지난 1월 중순, 하와이 주민들은 자신들의 낙원과 같은 섬이 공격받고 있다는 스마트폰 알림을 받고 패닉 상태에 빠졌었다. 미사일 공격을 받고 있다는 공식적인 알림은 HI-EMA(Hawaii Emergency Management Agency)에서 소셜 미디어를 비롯한 다양한 채널을 통해 전달했다.
섬 주민은 물론, 지구상의 다른 사람들에게도 다행스럽게, 이 공포스러운 알림은 잘못된 경보로 밝혀졌다. IT 전문 매체인 더버지(The Verge)에 의하면 이 오류는 담당자가 일상적인 훈련 상황에 대한 알림을 전송하는 상황에서, 테스트 버전이 아닌 실제 템플릿을 사용함으로써 일어난 사건이라고 한다. 이런 오류로 인해 “즉시 주변의 대피소를 찾으시기 바랍니다. 이는 실제 상황입니다”라는 메시지가 수많은 사람들에게 전달됐다.
미군 관계자로부터 첫 알림이 전송된 직후, 자신의 트위터 팔로워들에게 알렸던 툴시 가바드(Tulsi Gabbard) 연방 하원의원과 같은 일부 사람들은 2분이 지나기도 전에 이 알림이 잘못된 것이라는 사실을 인지했다. 하지만 운이 좋지 않은 사람들도 있었다. 하와이 주지사인 데이비드 이게(Davie Ige)의 팔로워들은 “모든 것이 명확하다”는 메시지를 17분간이나 계속 확인했으며, HI-EMS는 38분이나 지나서야 잘못된 메시지가 전달됐으며, 하와이는 아무런 위협도 받지 않고 있다고 밝혔다.
언론들은 오늘날과 같은 실시간 커뮤니케이션 시대에 이게 주지사가 잘못 발송된 메시지라는 것을 인지하고, 이에 대한 사실을 트위터로 알리는 데 15분이나 걸린 이유를 확인하고자 했다. 사실은 부끄럽게도 이게 주지사가 자신의 트위터 패스워드를 잊은 것이 지연의 원인라고 밝혀졌다.
기억할 수 없는 것에 대한 기억
하와이의 미사일 사태는 고맙게도 잘못된 알림에 대한 경각심을 일깨우는 과정에서, 핵무기와 관련된 문제에서의 의사소통의 지연이 치명적이라는 사실 또한 같이 부각됐다. 트위터나 페이스북과 같은 소셜 미디어 채널을 주요 정보 소스로 사용하는 많은 사람들이 이게 주지사의 건망증은 비밀번호 보안의 중요성을 다시금 일깨웠다.
하지만 그렇다고 주지사를 비난할 필요는 없다. 많은 사람들이 미사일의 위기가 닥친 상황이 아님에도 불구하고 패스워드를 그다지 잘 기억하지 못하기 때문이다. 기억하기 쉬운 패스워드(password, password123 등이 얼마나 많이 사용되고 있는지 안다면 놀랄 것이다)를 사용하는 방법도 있지만, 이는 쉽게 깨질 수 있는 패스워드라는 사실 또한 알아야 한다. 또한 대부분의 사람들은 한두개의 패스워드로 대부분의 로그인 요구에 대응하기 때문에 만약 하나의 로그인 계정이 유출된다면 동일한 전자우편과 패스워드를 사용하는 수천 개의 웹사이트에 접속을 시도할 수도 있다.
더욱 심각한 것은 우리가 걱정해야 할 것은 해커만이 아니라는 사실이다. 위라이브시큐리티(Welivesecurity) 블로그에 의하면 50% 이상의 사람들이 가정과 직장 계정에 동일한 패스워드를 사용하고 있으며, 20%의 직원들이 자신의 패스워드를 동료 직원들과 공유하고 있다. 이처럼 직원의 부주의로 인해 많은 기업들이 큰 대가를 치룰 수 있는 데이터 침해 사고에 노출돼 있다.
이런 문제 때문에 기업들과 웹사이트들은 패스워드와의 전쟁을 벌이고 있다. 예를 들어 많은 기업들과 웹사이트에서 더 이상 단순한 패스워드를 허용하지 않고 있으며, 영문과 숫자의 조합으로 최소 길이를 지정하고, 보다 자주 패스워드를 갱신하도록 유도하고 있다.
하지만 9자 이하의 영문 숫자 조합 패스워드에 대한 ‘무차별 대입’공격은 비교적 적은 컴퓨팅 용량으로도 충분히 뚫릴 수 있으며, 더욱 복잡한 암호조차도 공격으로부터 자유롭지 못하다. 기술에 민감한 일부 웹사이트의 경우는 몇 번의 패스워드 오입력만으로도 계정을 잠그는 방식으로 공격을 막고 있지만, 모든 웹사이트가 이런 방식을 도입하고 있는 것은 아니다.
결과적으로 보안에 민감한 웹사이트는 일반적으로 ‘기억하기 어려운 패스워드를 기억해야 한다’는 방식을 사용하고 있다. 이로 인해 지루하고 많은 시간을 소모하는 암호 복구 과정을 필요로 하고 있다.
패스워드의 변천사
간단하게 구현할 수 있으며, 단순한 기술만으로 가능하기 때문에 패스워드에 대한 선호도가 지금까지 지속돼 왔다. 하지만, 이 패스워드 방식은 이전의 결함까지 계속 계승해 지금에 이르렀으며, 이로 인한 문제가 불거지자, 패스워드 방식에 대한 생각이 조금씩 바뀌고 있다.
다른 방법은 패스워드를 머리로 기억하는 것이 아니라, 주머니에 넣고 다니는 것이다. 상용 솔루션 중에는 PC에 연결해 사용자 프로필을 로드하는 개인화된 USB 키로 패스워드를 대체하는 방식이 있다. 일단 인증 과정을 거치면 PC는 사용자 로그인 과정과 같은 접근 권한을 부여한다. 하지만 이 방식은 키를 집에 두고 올 경우와 같은 상황에서 커다란 단점을 드러낸다.
또 다른 방식으로는 사용자의 고유한 정보를 사용해 패스워드를 구성하는 방법이 있다. 예를 들어 화면에 고유한 이미지를 표시하는 스마트폰 앱을 사용할 수 있다. 이 스마트폰에 표시된 이미지를 PC의 웹캠을 통해 인식시킴으로써 접근 권한을 부여하는 것이다.
그러나 이런 대체 방안은 아직 주류로 자리잡지 못하고 있다. 반대로 생체인증 기술은 발빠르게 대중화되고 있다. 생체인증 기술은 인간이 갖고 있는 지문과 홍채 패턴, 귀 모양, 보행 패턴 등과 같은 독특하고 개별적인 특징이 패스워드 방식의 효과적인 대체 방안으로 자리잡고 있다.
지문 스캐너는 비교적 저렴하고 작고 빠르며 일반적으로 정확하기 때문에 생체인증 기반의 보안 분야를 선도해 왔다. 그러나 저렴한 만큼 한계점 또한 있다. 저렴한 지문 인식 스캐너는 건조한 피부나 기름, 또는 먼지가 많은 환경에서는 오작동할 위험이 있으며, 최악의 경우 손가락을 잘라 인증을 통과할 수도 있다. 하지만 더 심각한 부분도 있다. 뉴욕타임즈에 따르면, 저렴한 스캐너는 지문의 8~10 가지 특징만을 인식하기 때문에 비슷한 패턴을 가진 사람들로 인해 약 10% 정도의 오인식 가능성을 갖고 있다고 한다.
물론 프리미엄 스마트 폰의 경우는 다르다. 고급 지문 인식 스캐너는 피부 표면 아래를 스캔해 (오염의 영향을 덜 받는) 살아있는 사람에게만 존재하는 미세 전류를 인지한다. 또한 저렴한 스캐너보다 더 많은 지문 특징을 고려하는 것 또한 패스워드의 보안성을 높일 수 있는 요인다. 하이엔드 스마트폰 스캐너의 오인식율은 저렴한 휴대전화의 지문인식 스캐너의 10% 수준이 아닌 0.002% 수준의 매우 낮은 수준이다.
그러나 지문 인식 스캐너 또한 한가지 커다란 문제가 있다. 오늘날 스마트폰들은 스크린 크기를 밀리미터 수준까지 확보하기 위해 안간힘을 쓰고 있다. 일부 스마트폰은 스캐너를 뒷면으로 보내는 방식으로 문제를 해결하고 있지만, 이는 접근의 편의성 측면에서 희생이 불가피하다. 애플의 아이폰X는 얼굴 인식으로 지문 스캐너를 완전히 대체했다. 사용자들은 시스템이 잘 동작한다고 말하고 있지만, 지문 스캐너에 비해 느리고, 편의성이 떨어지는 것은 부인할 수 없다. 차세대 스마트폰은 지문 스캐너를 스크린에 내장함으로써 이 문제를 극복할 수 있지만, 이는 추가비용으로 인해 일부 고가 모델에만 적용될 것으로 예상된다.
지문 인식 스캐너의 대안
지문이나 얼굴 인식 외에도 보안 기기에 접속하는 데 사용할 수 있는 다양한 생체인증 방식이 있다. 홍채 인식 또한 하나의 생체인증 수단이다. 예를 들어 스마트폰에 홍채 인식을 적용할 경우 카메라와 앱을 사용해 홍채 패턴을 스마트폰에 저장된 소유자의 홍채 패턴과 비교한다(홍채 인식은 망막 인식과는 달리 눈 뒤쪽에 있는 모세 혈관의 패턴으로 더욱 안전한 방식으로 인식되고 있다). 홍채 인식 기술은 잘 동작하지만, 이를 사용하기 위해서는 얼굴을 스마트폰 가까이 위치해야 하며, 지문 인식이나 패스워드 입력 방식에 비해 인증에 더 많은 시간이 소요된다.
연구가 진행되고 있는 또 다른 생체인증 방식으로는 귀 모양 인식 방식이다. 이 기술은 귀가 스마트폰 화면을 누를 때, 귀에 의해 생성된 패턴을 식별해 작동한다. 이 방식은 하드웨어 수정 없이 터치 방식의 스마트폰 스크린으로도 구현할 수 있다는 것이 장점이다. 하지만, 인증을 위해서는 일반적으로 사용자가 장치를 귀에 가져다 댈 필요가 없는 상황에서도 인증을 위해 스마트폰을 귀에 가져가야 한다는 것이다.
스마트폰 이외에도 생체인증 기술을 활용한 보안 기술에는 웨어러블 기기를 이용한 보행 패턴 인식 기술이 있다. 이 기술은 PC를 통해 무선으로 정보 전송과 인증을 위해 기록된 샘플과 정보를 비교해 인증을 진행한다. 그밖에 팔찌나 손목시계 등을 이용해 사용자의 독특한 심장 박동을 이용한 인증 방식으로 PC에 대한 접근 권한을 제공하는 방식도 있다.
미시간 대학에서는 목걸이나 이어폰, 안경 등 다양한 생체인증 방식을 시리(Siri)나 알렉사(Alexa)와 같은 음성 인식 기술까지 확장해 비교했다. 결과적으로 이들이 선택한 방식은 사용자의 음성이 신체를 통하면서 유발된 진동을 기록한 다음, 이를 PC에 저장된 샘플과 비교하는 방식이었다.
패스워드는 인터넷의 초창기때 저렴하고 적절한 솔루션이었다. 패스워드가 대중화되던 시기만 해도 이렇다할 웹사이트도 거의 없었을 뿐 아니라 해커들도 그다지 똑똑하지 않았다. 시대가 변화함에 따라 이제 패스워드는 의미가 퇴색하고 있다. 반면 생체인증은 독특하고 해킹하기 힘들뿐 아니라 집에 두고 오는 등의 문제가 발생할 여지가 없다는 장점이 있다. 하지만 문제는 어떤 생체인증 방식이 최선인지는 여전히 불분명하다. 이를 결정하는 것은 기술적 완성도와 비용, 미적인 측면, 그리고 편의성이 될 것이다.
Written by 스티븐 키핑(Steven Keeping) & Provided by 마우저 일렉트로닉스 (Mouser Electronics)
스티븐 키핑은 영국의 브라이튼대학(Brighton University)에서 BEng 학위를 취득한 후, 유로썸(Eurotherm)과 BOC의 전자 부분에서 7년간 근무했다. 그는 이후 일렉트로닉 프로덕션(Electronic Production)를 비롯해 트리니티 미러, CMP, RBI, 등 전자제품 제조, 테스트와 관련된 매체에서 13년간 수석 편집과 출판 관련 업무를 진행했다. 현재 그는 전자 전문 프리랜서 기자로 일하고 있다.
[편집자 주] 본 기사는 글로벌 전자부품 유통회사인 마우저 일렉트로닉스 (Mouser Electronics)의 후원을 바탕으로 진행되는 EPNC의 단독 외부 기고입니다.
그래도 삭제하시겠습니까?