Home > 전체기사

비밀번호가 사라진 시대를 준비하기

  |  입력 : 2022-11-21 00:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
비밀번호가 보안 업계와 더 나아가 IT 업계에서 공공의 적이 된 지 꽤나 오랜 시간이 흘렀다. 많은 IT 기업들이 비밀번호 없는 시대를 준비해야 한다고 설파하기도 한다. 하지만 정말 그런 시대가 오기는 할까? 그리고 뭘 어떻게 준비해야 할까?

[보안뉴스 문정후 기자] 현대 사회에서의 삶을 영위하는 데 있어 비밀번호가 차지하는 비중은 결코 낮다고 할 수 없다. 네트워크, 장비, 계정 등 수많은 필수 요소들을 1차적으로 보호하는 게 바로 비밀번호이기 때문이다. 하지만 많은 IT와 보안 전문가들은 이 비밀번호를 다른 것으로 대체해야 한다고 계속해서 주장하고 있다. 비밀번호 없는 세상이 더 안전하고 더 편리하며 더 나은 경험을 제공할 것이라고 예언하는 데에 거리낌이 없다.

[이미지 = utoimage]


이렇게 큰 목소리로 비밀번호를 반대하는 자들 중에 애플, 구글, MS가 있다. 현대 IT 업계를 지배하고 있다고 해도 무방한 기업들이다. 이 셋은 합동으로 “2022년이 마무리 되기 전 우리가 만든 브라우저, 플랫폼, OS들에 FIDO 패스키 기반 인증 시스템을 도입할 것”임을 천명했다. 슬슬 비밀번호 없는 세상을 만들어가겠다는 뜻이다. 하지만 이런 움직임 때문에 적잖은 혼란도 야기될 것으로 예상된다.

보안 업체 키퍼시큐리티(Keeper Security)의 CEO인 대런 구시온(Darren Guccione)은 “비밀번호를 제거한다고 했을 때의 장점은 비밀번호와 관련된 사이버 공격이 줄어든다는 것”이라고 말한다. “하지만 정말로 비밀번호라는 걸 아무도 사용하지 않는 세상을 만드는 과정은 힘들고 복잡하며 소란스러울 것입니다.”

그러면서 구시온은 “패스키라는 게 비밀번호를 완전히 대체하기 위해 고안된 것이지만, 생체 인증을 비롯해 다른 여러 가지 인증 기술들과 같이 사용되어야 한다”고 설명을 잇는다. “그렇기 때문에 패스키가 본 의도대로 작동하려면 OS를 만드는 기업들(애플, 구글, MS)만이 아니라 웹사이트와 애플리케이션 소프트웨어를 만드는 벤더들 모두가 적잖은 공동의 노력을 쏟아 부어야 합니다. 그렇게 해서 기술이 개발되었다면, 사용자들이 비밀번호를 자발적으로 버려야 하는데, 이 부분을 어떻게 진행할 것인지는 아직 윤곽이 잡히지 않은 상황입니다.”

물론 윤곽이 잡히지 않았다고 해서 사용자들로부터 비밀번호를 버리는 일이 불가능하다는 건 아니다. 이미 생체 인증이나 모바일 애플리케이션 인증 등의 기술이 꽤나 보편적으로 사용되고 있으며, 비밀번호 대신 이러한 신기술을 활용하는 사용자들이 꾸준히 늘어나고 있다. 특히 스마트폰이나 태블릿, 심지어 일부 랩톱 장비들에서는 이러한 신식 인증 수단들이 비밀번호 만큼 널리 사용되는 중이다.

비밀번호, 사라지는 게 아니라 뒷단으로 흡수돼
IT 업체 델리니아(Delinea)의 CISO인 조셉 카슨(Joseph Carson)은 “새로운 인증 기술들이 점점 보편화되고 있지만, 비밀번호는 여전히 존재한다”고 강조한다. “장비나 데이터를 복구할 때, 혹은 예비 인증 수단으로서 비밀번호는 여전히 건재합니다. 아니면 모바일 폰을 켤 때 4자리 수 핀번호를 입력하는 사용자들도 아직 어마어마하게 많지요. 이것 역시 비밀번호의 일종입니다. 비밀번호가 예전처럼 주력 인증 수단이 아니라 예비 인증 수단 혹은 특수한 경우의 인증 수단으로서 한 발 물러나고 있지, 아예 죽어 없어지는 건 아니라는 뜻입니다.”

비밀번호가 사라지는 게 아니라는 카슨의 주장은 비밀번호 관리 프로그램의 사용량이 늘어난다는 사실로도 어느 정도 입증이 가능하다. 매우 삼엄한 시설에서 권한이 높은 계정을 관리할 때 비밀번호 관리 프로그램이 자주 사용된다. 카슨은 “비밀번호가 없는(passwordless) 세상이라는 말 자체가 오해를 불러일으킨다고 생각합니다. 비밀번호가 완전히 멸종되는 현상을 상상하게 만들거든요. 하지만 비밀번호가 완전히 사라지는 세상이라는 건 존재하기 힘듭니다. 비밀번호가 예전만큼 눈에 띄는 존재가 아니게 되는 것뿐이죠.”

비밀번호 없는 인증 기술을 논할 때 우리는 보통 사람의 인증을 이야기 한다. 하지만 기계들 역시 인증을 위해 비밀번호를 사용한다. 사람이 스스로의 신원을 입증하기 위해 비밀번호를 사용하듯, 기계도 정체를 밝히고 입증하기 위해 비밀번호를 사용한다. 사물인터넷 장비들에서 특히 이런 사례가 많이 존재한다. 서버와 애플리케이션, 엔드포인트, 서비스 사이에서도 비밀번호는 자주 사용된다. 카슨은 “기계들 간 비밀번호의 활용을 생각하면, 더더욱 비밀번호 없는 세상이 곧 우리 앞에 닥칠 것이라고 상상하기 힘들다”는 의견이다.

비밀번호 이후의 시대를 준비하기
인증 전문 업체 오니모스(Onymos)의 CEO 쉬바 네이선(Shiva Nathan)은 “비밀번호의 대체제들이 본격적으로 자리를 잡는 건 2~5년 이후의 일일 것”이라고 예측한다. “비밀번호를 대체하는 기술들이 준비가 덜 되었다거나 하는 문제가 아닙니다. 그런 기술들을 실제적으로 구축하고 도입하려면 사용자 조직 단에서 준비해야 할 것들이 많습니다. 인증 체제를 바꾼다는 게 하루 아침에 되는 일이 아니거든요.”

사용자 조직에서 제일 먼저 해야 할 일은 인벤토리를 파악하고 정리하는 것이라고 네이선은 강조한다. “조직이 소비자들에게 제공하는 서비스들 중 비밀번호를 필요로 하는 게 무엇인지, 그리고 조직이 다른 곳에서 제공받는 서비스들 중 비밀번호로 필요로 하는 게 무엇인지를 파악해야 합니다. 이렇게만 들으면 별 거 아닌 일로 느껴질 텐데요, 실제로 해 보면 느낌과 많이 다르다는 걸 알게 될 겁니다. 특히 이 과정에서 은둔의 IT, 즉 임직원들이 회사의 승인 없이 사용해 오던 여러 가지 서비스들이 무엇인지도 전부 알아내야 합니다.”

그 다음 중요한 건 기업 내 각 구성원들이 ‘비밀번호 없는 세상’ 혹은 ‘비밀번호 이후의 세상’에 대하여 어떻게 생각하고 있는지를 파악해야 한다고 네이선은 설명한다. “각자가 가지고 있는 생각이 다 다를 것이고, 그렇기 때문에 이를 하나로 모아주는 작업이 필요합니다. 안 그러면 회사가 비밀번호 없는 체제를 완성시킨다 하더라도 구성원들의 행동 패턴들이 다 제각각이 될 것이거든요. 비밀번호 다음의 것을 인증 수단으로 사용하는 때의 알맞은 행동들이 무엇인지 교육하고 훈련시켜야 합니다.”

카슨은 “비밀번호를 사용자가 어렵게 만들고 기억하지 않아도 된다는 점에서 비밀번호가 아닌 다른 인증 수단을 주력으로 사용한다는 것에 장점이 있을 수 있다”고 말한다. “비밀번호 관리는 일반 직원들에게 적잖은 스트레스의 근원이었죠. 이것을 효과적으로 제거해줄 수 있다면, 그것은 긍정적인 일일 겁니다. 하지만 비밀번호를 없앤다고 인증과 관련된 모든 위협들이 사라진다고 생각하면 오산입니다. 비밀번호가 없는 시대가 오더라도, 그 시대에 맞는 위협들이 새로 발명될 것입니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)