비밀번호의 난제, 그 와중에 소비자들의 반발심은 커져만 가고

한창 쇼핑을 하고 결제를 진행하는 중에 비밀번호 입력을 다시 하라는 창이 뜨면 소비자들은 어떻게 할까? 대부분 다른 사이트로 간다. 사이트 운영자들로서는 가슴 아픈 소식이다. 그렇다고 보안을 생각하지 않을 수도 없다. 이 난제를 어떻게 풀어가야 할까.

[보안뉴스 문가용 기자] 절반에 가까운 사용자(48%)들이 “새 비밀번호를 설정할 때 옛날 비밀번호로 설정하지 못하게 하면 그 사이트를 사용하지 않는다”고 답했다. 이렇게까지 단호하지 않아도 “그 사이트에 가지 않을 것 같다”고 답한 사람만 21%를 기록했다. 보안 업체 비욘드아이덴티티(Beyond Identity)가 온라인 쇼핑 사용자 1천명을 대상으로 조사한 결과다.

[이미지 = utoimage]

설문에 응한 사람들 중 1/4는 “비밀번호를 재설정해야 한다면 아무리 공들여 쇼핑을 했어도 다른 곳으로 가서 물건을 구매한다”고 답하기도 했다. 응답자 중 50%가 “비밀번호를 강제적으로 바꿔야 하는 주기가 최소 1년에 한 번”이라고 답했고, 이 때 예전 비밀번호를 그대로 사용하는 비율이 가장 높은 건 ‘베이비 부머’ 세대인 것으로 나타났다.

비욘드아이덴티티의 수석 제품 마케터인 징 구(Jing Gu)는 “소비자들은 비밀번호에 엄청난 거부감을 표출한다”고 말한다. “물품을 고르거나 돈을 지불하거나 정보를 열람하는 일련의 과정에서 갑자기 비밀번호를 입력해야만 다음 단계로 넘어갈 때, 소비자들은 쉽게 그 과정을 모두 중단하고 폐기시킵니다. 이건 온라인 쇼핑몰 운영자들에게 있어 수입과 직결되는 문제입니다. 비밀번호가 매우 민감한 아이템일 수밖에 없습니다.”

이 때문에 보안 전문가들은 ‘비밀번호가 없는 미래’를 말할 수밖에 없다. 비밀번호 관리의 중요성을 아무리 강조해도 사용자들은 그저 더 편한 것만 계속해서 요구하기 때문이다. 그렇지만 비밀번호를 대체하는 기술이나 방법에 대해 보안 전문가 모두가 한 마음인 것도 아니다. 일각에서는 비밀번호가 가장 처참한 실패이자 악의 축으로 취급되고, 다른 편에서는 비밀번호가 가장 안정적이고 현실적이며, 가장 사용자 친화적인 방법으로 포장된다.

IDC의 부회장인 프랭크 딕슨(Frank Dickson)의 경우 비밀번호를 없애자는 주장이 아직은 섣부르다는 편이다. “비밀번호라는 장치가 무엇을 위해 있는 것인지부터 생각해야 합니다. 일반 사용자들은 ‘불편한 걸 피한다’는 습성을 보여주는데, 전문가들은 기술 도입의 비용이라는 측면에서 비밀번호 혹은 ‘인증 기술’을 바라봅니다. 결국 이 비밀번호라는 것의 ‘안정성’ 혹은 ‘보안성’도 중요하지만 ‘고객의 편의성’도 같이 생각할 수밖에 없는 게 현실이라는 뜻입니다. 즉 더 편안한 인증 기술이 필요한가 아닌가의 문제가 아니라 언제쯤 그런 기술을 선보여야 하는가의 문제도 중요하다는 것이죠. 혁신이 아니라 진화가 필요합니다.”

ESG의 수석 분석가인 잭 폴러(Jack Poller)의 경우 2022년부터 본격적인 ‘비밀번호 없는 인증 시스템들’이 도입될 것이라고 보고 있다. 이미 MS가 윈도 11부터 비밀번호 없는 인증 시스템을 ‘디폴트 체제’로서 도입했다는 것이 그렇게 생각하는 근거다. 윈도만큼 대중적인 OS도 없고, 그런 윈도가 비밀번호를 대체하기로 했으니 보다 많은 일반 사용자들이 비밀번호 외의 인증 기술에 빠르게 익숙해질 것이라고 보고 있는 것이다.

“익숙해진 소비자들의 힘은 무섭습니다. 이들은 언제 그랬냐는 듯 비밀번호가 아닌 다른 인증 체제를 갖춰달라고 기업들에 요구할 겁니다. 그리고 그것에 편안함과 익숙함을 곧 느끼겠죠. 그 인증 체제가 안전하다면 비밀번호보다 더한 안정감까지 느낄 수 있고요. 결국 비밀번호에 익숙해 있던 소비자들이 다른 기술을 얼마나 빠르게 받아들이냐의 문제고, 지금이 그 때라고 봅니다.”

하지만 보안 전문가들 중 일부는 이런 견해에 회의적이다. 보안 업체 넷엔리치(Netenrich)의 수석 위협 분석가인 존 밤베넥(John Bambenek)의 경우 “비밀번호를 대체하는 인증 시스템의 필요성은 분명하지만 그것이 실현되기에는 아직 무리가 있다”고 보고 있다.

“지금 사이버 공격자들을 실제로 괴롭히고 어렵게 만드는 게 무엇인지도 생각해야 합니다. 공격자들이 까다롭게 느끼는 건 다중인증과 비밀번호 관리 프로그램들입니다. 이 두 가지만 있어도 비밀번호 관리의 어려움이 크게 줄어들고, 보안성은 크게 높아집니다. 소비자들이 비밀번호를 바꾸는 것 때문에 쇼핑을 중단할 필요도 없습니다. 그런데 우리는 소비자들이 비밀번호 관리를 어려워하니 비밀번호를 없애자는 식으로 나아가고 있지요. 이건 바닥치기 경쟁밖에 되지 않습니다.”

보안 업체 주피터원(JupiterOne)의 CMO인 타일러 쉴즈(Tyler Shields)의 경우 “소비자들이 지난 수십 년 동안 손쉽게 사용해 온 보안 인증 장치가 비밀번호였다는 사실을 무시할 수 없다”고 말한다. “그 익숙한 걸 하루아침에 바꾸려니 ‘비밀번호 없는 세상’이라는 게 좀처럼 오지 않는 겁니다. 일단은 과도기라는 것을 겪어야 하는 게 맞고, 그러려면 지금의 비밀번호를 좀 더 안전하게 사용하는 방법부터 연구하는 게 더 현실적이라고 생각합니다.”

3줄 요약
1. 비밀번호 입력이나 재설정에 대한 소비자들의 참을성은 거의 0에 가까움.
2. 따라서 온라인 쇼핑몰 운영자들은 비밀번호가 눈엣가시 같은 존재.
3. 비밀번호 없애자는 주장, 보안 업계에서조차 아직은 다 받아들여지지 않고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)