By LILY HAY NEWMAN, WIRED US

이중 인증 제도 활성화는 유용하면서 신뢰할 수 있는 조언이며, 와이어드도 지난 몇 년간 이중 인증 제도 사용을 반복하여 추천했다. 이중 인증 제도를 사용하면, 패스워드가 자신의 계정에 권한이 없는 접근 발생 시 보호할 유일한 수단이 아님을 보장할 수 있다. 유일한 문제점이 있다면 무엇일까? 항상 자신이 스스로 이중 인증 책임을 져야 한다는 점이다. 이제 구글은 모든 사용자에게 이중 인증 제도를 기본값으로 사용하도록 하기 위한 첫걸음을 내디딘다. 또, 구글이 이중 인증 제도와 함께 웹 보안을 위해 나선다면, 테크 업계의 다른 기업도 구글의 행보를 따를 때가 많다.

5월 6일(현지 시각), 구글은 공식 블로그 게시글을 통해 방식으로 이미 2단계에 걸친 검증 절차를 활성화한 사용자에게 구글이나 지메일 계정에 접속할 때마다 스마트폰에서 입력값을 누르는 방식으로 계정 인증을 하도록 요청하기 시작할 예정이라고 발표했다. (지메일 사용자는 약 18만 명이며, 지메일 사용자 다수가 다른 서비스의 이메일 주소를 이용해 구글 계정을 생성했을 수도 있다) 구글이 기존의 이중 인증 제도 사용자가 모바일 입력 기능과 상호작용을 얼마나 쉽게 할 수 있는지를 다룬 데이터를 평가할 때, 구글은 사용자가 이중 인증 제도를 사용하도록 자동으로 선택하기 시작할 것이다.

구글 신원 및 사용자 보안을 위한 제품 관리 총괄인 마크 리셔(Mark Risher)는 와이어드에 “구글은 급격한 변화를 최소화할 사용자와 함께 이중 인증 제도 도입을 시작하면서 결과를 기반으로 이중 인증 제도 적용 범위를 확대할 계획이다. 그동안 다중 인증 제도가 다양성이 없으면서 설치가 어렵다는 인식이 있었던 것은 사실이다. 하지만, 많은 사용자에게 더는 해당하지 않는 이야기이다”라고 말했다.
 
다중 인증 제도는 단순히 사용자 이름과 패스워드를 입력하는 것 이외에 로그인 과정에 사용자 정보를 확인할 요소를 한 가지 이상 추가하는 것이다. 두 번째 인증 요소는 인증 앱에서 임의로 생성된 코드인 임시 코드와 유비키(Yubikey)를 비롯한 물리적으로 존재하는 인증 수단, 스마트폰에 구축된 디지털 토큰 등이 있다. 이중 최소 한 가지 요소를 인증 수단으로 추가한다면, 피싱 범죄자나 사기꾼, 악의적인 의도를 지닌 해커 등이 디지털 계정 접근 권한을 얻는 것이 훨씬 더 어려워질 것이다.

다중 인증 제도가 보안 측면에서 이익이 되는 것이 분명한 것처럼 보이지만, 그동안 여러 기업은 모든 사용자의 다중 인증 제도 적용 의무화를 기피해왔다. 로그인 과정에서 두 가지 이상의 인증 수단 의무화는 사용자가 서비스를 사용하지 않도록 유도하게 될 수 있어, 결과적으로 기업에 손해를 입히기 때문이다. 또, 사용자는 다중 인증을 사용할 장비나 지식이 있음으로 사용자가 이중 인증 제도 사용을 원하는 때를 제외한다면, 이중 인증 제도 사용을 의무화하는 서비스를 사용 대상에서 제외하게 된다.

리셔 총괄은 “구글은 궁극적으로 모든 사용자가 모든 기기와 계정에 최상의 보안 보호를 기본으로 설정하기를 바란다. 그와 동시에 구글은 오늘날 이중 인증 제도가 모든 사용자에게 적합하지 않다는 사실을 인지해, 안전하면서 공정한 인증 경험을 제공하면서 패스워드 의존도를 없앨 기술을 활발하게 개발하고 있다”라고 밝혔다.

구글 사용자는 이중 인증 제도를 사용하다가 마음이 바뀐다면, 이를 비활성화할 수 있다. 그러나 구글의 목표는 사용자와 광범위한 테크 업계 모두 이중 인증 제도를 기본 표준으로 두는 것이다.

구글은 자동 업데이트와 크롬의 샌드박스부터 보편적으로 사용되는 HTTPS 웹 트래픽 암호화 추진까지 여러 가지 웹 보안 변경 조치를 이끌어왔다. 그러나 구글은 사용자의 다중 인증 제도 사용 습관화를 시작할 유일하게 중요한 기업이 아니다. 애플은 지금까지 애플 ID에 이중 인증 제도 사용을 의무화하지 않았지만, 지난 몇 년간 이중 인증 제도 사용을 매우 적극적으로 추진하고는 이중 인증 제도 비활성화를 갈수록 더 어렵게 만들었다.

암호화 소프트웨어 감사 단체인 오픈 크립토 오딧 프로젝트(Open Crypto Audit Project)의 보안 엔지니어 겸 창립자인 켄 화이트(Kenn White)는 “구글이 스마트폰을 이용해, 서서히 사용자의 다중 인증 제도 기능 활성화를 택하도록 유도하며 테크 업계의 진전을 이끄는 것을 환영한다. 간단한 신원 인증을 넘어서 다중 인증 제도 사용이 더 쉬워진다면, 계정 보안과 모든 사용자에게 이득이 되는 것이다. 또, 사용자는 은행과 보건 복지 기관 등 대규모 기관이 서서히 이중 인증 의무화와 같이 필요한 보안 조치를 채택하는 것을 보고 있다”라고 말했다.

현재, 구글은 로그인 성공을 위한 초기 테스트 집단과 사용자에게 가장 간편한 다중 인증 제도 과정을 암시하는 요소를 검토할 계획이다. 계정 인증 과정에 두 번째 인증 요소를 둔다면, 사이버 공격 세력의 계정 접근 권한이 크게 줄어든다는 사실을 알고 있다. 그러나 사용자가 계정에 접근하기 어렵게 잠금장치 역할을 하지 않는다는 사실을 확실히 해야 할 필요가 있다. 게다가 사용자와 함께 협력해, 이중 인증 제도 채택 변화에 대한 사용자의 생각을 이해하고자 한다. 사용자가 이중 인증 제도 등록 과정을 간편하다고 생각했을까? 이중 인증 제도 간편성을 향상할 방법은 없을까? 이중 인증 제도를 이용한 로그인이 사용자에게 편리한가? 사용자가 이전보다 계정이 더 안전해진 사실과 패스워드만 이용한 로그인이 취약점을 지녔다는 사실을 이해하는가?”라고 말했다.

위의 질문의 답을 찾는 데 시간이 걸릴 것이다. 그리고, 업계 전체가 다중 인증 제도 의무화를 적용하는 데 더 오랜 시간이 걸릴 전망이다. 그러나 디지털 사기가 기승을 부리고 있어, 그 어느 때보다 웹 보안을 위한 급진적인 변화가 시급히 필요하다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Google Gets Serious About Two-Factor Authentication. Good!