TrustKey

#비밀번호 #인증 #패스키 #FIDO #Passwordless Jan 24, 2024

2024 보안업계가 주목하는 기술: ③ 비밀번호 없는 인증 기술

비밀번호는 인터넷 시대에 가장 기본적인 보안 장치이면서 가장 허술하게 관리되는 보안 장치이기도 하다. 현대인들은 인터넷과 모바일 서비스를 사용하기 위해 많게는 수십 개의 계정을 만들게 되는데, 이 모든 계정의 비밀번호를 기억하고 관리하는 것은 쉬운 일이 아니다. 하지만 이렇게 허술하게 관리되는 비밀번호는 사이버 공격자의 쉬운 먹잇감이 되기 십상이다.

이처럼 사용자들의 비밀번호 관리가 갈수록 어려워지고 비밀번호 유출로 인한 보안 사고가 자주 발생하면서 기업들은 이를 보완하기 위한 다양한 방법을 강구하고 있다. 대표적으로 생체 인증 등을 도입한 다중 인증 방식(MFA: Multi-Factor Authentication)이 여기에 속한다. 최근에는 비밀번호가 아예 필요 없는 인증 방식이 활발하게 연구되고 있다. 2024년 보안업계가 주목하는 기술 세 번째 주인공은 비밀번호 없는(Passwordless) 인증 기술이다.

일상적으로 사용하는 비밀번호의 위험성

디지털 환경이 일상으로 녹아들면서 우리는 수많은 아이디와 비밀번호를 설정해야 하는 환경에 놓여있다. 거의 모든 웹사이트와 애플리케이션에서는 개개인의 정보를 특정하기 위해 로그인을 장려하고 있다. 문제는 이처럼 이용자가 직접 아이디와 비밀번호를 설정하고 기입하는 방식이 보안에 굉장히 취약하다는 점이다.

전문 기관의 조사에 따르면 인터넷 사용자들이 원활하게 디지털 환경을 이용하기 위해 필요한 비밀번호의 개수는 약 100여 개. 하지만 사람들은 기억력의 한계 탓에 100여 개의 비밀번호를 모두 다르게 설정하지 못한다. 결국 2~3개, 혹은 기억하기 쉬운 한 개의 비밀번호로 대부분의 웹사이트와 애플리케이션을 이용하고 있다.

게다가 비밀번호를 기억하기 쉽도록 연달아 이어진 문자열을 이용하거나 개인정보에 기반해 설정하는 이들도 많다. 생년월일이나 이름, 휴대폰 번호처럼 기억하기 쉬운 정보를 비밀번호에 포함시키는 것이다. 그래서 개인정보를 아는 사람이라면 비밀번호를 쉽게 유추할 수 있고 해커의 공격으로 비밀번호나 개인정보가 유출되기도 쉽다. 더욱이 한 번 도용되면 같은 비밀번호를 공유하는 다른 사이트와 애플리케이션의 계정도 연쇄적으로 도용될 위험이 크다.

[출처: 게티이미지뱅크]

이는 비단 개인의 문제만이 아니다. 웹 기반 서비스를 이용하는 기업들 역시 비밀번호를 어렵지 않게 설정해서 돌려 쓰는 편이고 이 비밀번호가 유출되는 경우가 적지 않다. 실제로 해커들 역시 기업이나 개인에 대한 사이버 공격을 감행할 때 자주 사용하는 한 두 개의 비밀번호를 알아내는 데 집중하는 경향이 있다.

오늘날 사이버 공간에서 발생하는 정보 유출의 81%가 도난당한 혹은 재사용되는 비밀번호 때문에 발생한다는 조사 결과도 있다. 그리고 이를 초기화하는데 기업들이 천문학적인 비용을 지불하고 있다는 통계도 있다. 2017년 마이크로소프트는 한 달 만에 68만 6000개의 비밀번호를 초기화하는데 1200만 달러(약 160억 원)의 비용을 지불했고 대다수의 글로벌 기업들이 비밀번호 관리 솔루션에 상당량의 보안 비용을 지불하고 있다.

유출되는 비밀번호에 대한 해결책으로 인증서를 이용하는 기업이나 사이트가 많아지고 있지만 인증서 역시 비밀번호가 필요한 탓에 같은 문제점이 있다는 지적이 많았다. 이에 비밀번호가 아예 필요 없는 다양한 보안 기술에 대한 수요가 늘어나고 있다.

비밀번호 없는 인증 기술의 진화

비밀번호로 인한 보안 위협이 나날이 늘어나면서 비밀번호 없는 인증 기술에 대한 업계의 관심도 폭증하고 있다. 시장 조사 기업 FMI(Future Market Insights)는 2022년 전 세계 비밀번호 없는 인증 시장은 약 134억 5040만 달러(약 18조 원) 수준이었으며 이 시장이 연평균 15.3% 성장해 2032년에는 556억 7940만 달러(약 74조 원)에 이를 것으로 예상했다.

보안업계에서는 지금까지 사용자가 인증 요소를 두 가지 이상 사용해 본인 인증을 하는 다중 인증을 활용해 왔다. 다중 인증에는 기존의 아이디와 비밀번호 외에 이메일 인증, 모바일 및 SMS 인증, 음성 통화, OTP 등을 함께 활용하는 인증 기술이다. ▲사용자만이 알고 있는 지식을 물어보는 지식 기반 인증 ▲사용자가 소유한 하드웨어나 소프트웨어를 활용하는 소유 기반 인증(인증서나 OTP 등) ▲사용자의 고유한 신체 구조를 활용하는 생체 기반 인증으로 구분할 수 있다.

하지만 다중 요소 인증 역시 우회가 쉽고 기존 비밀번호 패턴을 알고 있으면 쉽게 정보를 유출할 수 있다는 문제가 제기되면서 비밀번호 없는 인증 기술은 더욱 강력한 보안 기능을 내장한 형태로 진화를 꾀하고 있다.

[출처: 게티이미지뱅크]
[이미지출처: 게티이미지뱅크]

대표적인 것이 FIDO(Fast IDentity Online) 기반 인증 기술이다. FIDO는 2006년 6월에 설립된 온라인 보안 인증 관련 글로벌 기업들의 연합체인 FIDO Alliance가 추구하는 온라인 인증 방식으로 기존 패스워드를 사용하는 서비스에서 두 번째 인증 요소로 강한 인증을 추가하는 방식과 사용자의 디바이스에서 제공하는 인증 방법을 온라인 서비스와 연동하여 사용자를 인증하는 방식으로 나눌 수 있다.

전자에 해당하는 기술이 지금까지 우리가 일상에서 마주한 수많은 2단계 보안 기술들이며 후자에 해당하는 기술은 분산 디지털 신원 개념을 도입한 방식이다. 분산 디지털 신원 시스템은 신원 등록 데이터와 인증을 통합해 두 가지를 절대로 떨어뜨리지 못하게 강제하는 방식이다. 비밀 키를 별도의 공간에 저장해 두고 이 비밀 키에 접근하기 위해서는 등록 과정에서 제출한 생체 정보와 동일한 정보를 입력할 수 있도록 구성한다. 기존 FIDO 시스템에서 한 발 더 나아가 FIDO 모듈을 플랫폼화하고 인증 절차를 더욱 강화한 FIDO2에 해당하는 기술이다.

비밀번호 없는 인증 기술의 활용

비밀번호 없는 인증 기술, 로그인 기술은 이미 상용화되어 글로벌 기업들 중 일부에서는 스마트카드와 보안키, 하드웨어 토큰, 생체 인식, 모바일 인증 등을 통해 사내 클라우드 기반 솔루션을 지원하고 있다. 신분증이나 출입 카드 발급 과정에서 비밀번호 없는 인증 기술을 적용한 사례도 있으며 지문 인식, 얼굴 인식 등 생체 인증을 지원하는 모바일 기기도 이미 일상이 된 지 오래다.

패스키라 불리는 생체 인증을 기반으로 한 비밀번호 없는 로그인 기술도 적극 활성화되고 있다. 패스키는 스마트폰과 같은 기기나 디바이스에 비밀 키를 내장하고 이를 활성화하기 위해 생체 인증으로 본인을 확인하는 방식이다.

사용자 계정의 식별자로 작동하는 고유한 숫자 또는 문자열 시퀀스를 부여하고 여기에 보안 토큰이나 생체 인식 같은 다른 요소를 결합해 추가적인 보안 계층을 제공한다. 다중 요소 인증을 활용한 보안으로 1단계에서는 기기 자체 혹은 기기 안에 내장된 비밀 키가 인증 요소로 기능하고 2단계에서는 사용자만의 고유한 생체 정보를 인증해야 한다. 해킹을 통해 비밀 키나 패스키를 획득했더라도 생체 인증으로 본인을 재차 확인해야 하기에 보안성이 높다는 평가가 많다.

암호화된 한 쌍의 공개키와 개인키를 조합해 패스키를 구성하는 경우도 있다. 공개키는 서버에, 개인키는 사용자 기기에 각각 저장해 어느 한쪽이 유출되더라도 다른 키가 보안을 책임지는 방식이다.

이미 삼성전자, SK텔레콤, 애플, 구글, 마이크로소프트, 아마존, 페이팔, 로블록스, 닌텐도, 어도비, 틱톡 등 글로벌 기업들이 패스키 도입을 공개적으로 발표했으며 작년 하반기부터 패스키 기능을 자사 앱이나 웹사이트에서 기본 옵션으로 도입한 기업도 많다.

패스키 도입을 주도한 FIDO Alliance에 따르면 전 세계 소비자 브랜드에서 80억 사용자 계정에 패스키를 적용하고 있으며, 99%의 기기가 패스키 적용이 가능한 환경을 지원하고 있는 것으로 나타났다. 패스키 도입을 위한 환경은 이미 조성되어 있다는 뜻이다.

비밀번호 없는 인증 기술의 대표격인 패스키지만 단점이 없는 건 아니다. 1단계 인증에 해당하는 기기 자체를 분실한 경우 계정이나 장치가 아예 잠겨버릴 수 있다. 더불어 전통적인 비밀번호 방식보다 추가로 설정해야 할 포인트가 늘어나 관련 지식이나 디지털 환경에 취약한 사용자에게는 오히려 장벽으로 기능할 여지도 있다.

비밀번호 없는 로그인, 인증 기술은 사용자의 편의는 물론, 점점 늘어나는 보안 위협을 해소하기 위한 차세대 보안 기술이다. 기억나지 않는 비밀번호 탓에 로그인을 수차례 시도하고 한 번 유출된 비밀번호로 인해 연쇄적으로 해킹의 위협에 시달리는 문제를 해결할 핵심적인 기술이 바로 비밀번호 없는 인증 기술이다. 향후 우리가 더 안전한 인터넷을 누리기 위해서도 필수적인 보안 기술이라고 할 수 있겠다.

출처 : CCTV뉴스(https://www.cctvnews.co.kr/news/articleView.html?idxno=236661)

#패스키 #구글 #비밀번호 #passwordless Oct 31, 2023

“비밀번호 사라진다”… 구글, ‘패스키’ 기본 옵션 설정

구글이 비밀번호 없이 개인 구글 계정에 로그인할 수 있는 ‘패스키’(passkeys)를 기본 옵션으로 설정한다.

구글은 10일(현지 시각) 블로그를 통해 이같이 밝혔다. 구글이 지난 5월 출시한 패스키는 컴퓨터나 휴대전화 등에서 비밀번호를 입력하지 않고 구글이 지원하는 앱이나 사이트를 이용할 수 있는 기술이다.

패스키를 사용하면 비밀번호 입력 대신 얼굴 인식이나 지문, 화면 잠금 개인 식별번호(PIN) 등을 이용해 로그인할 수 있다. 이 때문에 비밀번호와 달리 해킹이나 기기분실 등에 따른 계정 탈취 우려가 적다.

구글은 “이용자들의 긍정적인 피드백을 받아 ‘패스키’를 기본 옵션으로 설정했다”면서 “’패스키’는 이용자들이 비밀번호를 일일이 기억할 필요가 없는 안전하고 빠른 대안”이라고 전했다.

구글은 다른 온라인 계정에서 패스키를 사용할 수 있는 곳에 대해 계속 업데이트할 계획이다. 다만, 현재의 비밀번호를 더 선호하는 이용자는 ‘패스키’ 사용 옵션을 거부할 수 있다.

조선비즈/김송이 기자

#패스키 #아마존 #비밀번호 #생체인증 #passwordless Oct 31, 2023

아무도 몰래 패스키 도입한 아마존, 비밀번호 철폐를 위한 강력한 메시지

전자상거래 분야 1위 업체 아마존도 슬슬 비밀번호를 없애가려는 것으로 보인다. 공식적으로 발표하지는 않았지만 조용히 패스키를 자사 플랫폼에 도입한 것이다. 3억 명 사용자를 보유한 플랫폼이기 때문에 이제 적잖은 사람들이 패스키의 맛을 볼 수 있게 됐다.

아마존이 아무런 예고도 없이 패스키 기능을 도입했다. 아마존에서 쇼핑을 즐기는 사용자들이나 아마존 플랫폼에서 스트리밍을 제공하던 사용자들이나, 이제부터 클라우드 기반 인증 도구인 패스키를 사용해야만 하는 상황이 됐다. 최근 구글과 MS 등 ‘빅테크’ 기업들의 흐름을 아마존도 놓치지 않고 좇은 것으로 보인다.

갑작스럽긴 해도 패스키라는 인증 도구를 사용할 줄 모르는 사람은 거의 없다는 것이 꽤나 다행인 점이다. 이미 애플이 자사의 인기 높은 장비들을 통해 페이스ID나 터치ID 등을 보편화시켰고, 그 외에도 각종 랩톱에 장착된 지문 센서라든가, 화면 잠금 장치를 푸는 PIN 번호와 같은 개념이 이제는 낯설지 않다. 비밀번호 없이도 인증할 수 있게 해주는 여러 도구들을 사용자들은 충분히 접해왔고 지금도 그러고 있다.

최근에는 이 패스키라는 것이(보다 정확히 말하면 비밀번호를 대체한다는 핵심 개념이) 클라우드 서비스, 웹사이트, 앱 등 여러 군데에서 적용되고 있다. 우버(Uber)도 도입하고 있고, 온리팬즈(OnlyFans)도 이 기술로 사용자들의 접속을 허용한다. 내부적인 활용을 위해 패스키를 도입하는 기업들도 많아지고 있는 추세다.

아마존의 소리 소문 없는 패스키 도입을 먼저 알아채고 알린 건 패스키 기술 전문 업체 코바도(Corbado)의 공동 창립자 빈센트 델리츠(Vincent Delitz)다. “아마존은 사용자의 수가 어마어마한 플랫폼입니다. 아마존이 패스키를 도입하여 많은 사람들이 사용하게 된다는 건, 테크 분야의 신기술이나 유행에 민감하지 않은 사람이더라도 패스키에 적응할 기회가 생긴다는 뜻이 됩니다. 패스키의 편리함에 사람들이 익숙해지고, 따라서 패스키에 대한 수요가 높아진다면 다른 플랫폼과 서비스들에서도 패스키를 도입할 수밖에 없을 겁니다.”

다만 아마존의 패스키가 아직 완전하지는 않다고 델리츠는 설명을 잇는다. “아마존 모바일 앱들에는 아직 패스키가 지원되지 않고 있습니다. 잘 이해가 안 가는 선택이죠. 또한 패스키를 국가별로 혹은 최고 수준 도메인별로 따로 설정을 해야 한다는 것도 조금 아쉽습니다. 패스키 자동 채우기도 아직 지원이 안 되는 걸로 보이고, 장비 관리에서도 불편함들이 조금씩 나타나고 있습니다. 패스키라는 기술 자체의 문제는 아니고, 이를 구축하는 부분에서 나타나는 문제들인데 개선되어야 할 것입니다.”

지난 주 구글도 패스키를 ‘디폴트 로그인 방식’으로 채택할 것이라고 발표했다. 구글은 오래 전부터 비밀번호 없애기에 앞장서 왔던 기업이다. 여기에 아마존도 조용히 패스키를 도입하기 시작했으니, 비밀번호보다 안전한 로그인 기술의 도입이 점점 빨라지고 있다고 볼 수 있으며, 두 주요 기업의 실질적인 행동으로 ‘패스워드리스(passwordless : 비밀번호 없는)’가 더 빠르게 실현될 가능성이 높아졌다. 아이덴티티 보호와 관리 전문 기업 베리다스(Veridas)의 CEO 에두아르도 아잔자(Eduardo Azanza)는 “보안의 측면에서 매우 긍정적인 흐름”이라고 보고 있다.

“패스키가 확산되는 것 자체에는 단점이 없습니다. 오히려 보안이 강화된다는 장점만 있을 뿐이죠. 특히 생체 인증을 기반으로 한 패스키가 널리 도입되면 사이버 공격으로 인한 로그인 정보의 침해가 이전처럼 자주 발생하지 않을 거라고 봅니다. 생체 인증 정보는 사용자의 물리적 특성을 반영한 것이기 때문에 해킹으로 훔쳐가기가 매우 힘들죠. 그러니 아이덴티티 탈취나 도용이 까다로워지고, 그러한 시도에 대한 탐지는 오히려 빨라질 것이라고 봅니다. 아마존과 같은 대형 IT 기업이 패스키를 도입한다는 건 비밀번호를 종식시켜야 한다는 강력한 메시지가 될 겁니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]