보안위험이 큰 암호가 인증방법으로 계속해서 사용되는 이유

PC나 스마트폰에서 웹서비스에 로그인할 때 개인을 증명하는 방법으로 ID와 암호를 입력하는 방식이 일반적입니다. 그러나 단순한 문자열을 입력하는 기존의 암호방식은 유출되거나 무차별대입 공격으로 깨지는 등 보안위험이 높고, 최근에는 생체인증과 물리적 보안키 등 암호를 사용하지 않는 인증방식이 등장하고 있습니다. 그래도 암호는 꾸준히 광범위하게 사용되고 있습니다.

Why the password isn’t dead quite yet | Ars Technica
https://arstechnica.com/information-technology/2021/07/why-the-password-isnt-dead-quite-yet/

Why the password isn’t dead quite yet

암호는 보안에 큰 우려가 되는 것은 틀림없습니다. 암호작성과 관리는 매우 번거로운 것이기 때문에 결과적으로 사용자는 암호를 반복적으로 사용하거나 쉽게 추측할 수 있는 것으로 하고 있습니다.

실제로 2020년에 가장 많이 사용된 비밀번호는 '123456'이었고 그 다음이 '123456789'인 것처럼 다른 사람들로부터 쉽게 예측되거나 무차별대입 공격으로 돌파되기 쉬운 비밀번호가 많이 사용되고 있는 것으로 드러났습니다.

Most common passwords of 2020 | NordPass
https://nordpass.com/most-common-passwords-list/

Top 200 Most Common Passwords of 2020

he worst passwords of 2020 show we are just as lazy about security as ever | ZDNet
https://www.zdnet.com/article/the-worst-passwords-of-2020-show-we-are-as-lazy-about-security-as-ever/

The worst passwords of 2020 show we are just as lazy about security as ever | ZDNet

그래서 다른 사람들로부터 침해받지 않는 보안으로 얼굴 모양을 카메라로 인식하고 지문을 센서로 읽는 등 생체인증이 인기를 끌고 있습니다.

예를 들어 휴대전화의 잠금을 해제하는 방법은 기술의 진보로 얼굴과 지문을 스캔하는 생체인식이 일반화되었습니다. 이 생체인증은 로그인을 확인하기 위해 서버에 액세스할 필요없이 휴대전화 내부에서 처리됩니다. 또 Titan 보안키와 YubiKey 등 장치와는 별개의 물리적 보안토큰을 사용하여 암호없이 로그인할 수 있습니다. 이러한 물리적 토큰은 결국 거의 모든 PC나 스마트폰에서 사용할 수 있게 될 것으로 전망되고 있습니다.

2021년 6월 Microsoft에서 발표한 Windows 11은 생체인식 및 PIN을 사용하여 암호없는 로그인을 권장한다고 발표했습니다. 또 Google은 다단계 인증규격을 책정하는 FIDO Alliance를 견인하는 기업으로, 온라인 인증의 패스워드레스화에 적극적으로 임하고 있습니다. Apple도 iOS 15와 macOS Monterey에서 암호를 사용하지 않고 Face ID와 Touch ID로 계정인증을 하는 '패스키'를 iCloud 키체인에 통합한다고 발표했습니다.

Move beyond passwords - WWDC 2021 - Videos - Apple Developer
https://developer.apple.com/videos/play/wwdc2021/10106/

Move beyond passwords - WWDC21 - Videos - Apple Developer

Connecting to a Service with Passkeys | Apple Developer Documentation
https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication

업계 전체가 암호를 없애려고 노력하고 있습니다만 암호를 완전히 제거하기 위해서는 2가지 주요 과제가 남아있다고 할 수 있습니다.

하나는 '암호인증 방식이 너무 세계적으로 사용되고 있다'는 것. FIDO Alliance의 전무이사인 앤드류 시키아 씨는 "사용자는 모두 먼저 반드시 암호를 설정합니다. 이것은 이미 학습된 행동입니다. 우리가 비밀번호라는 진정으로 빈약한 기반에 의존하고 있는 것이 문제입니다. 우리는 그 종속성을 가장 먼저 끝내버리지 않으면 안 된다"고 주장합니다.

FIDO Alliance은 패스워드레스의 인증표준을 추진하기 위해 패스워드레스 규격을 채택하고 있는 조직에게 설문을 요청해 매년 사용자경험을 조사하고 이를 바탕으로 사용자경험 지침을 발표했습니다. 시키아 씨는 '''제도나 시스템을 만들면, 사람은 따라온다'는 것으로는 반드시 충분하지 않다"고 지적합니다.

두 번째 과제는 '암호없는 인증규격은 새로운 장치만 지원한다'는 점입니다. 세계에는 얼굴인식과 지문인식 등을 사용한 패스워드 없는 인증을 지원하지 않는 오래된 스마트폰과 피쳐폰을 사용하는 사람은 많이 존재하고 있으며, FIDO Alliance가 규격의 표준제정을 추진하고 있지만 하드웨어가 따라오지 못하는 것이 현실입니다.

패스워드레스의 도입이 확산하여도 암호방식의 전환을 추진하지 않으면 안된다는 현실적인 문제도 남아 있습니다. 암호관리도구 1Password는 iOS버전과 macOS버전에서 마스터 패스워드 대신 TouchID와 FaceID를 도입하고 있습니다만, 어디까지나 비밀번호를 관리하기 위한 마스터 패스워드를 패스워드레스화하고 있을뿐 암호 자체를 FaceID와 TouchID로 대체한 것은 아닙니다.

1Password의 수석제품관리자인 아크세이 바르가바 씨는 "암호의 대안에 대해서는 이전부터 우려가 있었습니다. 예를 들어 생체인증은 사용자 고유의 신체적 특징을 사용하는 것입니다만, 지문이나 얼굴 데이터가 유출되었을 경우 암호는 그때마다 변경하는 것이 가능하지만, 얼굴이나 지문은 변경할 수 없다"고 말합니다.

한편, Google의 신원 및 보안플랫폼 제품담당 수석이사인 마크 릿샤 씨는 "패스워드레스를 지원 모든 구성 요소는 메인스트림으로 전환할 수 있는 성숙도에 도달했습니다. 강력한 플랫폼 지원을 갖추어 모든 주요 공급자에서 작동하며 사용자에게 익숙한 것이 되었습니다. 그동안 우리 업계는 암호를 없애는 방법도 몰랐으나, 지금은 시간이 걸리지만 방법은 알고 있다"고 설명합니다.