구글이 내년부터 본격적으로 비밀번호 없애기에 나선다. 이 회사는 각종 웹사이트에 직접 ID, 비밀번호를 입력하는 대신 보안성을 높이기 위해 별도 USB장치를 이용하는 방법을 채택할 예정이다.
지난달 30일(현지시간) 포브스 등 외신은 구글이 '유니버셜 세컨드 팩터(U2F)'라는 이중 인증 기술을 내부 임직원들을 대상으로 테스트 한 뒤 내년부터 일반 사용자들에게도 보급할 예정이라고 보도했다.
지난달 발생한 어도비 계정 유출 사고는 약 3천800만개 계정이 유출, 1억5천여 계정이 잠정적으로 피해를 입은 것으로 추산되고 있다. 사용자들은 특히 '123456' 등 누구나 쉽게 알 수 있는 비밀번호를 사용해 피해가 확산됐다.
대부분 사용자들이 하나의 ID, 비밀번호를 사용하는 경우가 많기 때문에 해킹이나 기타 계정정보유출 등으로 피해를 입기 쉽다.
구글은 이러한 문제를 해결하기 위해 별도로 U2F 기술 표준을 적용한 '유비키 네오'라는 USB 동글을 활용했다. 해당 장치를 PC 내 USB포트에 꽂은 뒤 ID와 4자리 숫자로 이뤄진 PIN번호만 입력하면 지정된 어떤 사이트라도 손쉽게 로그인할 수 있게 한 것이다. 비밀번호가 완전히 사라지는 것은 아니나 해당 사이트에 직접 접속할 수 있는 비밀번호가 노출되지 않는다는 점이 보안성을 높인다.
유비키 네오는 구글 보안 전문가 유비코가 만든 것으로 기존 USB처럼 드라이버를 추가로 설치할 필요가 없다. 별도 배터리를 구매할 필요가 없이 작동한다는 점도 특징이다.
해당 장치를 PC 내 USB포트에 꽂으면 보안 인증을 위해 고수준 보안 계층을 추가한다. 사용자가 구글 크롬 브라우저를 통해 지메일, 구글 독스 계정에 접촉할 때 웹브라우저는 유비키 네오와 직접 암호화된 데이터를 주고 받은 뒤 계정 접속을 승인한다. 이 과정에서 사용자들은 ID와 함께 단순히 PIN번호를 입력하기만 하면 된다.
만약 누군가 몰래 다른 사람의 계정에 접속하려고 한다면 ID, PIN번호와 함께 다른 사람이 가진 유비키 네오를 물리적으로 확보해야 하는 어려움이 생긴다.
작동 방식을 보면, 예를 들어 유비키 네오와 구글 크롬 브라우저는 보안성이 유지된 공개 키 암호로 연결된다. 사용자가 로그인할 때 사용자가 만든 비밀번호는 4자리 숫자로 이뤄진 PIN번호만 입력하는 것으로 단순화할 수 있다.
다시 말해 사용자 ID, PIN 번호, 유비키 네오를 함께 갖고 있으면 되는 것이다.
스티나 에렌스바드 유비코 최고경영자(CEO)에 따르면 구글은 아직 U2F 로그인을 공개하지 않았으나 연 초부터 자사 직원들에게 십만개 가량 유비키 네오 기기를 공급해 온 것으로 나타났다.
샘 스리니바스 구글 정보보안 제품 담당 디렉터는 내부 파일럿 프로그램을 운영한 뒤 내년에 공개할 예정이라며 사용하기 쉬운 덕에 내부 직원들로부터 좋은 평가를 받았다고 말했다.
그는 이어 기술 사용에 능숙한 사람들 외에 일반 인터넷 사용자들에게도 U2F 플랫폼은 중요한 보안 강점을 제공한다고 설명했다.
U2F와 관련 스리니바스는 우리는 검증되지 않은 시스템을 처음부터 시작하지 않는다며 지난 몇년 동안 정부, 기업 환경에서 입증된 프로토콜을 구축하고 있는 것이라고 말했다.
U2F가 단지 구글과 유비코 만의 비즈니스는 아니다.
지난 2월 구글은 FIDO 얼라이언스에 합류했다. 이 단체는 인터넷 보안성을 높이이면서도 사용하기 쉬운 오픈소스 보안 솔루션을 만들기 위해 뭉친 표준화 연구 모임이다. 현재 구글, 유비코 외에 페이팔, 마스터카드, 레노버, LG전자, NXP 등이 함께 하고 있다. 이곳은 웹브라우저, 애플리케이션, 하드웨어 기반 인증 기기를 지원하는 공통 프로토콜을 만드는 것을 목표로 한다. 인터넷 쇼핑, 뱅킹, 소셜사이트 등을 이용할 때 데스크톱과 모바일 기기 모두 쉬우면서도 높은 보안성을 유지할 수 있도록 하는 것이다.
U2F가 가진 가장 큰 강점은 여러 웹사이트에 접속할 때에도 보안성에 크게 훼손이 가지 않는 선에서 같은 PIN번호를 사용할 수 있다는 점이다. 유비키 네오라는 물리적인 장치를 사용하기 때문에 가능한 일이다.
만약 유비키 네오를 잃어버렸거나 도난당했을 때를 대비해 별도 백업용을 마련해 놓으면, 분실한 유비키 네오를 정지시키고 재등록하면 된다.
모바일 기기에서 유비키 네오는 근거리무선통신(NFC) 기술을 채택한 스마트폰에서 사용할 수 있다. 에렌스바드는 내년께 아이폰 등 비NFC 기반 기기나 솔루션에서도 해당 기술을 쓸 수 있도록 솔루션을 마련할 계획이라고 말했다.
관련기사
- 2014년 IoT 노린 보안위협 주목해야2013.12.02
- 미래부 산하 연구기관 보안USB 의무사용 위반2013.12.02
- TI, USB·NFC 관련 IoT 제품군 확대2013.12.02
- 일본의 USB 라이터 광고, 유튜브 인기 폭발2013.12.02
U2F 표준은 기본적으로 기기를 꽂고 네 자리 PIN번호만 입력하면 되기 때문에 키보드 입력 정보를 훔쳐가는 키로깅 관련 악성코드가 본래 사이트에 대한 비밀번호를 알아내지 못하도록 한다. 피싱 공격도 차단한다. U2F 프로토콜 구글은 해당 내용에 대한 상세기술내역을 담은 여러 장의 문서를 공개했다.
FIDO 얼라이언스 회원사들은 이밖에도 지문인식이나 기타 고유의 물리적 특성을 활용한 생체인식기기를 활용한 임베디드 칩 형태를 고안하고 있다.