MS "비밀번호 로그인은 구시대 방식"

윈도10에 PIN 기반 인증 도입 강조

컴퓨팅입력 :2015/09/16 16:59    수정: 2015/09/16 17:35

손경호 기자

최근 인기 온라인 커뮤니티 뽐뿌가 해킹당하면서 회원들의 암호화된비밀번호를 포함해 190만여명의 회원정보가 유출됐다. 일반적으로 암호화한 비밀번호는 안전하지 않냐고 반문할 수도 있지만 이 역시 최신 암호화 알고리즘을 쓰지 않았거나 '1234' 등과 같이 쉬운 비밀번호를 썼을 경우 손쉽게 유추해 볼 수 있는 공격기법이 이미 널리 알려진 상황이다.

마이크로소프트도 새로 출시한 운영체제(OS)인 윈도10에서 일반적인 비밀 번호 입력 방식과 결별했다는 점을 강조한다. 16일 한국 마이크로소프트 사옥에서 개최된 미디어데이에서 기자간담회에서 이 회사 에반젤리스트를 맡고 있는 백승주 부장은 "암호(일반 비밀번호 입력)는 구시대 방식"이라며 "윈도10에서는 네트워크 상에 비밀번호 혹은 암호화된 비밀번호가 아예 돌아다니지 않도록 하는 방법을 써서 보안성을 높였다"고 말했다.

윈도10부터 새롭게 적용되는 보안기술. 기본적으로 업계에서 검증된 표준보안기술을 기반으로 하고 있다는 점이 특징이다.

기존 ID/비밀번호 방식의 로그인은 공격자들이 비밀번호 혹은 암호화된 비밀번호를 네트워크상에서 가로채는 중간자 공격(MITM), 암호화된 비밀번호가 쉬운 비밀번호를 썼을 경우 이를 유추해 볼 수 있는 무차별대입공격(brute force attack) 등에 노출될 수 있다. 일회용비밀번호(OTP)나 휴대폰을 통한 추가인증을 필요로 하는 이유가 여기에 있다.

백 부장에 따르면 무차별대입공격의 경우 과거 컴퓨팅파워로는 50년이 걸려야 알아낼 수 있는 비밀번호를 현재는 5분이면 알아낼 수 있을 정도로 컴퓨팅파워가 좋아졌다. 무차별대입공격은 말 그대로 숫자나 영어, 특수기호 등을 조합한 임의의 번호를 일일이 대입해보는 방법으로 비밀번호를 알아내는 공격기법이다. 암호화된 비밀번호의 경우 해시값 형태로 표시되지만 이 역시 보안성이 높지 않는 과거 방식의 암호화 알고리즘을 쓸 경우 쉽게 유추할 수 있다는 점에서 문제가 된다.

윈도10 버전별로 제공되는 보안기능

윈도10에서는 이러한 문제를 해결하기 위해 이전까지 윈도에 로그인하기 위해 사용됐던 비밀번호 대신 PIN을 입력하도록 요청한다. 일반적으로 PIN도 일종의 비밀번호라고 생각할 수 있다. 그러나 마이크로소프트는 PIN과 공개키기반구조(PKI) 인증서 체계를 조합하는 방법으로 PC나 노트북이 네트워크에서 비밀번호를 직접 웹서버 등과 주고받게 하는 대신 클라이언트-서버만 신뢰할 수 있는 키값을 주고 받는 방법을 적용했다.

다시 말하면 사용자가 PIN을 생성하면 윈도에서는 이를 기반으로 공개키와 개인키를 생성한다. 공개키는 마이크로소프트 서비스에 등록되고, 개인키는 기기 내에 TPM이라고 불리는 하드웨어 기반 저장소에 안전하게 저장.된다.

이후 윈도10에 로그인시 사용자ID와 암호가 일치하는지 여부를 검증하는 대신 PIN등록에 사용한 키값과 마이크로소프트 패스포트에 로그인을 시도할 때 마다 새롭게 변경되는 임의값(Nonce)을 통해 인증을 처리한다.

이러한 방식은 이미 마이크로소프트, 인텔, 삼성전자 등이 참여하고 있는 FIDO얼라이언스에서 'FIDO2.0'이라는 표준으로 제시한 바 있다.PIN은 일반적으로 PC나 노트북에서 4자리 숫자를 입력하는 대신 얼굴인식과 같은 생체정보를 활용할 수도 있다. 이런 방식을 적용한 것이 '윈도헬로'라고 하는 얼굴인식기반 로그인 기술이다.

이러한 기반 위에 윈도10의 기업용, 교육용 버전에서만 제공되는 '엔터프라이즈데이터프로텍션(EDP)' 기능도 주목할만 하다.

EDP는 기업 IT 관리자가 임직원들이 사내에서 사용하는 PC, 노트북에 대해 접근제어, 보안정책을 일괄적용할 수 있게 하는 기술이다. 기본적으로 윈도10 내에서 업무용 앱과 데이터를 보안이 유지되는 관리영역에, 개인용 앱과 데이터는 비관리 영역에서 활용할 수 있도록 한다.

예를들어 마이크로소프트 워드를 기업 IT 관리자가 업무용으로 설정하면, 사내 네트워크에서 이를 통해 생성한 문서파일은 정책에 따라 자동으로 암호화되도록 설정할 수 있다는 것이다. 만약 외부로 파일이 유출된다고 하더라도 이에 대한 암호화된 형태로 나가기 때문에 내용을 확인하기 어렵고, 페이스북과 같은 개인용 앱이나 USB드라이브와 같은 외부저장매체를 통해 해당 내용을 유출시켰을 경우 이에 대한 로그기록이 남아 IT 관리자가 추가적인 조치를 취할 수 있게 된다.

관련기사

이에 더해 윈도10 기업용 버전에서만 추가로 제공되는 디바이스 가드는 윈도10 부팅 단계에서부터 커널영역 등에 위변조 여부를 확인하는 보안부팅, 실행되는 앱에 대한 무결성을 검증하는 과정 등을 거친다. 쉽게 말하면 윈도10에 부팅에 사용되는 기본 시스템 파일 외에는 작동할 수 없게 하고, 모든 프로그램의 실행을 원천적으로 차단하는 대신 기업 내 혹은 PC제조사가 허가한 프로그램만 실행시키도록 하는 기술이다. 이렇게 하면 악성앱이나 커널단에서 실행되는 악성코드를 원천적으로 차단할 수 있는 효과를 낼 수 있다.

백 부장은 "윈도10에서 기본적으로 독자적인 보안기술을 썼다기 보다는 업계에서 이미 검증된 표준기술을 활용하고 있어 안전성을 보장할 수 있다"고 강조했다.