‘락 다운 유어 로그인’ 캠페인... 보안 패배주의 종식시킬 수 있을까
암호만으로는 보안 충분치 않아... 하지만 2개를 쓰면 어떨까?

[보안뉴스 문가용 기자] 해커들이 보안 업계보다 우위에 있고, 실제로 계속해서 이기고 있다는 ‘패배주의’가 은근히 퍼지고 있다. 그러면서 ‘전문가도 아닌 일반인 우리가 할 수 있는 일은 사실상 없다’는 무력감도 함께 전파되고 있다. 내 정보는 이미 공공재라고 자포자기하고, 언젠가 프라이버시가 멸종할 것이라는 절망도 있다. 뭔가 분위기 전환이 필요하다.


하지만 무력하게 당하고 있어야 하는 게 현실이 아니다. 소프트웨어 제작자로부터 보안 담당자, 그리고 일반 사용자까지 해야 하는 역할이 분명히 존재한다. 게다가 추가 비용 발생도 거의 없이 소소하게 할 수 있는 일들도 많다. 이에 미국에서는 35개 기업 및 NGO들이 힘을 합해 2중 인증 사용하기 캠페인을 벌이고 있기도 하다.

그런 맥락에서 ‘락 다운 유어 로그인(Lock Down Your Login)’이라는 캠페인이 지난 주부터 시작됐다. 사용자들에게 보다 안전한 암호 사용법 및 관리법을 알려주고 2중 인증 사용을 확산시키는 게 그 목적이다. 그뿐 아니라 하드웨어 토큰, 바이오메트릭, 1회용 암호 등 신기술의 도입 역시 이번 캠페인의 목적이다. 좀 더 자세히 알아보았다.

1. 일단 암호를 강력하게 만드는 게 첫 단추다
국가 사이버 보안 동맹(NCSA)이 조사한 결과 미국인들의 3/4가 사용자 이름과 암호 콤비네이션만으로도 충분히 안전하다고 믿고 있다는 게 드러났다. NCSA의 마이클 카이저(Michael Kaiser)는 암호 하나만으로는 효과적인 보안을 할 수 없는 것도 사실이지만, “그럼에도 강력한 암호를 사용하는 건 도움이 된다”고 강조한다.

“1234같은 쉬운 암호를 사용하는 사람들이 너무 많아요. 이번 캠페인이 권장하는 ‘강력한 암호’란 12글자 이상으로 구성된 단문입니다. 그리고 이왕 하는 거 좀 밝고 긍정적이어서 항상 머릿속으로 생각하면 괜찮을 법한 문장을 사용하는 게 여러 모로 도움이 되죠. 기억하기에도 좋고요. 예를 들면 ‘난 컨트리 음악이 좋아’ 같은 거?”

2. 암호 관리자도 괜찮은 옵션이다
물론 암호를 따로 관리하는 게 매우 귀찮은 일이긴 하다. 정 귀찮으면 적어도 온라인 뱅킹에 사용되는 암호와 업무와 관련된 암호 정도는 따로 구분하는 게 좋다. 그리고 이것도 귀찮다면, 시중에 나와있는 암호 관리 프로그램을 사용해보는 것도 나쁘지 않다. 실제로 많은 기업들이 이미 암호 관리자 프로그램을 사용 중에 있다. 인텔 시큐리티의 트루 키(True Key), 라스트 패스(Last Pass), 조호 볼트(Zoho Vault), 키퍼 시큐리티(Keeper Security) 등을 추천한다.

3. 보안 키는 투자 가치가 있다
NCSA는 컴퓨터에 로그온 할 때 USB 포트를 통해 연결이 가능한 작은 기기를 사용할 것을 권장한다. 유비키(YubiKey) 정도면 사용도 편하고 값이 저렴한 2중 인증 장치다. 유비키는 약 40~50달러 정도의 가격에 팔리고 있으며(약 4~5만원) 아마존 같은 대형 쇼핑몰에서 쉽게 구매가 가능하다. RSA와 시만텍도 비슷한 기능의 기기들을 낮은 가격에 출시한 바 있다. 이런 종류의 기기들을 하드웨어 토큰이라고 하며, 사용자는 필요한 곳에 이 기기들을 항상 들고 다녀야 한다.

“예를 들어 온라인 뱅킹을 위해 혹은 특수 임무를 위해 은행 계좌나 회사 계정에 로그인을 해야 한다고 칩시다. 이때 이 기기 없이는 로그인이 절대로 되지 않도록 설정을 할 수 있습니다. 항상 소지해야 한다는 게 ‘귀찮게’ 들릴 수는 있는데, 사람이 은근히 적응력이 좋은 생물이라, 얼마 안 있으면 하드웨어 토큰을 챙겨 다니는 것이 습관처럼 자리잡을 수 있습니다. 매일 지갑이랑 핸드폰 챙기듯이요.”

4. 바이오메트릭을 활용하라
이게 벌써 ‘뒤처진’ 말일 수 있는데, 쉬운 바이오메트릭 인증 장치가 이미 우리 주변에 많다. 여러 안드로이드 모바일 기기나 iOS 기기들이 지문 인증 방식을 가지고 있으며, 사용자들의 독특한 지문 정보가 있어야만 모바일 툴셋을 사용하는 게 가능해진다. 심지어 최근에는 홍채 인식 기술을 탑재한 모바일도 나왔으며, 안면인식, 음성인식 역시 상용화된 지 오래다. 위의 방법들이 정 귀찮으면 손가락 한 번 쓱 대는 것으로 인증할 수 있는 바이오메트릭을 활용하는 것도 좋은 방법이다.

5. 1회용 암호를 활용한 2중 인증
NCSA는 1회용 암호를 사용자들에게 전송해 인증하는 방식을 취하는 웹 사이트들이 점점 늘어나고 있다고 말하며, “이 역시 권장할 만한 2중 인증 방식”이라고 말한다. 보통 이런 식의 1회용 암호는 문자 메시지나 이메일, 앱을 통하여 사용자에게 전송되며 금방 만료된다. “이미 구글, 트위터, 페이스북 등 대형 서비스들은 이런 기능을 제공하고 있죠. 다른 웹 서비스 업체들도 이런 기능을 더 도입하길 바랍니다. 사용자들도 이미 익숙해져 있다고 볼 수 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>