생체 인식, 매직 링크, 하드웨어 토큰 등 다양한 방법 등장
“비밀번호보다 안전, 데이터 침해 차단, 사용자 로그인 재설정 불필요”
[애플경제 이윤순 기자] 비밀번호 없는 다양한 인증 기술이 개발, 보급되고 있다. 이미 안면 인식이나 지문 스캔 등을 통해서만 액세스할 수 있는 ‘패스키’처럼 차세대 보안 인증 장치가 날로 대중화되고 있다. 일단 비밀번호 없는 인증은 생체 인식, 매직 링크, 하드웨어 토큰 등과 같은 다른 요소를 기반으로 한 것이다.
이를 통해 기업들은 데이터 침해의 위험을 크게 덜 수 있다. 특히 IT 부서는 사용자의 비밀번호 재설정을 지원하는 데 소요되는 시간을 줄일 수 있으며, 개별 사용자는 더욱 안전하고 편리하게 시스템에 액세스할 수 있다.
이미 국내 보안업계에서도 “비밀번호 기반 시스템보다 더 안전하고, 더욱 원활한 사용자 경험(UX)을 할 수 있으며, 사용자 로그인을 재설정할 필요성이 줄어든다”는 등의 이유로 이런 류의 보안 시스템을 활성화하려는 움직임을 보이고 있다.
물론 “사전 교육이 반드시 필요하고, 단기적으론 비용이 더 들면서도 로그인 문제를 근본적으로 해결하는 것은 더 어렵다”는 지적도 있다. 그럼에도 불구하고, 날로 이를 채택하려는 움직임도 가속화되고 있다.
로그인 문제 근본 해결 어렵지만, 날로 확산․보급
일단 비밀번호 없는 인증은 사용자 자신의 고유한 정보나, 물리적 정보만을 통해 가동할 수 있다. 로컬 또는 클라우드 보안을 향상시키기 위해 비밀번호 없는 인증을 구현하는 방법도 여러 가지가 있다.
우선 ‘매직 링크’의 경우 사용자의 인증된 이메일이나 전화로 전송되는 ‘일회용 링크’인 경우가 많다. 링크를 클릭하면 사용자는 애플리케이션에 액세스할 수 있다. ‘생체인식’도 광범위하게 확산되고 있다. 이는 사용자의 고유한 생체적 특징을 확인함으로써 작동한다. 지문, 성문, 안면 스캔 등의 방법이 있다.
하드웨어 토큰도 있다. 예를 들어 FIDO 보안 키, 휴대폰, 스마트 카드, NFC(근거리 통신) 장치 등의 USB 장치 등이 있다. ‘일회용 비밀번호(OTP)’도 많이 활용될 전망이다. OTP는 사용자의 확인된 이메일이나 전화로 전송될 수 있는 코드로서, 임시 짧은 기간 동안만 유효하다.
‘푸시 알림’도 있다. 즉, 별도의 장치에서 계정이나 시스템에 로그인한 사용자는 “새 로그인을 승인하라”는 알림을 받을 수 있게 한다.
글로벌 보안업체 사이버레디는 “비밀번호 없는 인증은 기존 패스워드 방식보다 더욱 안전하지만, 재설정 프로세스가 더 어려워질 수도 있다”면서도 “그럼에도 불구하고 향후 1~3년 동안 비밀번호 없는 인증을 채택하거나 계속 사용할 계획을 갖고 있는 기업들이 날로 늘어나고 있는 추세”라고 전했다.
비밀번호 없는 인증, “다양한 제품 출시”
비밀번호의 경우는 피싱, 키로깅, 무차별 대입 공격 등에 취약할 수 밖에 없다. 이에 비해 비번없는 인증은 사용자의 고유한 ID 또는 물리적 토큰이 필요하므로 더 안전하다는 평가다. 또한 비밀번호를 기억할 필요가 없어져 사용자가 시스템에 더 쉽고 빠르게 액세스할 수 있다. 특히 ‘단일 자격 증명 세트’로 여러 서비스에 액세스할 수 있도록 SSO(Single Sign-On)와 함께 사용할 수도 있다.
무엇보다 사용자 로그인 재설정의 필요성이 줄어든다. 생체 인식이나 하드웨어 토큰을 사용하는 인증 방법 등에선 사용자가 굳이 기억할 것이 없다. 그래서 “비밀번호를 잊어버려서 계정을 재설정해야 하는 필요성을 크게 줄일 수 있다”는 얘기다.
또 다른 보안업체 ‘사이버리즌’은 “일부 솔루션은 광범위한 애플리케이션에 대한 ‘원클릭’ 액세스를 제공하는 반면, 또 다른 솔루션은 액세스 권한을 부여하기 전에 각 로그인의 컨텍스트와 위험을 평가해주기도 한다”고 전했다.
몇 가지 사례를 보면, 각국 대기업들이 주로 사용하는 ‘Prove Auth’도 대표적이다. 이는 앱 푸시 알림이나, 생체 인식을 사용, 모바일, 웹, 옴니채널 환경에 비밀번호나 OTP가 없는 인증을 제공한다.
또 ‘탈레스 SafeNet Trusted Access’는 다중 요소 인증(MFA)과 SSO 기능을 결합하고, 다양한 플랫폼에 대한 사용자 액세스를 쉽게 관리할 수 있다는 평가다. 적응형, 푸시, 패턴 기반 인증이 가능하다. ‘매니지 엔진’(ManageEngine ADSelfServicePlus)의 경우 클라우드와 온프레미스 애플리케이션에 대한 SSO 원클릭 액세스를 활성화함으로써 로그인을 단순화할 수 있다. ‘원로그인(OneLogin)’은 스타트업부터 중소기업에 이르기까지 장치 유형, 시간, 위치 등 로그인 세부 정보를 평가할 수 있게 한다. 또한 SSO 및 MFA와 같은 다른 기능도 제공한다.
이같은 비밀번호 없는 인증은 분명 기업 시스템에 대한 승인된 액세스를 보장하는 안전한 수단으로 평가받는다. 다만 “전환과 관련된 비용이 단기적으로 소요될 수 있지만, 데이터 유출로 인해 발생할 수 있는 더 큰 비용을 예방할 수 있다”는게 전문가들의 대체적인 시각이다.