본문 바로가기 주메뉴 바로가기 검색 바로가기
연인간 패스워드 공유, 당장 그만두어야 한다
상태바
연인간 패스워드 공유, 당장 그만두어야 한다
테크 설계자들은 종종 계정 하나가 한 사람을 의미한다고 가정한다. 그러나 실제로 많은 커플이 기밀 정보를 공유한다는 사실을 인정했으며, 결과적으로 보안 관리 문제를 일으킬 수 있다.
By VICTORIA TURK, WIRED UK

많은 사람이 주로 문자와 숫자를 조합한 패스워드를 사용할 것이다. 패스워드가 항상 고유한 형태로 존재하도록 항상 신중한 모습을 보일 것이다. 그러나 전혀 고려하지 않았던 한 가지 요소가 디지털 보안을 위협할 수 있다. 바로 사랑이다.

로그인 기밀 정보 공유가 보안 측면에서 절대 해서는 안 될 행위라는 점을 누구나 알고 있다. 그러나 연인 관계에서는 이러한 기본 수칙을 지키지 않는 경우가 제법 흔하다. 카네기멜론대학 인간 컴퓨터 상호작용 연구 기관 소속 제이슨 홍(Jason Hong) 교수는 “기본적으로 누구나 계정을 공유한다. 연인 관계에서 계정을 공유하지 않는 것이 이상하다”라고 말했다.

홍 교수는 실제 세계에서의 인간 행동을 보안 관행의 시작점으로 보는 사회 사이버보안 연구 단체의 일원이다. 그는 “오늘날의 사이버 보안을 보면, 인간을 개인 행위자이면서 이성적인 존재라고 추측한다. 수많은 연구에서 인간의 행위가 실제와 다르다는 사실이 확인됐다”라고 설명했다.
 
[사진=Freepik]
[사진=Freepik]

홍 교수 연구팀은 2018년 게재한 연구 논문에서 실험 참가자 195명 중, 86%가 연인과 함께 계정을 최소 1개 공유하고 있었으며, 최대 39명은 매우 심각한 수준으로 계정을 공유하고 있다는 사실을 확인했다. 연인 사이에서 공유하는 계정의 중간 개수는 4개였다. 한 계정을 공유하기 위해 새로운 계정을 생성하는 이들도 많았다. 홍 교수 연구팀은 올해 실시한 연구에서 커플들을 대상으로 계정 공유 일지를 작성할 것을 요청했다. 관측 결과, 코로나19 격리 기간에 계정을 공유하는 경우가 증가했다. 특히 엔터테인먼트 활동을 할 수 있는 계정을 공유하는 경우가 많았다.

종종 계정을 공유하는 이유는 단순히 편리하다는 점이었다. 동거하는 커플일수록 계정을 공유하는 경우가 특히 많았다. 예를 들어, 넷플릭스나 스포티파이 계정을 공유한다면 구독료를 아낄 수 있다. 또한, 아마존 계정을 공유한다면 가정 물품 구매와 비용을 함께 부담하는 데 도움이 될 수 있다. 만약 연인간 관리자 업무를 공유한다면, 단순히 편리하다는 이유로 로그인 정보를 공유해 관리할 수 있다.

그러나 감정적인 요인 때문에 계정을 공유하는 경우도 있다. 연인 관계에서 계정 공유는 친근한 관계를 암시할 수도 있다. 연인의 욕실에 칫솔을 두는 행위와 연인을 믿고 여분 열쇠를 공유하는 행위를 하는 연인 사이에서 디지털 세계 접근 권한도 공유할 수 있다. 홍 교수는 “비밀을 공유하는 행위는 연인을 신뢰한다는 징조이다”라고 말했다. 2018년 연구에서 연인과 공유하는 계정의 수에 영향을 미치는 주된 요인은 연인 관계의 발전 정도라는 사실이 드러났다. 엔터테인먼트 계정을 공유하는 경우가 가장 흔하며, 연인간 계정을 가장 빈번하게 공유하는 사이트는 넷플릭스와 아마존, 훌루였다. 그러나 잠재적으로 계정보다 더욱 개인적인 정보를 공유할 가능성도 무수히 컸다. 실험 참가자 13명은 연인과 페이스북 상세 정보까지 공유한다고 밝혔다.

홍 교수는 연인에게 로그인 정보를 확실히 알려주는 등 계정을 확실히 공유하지 않더라도 간접적으로 계정을 공유할 수도 있다고 지적했다. 일례로 연인의 휴대폰이나 컴퓨터 잠금을 해제할 수 있다면, 간접적인 형태로 이메일, SNS 등 여러 계정에 접근할 수 있다. 홍 교수는 “한 개인이 여러 계정을 보유하고 있고, 배우자나 연인이 특정 계정이 필요하다면 해당 계정에 접근할 수 있다”라고 설명했다. 구글 연구원이 발표한 2016년 논문은 ‘개인’의 기기를 공유하는 행위가 매우 흔하다는 점은 분명하며, 그 주된 두 가지 원인은 편리함과 신뢰라는 사실을 밝혀냈다.

그러나 계정을 공유하는 행위 때문에 보안 취약 문제를 겪는 것도 당연하다. 맥아피 소속 수석 과학자인 라즈 사마니(Raj Samani) 박사는 아내에게 자신의 계정 정보를 공유하지 않았다고 밝히며, “궁극적으로는 개인의 건전한 사이버 보안 습관에 달려있다”라고 말했다. 개인의 계정 보안 자체가 훌륭해도 기밀 정보를 공유했다면 보안 상태가 가장 취약한 상황에 노출될 수 있다. 반대로 계정 보안 상태 자체가 우수하지 않은 상태에서 계정을 공유했다면, 특히 보안 위험이 매우 크다. 일례로 패스워드를 재사용한다면, 계정 하나가 해킹을 당한 후 같은 이메일 계정이나 사용자 명으로 생성한 다른 계정도 공격 위험에 노출된다.

그러나 문제는 계정 공유 행위가 만연하지만 대부분 테크 서비스 제공 업체는 계정 하나당 계정을 생성한 사람 한 명만 사용한다고 가정한다는 사실이다. 홍 교수는 “계정 하나가 한 사람이라는 사고방식이 존재한다”라고 언급했다. 넷플릭스와 같이 여러 하위 프로필을 두고 계정 하나당 한 명 이상이 접근할 수 있도록 해, 여러 명이 별도로 활동을 하면서 같은 계정을 사용할 수 있는 서비스는 예외이다. (넷플릭스와 같은 서비스의 또 다른 장점은 같은 계정을 사용하는 상대가 완전히 다른 취향을 지녔다는 이유로 개인의 취향에 따른 추천 콘텐츠가 완전히 달라지는 일이 없다는 사실이다)

계정 하나당 한 사람이라는 추측이 지닌 한 가지 위험한 사실은 보안 관습상 널리 권고되는 행위인 두 가지 인증 절차를 사용하는 것과 관련이 있다. 두 가지 인증 절차를 사용한다면, 보통 사용자 이름과 패스워드를 입력한 뒤 문자로 전송되는 코드를 입력하는 등 다른 수단을 사용해 로그인한다. 그러나 두 명이 같은 계정을 사용한다면, 이와 같은 두 가지 인증 절차가 무의미하다. 두 가지 인증 절차의 코드 번호가 휴대폰 하나에만 전송된다면, 해당 계정에 접근할 수 없는 상황도 있다. (그리고, 연인이 로그인 시도를 한 것을 모른다면 로그인 인증 문자를 받은 이가 해킹을 당한 것으로 우려할 수도 있다) 이 때문에 계정을 공유하는 이들에게는 두 가지 인증 절차가 무용지물이다. 홍 교수는 “연인 간 계정을 공유하는 이들은 편의 때문에 일부러 최상의 보안 수단을 쓰지 않는다”라고 말했다.

계정 공유의 가장 심각한 문제는 당연히 연인 관계가 건전하고 안정적이라고 의존하는 것이다. 간혹 더욱 가까워지기 위해 일부러 계정을 공유하는 경우도 있지만, 안전하지 않은 관계에서 발생하는 폭력의 한 가지 형태로 계정을 공유하기도 한다. 예를 들어, 연인 중 한 사람이 일방적으로 계정 공유를 강요해, 상대의 개인 정보를 침해하고 온라인 활동을 감시하고 통제할 수 있다. 여성 지원단체인 ‘위민즈 에이드(Women’s Aid)’ 직원인 케이트 반스(Kate Barnes)는 절대로 건전한 연인 관계를 유지하며 패스워드를 공유할 것이라고 예상해서는 안 된다고 강조한다. 오히려 패스워드를 공유하도록 상대를 강압하거나 압력을 가하는 행위는 강압적인 통제의 일환이다.

건전한 연인 관계도 위험한 관계로 위험한 관계로 변할 수 있다. 한때는 신뢰했던 사람이 위협적인 행동을 하는 가해자로 변해, 상대의 계정 접근 권한을 유지하고 있다면 새로운 유형의 내부적 위협을 할 수 있다. 카스퍼스키 소속 수석 보안 연구원인 데이비드 엠(David Emm) 박사는 이를 헤어진 연인에게 집 열쇠를 주는 행위에 비유했다. 그는 “누군가와 물리적으로는 헤어졌다면, 디지털 세계에서의 계정 공유 관계도 끝났다고 생각해야 한다”라고 말했다. 그러나 최근 계정을 공유한 이들의 수(2018년 연구에서는 연인과 계정을 공유한 인원의 중간값이 80명으로 드러났다)를 고려했을 때, 매우 까다로운 문제라 할 수 있다.

여기서부터 보안을 위해 강력히 추천되는 패스워드 매니저를 사용하는 것이 실제로 도움이 된다. 이때, 개인이 보유한 모든 계정 목록을 효율적으로 보유하고 패스워드를 용이하게 업데이트할 수 있다. 개인적으로 자신이 로그인했던 모든 계정을 떠올릴 필요가 없다. 그러나 재차 설명하자면, 연인과 결별했다면 패스워드를 재사용하는 행위는 특히 위험하다. 중요하지 않다고 치부한 계정 접근 권한을 부여한 것처럼 상대가 기밀 정보를 더욱 중요한 곳에 사용하고 접근할 권한을 얻을 수 있다.

엠 박사는 모든 계정을 연인과 공유하려 한다면, 잠재적인 결과를 고려하는 것이 중요하다. 연인 관계에는 분명히 수직적 관계가 존재한다. 연인과 공유한 계정 중, 은행 계좌 관련 상세 정보가 포함된 계정이 있다면 확실히 위험하다. 특히 카드 상세 정보가 보관됐다면 더더욱 위험하다. 연인과 절대로 공유해서는 안 되는 계정은 바로 이메일 계정이다. 이메일은 종종 다양한 계정 접근 수단과 패스워드 찾기 등에 사용할 수 있기 때문이다. 즉, 이메일 계정을 공유하는 행위는 디지털 세계에서의 생활 측면에서 여러모로 간접적인 문제를 일으킬 수 있다. 연인과 이메일 계정을 공유한 뒤 결별했다는 이유로 이메일 주소를 바꾸고 싶어 하는 이는 없을 것이다.

홍 교수는 결별 가능성 등 연인 사이에서 예상할 수 있는 여러 가지 요소는 로그인 알람을 자주 보내는 것이라고 설명했다. 새로운 기기나 위치에서 프로그램이나 서비스에 로그인했을 경우 이를 계정 주인에게 알린다. 혹은 월별 계정 접근 기록 요약을 전송해, 접근 권한이 없는 타인이 계정에 접근한 적이 있는지 확인할 수 있다. 또한 패스워드 변경이 필요하다면 이를 다시 알려줄 것이다. 홍 교수는 “로그인한 사람에 대한 모든 정보 알림을 원하지 않을 것이다. 그러나 결별한 관계라면, 헤어진 연인이 지금도 자신의 드롭박스 계정에 접속하는지 혹은 구글 파일 드라이브에 접근하는 가와 같은 정보 확인이 매우 중요하다”라고 덧붙였다.

다른 잠재적인 위험에도 도움이 된다. 특히 폭력이나 강압적인 관계에서의 스토커웨어를 고려한다면 더욱더 도움이 될 것이다. 홍 교수는 안드로이드와 iOS 모두 사용자에게 주기적으로 기기에 추적 앱이 설치됐다면 이를 알려줄 수 있다고 설명했다. 만약 추적 앱 설치 사실을 알지 못했다면 해당 앱이 존재한다는 사실을 경고할 수 있다. 홍 교수는 “앱의 이름에 따라 일주일에 한 번씩 실행 중인 앱의 존재를 알릴 수 있다”라고 말했다.

한편, 계정 보안이 계획대로 제대로 이루어지지 않는 것은 연인 사이에서만 발생하는 문제가 아니다. 연인 관계 외에 동료 간에도 패스워드를 공유해, 보안이 취약한 문제가 발생한다. 사마니 박사는 코로나19 때문에 온라인 작업이 증가한 상황에서 동료 간의 패스워드 공유 문제가 악화됐다고 지적한다. 동료 간 계정을 공유한다면, 단순히 계정만 공유하는 것만 문제가 되는 것이 아니다. 종종 보안 수준이 매우 약한 패스워드를 사용한다는 문제도 존재한다. 홍 교수는 “기업에서 첫 번째 접근 네트워크 패스워드로 ‘welcome’이나 ‘12345’ 등을 사용하는 사례를 본 적이 있다”라고 말했다.

** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
You need to stop sharing your passwords with your partner
이 기사를 공유합니다
RECOMMENDED