복잡한 비번 몰라도 돼…구글도 “손·얼굴로 로그인”

- Advertisement -

자신이 가입한 사이트의 ID와 비밀번호를 일일이 기억할 필요가 없어진 지는 꽤 오래됐다. 웬만한 브라우저에 로그인 정보를 자동으로 저장하는 기능이 탑재돼 있고, ‘라스트패스(LastPass)’나 ‘삼성패스(Samsung Pass)’처럼 비밀번호를 자동으로 채워주는 ‘암호 관리자’ 프로그램도 다양하다.

삼성 패스

이런 프로그램이나 기능의 공통점은 사용자가 만든 ID나 비밀번호를 대신 입력한다는 것이다. 온라인 서비스마다 지정된 ID와 비밀번호를 일일이 기억하고 있다가 해당 사이트에 접속할 경우 적절한 칸에 자동으로 입력하는 방식이다. 편리한 기능이지만 의도치 않게 비밀번호가 유출되면 계정이 해킹 당할 가능성이 있다.

그렇다면 비밀번호를 해킹 불가능한 대체재로 바꾸면 어떨까. 예를 들어 비밀번호 없이 지문이나 홍채, 얼굴 같은 개인의 신체적 특징으로 로그인이 가능해진다면 해킹 우려를 크게 덜 수 있다.

MS Authenticator

마이크로소프트와 애플은 이미 비슷한 기능을 도입했다. 마이크로소프트 계정으로 로그인할 때 사용자가 미리 지정한 기기에서 생체 인증을 거쳐야 로그인이 가능한 ‘MS 인증(Authenticator)’ 앱, 애플의 지문·얼굴 인식 기술인 터치 ID와 페이스 ID도 비슷한 맥락에서 만들어진 보안 기능이라 볼 수 있다.

어쩌면 안드로이드에도 유사한 기능이 도입될 것으로 보인다. 구글 관련 소식을 전하는 해외 매체 ‘나인투파이브구글(9to5Google)’은 최신 버전 구글 플레이 서비스 앱에서 ‘패스키’라고 불리는 새로운 보안 기능이 발견됐다고 19일(현지시간) 보도했다.

◆ 패스키 있으면 더 이상 비밀번호 입력 필요 없어

최신 구글 플레이 서비스 앱에 추가된 패스키 관련 코드 (출처 : 9to5Google)

매체는 구글 플레이 서비스 앱 버전 22.15.10에 패스키와 관련된 문자열이 새로 추가됐다고 전했다. 내용을 보면 패스키는 비밀번호보다 나은 보호 기능을 갖췄으며 구글 계정에 안전하게 저장된다.

패스키는 신속 온라인 인증(Fast IDentity Online, FIDO) 연합에서 비밀번호를 대체하기 위해 고안한 대체 기술이다. 설명에 따르면 개인이 소장하는 ‘개인 키’와 온라인 서비스에 등록하는 ‘공개 키’로 구성된다. 사용자의 기기에는 개인 키 소유자를 증명하는 서명이 내장돼 있다.

FIDO 방식으로 로그인하는 과정

일반적으로 온라인 서비스에 로그인하면 입력한 ID와 비밀번호를 서버에 저장된 데이터와 대조해 보고, 일치하면 로그인에 성공한다. 패스키는 비밀번호를 입력하는 대신 서명된 개인 키와 서버가 가지고 있는 공개 키를 대조한다. 사용자가 맞다고 판단되면 로그인에 성공한다. 개인 키에는 사용자의 지문이나 얼굴, 홍채 같은 생체 정보가 사용되므로 단순히 문자열만 알아내면 되는 ID·비밀번호 방식보다 해킹하기 어렵다.

패스키는 구글 계정에 등록된다. 따라서 새 기기를 구매해도 구글 계정으로 로그인하면 패스키도 자동으로 동기화된다. 온라인 서비스에 일일이 다시 접속해 로그인 정보를 남기는 과정이 필요 없을 것으로 보인다. 또한 개인 키에 서명이 필요하다는 기술 특성상 구글 계정이 해킹돼도 다른 사이트에 가입한 계정 정보가 유출될 걱정을 덜 수 있다.

이렇게 지문을 비롯한 생체 정보로 로그인하는 기능은 2019년에 처음 언급된 바 있다. 당시 구글은 자사 보안 블로그를 통해 비밀번호 대신 지문으로 웹 서비스에 로그인할 수 있을 것이라고 밝힌 바 있다. 하지만 당시 이 기능은 구글 일부 서비스에만 적용됐다. 구글과 관련 없는 웹사이트에도 적용케 한 것은 이번이 처음이다.

◆ 만능은 아니야…패스키의 한계는?

패스키는 구글 계정에 저장되므로 최소한 자신의 구글 계정 ID와 비밀번호는 숙지해야 한다. 따라서 구글 계정의 보안은 패스키가 도입되더라도 크게 변하지 않을 것으로 예상된다. 단, 2차 인증 같은 보안 설정을 적용한다면 해킹을 예방하는 데 도움이 된다.

생체 정보를 쉽게 바꾸기 어렵다는 것도 잠재적 단점이다. 암호화된 생체 데이터가 통째로 탈취되면 대응하기 어렵다. 지문은 다른 손가락으로 대체할 수 있지만 얼굴이나 홍채 정보를 바꾸는 것은 불가능하다.

패스키가 보급되는 데 가장 큰 걸림돌이 되는 것은 호환성이다. 패스키를 지원하는 웹사이트와 온라인 서비스가 다양해져야 이용자가 늘어나는 게 당연하다. 사이트에서 패스키를 지원하지 않는다면 기존처럼 ID와 비밀번호를 입력해 로그인해야 하기 때문이다.

따라서 패스키가 제대로 활용되려면 구글 외 다른 기업들이 해당 기능을 적극적으로 도입할 필요가 있다. 이번에 유출된 코드를 보면 패스키의 보호 기능이 비밀번호보다 낫고 구글 계정에 안전하게 저장된다며 긍정적 효과를 강조하고 있다. 내용을 볼 때 구글은 기업들이 패스키를 부담 없이 도입하도록 이용자를 먼저 늘리는 전략을 취하려는 것으로 보인다.

테크플러스 에디터 이병찬

tech-plus@naver.com​

[fv0012]

- Advertisement -

댓글

Please enter your comment!
Please enter your name here


Related Stories