"암호가 피로한 당신"... 대안은 생체인증

'HQbgbiZVu9AWcqoSZmChwgtMYTrM7HE3ObVWGepMeOsJf4iHMyNXMT1BrySA4d7'

인터넷 암호 자동생성기가 만들어낸 알파벳 63글자로 이루어진 이 암호는 기억만 한다면 인터넷 보안엔 안성맞춤으로 보인다. 하지만 해커들 앞에는 한순간에 뚫릴 무용지물에 불과하다.

해커들은 은행, 이메일, 쇼핑몰, 소셜 네트워크 사이트 서버 등에 자유롭게 침투해서 개인의 암호 정보를 집단으로 빼간다.

컴퓨터 기술은 하루가 다르게 비약적으로 발전하고 있다. 한데 왜 ID와 암호를 입력하는 구닥다리 인증 방식은 왜 그대로 남아 있는 것일까?

노르웨이의 인터넷 보안 전문가인 페르 토르샤임은 AFP통신과의 인터뷰에서 "그게 가장 저렴한 방법이기 때문이다"며 "소프트웨어 기반의 토큰과 하드웨어 기반의 토큰 인증 방식이나 생체인증 방식은 비용이 훨씬 더 든다"고 말했다.

최초의 컴퓨터들은 방 한 칸을 전부 차지할 정도로 컸음은 물론 독립적인 장치이기도 했다. 컴퓨터들끼리 연결돼 있지 않았으므로 암호는 서로 아는 사이인 소수의 운영자들만 알고 있으면 문제될 게 없었다.

인터넷 출현으로 상황은 달라졌다. 급증한 컴퓨터, 스마트폰, 태블릿PC 등은 글로벌 규모로 서로 연결됐다. 이에 보다 복잡한 신원인증 방식이 필요해졌다.

이에 따라 암호 입력식 인증 방식이 널리 확산됐다. 하지만 이 방식은 인터넷 사용자들이 매일 수많은 암호를 기억하고 다녀야 하는 통에 골칫거리가 됐다. 그것도 개인 컴퓨터 1대가 아니라 몇 대의 컴퓨터에서 말이다.

신종단어까지 생겨났다. 이른바 '암호 피로(password fatigue)'가 그것이다.

보안 프로그램인 노턴 안티바이러스 제조업체인 시만텍의 인터넷 보안 전문가인 마리안 메리트는 "사람들은 복잡한 암호를 사용하기를 꺼렸다"며 "그 결과 정말로 많은 개인 암호가 유출됐다"고 말했다.

컨피던트 테크놀로지스의 이미지 암호 개발자인 사라 니드햄은 "스마트폰과 태블릿에서 웹사이트로 접속하는 사용자들이 많아졌다"며 "이들에겐 암호 입력이 점점 더 고역이 되고 있다"고 덧붙였다.

시만텍이 지난해 24개국에서 실시한 조사에 따르면 약 40%의 인터넷 사용자들은 애당초 복잡한 비밀번호를 만들어 사용하지 않거나 정기적으로 암호를 변경하지 않는 것으로 나타났다.

경쟁업체인 맥아피의 지적에 따르면 60% 이상의 사용자들이 정기적으로 5~20개의 비밀번호 입력이 필요한 웹사이트를 방문한다. 또한 거의 같은 비율의 사용자들은 쉬운 비밀번호를 선호한다.

2005년 출간된 '완벽한 비밀번호: 선택, 보호, 인증'의 저자인 마크 버넷 사람들이 가장 많이 사용하고 있는 비밀번호는 '123456'이라고 밝혔다.

◆ 생체인증 시대가 다가온다

네트워크 보안업체인 포티넷의 칼 윈저 이사는 회사의 동의를 얻어 유닉스 시스템을 통해 비밀번호를 깨뜨리는 프리웨어 암호 크랙 프로그램인 '존 더 리퍼(John the Ripper)'를 가동해 본 적이 있다고 말했다.

그에 따르면 수초 내에 암호의 약 33%가 해제됐다. 수분이 지나자 또 33%의 암호가 풀렸다.

윈저 이사는 "나는 또한 동료의 '고도 보안' 암호를 5분도 안 되어 찾아내어 내기에서 이겼다"고 말했다.

현재 업계에선 암호 입력 방식의 대안을 마련하는 연구가 한창 진행 중이다.

구글은 사용자들이 코드화된 반지를 끼고 기기에 접속하는 방식을 구상 중이다. 또한 암호화된 비밀번호 정보가 들어 있는 '유비키(Yubikey)'라는 ID 카드를 개인 PC의 UBS 포트에 삽입해 사용하는 방안도 연구 중이다.

페이팔을 포함한 컨소시엄인 FIDO 얼라이언스는 스마트폰 유저가 웹사이트에서 터치스크린에 손끝을 대고 신원을 확인하는 공개 소스 시스템 개발을 추진 중이다.

FIDO 테크놀러지 측은 이 기술을 올해 안에 상용화할 것이라고 말했다. IBM은 2011년 당시 생체인증 방식이 5년 내 암호입력 방식을 대신할 것이라고 예측했었다. 이 예측이 조기에 실현되는 것이다.

워싱턴에선 미 특허·상표국(USPTO)이 최근 애플로부터 안면인식과 지문인식과 관련한 몇 건의 생체인식 특허 신청을 접수했다.

모토로라 레지나 듀건 연구 책임자는 더 나아가 위산(胃酸)과 연동해 작동하는 마이크로칩과 배터리가 들어간 ‘패스워드 알약(password pill)’을 제안했다. 이 알약에선 개인 고유의 ID 신호가 발산된다.

현재 많은 인터넷 서비스들은 2단계 인증 방식을 사용하고 있다. 사용자에게 ‘키우는 개의 이름은?’ 등과 같은 추가 질문을 던지거나 개인 휴대폰에 SMS 메시지를 통해 1회 사용한도의 숫자 코드를 보내주는 방식이다.

라스트패스, 키패스, 1패스워드, 대시래인, 그리고 애플이 최근 발표한 아이클라우드 키체인 등의 새로운 인증방식도 우후주순처럼 쏟아져 나왔다.

이 프로그램들은 개인의 암호를 하나로 통합해서 보관하는 방식이다. 1개의 마스터 암호로 접속이 가능하다. 하지만 일부 전문가들은 가장 확실한 암호 대책이 나올 때까지는 이 아이디어가 미봉책에 불과하다고 보고 있다.

보안 전문가들은 2가지 원칙에 대해선 폭넓게 동의하는 입장이다. 가능한 한 문자, 숫자, 기호를 조합한 암호를 사용해야 한다는 것과 동일한 암호를 2곳 이상의 웹사이트에서 사용하지 말라는 것이다.

acenes@news1.kr