2017년, 페이스북은 2단계 인증을 이용한 사용자 계정 보호 옵션을 제공했다. 이제는 계정 보안 수준이 가장 위험한 사용자의 선택 권한이 사라진다. 페이스북이 계정 보안 수준이 취약한 사용자가 패스워드 이외에 다른 요소를 추가로 선택해 계정 잠금을 무조건 설정하도록 할 예정이다. 좋은 변화이다.
페이스북 모기업인 메타는 2020년부터 광고 계정과 인기 페이스북 페이지의 계정 2단계 인증 전환 요청을 시작했다. 페이스북 이외에 다른 기업도 2단계 인증 의무화 조처를 한다. 2021년 5월, 구글은 모든 사용자 계정에 2단계 인증 활성화를 기본값으로 변경하기 시작했다. 메타는 현재의 계정 2단계 인증 의무화 적용 정치인과 사회운동가, 언론인, 그 외 페이스북 보호(Facebook Protect) 프로그램에 등록한 사용자뿐이며, 모든 사용자가 되도록 2단계 인증을 활성화할 방안을 찾을 테스트가 될 것이라고 설명한다. 메타는 전 세계 사용자에게 등장할 수 있는 계정 보안 관련 모든 문제 해결 방안도 분석하는 데 도움이 될 연구를 진행 중이다.
메타 보안 정책 총괄 나다니엘 글레처(Nathaniel Gleicher)는 2단계 인증 의무화 공식 발표에 앞서 “현재 모든 사용자의 2단계 인증 의무화를 시행할 계획은 없다. 다만, 가장 중요한 집단 안에서 서서히 2단계 인증을 의무화하는 방식으로 변화를 추진하고자 한다. 우선 적용 대상은 공격 위험성이 가장 높은 이와 공격으로 가장 심각한 여파를 겪게 될 집단이다”라고 말했다.
[사진=Pixabay]
페이스북 보호는 2018년 미국 중간 선거 직전 시범 프로젝트로 시작해, 2020년 대통령 선거 당일까지 시행 기간을 확대했다. 페이스북은 유명한 공인 몇 명을 프로그램 대상으로 자동 지정했으나 뉴스룸에 공식 작성된 바와 같이 스스로 프로그램 대상으로 선택한 이들을 위한 메커니즘도 생성했다. 사용자가 페이스북 보호에 한 번 합류하면, 절대로 탈퇴할 수 없다.
페이스북 보호는 2021년 9월 자로 전 세계에 확대 적용되기 시작했으며, 현재 메타는 인도와 필리핀, 터키 등 12개국에서 페이스북 보호 프로그램을 지원한다. 프로그램 등록자 수는 150만 명을 넘어섰다. 그중 95만 명은 의무화 시행 결과로 2단계 인증을 처음 채택할 수 있게 되었다. 글레처 총괄은 2021년 말까지 총 50개국에 페이스북 보호 프로그램을 제공할 예정이며, 2022년에는 미얀마와 에티오피아 등 더 많은 국가에 추가 제공할 계획이라고 밝혔다. 페이스북 보호는 2단계 인증 의무화와 함께 자동화된 모니터링과 등록된 계정 스캔을 추가한다.
구글은 2단계 인증 사용을 가장 적극적으로 추진하는 소비자 테크 기업이지만, 다른 여러 기업은 구글보다 거둔 진전 규모가 더 작다. 아마존 링(Ring) 스마트 카메라는 2020년 초, 링 계정 보안 침해가 무더기로 발생하면서 사용자 수백만 명의 2단계 인증 의무화를 시작했다. 2018년, 트위터는 선거 후보의 계정 2단계 인증 전환을 유도할 프로그램을 적용하기 시작했다. 2021년 7월, 트위터가 밝힌 2단계 인증 사용자 비율은 단 2.3%이다.
페이스북은 2단계 인증 의무화 정책 발표 전, 페이스북의 전 세계 월간 활성화된 사용자 단 4%만이 2단계 인증을 채택했다고 밝혔다.
글레처 총괄은 “과거부터 2단계 인증은 인터넷 전 영역에서 중요성 대비 사용률이 낮았다. 심지어 2단계 인증이 보안 침해를 겪은 계정을 보호할 최선책인데도 악성 해커 세력의 공격에 가장 취약한 이들의 사용률도 낮다. 2단계 인증 사용률 증가를 견인하고자 한다면, 2단계 인증 인식 제기나 독려가 필요하다. 남반구 여러 지역과 같이 인터넷이나 스마트폰 접근 규모와 사용이 제한된 지역을 포함한 전 세계의 플랫폼 접근성 유지도 필요하다”라고 말했다.
글레처 총괄은 사용성과 접근성 문제를 서서히 의도에 따라 해결하는 것이 중요하다고 말한다. 그동안 페이스북 보안정책팀이 페이스북 보호의 2단계 인증 의무화를 지지했기 때문이다. 사용자는 인증 앱과 물리적 보안 키 사용 등 다양한 2단계 인증 옵션으로 계정 추가 보호 설정을 할 수 있다. 페이스북 보호 프로그램 등록 계정은 시간이 지나면서 계정 보호를 활성화할 수 있는 여러 요소를 받게 될 것이다. 다만, 계정 주인이 해당 요소를 활성화하지 않는다면, 채택 전까지 접근성을 상실하게 될 것이다.
개인 신원 프라이버시 및 보안 컨설턴트인 짐 펜튼(Jim Fenton)은 “기업이 위험 기반 사업 결정을 내려 특정 계정에 2단계 인증을 요청하는 것이 매우 타당하다고 생각한다. 인증 위험성을 계속 관찰하면서 필요할 때 2단계 인증 채택을 요청해야 한다. 서비스 자체뿐만 아니라 사용자 계정 보안 위험성을 포함하기 충분한 수준이 되기를 바란다”라고 말했다.
글레처 총괄은 2단계 인증도 완벽한 해결책이 아니라고 강조한다. SMS 기반 2단계 인정의 보안 한계 등 보호 수준에도 미묘한 차이가 있다. 2단계 인증 기능은 계정 잠금 설정을 향해 오래 나아가야 할 것이다. 또한, 2단계 인증을 채택한 모든 사용자에게 계정 보호를 위해 조금 더 도움이 돼야 한다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202112/3581_4691_4228.jpg)
뉴스레터 신청