디지털 : 비밀번호를 대체할 기술은 무엇일까?

2017년, 런던에 사는 배우 사라(가명)는 신원을 도둑맞는 일을 겪었다.

"어느 날 집에 돌아왔더니, 제 우편함이 열려있더라고요"

"신청한 적도 없는 신용카드 두 개가 제 이름으로 발급됐고, 한 은행으로부터는 신청한 신용카드를 발급해줄 수 없다는 통보를 받았어요'"

사라는 이 카드들을 누가, 어떻게 발급한 건지 알아내기 위해 20만원 이상을 들여 신용 조회 서비스를 이용했다.

그러면서 "돈도 많이 들고 손도 많이 가는 일"이라고 덧붙였다.

영국에서 이같은 신원 도용 범죄는 흔히 일어나는 일이다. 모든 것이 디지털화된 현대 사회는 사람들의 개인 정보를 노리는 사기꾼들이 활동하기 아주 좋은 환경이기 때문이다. 지난해 영국의 사기 방지 서비스 CIFAS에 등록된 유사 사건만 해도 19만 건이 넘는다.

그렇다면 우리는 온라인상에서 자신의 신원을 어떻게 보호할 수 있을까. 가장 쉽게 떠오르는 것은 역시 비밀번호다.

하지만 최근에는 비밀번호가 더이상 안전하지만은 않다는 걸 보여주는 사건이 많이 발생했다. 페이스북은 올해 4월, 인스타그램 이용자 수백만 명의 비밀번호가 내부 시스템에 접근 가능한 형태로 저장됐다는 사실을 시인했다.

작년 말에는 질문과 답을 올릴 수 있는 '쿠오라'라는 웹사이트가 해킹당해 1억 명이 넘는 사람들의 이름과 이메일이 유출됐다. '야후'는 이메일과 비밀번호를 포함한 이용자 3억 명의 개인 정보를 유실한 것과 관련한 소송을 처리하기도 했다.

이런 분위기를 감안하면, 지난해 마이크로소프트가 앞으로 비밀번호 대신 생체 인식 또는 특수 보안 키를 이용하겠다는 계획을 발표한 것도 놀라운 일이 아니다.

IT 조사 기관인 가트너는 오는 2022년까지 대기업 및 중소기업의 60%가 비밀번호에 대한 의존성을 현재의 절반 가량으로 낮출 것이라는 전망을 내놓았다.

생체인증 서비스인 베리디움의 대표인 제이슨 툴리는 "비밀번호는 범죄자들이 노리기 가장 쉬운 방법"이라고 말했다.

"사람들은 보통 기억하기 쉬운 조합을 비밀번호로 사용하는데, 그게 약점이 되는거죠"

비밀번호를 없애는 것은 보안 강화에 도움이 될 뿐만 아니라, IT 부서가 사람들이 기억하지 못하는 비밀번호를 재설정하는데 쓰는 시간과 비용을 아낄 수 있게 해준다.

툴리는 "믿기 어렵겠지만 비밀번호 사용에 직원 한 명당 매년 200달러 정도의 비용이 들어간다"며 "직원이 많은 큰 회사라면 그 비용은 어마어마할 것"이라고 강조했다.

'새롭게 등장한 문제들'

필립 블랙은 데이터 보안을 위한 강력한 암호화 시스템을 디자인하는 회사인 포스트-콴텀의 임원이다.

그 역시, 비밀번호에 약점이 있다는 것에 동의한다.

"일단 너무 많은 비밀번호를 만들게 되잖아요. 이걸 다 다른 조합으로 만들 수는 없으니까 보통 하나로 통일하는데, 그게 비밀번호가 보안에 취약한 이유죠."

EU는 이 문제를 해결하기 위한 새로운 법안을 내놨다. PSD2로 알려진 새로운 결제 지침에 따르면, 기업들은 고객을 인증할 때 최소 두 개의 단계를 포함해야 한다.

이 인증 단계에는 본인 소유의 카드처럼 고객이 소유하고 있는 물건 혹은 핀 넘버처럼 고객 본인만 알 수 있는 정보, 또는 생체 인식 같은 방법이 포함될 수 있다.

과거에는 토큰이나 비밀번호, 문자로 전송되는 코드 등이 주목받았지만, 최근에는 생체 인식에 대한 관심이 새롭게 대두되고 있다. 올해 KPMG가 실시한 조사에 따르면, 국제 은행의 67%가 지문 인식, 음성 인식, 얼굴 인식 등과 같은 생체 인식을 이용한 보안 인증에 투자를 하고 있다.

올해 낫웨스트 은행은 지문인식 기능이 탑재된 체크카드를 만들기도 했다.

생체 인식은 고객에게 쉽고 편리한 인증 서비스를 제공할 수 있다는 장점이 있지만, 특수한 도구가 필요하다는 점이 문제가 됐다. 하지만 최근에는 많은 사람들이 지문 인식 기능이 있는 스마트폰을 가지고 있기 때문에, 이 문제는 조만간 쉽게 극복될 것으로 보인다.

하지만 문제는 비밀번호를 노리던 범죄자들이 있는 한, 생체정보를 도둑맞는 것도 불가능한 일이 아니라는 것이다. 지난 9월, 상해에서 열린 사이버 보안 학회에서 한 중국 연구팀은 몇 미터나 떨어진 곳에 있는 사람의 지문을 캡처하는 것이 가능하다는 것을 증명해 보였다.

비밀번호는 바꾸기라도 할 수 있지만, 지문은 바꿀 수도 없지 않은가.

이런 문제를 보완하기 위해 점점 더 많은 기업들은 다중 인증 방식을 채택하고 있다.

다중 인증에는 비밀번호나 지문 인증 같이 눈에 보이는 방법 외에도, 현재 위치나 구매 내역, 타이핑 패턴, 심지어 핸드폰을 잡는 습관 같이 눈에 보이지 않는 것들도 포함된다.

"생체 인식이 비밀번호를 대체할까요? 그렇지 않습니다. 다중 인증 방식이 비밀번호를 대체할 거에요"

모바일 뱅킹 서비스인 벙크의 임원 알리 닉남은 이렇게 말했다.

하지만 이런 다중 인증 방식에도 문제는 있다. 안전은 보장될지 몰라도, 인증 과정이 지금보다 더 복잡하고 어려워질 수 있기 때문이다. 어떤 방식이 인증에 이용되고 있는지 모르므로 어떤 정보를 어떻게 보호해야 할지도 알 수 없다는 것이다.

"그 사건 이후로 인터넷 보안에 대해 더 예민해졌어요. 생년월일이나 주소 같은 것을 온라인 상에 남기지 않으려고 노력 중이죠"

사라는 말했다.

"저는 33살이에요. 아직 테크놀로지에 크게 뒤쳐지는 편은 아닌데, 뭘 어떻게 더 조심할 수 있는지 잘 모르겠네요"

사라의 이름으로 카드를 발급해 준 은행들 중 하나는 그가 비밀번호를 모른다는 이유로 카드 발급 취소를 거부했다.