[디지털데일리 이종현기자] “10자리 이상 길게, 특수문자 사용, 3달마다 변경. 패스워드를 사용할 때 권고되는 사항들입니다. 그런데 이렇게 해서 안전할까요? 안전하더라도, 이런 불편을 감수해야 할까요?”(이재형 옥타코 대표)
이재형 옥타코 대표는 <디지털데일리>와의 인터뷰에서 “오늘날 비밀번호는 사용자 인증을 위한 표준으로 사용되고 있다. 그런데 사실 비밀번호는 구조적으로 보안에 적합하지 않다”고 주장했다.
통상 비밀번호의 경우 사용자 본인과 함께 서비스 제공자도 보관하게 된다. 해커의 입장에서는 공격할 수 있는 대상이 두 곳이다. 사용자를 해킹해도, 서비스 제공자를 공격해도 알 수 있다. 이에 대비하기 위해 서비스 제공업체들은 암호화 솔루션을 이용해 서버가 해킹되더라도 실제 비밀번호가 아닌 암호화된 정보를 탈취하게 된다.
다만 비밀번호를 보관하는 서비스 제공자 모두가 암호화를 하고 있지는 않다. 하더라도 암호화된 비밀번호를 복호화하는 경우도 있다.
여기서 문제는 아이디/패스워드를 요구하는 서비스가 우후죽순 늘어나고 있다는 점이다. 이 대표는 “개인마다 패스워드를 요구하는 서비스 수십개는 이용하고 있을 거다. 그런데 서비스별로 패스워드를 달리 사용하는 사람이 얼마나 있나. 결국 보안이 취약한 서비스 하나가 해킹되면, 동일한 패스워드를 사용하는 모든 서비스도 털리게 되는 셈”이라고 꼬집었다.
비밀번호가 유출된다는 것을 전제로 하기 때문에 10자리 이상의, 특수문자나 대·소문자를 사용하는 것 등도 소용없다. 비밀번호를 복잡하게 하는 것은 해커가 비밀번호를 모른 채 경우의 수를 기반으로 무차별 대입(Brute Force)을 하는 공격에 유용하다. 이미 아이디와 비밀번호를 알고 있다면 그것은 정상적인 접근이 된다.
◆오히려 위험 보안사고 촉발하는 비밀번호··· 화두로 떠오른 패스워드리스
비밀번호가 안전하지 않다는 것은 이 대표 개인의 견해가 아니다. 애플, 마이크로소프트(MS), 구글 등 글로벌 빅테크 기업들이 최근 비밀번호를 없애는 패스워드리스(Passwordless)에 큰 관심을 보이고 있다. 안전한 사용자 인증을 위해 사용되고 있는 비밀번호가 되려 보안에 위협이 되고 있다는 공감대에서 나오는 화두다. 삼성전자도 이 흐름에 합류한 상태다.
애플이 도입키로 한 패스키(Paaskey)가 대표적이다. 비밀번호 대신 얼굴이나 지문과 같은 생체정보를 이용해 사용자 인증을 하겠다는 아이디어다. 현재도 생체인증을 사용하고 있지만 비밀번호 다음 다중인증을 위해 사용되곤 하는데, 패스키의 경우 아예 비밀번호를 없앤다는 점에서 차이를 보인다.
기존에 없던 것을 새로이 도입하는 것은 아니다. 패스워드리스의 필요성에 대해서는 2012년 설립된 FIDO(Fast Identity Online) 얼라이언스에서 줄곧 주장해온 바다. FIDO 얼라이언스에는 애플, MS, 구글, 페이팔, 삼성전자, LG전자 등 전 세계 주요 기업들이 대부분 포함돼 있다.
이 대표는 “FIDO 얼라이언스는 온라인 환경에서 비밀번호를 대체하는, 안정성 있는 인증방식에 대해 고민하는 기구라고 생각하면 된다. 흔히들 생체인증 기술 표준이라고도 생각하는데, 틀린 말은 아니다. 모바일 환경에서 생체인증 수단을 활용하는 표준이 1.0이고, FIDO2는 그 범위를 넓혀 PC를 포함한 모든 온라인 환경을 대상으로 한다. 1.0과 2라고 하니 버전 업그레이드 정도로 인식하곤 하는데, 별개의 다른 기술”이라고 설명했다.
◆안녕하지 못한 비밀번호, 이제 보내줘야 할 때?
비밀번호 유출 또는 우회를 통한 보안사고 소식은 익숙하다. 유출 규모가 수백만이 되더라도 ‘또 털렸구나’라는 반응을 사곤 한다. 이 대표는 우스갯소리일 ‘비밀번호는 공공재’라는 표현이 안타깝다고 전했다.
그는 지난 7월 광주의 한 고등학교에서 해킹 기술을 이용해 시험지가 유출된 사례를 언급하며, 비밀번호 사용의 위험성이 일상 곳곳에 녹아져 있다고 피력했다.
시험지를 유출한 학생은 교무실에 비치돼 있는 교사의 노트북에 노트북 화면을 캡처해 저장하는 수법을 이용했다. 이 과정에서 노트북에 설정돼 있는 바이오스(BIOS)나 윈도 비밀번호는 인터넷 검색을 통해 알게된 수법으로 쉽게 파훼됐다. 한 교사의 경우 통상적인 비밀번호 대신 개인정보번호(Personal Information Number, 이하 PIN) 암호체계를 이용해 유출을 막았다.
익명을 요구한 보안 전문가는 교사가 없는 교무실에 학생들이 접근하지 못하도록 하는 안전조치가 미흡했다는 것은 차치하고, 교사들에게 시험지 관리를 소홀하게 했다는 지적에는 납득하기 어렵다는 견해를 밝혔다. “BIOS 비밀번호까지 설정했다면 충분히 보안의식이 있는 편이라고 본다”는 설명이다.
이 대표는 “개인의 잘못이라고 몰아세우면 안 된다고 생각한다. 공공기관의 경우 통상 중앙에서 패스워드에 대한 정책관리를 하도록 돼 있다. 그런데 학교는 예외로 한다”며 “교무실에 대한 물리적인 접근을 막는 보안대책도 필요하겠지만, 조금 더 기술적인 접근이 필요하지 않을까 생각한다”고 피력했다.
◆옥타코, 통합인증 SW·생체인증을 위한 보안키 제공 기업
옥타코는 안전한 접근을 위한 보안인증 소프트웨어(SW) ‘이지어스(EzAuth)’와 생체인증을 위한 하드웨어 기기인 ‘보안키’를 제공하고 있다. 데스크톱이나 노트북 등에 장착해 사용하는 ‘이지핑거’가 대표적이다. 보안키에는 이지어스가 모두 탑재돼 있다.
이 대표는 “이지어스의 핵심은 멀티팩터인증(Multi Factor Authentication, 이하 MFA)이다. 과거 PIN이나 모바일 일회용비밀번호(OTP) 등을 개별적으로 제공하는 솔루션이 많았는데, 이지어스는 이를 통합한 것이 특징”이라고 말했다. 단순 PC 인증 외에 전사적자원관리(ERP)나 고객관계관리(CRM), 가상사설망(VPN) 등에 대한 인증 수단으로도 활용할 수 있다.
현재 옥타코의 주요 고객층은 금융기관이나 자동차나 반도체 등 주요 기술을 다루는 기업을 비롯해 국방, 공공 등 높은 보안수준을 유지해야 하는 기업·기관이다. 다만 패스워드리스가 확산됨에 따라 그 범위는 더 넓어질 것으로 점쳐진다.
이 대표는 2020년 설립된 국내 FIDO 얼라이언스 한국워킹그룹의 멤버다. 올해 인도에서 진행된 FIDO 개발자 대회에서는 심사위원으로 초빙된 바 있다. 또 옥타코는 시장조사기관 가트너의 2022년 하이퍼사이클 보고서에서 FIDO 분야 대표 기업으로 구글, MS, 탈레스 등과 함께 이름을 올렸다.
그는 “설립 이후 지금까지는 기술을 고도화하고, 사업화를 위한 사전 작업의 단계였다. 그리고 이제 그 결실을 볼 때라고 생각한다. 옥타코도 사업적인 준비를 마쳤고, 시장 흐름도 좋다. 내년부터는 가시적인 성과를 낼 수 있으리라 기대한다. 지켜봐 달라”고 전했다.