[포럼] 사용자 친화적 보안, 갈 길 멀다

2022. 8. 24. 18:50
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기
진승헌 ETRI 책임연구원

최근 자료에 따르면 특정 프로그램으로만 접속 가능한 '다크웹'에서 불법 거래되는 패스워드가 246억 개에 달한다고 한다. 패스워드는 본래 사용자가 서비스를 이용하기 위해 정당한 사용자인지를 확인하기 위한 유용한 인증 수단이다. 하지만, 범죄 플랫폼에서 개인정보의 불법거래를 위해 패스워드는 해커의 좋은 먹잇감으로 공격이 집중되곤 한다. 이처럼 패스워드는 오랫동안 사용되어 익숙한 인증 수단이지만 필자는 다음과 같이 세 가지의 유형의 보안 취약점을 가지고 있다고 생각한다.

첫째, 이용하는 패스워드가 너무 많아서 관리하기 어렵다. 한 보안 회사의 설문 결과에 따르면 92%의 사용자가 다른 사이트에 동일한 패스워드를 사용하는 것이 위험하다는 것을 알고 있지만, 65% 사용자는 대부분 동일하거나 약간 변형한 패스워드를 사용한다고 답한다.

둘째, 도용에 취약하다. 사용자는 패스워드를 자신이 기억하거나 이용하기 쉬운 것으로 설정하는 경향이 있어 해커 역시 유추하기 쉬워서 도용에 취약하다.

셋째, 피싱에 취약하다. 우리가 'A은행' 이라고 생각하고 자신의 패스워드를 입력하였는데, A은행이 아니고 해커가 유도한 피싱사이트라면 자신의 패스워드를 고스란히 해커에게 넘겨주게 되는 것이다.

패스워드가 이러한 심각한 단점이 있는데도 왜 많이 쓰일까? 사용이 익숙하고 구축이 저렴하기 때문이다. 그러므로 지금까지 패스워드의 단점을 보완하는 방법은 사용자에게 부가적인 노력과 주의를 요구하는 것이었다.

개인정보 유출사건이 발생하면 패스워드 보안 수칙을 언급하면서 사용자에게 주의를 당부하는 것을 자주 볼 수 있다. "사용자는 다양한 조합의 긴 길이를 가진 안전한 패스워드를 설정해서 사용해야 하고 여러 개의 시스템에 각기 다른 패스워드를 설정해야 한다" 등이다. 하지만, 정보보호 분야를 연구개발하고 있는 필자로서는 슬그머니 낯이 뜨거워진다.

복잡한 패스워드를 사용하고 모든 사이트에 다른 패스워드를 사용하면 안전하다는 것은 누구나 아는 상식일 것이다. 하지만, 사용자들은 아직도 '123456', 'password' 등과 같은 해커가 유추하기 쉬운 패스워드를 사용하고 있다. 위에서도 언급했듯이 과반수가 넘는 많은 사용자가 동일한 패스워드를 여러 개의 사이트에 사용하고 있다.핵심은 사용자에게 안전한 패스워드 관리를 안내하는 보안 수칙이 맞는 내용이지만 사용자가 실천하기에 쉽지 않다는 점이다. 한 단계 더 나아가면, 사용자에게 보안 수칙 준수만을 요구하는 것이 최선인지는 다시 한 번 살펴볼 필요가 있다.

지금까지는 관련 기술이 그리 성숙하지 않고 공급자 위주의 보안 정책으로 인하여 사용자에게 서비스 환경에 대한 학습 노력을 요구하고 서비스 제공자가 이용자를 단방향으로 확인하는 것을 자연스럽게 여겼다. 하지만, 지금은 서비스 환경이 점점 고도화되고 서비스 제공자와 이용자가 대등한 입장으로 진화하고 있어 보안 수칙 강화뿐만 아니라 기술적 접근을 고려할 필요가 있다.

예를 들면 사용자에게 패스워드를 복잡하게 설정하고 사이트마다 다르게 설정하는 것을 일방적으로 요구하기보다는 사용자가 항상 휴대하는 스마트폰이 이러한 임무를 수행하도록 만들어 주는 것도 하나의 대안이 될 수 있다. 특히, 현재 접속하고 있는 사이트의 피싱사이트 여부에 대해서도 사용자를 대신해 스마트폰이 확인해 줄 수 있다.

이렇듯 패스워드를 쓰지 않지만 사용자의 편의성은 높이고 보안을 강화하기 위한 노력들이 하나 둘 늘어나고 있다. 지난 5월 애플, 구글 및 마이크로소프트는 웹을 보다 안전하게 사용하기 위한 공동 노력의 하나로 글로벌 온라인 인증협의체인 파이도(FIDO) 얼라이언스와 월드와이드웹(WWW) 컨소시엄인 W3C가 만든 패스워드 없는 인증 표준에 대한 지원을 확대할 계획을 발표한 바 있다.

향후 메타버스 등과 같은 콘텐츠 환경이 늘어나게 되면 기존 키보드, 마우스 중심의 사용자 인터페이스가 AR·VR(증강현실·가상현실) 글래스나 웨어러블 디바이스 등으로 대체되고 패스워드 없는 환경에 대한 요구는 더 가속화될 것이다. 안전한 서비스 환경을 위한 사용자의 참여와 노력은 계속 중요하다. 하지만, 이것만으로는 부족하다. 사용자의 노력만을 요구하기보다는 현장에서 실질적으로 동작할 수 있는 사용자 친화적인 보안기술 개발 노력이 더욱 필요하다.

Copyright © 디지털타임스. 무단전재 및 재배포 금지.

이 기사에 대해 어떻게 생각하시나요?
디지털타임스에서 직접 확인하세요. 해당 언론사로 이동합니다.