[04]IT_trend 패스워드리스(Passwordless)

 우리는 다양한 서비스를 이용하면서, 아이디와 비밀번호없이는 살 수없는 세상에 살고있습니다. 다양한 IT서비스를 제공받는 중에 사람들은 개인정보를 보호하기 위해 다양한 솔루션과 보안정책을 제공하고 있습니다. 3개월마다 비밀번호를 변경하라는 메일을 받기도하고, 카카오톡이나 구글 계정을 사용할 때 단순히 한번의 비밀번호 입력으로 끝나지 않고 2단계 인증까지 하는 경우도 있습니다.

 하지만 그런 와중에도 우리는 고객의 정보가 유출되는 일들을 생각보다 자주 겪고 있습니다. 사실 이 정도면 비밀번호가 정말 내 개인 정보를 지켜줄 수 있을까 하는 생각이 들기도 합니다.

 이번주는 어느 순간부터는 너무 당연해졌지만, 막상 생각해보면 정말 나의 정보를 잘 보호해주는 수단인지에 대한 의문을 품게 하는 패스워드와 패스워드리스(passwordless)는 어떤 것인지 알아보려고 합니다.

수많은 패스워드 속 패스워드 증후군

 패스워드 증후군(password syndrome)이란, 보안을 위해 비밀번호를 변경하는 행위가 잦아지면서 자신이 설정한 비밀번호를 기억하지 못해 혼란에 빠지는 증상을 말합니다.

인터넷과 스마트폰을 일상적으로 사용하게되면서 패스워드 증후군을 앓는 사람이 증가하고 있다고 합니다. 로그인할때 사용하는 패스월드말고도 통장, 현관문 잠금장치 등 우리는 수많은 비밀번호에 둘러싸여 있습니다. 하지만 비밀번호가 있어도 근절되지 않는 각종 해킹과 개인 정보 유출 때문에 점점 더 복잡해지는 비밀번호 패턴 기준은 우리를 더 막막하게 만드는 요인이기도 하죠.

 특히나 3개월마다 여기저기서 날아오는 비밀번호 변경 메세지는 우리를 더 곤란하게 합니다. 바꾸려고 하니 귀찮기도 하고, 금방 잃어버릴 것이라는 생각 때문에 말입니다. 어떤 사람들은 비밀번호를 기억하기 위해 종이에 비밀번호를 적어 컴퓨터에 붙여놓기도하고, 비밀번호를 하나로 통일해 사용하는 경우도 있습니다. 이러한 방법으로 비밀번호를 기억할지는 몰라도, 결과적으로는 ‘비밀번호’의 본질을 잃을 뿐입니다.

출처: 임홍철(카카오 브런치 작가)

 

암호체계 이상과 현실

 현재 우리나라에서 사용하고 있는 암호체계는 2003년 NIST(미국 표준기술 연구소, National Institute of Standards and Technology)에서 만들어진 것입니다. NIST의 빌버(Bill Burr) 기술 매니저는 해커의 공격으로부터 안전해질 수 있는 방법을 고민한 끝에 오늘날의 암호정책을 만들어냈습니다. 지금의 암호체계를 고안해냈을 때만해도, 암호정책의 적용과 함께 해커의 공격으로 부터 자유로워질수 있을 것이라고 생각했을 것입니다.

하지만 기술매니저였던 빌버의 예상과는 다르게, 사용자들은 비교적 단순한 암호를 사용하고 있었습니다. 우리는 넘쳐나는 IT 서비스를 이용하기 위해 패스워드를 기억해서 입력해야 하고 , 일정기간이 지나면 비밀번호를 바꿔야 하는 현실에 살고 있습니다. 그렇기 때문에 보안적으로는 좋지만 복잡한 패턴의 암호는 어쩌면 너무 이상적인 말처럼 들릴지도 모르겠습니다.

 

출처:임홍철(카카오 브런치 작가)

 

패스워드리스(passwordless)

 암호체계가 있음에도 불구하고 , 사용자들의 개인 정보가 유출되는 등 암호로 인한 피해가 지속되자 기존 암호 정책을 대체할 새로운 인증 방식들을 생각하기 시작했습니다. 현재의 암호 체계와 완전 다른 방식인 암호 없는 인증을 의미하는 패스워드리스 기술들이 나타난 것입니다.

 

 우리가 생각할 수 있는 패스워드 리스 기술 중 하나는 생체 인식입니다.

 

 현재 스마트폰에는 지문인식기가 들어있어서 지문(또는 안면인식)을 또 다른 MFA(다중 인증 )방식으로 사용하기도 합니다. 오씨(Authy), 라스트패스(Lastpass), 대시레인(Dashlane) 등 주요 인증 앱은 스마트폰 앱으로 지문이나 애플의 페이스ID, 터치ID 인증을 지원하고 있습니다. 사용자가 이러한 앱 중 하나에 익숙하다면, 이를 이용하는 것이 패스워드리스로 가는 가장 쉬운 방법이 될 수 있습니다.

 하지만 사용자가 스마트폰 인증 앱에 대한 경험이 없다면 이런 상황에 쉽게 대처할 방법이 없다는 것이 단점이라고 할 수 있습니다.

 

패스워드에서 패스워드리스로, 어떤 것들을 더 생각해볼 수 있을까?

다양한 방식의 인증 수단

 기존의 숫자와 특수문자로 이루어진 암호체계에서 벗어나 패스워드리스 방식으로 전환하기 위해서는 다양한 방식으로 인증할 수 있어야 합니다. 예를 들어 생체 인식 정보를 인증 수단으로 사용할 때, 사용자의 지문 인식이 잘 되지 않을 수도 있고, 기기 액정이 고장나 지문인식할 수 없는 상황이 있을 수 있습니다. 이외에도 사용자의 상황에 따라 특정 인증 방식을 사용할 수 없을 수 있기 때문에 다양한 본인 인증 방식을 가지고 있어야 할 것입니다.

기존의 암호 정책을 완전히 대체 가능

 완전한 패스워드리스를 실현하기 위해서는 일단 기존 패스워드를 완전히 사용하지 않는 것이 중요할 수 있겠다는 생각이 듭니다. 예를 들어, 지문인식이나 face ID로 본인 인증을 실패한 경우라도 대체 인증 수단으로 현재의 비밀번호를 생각 해서는 안된다는 이야기입니다. 우리는 이제까지 숫자와 특수문자로 이루어진 암호체계를 사용했기 때문에, 대체 수단으로 기존의 것을 고려할 지도 모릅니다. 기존 암호의 허점을 해결하고자 패스워드리스로 전환하기 위해서는 무엇보다 완전한 패스워드리스(password)를 실현할 수 있도록 다양한 환경에 살고있는 다양한 사람들에게 모두 적용할 수 있는 여러 방법을 염두에 두고 있어야 할 것입니다.

 

---

참고

https://news.sbs.co.kr/news/endPage.do?news_id=N1003728834

[리포트+] 내 비밀번호가 뭐더라…'패스워드 증후군' 앓는 현대인

https://www.ciokorea.com/news/162510

이제는 살펴봐야 할 '패스워드리스' 기술과 표준 5가지

https://enterprise.kt.com/bt/P_BT_TI_VW_001.do?bbsId=1952&bbsTP=A

정보보안을 위해 암호가 사라져야 하는 이유 | KT Enterprise