[우리문화신문=김영조 기자] 많은 사용자가 외우기 쉬운 비밀번호를 설정하거나 여러 계정에 같은 비밀번호를 쓰다 보니 비밀번호는 종종 해커의 표적이 된다. 이런 문제를 해결하고자 지구촌 정보통신 기업들은 생체 인식 등 비밀번호 없이 높은 보안 수준을 유지하기 위한 다양한 기술을 개발하고 있다. 관련 사례를 자세히 살펴보자.
인터넷을 쓰다 보면 ‘회원 아이디 또는 비밀번호가 일치하지 않습니다’라는 문구를 흔히 본다. 일반적으로 누리집 회원가입을 할 때 영어와 숫자, 특수 문자를 포함하고 아이디와 중복되지 않으며, 대/소문자를 섞은 적어도 10자 이상의 비밀번호를 설정해야 한다.
이에 따라 ‘a24&*375FT59!’처럼 인간의 머리로는 외우기 힘든, 마치 외계어와 같은 비밀번호가 만들어진다. 하지만 대다수의 웹사이트에서는 이렇게 힘들게 만든 비밀번호를 3달에 한 번은 변경할 것을 권고한다. 그럴 때마다 사용자는 난감할 수밖에 없다.
그러다 보니 기억하기 쉬우면서도 여러 누리집에 조금씩 다르게 적용할 수 있는 비밀번호가 대안으로 제시된다. 예를 들어, 생일이 2월 18일이라면 ‘F2bruaRy!8’을 기본 비밀번호로 설정하고, 다음과 네이버에서 각각 ‘F2bruaRy!8daum’, ‘F2bruaRy!8naver’를 사용하는 식이다. 하지만 이 역시 안전한 방법은 아니다. 사람들이 생각하는 패턴은 거의 비슷하기 때문이다. 해커는 몇 글자만 조합하면 어렵지 않게 비밀번호를 유추할 수 있다. 특정 누리집에서 계정이 해킹당하면 다른 누리집에서도 쉽게 털릴 수 있다.
외신 보도에 따르면, 구글과 애플, 마이크로소프트, 네이버, 삼성전자와 같은 글로벌 대형 정보통신 기업들은 오래전부터 비밀번호 없는 세상을 준비해왔다. ‘파이도(Fast Identity Online, FIDO) 얼라이언스’가 바로 그것이다.
2012년 7월 설립된 협의회인 ‘파이도 얼라이언스’는 온라인 환경에서 비밀번호를 대체하는, 안정성 있는 인증방식인 FIDO 기술 표준을 정하기 위해 설립됐다. FIDO는 아이디와 비밀번호 조합 대신 지문이나 홍채, 얼굴, 정맥, 목소리 등 생체 정보를 활용한 차세대 인증 시스템이다. ‘파이도 얼라이언스’는 이 기술 표준을 정하기 위해 설립됐다. 회원사로는 삼성전자, 트러스트키(TrustKey), 블랙베리, 크루셜텍(CrucialTec), 구글, 레노버(Lenovo), 마스터카드(Mastercard), 마이크로소프트, 페이팔(PayPal), LG전자, BC카드, 라온시큐어 등이 있다.
‘파이도 얼라이언스’가 비밀번호를 대체하는 기술 표준을 정하는 이유는 비밀번호 없이도 보안을 안전하게 유지하기 위해서다. 미국 국립표준기술연구소가 규정하는 인증 보장 수준은 1, 2, 3 3단계로 나뉘는데, 파이도 표준을 따르면 보안 수준이 가장 높은 AAL3를 충족한다. 파이도 표준의 각 항을 따르는 것만으로도 피싱을 막을 수 있으며, 서버, 사용자 정보를 포함한 페이로드가 재사용될 위험성도 낮출 수 있다.
파이도 얼라이언스는 2014년, 모바일 앱에서 생체 정보로 로그인할 수 있는 기술 표준 FIDO 1.0을 공개한 것을 시작으로, 2018년에는 웹에서 사용할 수 있는 기술 표준인 FIDO 2.0도 공개했다. FIDO 2.0이 나오면서 모바일 기기에서만 지원됐던 FIDO 인증이 웹브라우저(인터넷 웹페이지를 볼 수 있게 해주는 프로그램, 인터넷 익스플로러, 구글 크롬 등)를 쓰는 다양한 기기에서도 쓸 수 있게 됐다.
파이도(FIDO) 인증은 슬기말틀(스마트폰) 지문과 얼굴 인식이 대표적이다. 주요 사례로는 갤럭시 S5에서 지원하는 페이팔 지문인증결제, 아이폰 페이스ID(FaceID)를 비롯해 마이크로소프트의 윈도우 10 이상 FIDO 인증 지원과 네이버클라우드 'FIDO2 인증서버'의 파이도 공식 인증 획득 등이 있다.
앞으로 파이도의 표준 기술로 만든 개인 암호화 키를 사용자 기기에, 공개 암호화 키는 웹 서버에 두어 사용자가 슬기말틀 잠금을 해제하면 컴퓨터에서 접속한 누리집에 곧바로 로그인되도록 하는 방식이 적용될 것으로 보인다. 슬기말틀 잠금 해제가 암호화 키를 확인하는 역할도 하게 되는 것이다. 이 말은 곧 기기, 운영체제(OS), 브라우저 종류와 관계없이 작동한다는 것을 의미한다.
파이도 얼라이언스에 따르면, 이 방식은 사용자 기기와 누리집이 서로 암호화 키를 확인해야 하므로 해커가 실제 누리집과 똑같은 가짜 누리집을 만들어 비밀번호 입력을 유도하는 피싱도 막을 수 있다. 가짜 누리집은 암호화 키를 갖고 있지 않기 때문이다.
작년 12월에는 애플과 구글, 마이크로소프트는 비밀번호 없이 로그인하는 기술 지원을 확대한다고 발표했다. 파이도 얼라이언스와 월드와이드웹 컨소시엄(W3C)의 비밀번호 없는 로그인 표준을 신속하게 정립하기 위해 지원을 확대한다는 방침이다.
따라서 앞으로 인터넷 사용자는 비밀번호를 입력하지 않아도 지문이나 얼굴 인식, 개인 식별 번호(PIN) 등을 통해 로그인 인증을 하게 된다. 사용자는 계정별로 일일이 등록할 필요 없이 여러 기기에서 패스키에 자동으로 접근할 수 있게 된다. 또, OS나 웹브라우저와 관계없이 모바일 기기에 등록된 파이도 인증을 활용해 주변기기 앱이나 누리집에도 로그인할 수 있게 된다.
예를 들어, 아이패드에 서비스를 한번 등록하면 다른 애플 기기로 서비스에 접근할 때 자동으로 본인 인증이 확인된다. 이 기능은 운영체제 간에도 작동하기 때문에 컴퓨터로 서비스에 접속하면 아이폰 생체 인식을 통해 로그인할 수 있는 정보무늬(QR코드)가 제공된다. 따라서 새 기기에 비밀번호를 입력할 필요가 없다. 이는 안드로이드 등 다른 생태계의 기기에도 모두 같이 적용된다.
AhnLab 콘텐츠기획팀 제공
