많은 사용자가 외우기 쉬운 비밀번호를 설정하거나 여러 계정에 동일한 비밀번호를 사용하다 보니 비밀번호는 종종 해커의 표적이 된다.
이런 문제를 해결하고자 글로벌 IT 기업들은 생체 인식 등 비밀번호 없이 높은 보안 수준을 유지하기 위한 다양한 기술을 개발하고 있다.
관련 사례를 자세히 살펴보자.
인터넷을 사용하다 보면 ‘회원 아이디 또는 비밀번호가 일치하지 않습니다’라는 문구를 흔히 볼 것이다. 일반적으로 홈페이지 회원가입을 할 때 영어와 숫자, 특수 문자를 포함하고 아이디와 중복되지 않으며, 대/소문자를 혼합한 최소 10자 이상의 비밀번호를 설정해야 한다.
이로 인해 ‘a24&*375FT59!’처럼 인간의 머리로는 외우기 힘든, 마치 외계어와 같은 비밀번호가 만들어진다. 하지만 대다수의 웹사이트에서는 이렇게 힘들게 만든 비밀번호를 3개월에 한 번은 변경할 것을 권고한다. 그럴 때마다 사용자는 난감할 수밖에 없다.
그러다 보니 기억하기 쉬우면서도 여러 사이트에 조금씩 다르게 적용할 수 있는 비밀번호가 대안으로 제시된다. 예를 들어, 생일이 2월 18일이라면 ‘F2bruaRy!8’을 기본 비밀번호로 설정하고, 다음과 네이버에서 각각 ‘F2bruaRy!8daum’, ‘F2bruaRy!8naver’를 사용하는 식이다. 하지만 이 역시 안전한 방법은 아니다. 사람들이 생각하는 패턴은 거의 비슷하기 때문이다. 해커는 몇 글자만 조합하면 어렵지 않게 비밀번호를 유추할 수 있다. 특정 사이트에서 계정이 해킹 당하면 다른 사이트에서도 쉽게 털릴 수 있다.
외신 보도에 따르면, 구글과 애플, 마이크로소프트, 네이버, 삼성전자와 같은 글로벌 대형 IT 기업들은 오래 전부터 비밀번호 없는 세상을 준비해왔다. 파이도(Fast Identity Online, FIDO) 얼라이언스가 바로 그것이다.
2012년 7월 설립된 협의회인 FIDO 얼라이언스는 온라인 환경에서 비밀번호를 대체하는, 안정성 있는 인증방식인 FIDO 기술 표준을 정하기 위해 설립됐다. FIDO는 아이디와 비밀번호 조합 대신 지문이나 홍채, 얼굴, 정맥, 목소리 등 생체 정보를 활용한 차세대 인증 시스템이다. 파이도 얼라이언스는 이 기술 표준을 정하기 위해 설립됐다. 회원사로는 삼성전자, 트러스트키(TrustKey), 블랙베리, 크루셜텍(CrucialTec), 구글, 레노버(Lenovo), 마스터카드(Mastercard), 마이크로소프트, 페이팔(PayPal), LG전자, BC카드, 라온시큐어 등이 있다.
FIDO 얼라이언스가 비밀번호를 대체하는 기술 표준을 정하는 이유는 비밀번호 없이도 보안을 안전하게 유지하기 위해서이다. 미국 국립표준기술연구소가 규정하는 인증 보장 수준은 1, 2, 3 3단계로 나뉘는데, FIDO 표준을 따르면 보안 수준이 가장 높은 AAL3를 충족한다. FIDO 표준의 각 항을 따르는 것만으로도 피싱을 막을 수 있으며, 서버, 사용자 정보를 포함한 페이로드가 재사용될 위험성도 낮출 수 있다.
FIDO 얼라이언스는 2014년, 모바일 앱에서 생체 정보로 로그인할 수 있는 기술 표준 FIDO 1.0을 공개한 것을 시작으로, 2018년에는 웹에서 사용 가능한 기술 표준인 FIDO 2.0도 공개했다. FIDO 2.0이 나오면서 모바일 기기에서만 지원됐던 FIDO 인증이 웹 브라우저를 쓰는 다양한 기기에서도 사용할 수 있게 됐다.
FIDO 인증은 스마트폰 지문 및 얼굴 인식이 대표적이다. 주요 사례로는 갤럭시 S5에서 지원하는 페이팔 지문인증결제, 아이폰 페이스ID(FaceID)를 비롯해 마이크로소프트의 윈도우 10 이상 FIDO 인증 지원 및 네이버클라우드 ‘FIDO2 인증서버’의 FIDO 공식 인증 획득 등이 있다.
향후 FIDO의 표준 기술로 만든 개인 암호화 키를 사용자 기기에, 공개 암호화 키는 웹 서버에 두어 사용자가 스마트폰 잠금을 해제하면 PC에서 접속한 사이트에 곧바로 로그인되도록 하는 방식이 적용될 것으로 보인다.
스마트폰 잠금 해제가 암호화 키를 확인하는 역할도 하게 되는 것이다. 이 말은 즉 기기, 운영체제(OS), 브라우저 종류에 관계없이 작동한다는 것을 의미한다.
FIDO 얼라이언스에 따르면, 이 방식은 사용자 기기와 사이트가 서로 암호화 키를 확인해야 하기 때문에 해커가 실제 사이트와 똑같은 가짜 사이트를 만들어 비밀번호 입력을 유도하는 피싱도 막을 수 있다.
가짜 사이트는 암호화 키를 갖고 있기 않기 때문이다.
작년 12월에는 애플과 구글, 마이크로소프트는 비밀번호 없이 로그인하는 기술 지원을 확대한다고 발표했다.
FIDO 얼라이언스와 월드와이드웹 컨소시엄(W3C)의 비밀번호 없는 로그인 표준을 신속하게 정립하기 위해 지원을 확대한다는 방침이다.
따라서 향후 인터넷 사용자는 비밀번호를 입력하지 않아도 지문이나 얼굴 인식, 개인 식별 번호(PIN) 등을 통해 로그인 인증을 하게 된다. 사용자는 계정 별로 일일이 등록할 필요 없이 여러 기기에서 패스키에 자동으로 접근할 수 있게 된다.
또, OS나 웹브라우저와 관계없이 모바일 기기에 등록된 FIDO 인증을 활용해 주변 기기 앱이나 웹사이트에도 로그인할 수 있게 된다.
예를 들어, 아이패드에 서비스를 한번 등록하면 다른 애플 기기로 서비스에 접근할 때 자동으로 본인 인증이 확인된다. 이 기능은 OS 간에도 작동하기 때문에 PC로 서비스에 접속하면 아이폰 생체 인식을 통해 로그인할 수 있는 QR코드가 제공된다.
따라서 새 기기에 패스워드를 입력할 필요가 없다. 이는 안드로이드 등 다른 생태계의 기기에도 모두 동일하게 적용된다. (자료.안랩. 문화생활부)
제보는 카카오톡 haninpost 무단 전재-재배포 <금지>
카톡아이디 haninpost
