀌어야 할 것은 의외로 소비자다. 소비자가 강화된 인증 절차를 선호하면 기업들은 앞다투어 암호 시스템보다 강력한 인증 시스템을 도입할 것이다. 그리고 이 일이 실제로 일어나고 있다. 최근 포네몬 인스티튜트(Ponemon Institute)에서 실시한 설문에서 소비자들이 암호로만 인증 절차를 끝내는 기업이나 서비스를 신뢰하지 않는다는 결과가 나온 것이다.

소비자들은 이제 ‘수상하다’ 혹은 ‘안전하지 못하다’고 느끼면 가차없이 뒤로가기를 누른다. 소비자들이 온라인 쇼핑을 할 때 쇼핑카트 기능을 점점 사용하지 않는다는 통계 결과도 있을 정도다. 또 스마트폰으로 온라인 쇼핑을 해봤다는 소비자들 중 51%가 아직 신용카드 정보를 입력해 넣는 게 꺼림칙하다라는 반응을 보였다는 연구 결과도 있다. 업체 입장에서 강력한 보안 기능을 소비자들에게 제공하는 것이 점점 경쟁력이 되어가고 있다. 그래서 드롭박스나 트위터 등에서는 이중 인증을 이미 도입하고 있는 것이다.

그런 점에서 바이오인식을 고려해볼만 하다. 이미 아이폰 시리나 그와 비슷한 기능을 가진 애플리케이션 덕분에 기계에 목소리를 입력하는 것에 사람들이 더 이상 거부감을 갖지 않고 있으며 비슷하게 눈이나 지문을 스캔하는 것에도 익숙하다. 모바일 기기들에도 점점 지문인식 기능이 도입되고 있는 실정이다.

세 번째 어려움 : 접근성의 제한

접근성에 강한 제한을 걸어두는 건 강력한 인증 절차가 가지고 있어야 할 필수요소다. 그러나 모든 정보에 강력한 제한을 걸어두는 건 생산적이지 못하다. 특별한 경우 혹은 특별한 정보에만 제한이 걸려야 한다. 즉 아주 민감한 정보와 덜 민감한 정보에 차별성을 두어야 한다는 것이다. 공개되어도 상관 없는 정보에 암호가 두세 개씩 걸려있는 건 정보의 ‘과보호’이다.

한 가지 이상의 요소를 요구하는 인증 절차가 강력한 인증 절차라는 건 사실이다. 하지만 그런 요소가 많다고 무조건 강력한 인증 절차가 되어버리는 건 아니다. ‘요소’에도 질과 등급이 있기 때문이다. 좋은 ‘요소’란 1) 사용자가 쉽게 잊어버리지 않아야 하며 2) 누구나 쉽게 생각할 수 없는 것이어야 하며 3) 복제하는 게 쉬워서도 안 되고 4) 한번 인터넷 상에서 유출된 정보와 비슷해서도 안 되며 5) 변형이 쉬워서도 안 된다. 바이오 인증에서 요구하는 ‘요소’들은 신체의 일부이기 때문에 이런 기준을 전부 만족시킨다.

암호로 더 이상 우리의 것을 지킬 수 없을 때 - 이미 그런 때다 - 다른 방법을 생각해봐야 한다. 물론 업체 입장에서는 비용이나 사업성의 이유로 쉽게 도입할 수 없기도 하다. 그럴 때 생각해봄직한 옵션이 바이오인식이 아닐까. 사라지고 있는 암호의 다음 주자가 뭐가 될지 자못 궁금하다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>