수많은 디지털 ID 사용하는 현대인, 계정 관리가 핵심
기업 침투 역시 정상 크리덴셜 훔쳐 로그인하는 경우 가장 많아

[보안뉴스 문가용 기자] 현대 사회에서 디지털 ID 하나 없는 사람 없다. 모든 사람이 적어도 계정 로그인을 위한 ID 하나는 가지고 있다. 그래서 사이버 공격자들은 이 ID 및 연계된 비밀번호를 알아내기 위해 갖은 애를 쓴다. ID를 보유하고 있는 기업과 사용자들 역시 인증 기술에 대해 다시 생각할 수밖에 없게 됐다.


보안 업체 오스0(Auth0)의 CISO 조안 페핀(Joan Pepin)은 “보험 처리에서부터 은행 업무는 물론, 각종 엔터테인먼트와 게임 사용까지, 대부분의 사람들은 온라인으로 해결하고 있다”고 설명한다. “그러므로 화면 너머에 있는 당신이 진짜 당신임을 증명하는 것이 현대 IT 기술의 핵심이 되고 있습니다.”

생활 속에서 다루는 기기들이 늘어나고 온라인 서비스들이 증가할수록 이러한 디지털 신분의 관리 문제는 계속해서 해결을 필요로 할 것이 분명하다. 여태까지 등장한 방법들만 해도 수두룩하다. 그래서 은행이나 게임사, 통신 회사, 미디어 서비스 회사, 소셜 미디어 네트워크 등은 제각각의 인증 시스템을 도입하고 있다.

“하지만 그렇기 때문에 소비자들만 혼란스럽죠. 아니, 소비자만이 아니라 기술과 보안 전문가들도 헷갈려요. 이론도 많고 기술도 많고, 서로 자기가 맞다고 주장하지만, 정확하게 검증되거나 표준화된 것도 없고요.” 페핀의 설명이다. “대단히 큰 주제에요. 논의가 반드시 이뤄져야 할 내용이죠.”

페핀은 “편리성과 보안성이 상호 충돌한다는 보편적인 개념으로까지 거슬러 올라가야 한다”고 주장한다. “편리하면 안전하지 않고, 안전하면 불편하다는 게 일반론인데요, 그런 선입견 때문에 보호받아야 할 것들이 보호받지 못하고, 우리도 딱히 그걸 개선하려고 하지 않고 ‘안전’만 외치고 있어요. 스스로 불리한 위치를 선점한 것이죠.”

가장 이상적인 건 보안을 쉽고 간편하게 만들어 많은 사람들이 사용할 수 있도록 하는 것이라고 페핀은 말한다. “보안이 튼튼하다고 스스로 자부하는 기업들은 대체적으로 길고 복잡한 비밀번호를 사용하도록 규정을 정해놓고, 그나마도 30일, 60일 혹은 90일에 한 번씩 바꾸도록 하고 있죠. 하지만 이런 곳은 직원들이 비밀번호를 포스트잇에 써서 모니터에 붙여놓곤 합니다.”

미국을 기준으로 한 사람이 보유하고 있는 온라인 계정은 평균 150개다. 이상적이라면 150개의 비밀번호를 외우고 있어야 한다는 소리다. 2022년까지 이 수치는 300으로 오를 전망인데, 이는 곧 사람의 기억력이 크게 좋아지지 않는 이상 비밀번호를 통한 인증 과정에는 반드시 허점이 있을 수밖에 없다는 뜻이 된다.

이런 때 비밀번호 관리 프로그램이 좋은 해결책이 될 수 있을 것으로 보인다. 그러나 아직 비밀번호 관리 프로그램의 보급률은 낮다. “미국인의 12%만이 비밀번호 관리 프로그램을 쓰고 있는 것으로 집계됐습니다. 86%는 순수 기억력에만 의존한다고 해요. 아예 비밀번호 자체를 사용하지 않는다는 사람도 꽤나 되고요. 아마 미국만 이런 건 아닐 겁니다.”

얼마 전 IBM의 연구원들은 약 4000명의 전 세계 성인들을 대상으로 디지털 신원에 대해 조사한 바 있다. 이때 20~36세 사이의 성인들 중 75%는 신체 인증 기술 사용에 거부감이 없다고 답했으며, 복잡한 비밀번호를 사용한다는 응답자는 절반도 되지 않았다. 41%는 여러 서비스들에 같은 비밀번호를 사용하고 있다고 답하기도 했다. 이는 ID 보호 방법에 커다란 변화가 예고되어 있다는 뜻이기도 하다.

MS의 아이덴티티 부서(Identity Division)의 총책임자인 알렉스 시몬스(Alex Simons)는 “전 세계 주요 조직들은 현재 온프레미스로 구성된 디지털 환경에서 ‘개별 컴퓨팅 노드’ 환경으로의 변환기를 거치고 있다”고 설명한다. 좀더 쉽게 말하면 클라우드로의 이전을 말하는 것이다. “온프레미스도 유지하면서 세일즈포스(Salesforce), 아마존(Amazon), 마이크로소프트(Microsoft) 등의 클라우드 서비스도 여럿 섞어서 활용한다는 것이죠.”

그러므로 모두가 복잡하게 상호 연결된 웹 환경이 만들어지고 있다는 것이 그의 설명이다. 이런 일은 비단 기업들 사이에서만이 아니라 소비자들 사이에서도 벌어지고 있다. “소비자 개개인도 보다 많은 기기를 가지고, 보다 많은 장소를 돌아다니며, 보다 많은 서비스에 접속하고 있기 때문입니다. PC 한 대로 모든 것이 해결되는 게 아니라, 목적에 따라 알맞은 기기를 바꿔가며 사용하는 시대가 된 것입니다.”

그러면서 시몬스는 “현재 기업을 공격하는 방법 중 가장 빈번한 성공을 이뤄내는 건 ID와 비밀번호를 훔쳐내는 것”이라고 말한다. “사이버 범죄자들은 여러 방법을 써서 임직원의 정상적인 크리덴셜을 훔칩니다. 그리고 그것으로 로그인을 해서 네트워크와 클라우드 서비스에까지 침투하죠. 그래서 다중인증 시스템이 각광받기 시작했습니다. 비밀번호 외에도 문자메시지나 지문, ARS 통화 등의 인증 시스템을 한 번 더 거치는 것이죠.”

시몬스는 FIDO2라는 새로운 웹 인증 프로토콜이 디지털 인증 기술의 변화기를 보여주는 사례라고 말한다. “FIDO 얼라이언스(FIDO Alliance)가 최근 제시한 인증 표준 기술은 구글, 마이크로소프트, 모질라, 페이팔 등과 함께 만든 것입니다. 그 자체로 이미 ‘현존하는 인증 기술을 바꿔야 한다’는 선언이나 다름이 없습니다.”

FIDO는 비대칭 시도-응답이라는 방법을 차용했다. 무슨 말이냐면, 1) 모든 사용자가 비밀 키와 공개 키를 동시에 갖되, 2) 비밀 키는 안전하게 저장하고, 3) 공개 키는 인증을 위해 웹사이트에 제공한다는 것이다. 4) 그래서 웹사이트가 인증 과정 중에 사용자에게 공개 키를 보내면, 5) 이를 사용자가 비밀 키로 서명하게 된다. 6) 웹사이트는 이 서명을 확인한 후 이상이 없을 때 로그인을 허가한다.

시몬스는 FIDO2가 생체 인증 기술을 활용하기 시작했다는 점도 지적한다. “스마트폰, 스마트 워치, 각종 스마트 버튼과 배지 등 사용자에게 비밀번호를 요구하지 않고도 사용자를 인증해주는 장치들이 많이 있습니다. 마이크로소프트도 윈도우 10에 이러한 인증 기술을 봄부터 도입할 예정이고요. 구글과 모질라도 비슷한 움직임을 보일 것으로 알고 있습니다.”

여기서 중요한 건 “생체 정보를 중앙에서 관리하지 않는다는 것”이다. “기업들도 생체 정보를 스스로 저장하는 걸 꺼려합니다. 문제의 근원이 되기 싫은 것이죠. FIDO2의 표준 역시 이러한 점이 반영되어 있습니다. 로컬 단위에서 생체 정보를 관리하도록 한 것입니다.”

점점 더 많은 웹사이트들이 다양한 방법으로 인증하도록 사용자들에게 옵션을 제공하고 있다. 시몬스는 “이러한 인증 기술들이 ‘편리성’도 같이 가져가고 있다는 것이 고무적”이라고 평한다. “편리하게 스스로를 인증할 수 있다면, 인증 기술을 사용하는 것에 거부감이 덜할 것이고, 그러면 초연결 사회가 좀 더 안전해질 수 있을 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>