뉴스
2015년 03월 06일 11시 54분 KST | 업데이트됨 2015년 03월 06일 12시 05분 KST

비밀번호는 사라져야 마땅하다. 그러나 당장은 아니다(동영상)

Shutterstock / twobee
Blurred hand hovering over fingerprint

컴퓨터 앞에 앉거나 스마트폰을 쥐는 순간 모든 계정에 간편하게 로그인된다고 상상해보자. 기기가 독자의 지문이든 홍채의 무늬든 심장박동의 파형이든 뭐라도 인식하게 하는 것이다. 어떻게든 ‘본인’을 확인하기만 하면 되는 거니까.

우리는 인터넷의 유구한 역사 동안 쭉 비밀번호라는 걸 사용해왔다. 문제는 비밀번호라는 게 그다지 좋은 방법이 아니라는 거다. 보안 전문가들이 계정마다 다른 비밀번호를 사용하라고 아무리 강조해도 대다수 사용자들은 그렇게 하지 않는다. 생년월일에 알파벳 한 두어 개에 ‘#’을 더한 허접스러운 비밀번호를 수십 개의 다른 사이트에 동일하게 적용한다.

그 결과는? 해커들의 먹잇감이 된다는 것. 그런데 계정마다 다른 걸 지정해도 문제다. 그걸 어떻게 다 외우나? 로그인할 때마다 매번 ‘비밀번호 찾기’를 누르기 일쑤다. 그렇다고 어디다 적어 놓기도 불안하다. 그걸 털리면 그야말로 끝장이니까.

하지만 이제 희망이 생겼다. 비밀번호를 없애고자 하는 경주가 시작됐다. 대형 IT 회사들이 앞 다투어 생체 인식 개발에 나서고 있다. 당신의 지문, 얼굴, 심장을 이용한 더 안전하고 편리한 보안 체계를 추구하고 있다.

심박을 측정하는 밴드

대량의 안드로이드 기기에 들어가는 마이크로 칩 제조업체인 퀄컴은 이번 주에 스냅드래건 센스 ID(Sanpdragon Sense ID)를 발표했는데, 지문을 3차원적으로 인식하는 기술이다. 땀과 로션에 덮인 지문도 구별할 수 있고 유리, 쇠, 플라스틱, 알루미늄, 등의 다양한 재질로 만든 기기에 탑재 가능하다며 유연성을 강조했다.

바르셀로나에서 이번 주에 열린 GSMA 모바일 월드 콩그레스에서 소개된 스냅드래건 센스 ID는 최근에 테크놀로지 업체들이 열을 올리던 다양한 생체 측정 장치 중 하나다.

퀼컴의 스냅드래건 소개 영상.

삼성도 이번 전시회에서 스마트폰의 지문 감지 능력을 향상했다고 밝혔다.

또 지난 1월 세계가 가전 전시회(CES)에서는 인텔은 ‘트루키’(TrueKey)를 소개했는데 얼굴이나 지문 등으로 모든 인터넷 계정과 기기 계정을 조율하는 방식이다.

현재까지 생체 측정 장치로 가장 성공적이라고 여겨지고 있는 애플의 지문 인식 기술인 터치ID는 이미 아이폰과 아이패드 환경에서 활용되고 있으며 타사의 앱(third-party apps)과도 호환이 가능하다.

"지금 시장은 생체 측정 장치가 발전하기에 상당히 좋은 환경으로 변하고 있다."고 뉴욕에 위치한 홍채 인식 기술 업체 ‘아이록’(eyeLock)의 마케팅과 비즈니스 개발 담당자 안토니 안톨리노가 말했다.

애플의 터치ID 성공 사례를 보고 다른 업체들도 더 적극적으로 변하고 있다고 보안 업체 소포스(Sophos)의 수석 보안 자문인 체스터 위스니우스키는 말했다.

애플은 지난 6월에 있었던 개발자 회의에서 이렇게 설명했다. 즉, 터치ID를 소개하기 전에는 비밀번호를 걸어놓는 경우가 사용자의 반이 안 됐는데, 터치 ID가 소개된 이후 83%가 이를 이용해 휴대전화를 잠근다. "애플이 생체 측정기술이 얼마나 효과적인지 보여준 셈이다."라고 위스니우스키는 말했다.

그리고 1년 후, 애플은 터치ID를 ‘서드 파티 앱’(애플이나 기본 협력사가 아닌 회사의 앱)도 사용할 수 있도록 허가했다. 그 덕에 지문 인식은 아마존이나 개인 금융 서비스 앱인 민트(Mint) 같은 앱에서도 이용할 수 있다. 또 최근 아이폰 모델 이용자는 터치ID 기능으로 일반 구매 결재도 할 수 있다.

그러나, 이런 발전에도 불구하고 비밀번호가 완전히 사라지려면 상당한 시간이 지나야 할 것이다.

그 이유 중에 하나는 생체 측정 장치의 작동 문제다. 애플의 터치ID가 성공적이긴 하지만 언제나 잘 돌아가는 건 아니다. 예를 들어 손이 차갑거나 막 샤워를 한, 또는 설거지한 손으로는 작동이 잘 안 된다.

또 한 예로, 인텔이 CES에서 트루키르 소개했을 때 프로그램이 사회자를 인식하지 못하는 터무니없는 상황도 있었다.

CES에서 사회자를 '잠시' 인식하지 못하는 트루키.

비밀번호엔 이런 문제가 없다. 단점은 많지만 ‘제대로 입력만 하면’ 그 역할을 충분히 해낸다. 또 하나의 이슈는 신뢰도다. 소비자 관점에서 가장 중요한 것은 자기들의 지문, 얼굴, 눈에 대한 정보를 업체가 안전하게 보호해 주느냐는 거다.

애플은 고객의 정보를 매우 잘 보호하고 있다고 위스니우스키는 칭찬했지만, 그렇다고 고객의 생체 정보를 유치한 모든 회사가 애플 수준으로 잘 보호할 수 있다고 장담할 순 없다. 빈번한 비밀번호 노출 사건을 고려할 때 걱정이 된다는 것이다.

"생체 정보를 요구하는 회사가 비밀번호를 사용하던 회사보다 믿을 만하다는 보장이 있나요?"라고 위스니우스키는 반문했다.

전문가들은 지금으로선 비밀번호 관리 프로그램을 사용하는 것이 가장 현명하다고 말한다. 몹시 어려운 비밀번호 한 개만 외우면 내 모든 비밀번호를 다 열람할 수 있는 프로그램 말이다.

"언젠가는 비밀번호가 전혀 필요 없어질 것이다. 하지만 아직 그 시기는 멀었다." 인텔의 개인정보 보호(Safe Identity)팀의 대표인 마크 밀러의 말이다.

*본 기사는 허핑턴포스트 US의 'Passwords Are Terrible -- And These Companies Want To Kill Them'를 번역 편집한 것입니다.