[기고] 진화하는 인증 시장, 패스워드가 사라진다?!

[글=이재형 | 옥타코 기술전략책임(CTSO)]

2020년 세계경제포럼(World Economic Forum, WEF)에서는 기후 변화와 더불어 가장 충격이 클 글로벌 TOP 10 리스크 중 하나로 사이버 공격을 지목했다. 실제로 세계는 패스워드의 취약성으로 골머리를 앓고 있는 상황이다. 이번 글을 통해 기존의 패스워드엔 어떤 문제가 있는지, 그리고 디지털 트랜스포메이션이 완성될 미래엔 패스워드가 어떻게 진화할지 함께 살펴본다.

■ 취약한 인증의 대표 주자로 전락한 패스워드

4차 산업혁명의 선두에 있는 인공지능, 빅데이터, 자율주행, IoT, 비대면 기술을 비롯해 음식 배달, 택시 호출, 운동 앱에 이르기까지 전 산업에 걸쳐서 디지털 트랜스포메이션은 이제 경쟁력 확보를 위한 필수 요건이 되어가고 있다. 이러한 디지털 세상에서는 원자로 구성된 물리적인 존재인 나를 대신해, 비트로 구성된 사이버 공간의 나와, 서비스를 안전하고 편리하게 인증해 주는 인증 기술이 필수적이다.

1960년대 컴퓨터의 대중화가 시작되며 인류는 컴퓨터 파일로 대량의 정보를 저장하기 시작했다. 그리고 이 같은 디지털 트랜스포메이션은 데이터를 제어하기 위한 ‘패스워드’ 사용의 보편화를 이끌었다. 이후 인터넷 사용이 보편화되면서 접속 사용자를 구분하기 위해 패스워드의 사용이 기하급수적으로 증가했다. 이렇게 패스워드는 현재 가장 대표적인 인증 수단으로 자리 잡았고, 전 세계에 약 3천억 개의 패스워드가 존재한다고 알려져 있다.

가장 보편적 인증 방식이 된 패스워드는 일정한 패턴, 유추 가능성, 무차별 대입 방식의 해킹에 취약해 해커들의 손쉬운 먹잇감으로 전락한 지 오래다. 이를 대변하듯 최근 트위터는 사상 최악의 해킹을 당했다. 이 해킹 사건으로 버락 오바마 전 미국 대통령을 비롯한 미국 민주당 대선 후보 조 바이든 부통령, 일론 머스크 테슬라 최고경영자 등 유명인들의 계정이 대거 해킹 당해 금융 사기에 악용됐다.

트위터는 해킹 당한 모든 계정을 비활성화하고 이용자들에게 비밀번호를 재설정할 것을 권고했다. 전문가들은 이번 사고처럼 해킹 피해 방지를 위해서 문자메시지 코드형 2차 인증 대신 지문을 활용하는 하드웨어 시큐리티 키와 같은 2차 인증 보안 옵션 사용을 권고하고 있다.

패스워드 인증 방식이 이처럼 취약한 이유는 패스워드가 처음부터 안전한 인증을 목적으로 설계된 인증 수단이 아니기 때문이다. 따라서 현재는 초기 패스워드 인증이 제공하던 효용을 모두 잃고, 가장 취약한 인증 방식으로 막대한 비용을 치르고 있는 것이다. 특히 대규모 해킹 공격으로 수백만, 수천만의 개인정보가 유출되었다는 뉴스는 이제 특별해 보이지 않을 정도로 익숙해졌다.

■ 사용자 입장에서 패스워드의 문제점

패스워드가 가지고 있는 문제점을 크게 분류하면 사용자 입장과 관리자 입장으로 나눠 파악할 수 있다. 우선 사용자 입장에서 패스워드는 다음과 같은 문제점들을 가지고 있다.

1. 너무 많은 패스워드

음식 배달 앱부터 유튜브와 같은 동영상 콘텐츠 서비스, 대리운전, 택시 호출, 간편 결제, 운동 앱 등 재미있고 편리한 온라인 서비스가 하루가 멀다 하고 새롭게 출시되고 있다. 새로운 서비스의 출시는 곧 사용자들의 온라인 계정이 지속적으로 증가함을 뜻하며, 관리해야 하는 패스워드도 더불어 증가하게 됨을 의미한다.

글로벌 온라인 인증 연합체인 ‘파이도 얼라이언스(FIDO Alliance)’가 최근 공개한 소비자 조사에 따르면, 사용자들의 평균 온라인 계정수는 약 90개이며, 사용자의 52%가 5개 이하의 패스워드로 모든 인증 서비스를 사용하고 있다고 한다. 오직 5%의 사용자만이 각 사이트별로 유일한 패스워드를 사용하고 있다고 답했다.

특히 5개 이하의 패스워드 사용자들에게 패스워드 관리방법을 물었을 때 사용자들의 45%는 기억에 의존한다고 답변했으며, 37%는 종이나 엑셀 같은 곳에 적어 놓고 관리한다고 답변했다. 또한 32%는 인터넷 브라우저에 저장해 놓고 사용한다고 응답해, 많은 인터넷 이용자들의 보안 인식이 취약한 상태인 것으로 나타났다.

2. 점점 복잡해지는 패스워드

해킹을 막기 위해, 점점 복잡해지는 패스워드도 문제가 된다. 초기 온라인 서비스는 4자리의 비밀번호로 시작했다. 하지만 6자리, 8자리, 이젠 그도 모자라 대소문자, 특수 기호, 숫자 조합 등을 요구하며 더욱 더 복잡해지고 있다. 파이도 얼라이언스의 소비자 조사에 따르면, 사용자 중 최근 6개월 안에 한 번이라도 패스워드를 기억하지 못해 재설정한 사람은 76%에 이르고, 3개월 안에 재설정을 한 사람의 비중은 51% 수준이다.

3. 주기적 변경이 필요한 패스워드

설상가상으로 패스워드의 취약한 보안성을 보완하기 위해 하나, 둘 생기기 시작한 ‘비밀번호 주기적 변경 정책’은 패스워드 사용의 새로운 문제점 중 하나로 자리매김했다. 가뜩이나 복잡해진 패스워드를 더 복잡하게 설정하라는 요구에 이용자들은 온갖 문자, 숫자를 조합해 최대한 기억할 수 있는 것을 만든다. 하지만 이 또한 매 3개월마다 혹은 1개월마다 새로이 갱신해야 한다.

역설적이게도 자주 변경을 요구하는 패스워드 보안 정책 탓에 사람들은 ‘보다 쉽게 기억할 수 있는 단순한 패스워드’를 더 많이 만들고, 사용하고 있는 상황이다. 실제로 2012년부터 현재까지, 전 세계적으로 가장 많이 사용된 패스워드는 ‘123456’이며 ‘password’가 그 뒤를 잇고 있다.

■ 관리자 입장에서 패스워드의 문제점

1. 패스워드 관리와 보호를 위한 막대한 비용

소규모 조직부터 수억 명을 상대로 서비스를 제공하는 조직까지, 패스워드 관리는 IT부서의 가장 중요한 업무 중 하나가 됐다. 보안을 위한 패스워드의 주기적 변경, 직원 및 고객의 변동, 비밀번호 재설정은 물론, 패스워드를 보호하기 위한 DB 보안, 암호화 설정, 인증 서비스 간의 연동 등 패스워드 인증 체계로 인한 관리 비용과 시스템의 복잡성도 날로 증가하고 있다. 결국 조직 입장에서는 막대한 비용과 핵심 역량에 집중할 에너지가 ‘관리 업무’로 분산돼 낭비되고 있는 것이다.

2. 통제 불가능

또 다른 문제점은 패스워드의 사용을 통제할 수 없다는 점이다. 비밀번호 체계는 기본적으로 비밀을 공유하는 구조를 가지고 있다. 사용자와 서비스 제공자는 이 비밀을 맞춰보고 인증 여부를 결정한다.

여기서 특정 서비스 조직의 정보보안 담당자가 개인정보 보호를 위해 복잡한 비밀번호 체계를 도입한 후 주기적으로 변경하며, 암호화하고, 서버를 보안 관리하는 조치를 취했다고 가정하자. 하지만 사용자가 등록한 패스워드를 다른 서비스에 공통으로 사용하던 중, 해당 개인 서비스가 해킹 당할 경우 모든 것이 무용지물이 된다.

회사 조직이 아무리 다층 보안을 구축하고 온갖 보안 솔루션을 도입해도 정보보안 담당자는 속수무책으로 당할 수밖에 없게 되는 것이다. 보안을 위해 여러 층으로 출입문을 막아 놓아도, 해커에게 모든 문을 열 수 있는 만능키가 있다면 모든 노력이 허사로 돌아간다.

■ 미래를 위한 Passwordless 인증 전략

마이크로소프트, 구글, 애플, 삼성 등 각종 디바이스와 애플리케이션, OS 플랫폼 및 브라우저 인프라 등을 서비스하는 기업들은 오래전부터 패스워드를 대체하는 다양한 인증 수단에 대해 고민해 왔다.

이렇게 탄생한 것이 바로 OTP 및 2차 인증, 생체인증 등의 Passwordless 인증이며, 기존의 패스워드에 이 같은 Passwordless 인증 방식을 추가해 보안성을 높이는 전략을 취하고 있다.

페이스북, 아마존, 뱅크 오브 아메리카 등과 같이 디지털 서비스가 핵심 사업이 된 서비스 제공 업체들이 패스워드를 대체하는 이러한 흐름에 가세해, Passwordless 인증으로 다양한 인증을 할 수 있게끔 플랫폼과 솔루션을 구축하고 있다.

이와 같은 퍼블릭 서비스 외에도 시스코(CISCO)를 비롯한 네트워크 장비, CITRIX와 같은 VDI 원격 근무 환경 제공 솔루션 업체, VPN 업체 등도 관리자 및 실무자, 사용자들을 위한 OTP, 스마트카드, FIDO 인증 등 패스워드를 대체하는 보다 강화된 인증 방식을 도입하여 패스워드 의존성을 낮추려 하고 있다.

정보보안 영역뿐만 아니라 융합보안 영역에서도 패스워드를 대체하려는 움직임을 보이고 있다. 융합보안 영역 역시 IP 카메라, 웹, 앱 기반 원격 감시, 중앙 관제 S/W 등의 기본 설정 및 관리자, 사용자 설정이 S/W 기반으로 된 매우 간단한 패스워드 체계로 구성돼 많은 유출 사고를 겪고 있기 때문에, Passwordless 인증은 지속적으로 확대돼 많은 패스워드 인증 체계를 대체할 것으로 전망된다.

앞으로 글로벌 시장에서 국내 업체들이 경쟁력을 가지기 위해선 Passwordless 인증 시대를 대비해 관련 기술을 개발하고, 준비해온 국내 정보보안 업체들과 물리보안 업체들의 협력이 무엇보다도 중요하다. 이 같은 융합을 통해 보다 강화된 보안과 편리성을 제공할 수 있는 솔루션을 개발해 또 다른 기회를 창출해 나갈 수 있을 것이다.