[개인정보 다이어트 ③] 웹 브라우저와 모바일 보안 파수병, OAuth와 패스워드리스

‘개인정보 포털’에서 안 보이는 가입 내역, ‘브라우저’와 ‘모바일 자동저장’ 속에 답 있다
수십 개 비밀번호 외우기 힘들다면? 보안성 높은 ‘간편 로그인’이 대안
구글·네이버·카카오 연동 서비스 관리로 빈틈없는 ‘디지털 다이어트’ 완성

[보안뉴스 조재호 기자] 지난 2편에서 ‘개인정보 포털’을 통해 본인확인 내역을 조회하고 탈퇴하는 방법을 알아봤다. 하지만 정부 포털도 만능은 아니다. 주민등록번호나 휴대전화 인증을 거치지 않고, 이메일 주소만으로 가입했거나 ‘간편 로그인’(SNS 로그인)을 이용한 서비스는 조회되지 않기 때문이다.

[출처: gettyimagesbank]

진정한 ‘개인정보 다이어트’를 위해선 이 사각지대를 찾아내야 한다. 우리가 무심코 누른 “비밀번호를 저장하시겠습니까?”라는 버튼 속에 단서가 있다. 3편에선 웹 브라우저와 모바일에 저장된 계정 정보를 정리하고, 더 안전한 인증 방식인 ‘오스’(OAuth)와 패스워드리스를 활용하는 법을 소개한다.

내 PC와 스마트폰은 ‘비밀번호 보물창고’... 저장된 계정 점검 필수
대다수 사용자는 구글 크롬 브라우저나 스마트폰의 자동 저장 기능을 이용한다. 이 기능을 활용하면 내가 언제, 어떤 사이트에 가입했는지 역으로 추적할 수 있다.

구글 크롬은 브라우저 오른쪽 상단 [프로필 아이콘] - [Google 비밀번호 관리자(열쇠 모양 아이콘)]를 클릭하면 저장된 비밀번호 목록을 볼 수 있다. 모바일 앱에선 [더보기(⋮)] - [Google 비밀번호 관리자]로 확인할 수 있다. 이곳에서 더 이상 사용하지 않는 사이트의 비밀번호를 삭제하거나, 취약한 비밀번호를 변경할 수 있다.

아이폰(iOS)은 아이폰 설정 메뉴 [암호] 탭에서 저장된 웹사이트 및 앱 계정 정보를 모두 볼 수 있다. iOS 18 이상 버전에선 별도의 ‘암호’ 앱을 통해서도 확인할 수 있다. 불필요한 계정은 [편집] 버튼을 눌러 목록에서 삭제할 수 있다.

안드로이드 및 삼성 갤럭시 사용자는 [설정] - [Google] - [자동 완성] - [Google 자동 완성] - [Google 비밀번호 관리자] 메뉴에서 저장된 계정을 확인할 수 있다. 삼성 갤럭시 기종 사용자는 ‘삼성 패스(Samsung Pass)’도 확인해야 한다. [설정] - [보안 및 개인정보 보호] - [기타 보안 설정] - [Samsung Pass]로 진입해 ‘로그인 정보’ 탭에서 그동안 저장해둔 앱과 웹사이트 계정 목록을 확인할 수 있다.

▲구글 비밀번호 관리자 [출처: 보안뉴스]

비밀번호 관리 대안, ‘OAuth’와 ‘패스워드리스’
많은 보안 전문가는 “사이트마다 다른 비밀번호를 설정하고, 3개월마다 변경하라”고 권한다. 하지만 수십 개의 사이트를 이용하는 상황에서 이를 지키기는 매우 어렵다. 오히려 기억하기 쉬운 비밀번호를 여러 곳에 돌려 쓰다 하나가 뚫리면 전체가 위험해지는 ‘크리덴셜 스터핑’(Credential Stuffing) 공격에 노출되기 쉽다.

대안으로 ‘오픈 인증’(OAuth, Open Authorization) 기반의 간편 로그인이 있다. 오픈 인증이란 사용자가 비밀번호를 직접 제공하지 않고, 네이버나 구글 같은 신뢰할 수 있는 플랫폼의 인증 정보를 빌려 제3의 서비스에 접속하는 개방형 표준 기술이다. 마치 호텔 체크인에서 내 신분증 대신 카드 키를 받는 방식이라고 생각하면 쉽다.

여기서 한발 더 나아가 비밀번호 자체를 없애는 ‘패스워드리스’(Passwordless) 기술도 주목받고 있다. 대표적인 것이 FIDO(Fast Identity Online) 기반 ‘패스키’(Passkey)다. 패스키는 비밀번호 대신 지문이나 얼굴 인식(Face ID) 등 생체 정보를 사용하거나, 스마트폰 자체를 인증 도구로 활용한다.

OAuth와 패스워드리스를 활용하면 개별 사이트에 비밀번호를 입력할 필요가 없고, 서버에 비밀번호가 저장되지 않아 해킹 위험이 낮다. 피싱 사이트가 가짜 로그인 창을 띄워도 입력할 비밀번호가 없어 안전하다. 즉, 보안이 취약할 수 있는 중소 규모 사이트에 내 비밀번호를 맡기는 대신 네이버나 구글 같은 대형 플랫폼의 보안 체계를 빌려 쓰는 셈이다.

▲보안뉴스의 패스워드리스 로그인 방식 [출처: 보안뉴스]

간편 로그인도 주기적 청소가 필요해
간편 로그인을 사용하더라도 ‘연동된 서비스’ 관리는 필수다. 더 이상 이용하지 않는 서비스가 내 정보에 접근하지 못하도록 연결을 해제해야 한다.

네이버는 앱 [메뉴(≡)] - [프로필/설정] - [이력관리] - [연결된 서비스 관리]로 이동하면 내가 간편 가입한 사이트 목록을 확인할 수 있다. 불필요한 서비스는 ‘철회하기’ 또는 ‘정보 제공 철회’를 눌러 연결을 끊을 수 있다.

카카오의 경우, 카카오톡 앱 오른쪽 하단 [더보기(…)] - 오른쪽 상단 [설정(⚙)] - [카카오계정] - [계정 이용] - [연결된 서비스 관리] - [외부 서비스] 메뉴를 통해 조회할 수 있으며, ‘연결 해제’를 선택하면 연동을 중지할 수 있다.

구글은 구글 앱 또는 계정 설정에서 [Google 계정 관리] - [데이터 및 개인정보 보호] 탭으로 이동한다. 하단의 ‘사용자가 이용하는 앱 및 서비스’ 섹션 내 [서드 파티 앱 및 서비스]에서 권한이 부여된 앱을 선택하고 ‘연결 삭제’를 진행하면 된다.

여기서 주의할 점은 ‘연동 해제’와 ‘회원 탈퇴’는 별개란 것이다. 서비스에 내 가입 정보 데이터가 남아있을 수 있어, 확실한 정리를 위해서는 연동 해제 전 서비스에 직접 접속해 탈퇴 절차를 진행하는 편이 좋다.

▲구글과 네이버의 간편 로그인 조회 [출처: 보안뉴스]

디지털 다이어트, 일회성 이벤트 아닌 ‘습관’으로
이번 기획을 통해 ‘개인정보 다이어트’의 구체적인 실천법을 살펴봤다. 디지털 공간에 남겨진 나의 흔적을 지우는 일은 귀찮고 번거로운 과정일 수 있다. 하지만 내 개인정보의 주인은 나 자신이다. 주기적인 ‘정보 비우기’ 습관만이 날로 고도화되는 사이버 위협에서 나를 지키는 가장 확실한 대비책이다.

[조재호 기자(sw@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)