비밀번호는 인터넷 시대에 가장 기본적인 보안 장치이면서 가장 허술하게 관리되는 보안 장치이기도 하다. 현대인들은 인터넷과 모바일 서비스를 사용하기 위해 많게는 수십 개의 계정을 만들게 되는데, 이 모든 계정의 비밀번호를 기억하고 관리하는 것은 쉬운 일이 아니다. 하지만 이렇게 허술하게 관리되는 비밀번호는 사이버 공격자의 쉬운 먹잇감이 되기 십상이다.
이처럼 사용자들의 비밀번호 관리가 갈수록 어려워지고 비밀번호 유출로 인한 보안 사고가 자주 발생하면서 기업들은 이를 보완하기 위한 다양한 방법을 강구하고 있다. 대표적으로 생체 인증 등을 도입한 다중 인증 방식(MFA: Multi-Factor Authentication)이 여기에 속한다. 최근에는 비밀번호가 아예 필요 없는 인증 방식이 활발하게 연구되고 있다. 2024년 보안업계가 주목하는 기술 세 번째 주인공은 비밀번호 없는(Passwordless) 인증 기술이다.
일상적으로 사용하는 비밀번호의 위험성
디지털 환경이 일상으로 녹아들면서 우리는 수많은 아이디와 비밀번호를 설정해야 하는 환경에 놓여있다. 거의 모든 웹사이트와 애플리케이션에서는 개개인의 정보를 특정하기 위해 로그인을 장려하고 있다. 문제는 이처럼 이용자가 직접 아이디와 비밀번호를 설정하고 기입하는 방식이 보안에 굉장히 취약하다는 점이다.
전문 기관의 조사에 따르면 인터넷 사용자들이 원활하게 디지털 환경을 이용하기 위해 필요한 비밀번호의 개수는 약 100여 개. 하지만 사람들은 기억력의 한계 탓에 100여 개의 비밀번호를 모두 다르게 설정하지 못한다. 결국 2~3개, 혹은 기억하기 쉬운 한 개의 비밀번호로 대부분의 웹사이트와 애플리케이션을 이용하고 있다.
게다가 비밀번호를 기억하기 쉽도록 연달아 이어진 문자열을 이용하거나 개인정보에 기반해 설정하는 이들도 많다. 생년월일이나 이름, 휴대폰 번호처럼 기억하기 쉬운 정보를 비밀번호에 포함시키는 것이다. 그래서 개인정보를 아는 사람이라면 비밀번호를 쉽게 유추할 수 있고 해커의 공격으로 비밀번호나 개인정보가 유출되기도 쉽다. 더욱이 한 번 도용되면 같은 비밀번호를 공유하는 다른 사이트와 애플리케이션의 계정도 연쇄적으로 도용될 위험이 크다.
![[출처: 게티이미지뱅크]](/news/photo/202401/236661_240245_720.jpg)
이는 비단 개인의 문제만이 아니다. 웹 기반 서비스를 이용하는 기업들 역시 비밀번호를 어렵지 않게 설정해서 돌려 쓰는 편이고 이 비밀번호가 유출되는 경우가 적지 않다. 실제로 해커들 역시 기업이나 개인에 대한 사이버 공격을 감행할 때 자주 사용하는 한 두 개의 비밀번호를 알아내는 데 집중하는 경향이 있다.
오늘날 사이버 공간에서 발생하는 정보 유출의 81%가 도난당한 혹은 재사용되는 비밀번호 때문에 발생한다는 조사 결과도 있다. 그리고 이를 초기화하는데 기업들이 천문학적인 비용을 지불하고 있다는 통계도 있다. 2017년 마이크로소프트는 한 달 만에 68만 6000개의 비밀번호를 초기화하는데 1200만 달러(약 160억 원)의 비용을 지불했고 대다수의 글로벌 기업들이 비밀번호 관리 솔루션에 상당량의 보안 비용을 지불하고 있다.
유출되는 비밀번호에 대한 해결책으로 인증서를 이용하는 기업이나 사이트가 많아지고 있지만 인증서 역시 비밀번호가 필요한 탓에 같은 문제점이 있다는 지적이 많았다. 이에 비밀번호가 아예 필요 없는 다양한 보안 기술에 대한 수요가 늘어나고 있다.
비밀번호 없는 인증 기술의 진화
비밀번호로 인한 보안 위협이 나날이 늘어나면서 비밀번호 없는 인증 기술에 대한 업계의 관심도 폭증하고 있다. 시장 조사 기업 FMI(Future Market Insights)는 2022년 전 세계 비밀번호 없는 인증 시장은 약 134억 5040만 달러(약 18조 원) 수준이었으며 이 시장이 연평균 15.3% 성장해 2032년에는 556억 7940만 달러(약 74조 원)에 이를 것으로 예상했다.
보안업계에서는 지금까지 사용자가 인증 요소를 두 가지 이상 사용해 본인 인증을 하는 다중 인증을 활용해 왔다. 다중 인증에는 기존의 아이디와 비밀번호 외에 이메일 인증, 모바일 및 SMS 인증, 음성 통화, OTP 등을 함께 활용하는 인증 기술이다. ▲사용자만이 알고 있는 지식을 물어보는 지식 기반 인증 ▲사용자가 소유한 하드웨어나 소프트웨어를 활용하는 소유 기반 인증(인증서나 OTP 등) ▲사용자의 고유한 신체 구조를 활용하는 생체 기반 인증으로 구분할 수 있다.
하지만 다중 요소 인증 역시 우회가 쉽고 기존 비밀번호 패턴을 알고 있으면 쉽게 정보를 유출할 수 있다는 문제가 제기되면서 비밀번호 없는 인증 기술은 더욱 강력한 보안 기능을 내장한 형태로 진화를 꾀하고 있다.
![[출처: 게티이미지뱅크]](/news/photo/202401/236661_240246_743.jpg)
대표적인 것이 FIDO(Fast IDentity Online) 기반 인증 기술이다. FIDO는 2006년 6월에 설립된 온라인 보안 인증 관련 글로벌 기업들의 연합체인 FIDO Alliance가 추구하는 온라인 인증 방식으로 기존 패스워드를 사용하는 서비스에서 두 번째 인증 요소로 강한 인증을 추가하는 방식과 사용자의 디바이스에서 제공하는 인증 방법을 온라인 서비스와 연동하여 사용자를 인증하는 방식으로 나눌 수 있다.
전자에 해당하는 기술이 지금까지 우리가 일상에서 마주한 수많은 2단계 보안 기술들이며 후자에 해당하는 기술은 분산 디지털 신원 개념을 도입한 방식이다. 분산 디지털 신원 시스템은 신원 등록 데이터와 인증을 통합해 두 가지를 절대로 떨어뜨리지 못하게 강제하는 방식이다. 비밀 키를 별도의 공간에 저장해 두고 이 비밀 키에 접근하기 위해서는 등록 과정에서 제출한 생체 정보와 동일한 정보를 입력할 수 있도록 구성한다. 기존 FIDO 시스템에서 한 발 더 나아가 FIDO 모듈을 플랫폼화하고 인증 절차를 더욱 강화한 FIDO2에 해당하는 기술이다.
비밀번호 없는 인증 기술의 활용
비밀번호 없는 인증 기술, 로그인 기술은 이미 상용화되어 글로벌 기업들 중 일부에서는 스마트카드와 보안키, 하드웨어 토큰, 생체 인식, 모바일 인증 등을 통해 사내 클라우드 기반 솔루션을 지원하고 있다. 신분증이나 출입 카드 발급 과정에서 비밀번호 없는 인증 기술을 적용한 사례도 있으며 지문 인식, 얼굴 인식 등 생체 인증을 지원하는 모바일 기기도 이미 일상이 된 지 오래다.
패스키라 불리는 생체 인증을 기반으로 한 비밀번호 없는 로그인 기술도 적극 활성화되고 있다. 패스키는 스마트폰과 같은 기기나 디바이스에 비밀 키를 내장하고 이를 활성화하기 위해 생체 인증으로 본인을 확인하는 방식이다.
사용자 계정의 식별자로 작동하는 고유한 숫자 또는 문자열 시퀀스를 부여하고 여기에 보안 토큰이나 생체 인식 같은 다른 요소를 결합해 추가적인 보안 계층을 제공한다. 다중 요소 인증을 활용한 보안으로 1단계에서는 기기 자체 혹은 기기 안에 내장된 비밀 키가 인증 요소로 기능하고 2단계에서는 사용자만의 고유한 생체 정보를 인증해야 한다. 해킹을 통해 비밀 키나 패스키를 획득했더라도 생체 인증으로 본인을 재차 확인해야 하기에 보안성이 높다는 평가가 많다.
![[출처: 게티이미지뱅크]](/news/photo/202401/236661_240247_87.jpg)
암호화된 한 쌍의 공개키와 개인키를 조합해 패스키를 구성하는 경우도 있다. 공개키는 서버에, 개인키는 사용자 기기에 각각 저장해 어느 한쪽이 유출되더라도 다른 키가 보안을 책임지는 방식이다.
이미 삼성전자, SK텔레콤, 애플, 구글, 마이크로소프트, 아마존, 페이팔, 로블록스, 닌텐도, 어도비, 틱톡 등 글로벌 기업들이 패스키 도입을 공개적으로 발표했으며 작년 하반기부터 패스키 기능을 자사 앱이나 웹사이트에서 기본 옵션으로 도입한 기업도 많다.
패스키 도입을 주도한 FIDO Alliance에 따르면 전 세계 소비자 브랜드에서 80억 사용자 계정에 패스키를 적용하고 있으며, 99%의 기기가 패스키 적용이 가능한 환경을 지원하고 있는 것으로 나타났다. 패스키 도입을 위한 환경은 이미 조성되어 있다는 뜻이다.
비밀번호 없는 인증 기술의 대표격인 패스키지만 단점이 없는 건 아니다. 1단계 인증에 해당하는 기기 자체를 분실한 경우 계정이나 장치가 아예 잠겨버릴 수 있다. 더불어 전통적인 비밀번호 방식보다 추가로 설정해야 할 포인트가 늘어나 관련 지식이나 디지털 환경에 취약한 사용자에게는 오히려 장벽으로 기능할 여지도 있다.
비밀번호 없는 로그인, 인증 기술은 사용자의 편의는 물론, 점점 늘어나는 보안 위협을 해소하기 위한 차세대 보안 기술이다. 기억나지 않는 비밀번호 탓에 로그인을 수차례 시도하고 한 번 유출된 비밀번호로 인해 연쇄적으로 해킹의 위협에 시달리는 문제를 해결할 핵심적인 기술이 바로 비밀번호 없는 인증 기술이다. 향후 우리가 더 안전한 인터넷을 누리기 위해서도 필수적인 보안 기술이라고 할 수 있겠다.
