2022년 8월, 인터넷 인프라 기업 클라우드페어(Cloudflare)는 수많은 테크 기업 보안 침해 공격에 성공한 대규모 피싱 범죄 작전의 공격 대상으로 지정된 수백 개 기업 중 한 곳이었다. 클라우드페어의 일부 고객사는 피싱 메시지에 속았으나 공격 세력이 기업 시스템에 깊이 접근하지는 못했다. 그 부분적인 이유는 클라우드페어의 보안 관리의 일부 작업으로 모든 직원이 사용할 모든 애플리케이션 로그인 시 신원 증명 수단으로 물리적 보안 키를 사용해야 했기 때문이다. 그리고 몇 주 후 클라우드페어는 하드웨어 인증 토큰 제조사 유비키(Yubikey)와 손을 잡고, 클라우드페어 고객사에 보안 키를 할인 가격에 제공한다고 공식 발표했다.
하드웨어 토큰의 보안 보호 수준 의존도가 높은 것은 클라우드페어 만의 일이 아니다. 2022년 12월 초, 애플은 사용자 계정 2단계 인증을 처음 배포하고 7년이 지난 시점에 애플ID의 하드웨어 키 지원 소식을 공식 발표했다. 그리고 최근, 비발디(Vivaldi) 브라우저가 안드로이드용 하드웨어 키 지원을 발표했다.
하드웨어 보안 키를 이용한 보안 관리는 새로운 방식이 아니며, 다수 플랫폼과 기업이 이미 수년간 하드웨어 보안 키 채택을 지원했다. 또, 클라우드페어처럼 직원의 하드웨어 보안 키 사용을 요구하기도 했다.
미국 연방수사국(FBI) 디지털 행동 애널리스트 출신인 사이버 보안 기업 애브노멀 시큐리티(Abnormal Security) 위협 지능 책임자 크레인 하솔드(Crane Hassold)는 “물리적 인증 키는 오늘날 계정 탈취와 피싱 공격으로부터 보호할 가장 효과적인 보안 관리 방법 중 하나이다. 수직적으로 생각한다면, 물리적 토큰은 인증 앱보다 더 효과적인 보안 관리 수단이다. 인증 앱은 SMS 인증보다는 보안 수준이 더 나은 편이다. 또, SMS 인증이 이메일보다 더 효과적이다”라고 설명했다.
[사진=Freepik]
하드웨어 인증은 키를 물리적으로 보유하고 생성하므로 보안 수준이 높다. 즉, 온라인 피싱 공격 세력이 단순히 피해자를 속여 패스워드 정보나 2단계 인증 권한을 넘기도록 유도해 디지털 계정을 탈취할 수 없다는 의미이다. 현관문 열쇠의 전제 조건을 고려하면, 하드웨어 인증 키의 보안 수준을 손쉽게 이해할 수 있다. 현관문을 열려면, 열쇠가 필요하다. 그리고 열쇠를 분실해도 재앙과 같은 일이 발생하지 않는다. 침입자가 수많은 열쇠 중 현관문을 열 수 있는 열쇠를 알 수 없기 때문이다. 디지털 계정을 이야기하자면, FIDO 얼라이언스(FIDO Alliance)라는 이름으로 알려진 테크 업계 동맹이 개발한 표준으로 다양한 하드웨어 키를 생성한다. 그중에는 소형 서킷 칩을 장착한 스마트 카드나 탭 카드, 근거리 통신 기술이 필요한 잠금 해제 기기, 혹은 유비키의 토큰과 같이 기기에 포트로 연결해야 하는 하드웨어 보안 키 등이 포함되었다.
디지털 계정 수십 개 혹은 수백 개를 보유했을 수도 있다. 하드웨어 토큰을 지원하더라도 모든 계정의 물리적 키를 보관하기 어려울 것이다. 하지만 가장 중요한 계정 보안 피해 발생 시 이메일 등 다른 여러 계정 정보 피해로 이어지므로 하드웨어 키의 보안과 피싱 공격 방어 능력이 매우 중요하다.
테크 업계는 다년간의 보안 강화 노력 후 2022년, 오랫동안 약속해온 패스워드 없는 미래를 향해 크나큰 도약에 성공했다. 패스워드 없는 로그인 방식은 FIDO 얼라이언스가 개발한 패스키 기술을 활용한다. 애플과 구글, 마이크로소프트 운영체제 모두 패스키 기술을 지원하며, 여러 플랫폼과 브라우저, 서비스 모두 패스키를 지원한 상태이거나 패스키 지원 과정을 진행 중이다. 사용자의 디지털 계정 인증 관리가 수월해지도록 하여 보안 수준이 낮은 패스워드를 사용하는 등 안전하지 않은 보안 우회 기능을 사용할 수 없도록 하는 것을 목표로 한다. 그러나 사용자가 원하는 것처럼 패스워드가 조만간 영원히 사라진다는 의미는 아니다. 패스워드가 매우 보편적으로 존재하기 때문이다. 또한, 패스키 채택을 둘러싼 각종 대유행 속에서 하드웨어 토큰도 중요한 보호 수단이라는 자리를 유지하고 있다.
개인 정보 프라이버시 및 보안 컨설턴트 짐 펜톤(Jim Fenton)은 “FIDO 얼라이언스는 패스워드와 하드웨어 기반 FIDO 인증의 중간에 존재했다. 바로 패스키의 고유한 특징이다. 패스키는 여러 소비자 애플리케이션 보안을 위한 답이 될 것으로 보인다. 하지만 개인적으로는 하드웨어 기반 인증이 금융 기관 직원용 애플리케이션과 같이 더 강력한 보안 애플리케이션 역할을 이어갈 것이라고 예상한다. 또, 보안을 중요하게 생각하는 고객의 하드웨어 기반 인증 방식 채택률이 증가할 것이다. 특히, 데이터 탈취 피해를 겪은 적이 있거나 순수 자산 가치가 높은 때, 순수하게 보안을 우려하는 때 모두 하드웨어 기반 인증 방식을 채택할 확률이 높을 것이다”라고 전망했다.
디지털 보안을 위해 가장 훌륭한 행동을 추가해야 한다는 일이 부담스러울 수도 있다. 그러나 사실, 하드웨어 토큰 설치 작업은 쉽다. 또, 몇 가지 계정에 하드웨어 보안 키를 적용하기만 해도 보안 강화라는 큰 장점을 누릴 수 있다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202301/4481_5907_5413.jpg)
뉴스레터 신청