거짓말로 대답해야 더 안전성↑ 그러나 이는 까먹을 확률도↑ 

[보안뉴스 주소형] 사용자들의 보안성을 강화한다고 만들어 놓은 시스템이 오히려 역풍을 맞았다. 다수의 웹사이트에서 사용자가 아이디나 비밀번호를 잃어버렸을 때 본인이 맞는지 확인하는 수단으로 사용하고 있는 ‘보안질문’에 대한 이야기다. 문제는 이 질문들에 대한 답이 너무 뻔하디 뻔해 추측하기 너무 쉽다는 데 있다. 그렇게 보안질문은 도리어 해커들에게 해킹의 빌미를 제공하는 역할로 전락하고 만 것이다. 사실 이는 해킹이라고 표현하기 민망한 수준의 과정으로 추론이 가능하다.

예를 들어 영어권 국가의 사용자들이 “가장 좋아하는 음식은?”이라는 질문에 “피자”라는 답할 확률은 20%라고 한다. 이 얼마나 쉬운가. 뿐만 아니다. 10번 정도의 대답만 넣어보면 끝나는 질문이 태반인 것으로 분석됐다. 아랍어권 사용자들이 선택하는 질문 가운데 “첫 선생님 성함은?”이라는 질문이 그 중 하나다. 스페인어 사용자의 경우 아버지의 미들 네임을 묻는 질문은 10번의 시도로 알아맞힐 확률이 21%로 드러났다. 우리나라 사용자들은 “고향이 어디냐”는 질문에 대해 10번의 시도 안에 정답을 맞힐 수 있고, 가장 좋아하는 음식도 10번의 시도 안에 뚫릴 수 있는 확률이 43%로 나타났다.

이 같은 보안질문에 답한 사용자들을 분석하고 내용을 세분화 및 통계화해 보고서로 만든 이들은 구글의 엘리 벌스테인(Elie Bursztein) 연구원과 일란 카론(Ilan Caron) 연구원이다. 보고서에 따르면 사용자들이 보안질문에 대해 거짓으로 답하는 비중이 37%다. 또한 거짓 대답이 진짜 대답보다 안정성이 높은 것으로 드러났다.

따라서 보안질문 자체가 보안성이 낮은 가운데 그나마 안전한 질문으로는 “애용하는 비행기 기종과 넘버는?”, “당신의 도서관회원카드 번호는?” 정도가 꼽혔다. 이유는 앞서 말했듯 사용자가 거짓말로 대답할 확률이 높은 질문들이기 때문이다. 혹은 항상 외우고 다니지 않아 답하기 정말로 어려운 질문들이다. 

그런데 또 문제가 있다. 바로 그렇게 거짓말로 대충 대답한 질문들은 나중에 추리해내기 어렵다는 점이다. 뭐라고 답했는지 본인이 기억해내지 못한다는 것. 여기서 한계가 또 부딪힌다. 본인이 만들어 놓은 대답을 기억해야 하는 것과 대답을 추정하기 어렵게 만들어야 한다는 두 가지 요건이 동시에 충족되기란 어렵기 때문이라고 벌스테인과 카론 연구원은 말했다. 

그렇다면 어떻게 해야 할까? 보안질문을 적어도 2개 이상 만들어놓고 함께 물어보는 것은 간단하면서도 보안성을 한층 강화시킬 수 있는 방법이라는 설명이다. 대부분의 사용자들이 선택하는 질문이 “고향이 어디냐?”와 “아버지의 미들 네임이 무엇이냐?”인데, 이 둘을 한 개만 물어보면 너무 쉽지만, 두 질문을 모두 물어보게 되면 10번의 시도 안에 뚫을 수 있는 확률이 6.9%로 뚝 떨어지는 것으로 파악됐다.

그러나 그렇게 두 질문을 동시에 적용했을 경우 사용자 본인도 정답을 기억해낼 확률이 75%에서 59%로 떨어진다고 하니 그렇게 완벽한 해결책은 아닌 것으로 보인다.

이에 보고서는 사용자 본인을 확인하는 수단으로 보안질문이 아닌 SMS나 이메일로 원 타임 코드(One Time Code)를 전송시켜 이를 입력하는 방식 등이 보다 안전하다고 전했다.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>