‘귀찮고 잊기 쉬운 비번’ 필요없는 ‘패스워드리스’ 시대 온다

온갖 인증과 본인 확인 등 보안 시스템이 강화되는 가운데 특히 자신의 비밀번호조차 잊어버려 번거로움을 겪는 사례도 많다. 많은 사람들은 그럴 때마다 ‘비밀번호가 아예 없는 인증방식’을 기대하곤 한다.

실제로 비밀번호가 필요없는 이른바 ‘패스워드리스’ 방식도 날로 다양하게 발전하고 있다.

현재도 이미 기기 펌웨어와 소프트웨어 지문인식, 생체인식, 그리고 연합인증(Federated Identity Alliance)에 의한 FIDO(온라인 인증 표준) 등 다양한 방법이 있다.

이런 방식들은 일단 오작동을 감지하는 MFA 방식을 사용하고 있다. 그러나 많은 사용자들은 “어떤 방식이든 일회성 PIN을 입력할 필요도 없어야” 하는 수준을 기대하고 있다.

물론 아직은 여러 이다. 그러나 아직은 인증 대화 상자를 완료하려면 대부분의 경우 다른 기술적 보완이 필요하다는 지적이다. 사용자들은 그래서 현재 택할 수 있는 패스워드리스 기술에 대해 숙지해야 한다는게 전문가들의 조언이다.

그 중 대표적인게 생체인식이다. 흔히 스마트폰에는 지문인식기가 들어있으므로 지문 또는 안면인식 기능을 MFA 방식으로 사용하는 경우가 많다.

현재 ‘오씨’나, ‘라스트패스’, ‘대시레인’ 등과 같은 인증 앱은 지문이나 애플의 페이스ID, 터치ID 인증을 지원한다. 이들 앱 중 하나에 익숙하다면 가장 쉬운 패스워드리스 방법이라는게 전문가들의 의견이다.

그러나 생체인식 방법은 사용자들, 특히 기업체의 경우 자신의 앱에 생체인증 요건을 추가하면 작동 과정에 문제가 생길 수 있다. 또 스마트폰 인증 앱에 대한 경험이 없으면 더욱 불편할 수 밖에 없다.

그래서 “SSO 또는 ID 관리 제공업체와 더 개선된 생체인식 통합이 이루어질 때까지 스마트폰 인증 방식부터 시작하는 것이 더 좋은 대안일 수 있다”는 전문가들도 적지 않다.

그래서 권하는 방식이 기기 지문인식이다. 이는 누구와도 안전하게 공유할 수 있는 공개키를 사용하는 공개키 암호화나 비밀번호와는 다르다. 도청 공격에 취약하지 않도록 로컬 기기에 남아 있는 개인키를 활용할 수도 있다는 점이 큰 장점이다. 이는 또 기본적인 인터넷 프로토콜에 대해 대부분의 암호화 경로가 작동하는 방식과 유사하다.

일부 전문가들은 “기존 스마트폰에 내장돼 있거나 다른 업무용 기기에 펌웨어를 통합해 비밀번호를 대신하는 고유 코드를 포함하는 방식이 가장 좋다”고도 한다.

특히 MFA 검증(Verify MFA) 앱을 발표한 SSO((Single Sign-On) 업체인 옥타에 의해 결국 기기 지문인식이 패스워드리스의 주요 수단이 될 것이란 전망도 많다.

파이도(FIDO)는 특히 패스워드리스 기술 분야에서 중요한 비중을 차지한다. 이는 모든 산업체 애플리케이션에서 같은 인증 방법을 사용하도록 하는 표준이다. 파이도가 제정되면서 이레 수많은 산업체가 이를 활용할 것으로 기대된다. 최신 사양인 ‘파이도2’는 이미 마이크로소프트, 구글, 애플 등을 비롯해 보안 공급업체, 주요 은행과 기타 대형 IT 조직을 포함한 수백 개의 업체가 지원하고 있다.

특히 가장 눈에 띄는 파이도2 활용 사례는 구글의 타이탄과 유비코(Yubico)의 유비키(Yubikey) 보안키다. 기존의 RSA 시큐어ID와 달리 이는 전송할 PIN이 없다. 로그인 대화 중에 수락 여부를 표시하려면 키에 내장된 버튼을 누르기만 하면 된다. 키는 여러 세대의 USB 커넥터와 블루투스를 통해 다양한 폼 팩터로 이용할 수 있다.

이 밖에도 아이폰 내부의 개인 암호키를 사용해 사용자의 데이터에 서명하고 암호화하는 방식도 제안되고 있다. 로그인 과정은 소프트웨어 개발 키트가 처리하므로 사용자가 비밀번호를 설정할 필요가 없으며 손가락으로 스마트폰(또는 메인 화면 자체)의 터치 ID 버튼을 누르기만 하면 된다.

이 밖에도 트루소나, 아이오베이션 등의 보안기업에 의한 다양한 패스워드리스 인증 방식이 등장하고 있다.