패스워드리스는 생체인식이나 일회용 비밀번호(OTP) 등을 통해 더욱 안전하게 로그인할 수 있도록 하는 보안 방식이다. 지난 3월, MS는 기업용 패스워드리스를 먼저 출시한 바 있다. 새로운 로그인 방식으로 MS는 사용자가 비밀번호를 입력하는 대신 생체인식, 일회용 비밀번호, 모바일 앱을 이용한 푸시 알림 등으로 로그인할 수 있게 한다.

기존의 비밀번호 인증 기술은 인터넷 초기부터 널리 사용됐지만, 사용자가 기억하기 쉬운 번호를 여러 사이트에 걸쳐 반복 사용한다는 점에서 치명적인 보안 취약성이 존재해왔다. 단순한 숫자나 문자열의 반복, 가족의 이름과 생일 등을 기초로 한 단어와 숫자 조합은 사이버 공격자들의 표적이 됐다.

실제로, 2018년 버라이즌 데이터 유출 조사 보고서에 따르면 보안 침해 사고 중 비밀번호 유출로 인한 사고 비율이 81%를 차지했다. 암호 관리 매니저 서비스 기업 노드패스가 2억 7500만 개의 비밀번호를 분석한 결과, 지난해 가장 많이 쓰인 암호로 ‘123456’이 꼽혔다. 이 비밀번호는 약 250만 명이 사용하고 있으며, 1초 내 해킹이 가능한 것으로 드러났다.

비밀번호를 탈취당해 사이버 공격자가 사용자 계정으로 로그인할 수 있게 되면, 이후 공격자가 내부에서 더 높은 권한을 탈취하면서 공격 범위를 확장하거나, 중요 데이터를 빼내고, 네트워크를 마비시키는 악성코드를 침투시키는 등 다양한 공격이 가능해져 문제가 된다.

이에 MS를 비롯해 애플·구글·페이스북 등 빅테크 기업이 속한 FIDO(Fast IDentity Online) 얼라이언스에서는 비밀번호가 가진 취약점을 대체하기 위해 비밀번호가 없는 인증을 위한 하나의 열린 기준을 만드는 작업에 착수했다.

FIDO는 비밀번호의 단점을 해결하기 위해 등장한 사용자 인증 구조다. 일반적인 ID와 비밀번호 대신, 지문이나 홍채 등의 생체정보를 인증된 센서를 통해 확인하고, 보안 영역에서 인증정보를 생성해 서버와 통신하며 내용을 검증한다.

2013년 발표된 FIDO 1.0은 기본적으로 모바일과 같은 개인 디바이스에서의 인증을 목표로 개발됐으나, 이후 2018년 3월에 공개된 FIDO 2.0으로 웹 서비스 환경에서도 생체인증을 적용할 수 있도록 진화됐다. MS가 따르는 기술 표준도 바로 FIDO 2.0이다.

바수 자칼 MS 보안사업 부문 부사장은 “차세대 로그인 방식은 패스워드이며, MS는 모든 사용자에게 비밀번호 없는 인증을 장려할 것이다. 친숙하고 편리한 인증 경험을 통해 다양한 디바이스와 서비스에 걸쳐 최고 수준의 보안을 제공하겠다”고 전했다.

MS의 패스워드리스 로그인을 이용하려면, 먼저 마이크로소프트 계정 설정 사이트를 방문해 ‘고급 보안 옵션’, ‘비밀번호 없는 계정 켜기’ 등의 과정을 거쳐 일반 사용자들도 비밀번호가 아닌 다른 인증 방법으로 로그인할 수 있다. 휴대전화 등 기기에 설치된 인증 앱(Microsoft Authenticator App) 개인 계정과 연결돼야 하며, 비밀번호 사용을 원할 경우 계정에 비밀번호를 다시 추가할 수 있다.

FIDO는 사용자가 인증하는 인증토큰 부분과 클라이언트와 서버가 사용하는 인증 프로토콜을 분리해 비밀번호 사용 없이 인증 방식을 다양화했다는 의의를 둘 수 있다.

전문가들은 "MS의 이번 조치로 IT 업계도 수십 년간 의지해온 비밀번호 관행에서 벗어나는 계기가 될 것으로 보인다"고 전망하면서, "사용자는 비밀번호 관리의 부담에서 벗어나 보다 편리한 애플리케이션 접속 환경을 제공받을 수 있으며, 클라이언트와 서버 간은 공개키 기반으로 사용자를 인증해 비밀번호보다 더욱 안전성을 보장한다"고 설명했다.

아울러, 기업과 관리자는 사용자 인증 경험의 개선과 비밀번호 관리와 보호를 위해 사용됐던 리소스 및 비용을 절약하면서도 보다 강화된 사용자 인증 환경을 구현할 것으로 보인다.

전유진 기자 다른기사 보기