구글의 보안 책임자들이 보안위협을 완벽하게 해결하지 못하는 근본적인 이유 중 하나가 비밀번호 체계 자체의 한계 때문이라고 입을 모았다.
16일(현지시간) 씨넷은 구글I/O 컨퍼런스에 참석한 구글 보안 책임자들이 보안성의 한계에 대해 이같이 말했다고 보도했다.
이들이 지적한 보안 문제의 핵심은 비밀번호 체계 그 자체다. 숫자나 문자들로 이뤄진 비밀번호를 각종 공격으로부터 보호하기는 너무 어려워졌기 때문이다.
그나마 이를 안전하게 보호하기 위한 방안으로 구글의 두 보안책임자는 세 가지를 제시했다. 지난 6년간 구글 보안 부문의 리더로 활동해 온 파이겐바움은 이중 인증을 반드시 써야한다며 웹브라우저를 최신 버전으로 유지하고 비밀번호 복구용 옵션을 설정해 놓을 필요가 있다고 조언했다.
이중 인증은 ID와 비밀번호 외에 자신이 소유하고 있는 기기로 부터 추가적인 비밀번호를 입력받아 이를 입력하는 방식이다.
구글에서 일명 '보안공주'라고 불리는 패리사 타브리즈 구글 크롬 보안담당책임자는 두 가지 방안을 더 제시했다. 먼저 크롬에서는 여러 개의 프로필을 설정할 수 있다. 또한 시크릿 모드(Incognito Mode)를 통해 웹서핑 뒤에도 접속기록이 아예 남지 않도록 하고 있다.
타브리즈는 (피싱과 파밍과 같은 공격에 대비해) 자신의 프로필 내용을 별도로 분리해서 관리하도록 하고 있다고 밝혔다.
이들은 데이터베이스(DB) 유출이나 피싱 공격 등으로부터 보호하기 위해서는 기본적으로 비밀번호를 수정해야 한다고 강조했다. 이에 더해 이중 인증에 있어서도 스마트폰을 통해 추가적인 비밀번호를 얻는 방식 외에 웹캠, 마이크로폰 등을 통한 다른 본인의 생체정보를 인증에 활용할 수도 있다고 이들은 설명했다.
그럼에도 불구하고 타브리즈는 비밀번호를 쓰는 것 만으로 안전하다고 보기는 힘들다며 이 체제가 컴퓨터 보안의 핵심은 아니다라고 지적했다.
관련기사
- 구글 크롬 비꼰 MS 내부 영상 유출2013.05.17
- 구글글래스용 앱 페이스북부터 CNN까지2013.05.17
- iOS6.1 비밀번호 잠금장치 보안 취약점 발견2013.05.17
- "뇌파로 은행계좌·비밀번호도 훔치게 될 것"2013.05.17
파이겐바움 역시 일회용 비밀번호(OTP) 시스템도 완벽히 안전한 것은 아니다라고 주장했다. 그는 차라리 사람의 DNA에 기반한 시스템을 개발하는게 나을 것이라고 농담반 진담반 말했다.
비밀번호 체계의 핵심적인 딜레마는 비밀번호가 복잡해지고 이를 추적하기 어렵게 만들수록 사용자들 역시 이를 기억해내기가 어려워진다는 점이다. 또한 비밀번호 체계를 정교하게 가져갈수록 컴퓨터가 이를 추측하는 방법 또한 향상된다. 타브리즈는 불행하게도 인간은 종종 보안에서 가장 약한 연결고리라고 말했다.