아마도 지금 사용하는 패스워드 보안이 매우 약할 수도 있다. 해를 거듭할수록 데이터 보안 공격에서 유출이 가장 잦은 패스워드는 123456, 123456789, 12345 등 키보드 자판 배열 위치가 가까운 순서에 따라 설정한 동시에 각종 해킹에 취약한 패스워드이다. 보안 수준이 낮고 키보드 배열을 반복한 패스워드는 온라인 생활의 가장 심각한 위험 요소 중 하나이다.
지난 몇 년간 많은 보안 수준이 강화된 패스워드가 없는 계정 보안 미래 약속이 이어졌다. 그러나 2022년이 된 현재, 수백만 명이 패스워드에서 한 걸음 더 멀어지기 시작할 듯하다. 6월 6일(현지 시각) 진행된 애플의 세계 개발자 컨퍼런스(WWDC)에서 애플이 2022년 9월 중으로 맥과 아이폰, 아이패드, 애플 TV의 패스워드가 없는 로그인 제도를 적용한다고 공식 발표했다. 기존 패스워드를 사용하는 대신 iOS16과 맥OS 벤투라(macOS Ventura)의 패스키(Passkeys)를 사용해 웹사이트와 앱에 로그인할 수 있다. 세계 최초로 현실 세계의 패스워드 제거 전환이다.
그렇다면, 패스워드 없는 로그인은 어떤 방식으로 이루어질까? 다린 애들러(Darin Adler) 애플 인터넷 기술 부사장이 WWDC 현장에서 설명한 바와 같이 패스키는 터치아이디나 페이스아이디로 새로운 디지털 키를 생성해, 지긋지긋할 정도로 오래 사용한 패스워드를 대체한다. 웹사이트에서 새로운 계정을 생성할 때, 패스워드 대신 패스키를 사용한다. 애들러 부사장은 “패스키를 생성하고자 한다면, 터치아이디나 페이스아이디를 이용해 인증하기만 하면 된다”라고 말했다.
패스키를 생성한 웹사이트에 재접속하고자 한다면, 패스키는 패스워드 입력 과정이나 개인 패스워드 매니저 이용 과정 대신 생체 데이터를 이용해 사용자 신원을 검증한다. 맥에서 웹사이트에 접속하고자 한다면, 아이폰이나 아이패드에 신원 검증을 위한 명령이 실행될 것이다. 애플은 아이클라우드 키체인으로 패스키를 기기 전체에 동기화하며, 패스키는 서버가 아닌 기기 자체에 보관한다고 설명했다. (아이클라우드 키체인 사용 과정의 패스키 연결 기기 분실이나 탈취 문제를 해결해야 한다.) 이면적인 부분을 보면, 애플의 패스키는 웹 인증 API(WebAuthn)을 기반으로 하며, 단대단 암호화를 이용해, 애플을 포함해 그 누구도 패스키를 읽지 못하도록 한다. 패스키 생성 시스템은 공공 프라이빗키 인증으로 사용자 신원을 검증한다.
패스워드를 제거한 시스템은 대다수 사용자의 온라인 보안 측면 향상을 위한 중요한 단계이다. 패스워드 제거는 추측할 수 있는 패스워드는 물론이고, 피싱 공격 피해가 발생할 위험성을 줄인다. (일부 앱과 웹사이트는 이미 지문이나 안면 인식 기반 로그인 기능을 지원하지만, 일반적으로 패스워드 생성을 요구하며 우선시한다.)
[사진=Pixabay]
애플의 패스키는 새로운 개념이 아니다. 애플은 2021년 WWDC 현장에서 패스키 개념을 처음 상세히 설명했으며, 그 직후 테스트에 돌입했다. 게다가 애플 이외에 다른 기업과 기관도 패스워드 제거 방안을 모색하고 있다. 테크 업계 단체인 피도 얼라이언스(FIDO Alliance)는 10년 가까이 패스워드 제거에 필요한 표준 강화 작업을 이어왔다. 애플의 패스키는 애플이 자체적으로 패스워드 제거를 위한 표준을 적용한 것이다.
피도 얼라이언스는 지난 몇 달간 패스워드를 제거한 로그인 방식이 현실에 가까워지도록 할 일련의 중요한 단계를 거쳤다. 2022년 3월, 피도 얼라이언스는 사용자 기기와 동기화하여 암호화 키를 보관할 방법인 ‘다중 기기 피도 크리덴셜(multi-device FIDO credentials)’ 혹은 ‘패스키’라는 개념 발견 소식을 공식 발표했다.
이후 2022년 5월, 애플과 마이크로소프트, 구글이 피도 표준 지원 계획을 선언했다. 젠 이스터리(Jen Easterly) 미국 사이버보안 인프라 안보국(CISA) 국장은 피도 표준 채택이 온라인에서의 안전을 한 단계 더 강화할 수 있다고 발표했다. 그와 동시에 애플과 마이크로소프트, 구글 모두 2022년 중으로 피도 표준을 채택한 로그인 방식을 도입한다고 발표했다. 마이크로소프트 계정 사용자는 2021년 9월부터 로그인 과정에 패스워드 사용을 중단할 수 있었다. 구글은 2008년부터 패스워드 제거 기술 개발 작업을 진행했다.
모든 테크 기업이 자체적으로 개발한 패스키를 배포한다면, 다양한 기기에서 패스워드를 제거한 로그인 시스템을 사용할 수 있을 것이다. 이론상 사용자는 아이폰을 이용해 윈도 노트북에 로그인하거나 안드로이드 태블릿으로 마이크로소프트 에지 브라우저에 로그인할 수 있다. 앤드류 시카르(Andrew Shikiar) 피도 얼라이언스 국장은 “피도 얼라이언스가 구축한 모든 표준은 가입 기업 모두 협력하여 개발했으며, 수백 기업이 제공한 정보를 입력했다”라고 밝혔다. 시카르 국장은 애플이 패스키와 같은 기술을 배포하는 첫 번째 기업임을 확인하며, “애플의 패스키 배포 계획은 피도 표준을 전 세계 소비자가 조만간 접할 수 있다는 사실을 분명히 보여준다”라고 말했다.
패스워드를 제거한 로그인 계획의 미래는 계획을 현실로 구현할 때의 효과에 달려있다. 지금은 애플 생태계에서 벗어나 안드로이드나 다른 플랫폼으로 변경할 때, 기존 패스키 관리를 둘러싼 문제와 관련된 답변이 이루어지지 않았다. (애플은 애플 생태계 사용을 중단한 사용자의 패스키 처리 방식과 관련된 와이어드의 문의에 답변하지 않았다.) 개발자도 그동안 개발한 앱과 웹사이트에서 패스키 기능을 지원하도록 변경 사항을 적용해야 한다. 게다가 어떠한 시스템이든 신뢰를 얻기 위해 사용자가 직접 패스키 실행 방식을 숙지해야 한다. 2022년 5월, 마이크로소프트 신원 관리 노력 사장인 알렉스 사이먼스(Alex Simons)는 “채택 가능성이 있는 어떠한 해결책이든 패스워드와 기존 다중 인증 방식보다 더 안전하고 사용하기 수월하면서 빠른 속도로 로그인 과정을 처리해야 한다”라고 말했다. 한마디로 말하자면, 다른 기기의 시스템이 오래되었거나 사용이 불편하다면, 많은 사용자가 보안 수준이 약하지만 편리한 패스워드를 대거 생성할 것이라는 의미이다.
애플의 패스키와 구글과 마이크로소프트의 패스워드를 제거한 로그인 방식 모두 사용자에게 제공하기까지 적어도 수개월이 걸릴 전망이지만, 보안 수준이 약하거나 키보드 자판의 연속적인 배열에 따라 생성한 패스워드를 사용하면서 패스워드 관리에 소홀해도 된다는 의미는 아니다. 일회성 패스워드든 패스워드 매니저가 제공하는 패스워드든 페이스북 계정에 연동하여 사용하는 패스워드든 모든 패스워드의 보안 수준을 강력하게 유지하면서 계정마다 다른 패스워드를 사용해야 한다는 의미이다. 상투적인 구문, 친구나 애완동물 이름, 개인 정보를 패스워드와 연결하여 생성해서는 안 된다.
대신, 길이가 길면서 보안 수준이 강력한 패스워드를 사용해야 한다. 가장 좋은 방법은 보안 수준이 더 나은 패스워드를 생성하면서 보관하는 유료 패스워드 매니저 프로그램을 사용하는 것이다. 와이어드 선정 최고의 패스워드 매니저 프로그램을 참고하기를 바란다. 보안을 생각한다면, 최대한 많은 계정에 다중 인증 방식을 적용하기를 바란다.
** 위 기사는 와이어드UK(WIRED.co.uk)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Pixabay]](/news/photo/202206/3990_5301_718.png)
뉴스레터 신청