[프리미엄리포트]비밀번호 없는 세상이 온다
"회원아이디 또는 비밀번호가 일치하지 않습니다"
구글, 애플, 마이크로소프트, 네이버, 삼성전자를 포함한 IT 공룡 기업들이 비밀번호 없는 세상을 준비하고 있습니다. 비밀번호를 정하라는 문구 앞에 앉으면 딜레마가 생깁니다. 쉽게 기억할 수 있는 비밀번호는 보안 수준이 낮고, 보안 수준이 높은 건 기억할 수 없으니까요. 이런 딜레마를 해결하려고 고른 타협안은 여러 개의 계정에 같은 비밀번호를 쓰는 것입니다. 하지만 이 타협안 때문에 연쇄적인 아이디 도용의 타깃이 되기 십상입니다. 게다가 앱(응용프로그램)이나 웹사이트를 운영하는 기업도 이 타협안이 반갑지 않습니다. 네이버 클라우드 IT 시큐리티본부에서 일하는 곽문수 엔지니어는 “아이디 해킹 신고를 조사해보면 대부분 비밀번호가 노출된 경우”라며 “비밀번호 로그인 방식을 쓰는 건 기업 입장에서도 추가 관리가 필요한 일”이라고 설명했습니다.
비밀번호 없이 로그인하는 방법을 만들 순 없을까요. 대다수 사람들이 생체 인식이 가능한 스마트폰이나 태블릿, 노트북을 가지면서 ‘로그인할 때 휴대용 기기의 생체 인증을 이용해보자’라는 의견이 나오기 시작합니다. 여기서 출발한 게 파이도(FIDO) 얼라이언스입니다. 2012년 페이팔, 레노버, 녹녹랩스 등 6개 기업이 기업체 연합을 만들어 표준 프로토콜을 만들기로 한 겁니다. 10년이 지나며 라인, 삼성, 구글, 애플, 마이크로소프트 등 40개 기업이 보드 멤버로 가입했습니다.
이들이 같이 ‘표준’을 만드는 이유는 비밀번호 없이도 높은 보안 수준을 유지하기 위해서입니다. 미국표준기술연구소가 규정하는 인증 보장 수준은 1,2,3 세 단계로 나뉘는데, FIDO 표준을 따르면 보안 수준이 가장 높은 AAL3를 만족시킬 수 있습니다. FIDO 표준의 각 항을 따르는 것만으로 피싱을 막을 수 있고, 서버나 사용자 정보를 포함한 페이로드를 재사용하지 못하도록 막을 수 있습니다.
그래서 FIDO는 2014년, 모바일 앱에서 생체 정보로 로그인할 수 있는 기술 표준 FIDO 1.0을 공개했습니다. 생체 정보로는 개개인의 기기에 저장된 비밀키를 열 수 있습니다. 이 비밀키가 있어야 서버에 등록된 공개키와 맞춰보고 본인이란 걸 증명할 수 있죠. FIDO 1.0은 이 검증에 필요한 프로토콜을 표준으로 만들었습니다. 이어서 2018년엔 웹에서 쓸 수 있는 기술 표준인 FIDO 2.0도 공개했습니다. FIDO 2.0이 나오면서 모바일 기기에서만 가능했던 FIDO 인증이 웹 브라우저를 쓰는 다양한 기기에서 가능해졌죠.
덕분에 2014년 2월에 삼성전자와 페이팔이 최초로 결과물을 냈습니다. 갤럭시 S5 지문인식으로 페이팔을 쓸 수 있도록 한 겁니다. 또 마이크로소프트도 2015년 2월부터 윈도우 10이상에서 FIDO 인증을 지원하기로 했죠. 최근엔 네이버클라우드도 FIDO 2.0 인증을 받았습니다. 곽문수 엔지니어는 “이미 사내에선 와이파이 접속, 홈페이지 로그인, 개발자 서버 접속 등 거의 모든 서비스에 비밀번호 없는 로그인을 쓰고 있다”고 설명했습니다.
앞으로는 더 편하게 비밀번호 없는 로그인을 누리게 될 겁니다. 5월 5일(현지 시간), 애플, 구글, 마이크로소프트 3개의 빅테크 기업이 비밀번호 없는 로그인 지원을 확대하겠다고 발표했거든요. FIDO 2.0이 되더라도 애플 기기에서 마이크로소프트 기기로 바꾸면 다시 생체 정보를 등록해야 하는 불편함이 있었습니다. 그런데 이번 세 기업의 발표는 여러 기기에서 암호를 동기화해 다시 생체 정보를 등록할 필요가 없게 하겠다는 겁니다. 그럼 애플 기기에서 지문을 등록한 뒤 새로 산 마이크로소프트 기기에서 바로 지문 인식을 쓸 수 있게 됩니다. 세 기업은 공동 성명에서 “내년쯤 새로운 플랫폼을 쓰게 될 것”이라고 밝혔습니다.
※관련기사
과학동아 7월호, [엣지사이언스]2023년 알림... 비밀번호 없는 세상이 온다
[신수빈 기자 soobin@donga.com]
Copyright © 동아사이언스. 무단전재 및 재배포 금지.