By BRIAN BARRETT, WIRED US

자, 솔직하게 말해보자. 패스워드 공유는 우리가 가장 좋아하는 TV 쇼 시즌2 콘텐츠를 제공하지 않는 것만큼 넷플릭스 사용 경험에서 매우 흔한 일이다. 따라서 넷플릭스가 패스워드 공유를 막으려는 테스트를 시작할 때, 공동 계정 사용을 문제로 생각하지 않았던 많은 사용자가 분노하는 것을 이해할 수 있다. 그리고, 크게 노력하지 않아도 쉽게 돈을 벌 수 있는 수단이 사라지면 항상 화가 나는 법이다. 그러나 넷플릭스의 최우선 순위가 아니지만, 넷플릭스 계정 패스워드를 공유하지 않는 편이 좋을 것이다.

2021년 3월 둘째 주에 도입된 제한된 범위의 테스트는 기본적으로 많은 사용자가 대다수 온라인 사이트 계정에 도입되기를 원하는 이중 인증 형태로 이루어진다. 몇몇 사용자는 일시적으로 이중 인증 제도가 시행되자 이를 즉각 따르기 시작했다. “만약, 넷플릭스 계정 주인과 함께 거주하는 것이 아니라면, 개인 계정을 따로 두고 넷플릭스를 계속 시청해야 한다.” 이중 인증 제도에는 이메일 혹은 문자로 받은 코드를 받고 이를 입력해 계속 시청할 수 있는 제도가 있다.

넷플릭스의 이중 인증 제도 시범 도입 상황을 자세히 아는 어느 한 소식통은 넷플릭스가 이중 인증 제도 시행 초기 단계에 머무르고 있으며, 누가 어떤 계정을 사용하는지 검증하면서 동시에 권한이 없는 계정 공유 문제에 내재한 보안 문제를 최소화할 방안을 찾고자 노력 중이라고 전했다.

그렇다. 보안 문제가 있다. 넷플릭스의 패스워드 공유 단속 테스트는 넷플릭스 이용 약관을 읽은 모든 사용자에게 이득이 될 것이 없다는 사실이 분명하다. 그러나 넷플릭스는 계정을 가구 구성원을 제외한 다른 개인과 공유할 수 없다는 점을 구체적으로 명시한다. 사용자 계정을 가장 가까운 사람과 공유해도 곤혹스러운 결과를 맞이하게 될 것이다.

보안 기업 이셋(ESET)의 사이버 보안 전문가 제이크 무어(Jake Moore)는 “많은 사람이 알고 지내는 사람과의 패스워드 공유가 위험하지 않다고 잘못 이해하는 듯하다. 그러나 실제로 패스워드를 공유해서는 안 되며, 다중 인증 요소를 추가하는 것이 여전히 패스워드 공유 금지 과정을 더 안전한 상태로 보호하는 데 도움이 될 것이다”라고 설명했다.
 
좋다. 그런데, 왜 패스워드를 공유하면 안 되는가? 패스워드와 같이 내 계정 정보를 사촌이나 자주 만나는 지인과 공유하면, 실제 어떤 손해를 보게 되는가? 몇 가지 형태로 피해가 발생할 수 있다. 가장 기본적인 문제는 그리 피해를 일으키지 않는다. 친구 한 명에게만 패스워드와 함께 계정 정보를 공유했다면, 이후 얼마나 많은 사람이 해당 계정 정보를 공유하느냐와 얼마나 많은 사람이 계정 하나를 공유하느냐와 같은 문제를 통제할 수 없다. 와이어드 수석 기자 릴리 헤이 뉴만(Lily Hay Newman)이 과거에 다른 사람과 공유한 훌루 계정을 검토했을 때, 해당 계정 접근 권한이 허용된 기기가 90개가 넘는 것을 확인했다.

타인의 계정에 무임승차하는 이들은 주로 개인의 추천 목록 통합을 위협한다는 사실을 인정한다. 그러나 이는 계정 공유가 불러일으키는 전체적인 재앙이 아니다. 또, 계정에 저장된 개인 데이터 무엇이든 탈취할 수 있다.

그보다 훨씬 더 큰 문제는 패스워드 공유 범위가 넓을수록 개인적으로 얻는 위험성이 커지면서 패스워드의 보안이 침해될 것이라는 사실이다. 그리고, 많은 사람이 여러 사이트와 서비스에서 같은 패스워드를 자주 재사용한다는 사실을 고려하면, 패스워드 공유는 넷플릭스를 넘어서 여러 계정 정보가 노출될 수 있음을 의미한다.

인터넷 인프라 기업 아카마이(Akamai) 소속 연구원 스티브 라간(Steve Ragan) 박사는 “다른 사람과 패스워드를 공유했다는 이유로 계정 정보를 받은 상대가 개인 정보를 해킹하고, 범죄 조직이 해당 계정의 패스워드 정보를 손에 넣게 되는 것이다. 그리고, 범죄 조직의 손에 들어간 패스워드를 인터넷상 다른 곳에서도 똑같이 사용한다면, 범죄 조직이 이를 찾아내고 다른 계정에도 똑같이 접근할 수 있다. 패스워드 공유는 복합적인 문제이다”라고 말했다.

여러 서비스에서 탈취한 사용자 계정 정보를 다량으로 입력해 어떤 계정 정보가 맞는지 알아보는 관행은 크리덴셜 스터핑(credential stuffing)이라고 알려졌으며, 특히 최근 몇 년간 미디어 업계에 큰 타격을 입히고 있다. 아카마이의 연구에 따르면, 2018년 1월부터 2019년 12월까지 영상 서비스를 겨냥한 크리덴셜 스터핑 공격이 두 배 증가했다. 미디어 업계 전체에 걸쳐 똑같은 공격이 180억 회 이상 발생했다. 디즈니플러스가 출시됐을 당시 수천 개의 계정이 바로 다크웹 시장에 등장했다. 해커가 패스워드 재사용자의 계정 정보를 찾아냈기 때문이다. 라간 박사는 “넷플릭스가 패스워드 공유를 단속하면서 단기적으로 이와 같은 자격 증명 대규모 판매 행위가 중단될 것이다”라고 언급했다.

코드를 입력해 넷플릭스 계정에 접근한다고 해서 계정 자격 증명 정보 공유 행위 자체서 중단되지는 않을 것이다. 이중 인증 제도는 계정 주인과 공유된 계정을 사용하는 이 모두의 분노를 유발할 것이다. 그러나 전체적으로 낯선 이가 계정에 침입하지 않을 것을 보장하면서 크리덴셜 스터핑을 막을 수 있다. 카네기멜론대학의 사이랩 시큐리티&프라이버시 연구소(CyLab Security and Privacy Institute) 총괄 로리 크래너(Lorrie Cranor)는 “넷플릭스의 이중 인증 제도는 크리덴셜 스터핑과 같은 계정 정보 탈취 범죄를 막는 데 도움이 된다”라고 말했다.

그렇다. 넷플릭스가 디즈니플러스 이외에도 HBO 맥스, 피콕, 그리고 그 외에 월 구독료를 지불해야 하는 비슷한 여러 서비스와의 더 많은 경쟁을 직면한 상황에서 이중 인증 제도는 넷플릭스의 가장 중요한 요소에 도움이 될 것이다. 연구 기관 매기드(And)가 2020년 10월에 발표한 연구 결과 기준으로 맞춤형 영상 재생 서비스 고객 46%가 실제로 구독 서비스 최소 1개의 로그인 정보를 공유한다. 또, 로그인 정보를 공유하는 것으로 추정되는 고객 절반 이상이 타인과 계정 정보를 공유한 서비스를 한 번만 사용하는 대신 반복해서 사용한다. 실제로 사용하는 서비스 구독료를 결제하는 사용자가 많을수록 넷플릭스의 재정 상황도 호전될 것이다. 이러한 관점에서 보안이 부수적인 이익이 된다.

넷플릭스의 이중 인증 제도 시범 도입 사정을 자세히 알고 있는 소식통은 2016년도 CES에서 CEO 리드 헤이스팅스가 패스워드 공유 관행을 ‘긍정적인 일’이라고 발언하는 등 넷플릭스가 과거에는 다소 자유롭게 패스워드 공유가 이루어지도록 두었으나 초기 의도와 다르게 상황이 흘러갔다고 말한다. 이번 이중 인증 제도 시범 도입이 패스워드 공유 관행을 억제하면서 사용자를 훨씬 더 안전하게 만들 방안을 모색하는 데 도움이 될 것이다.

재차 말하자면, 넷플릭스가 이중 인증 제도 시범 운행을 확대할 것인지 아니면 패스워드 공유를 억제하기 위해 다른 방안을 모색할 것인지는 확실하지 않다. 그러나 적어도 이중 인증 제도를 도입해도 계정 주인이 매번 로그인할 때마다 코드 정보를 전달하는 것에 개의치 않는다면, 계속 계정 정보를 공유할 것이다. 이는 훨씬 더 안전한 보안이 지닌 약간 불편한 요소이다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Netflix's Password-Sharing Crackdown Has a Silver Lining