구글이 비밀번호 없이 구글 계정에 접속할 수 있도록 해주는 새로운 인증 방법을 테스트 중인 것으로 확인됐다. 비밀번호를 입력하는 대신 스마트폰에 알림 메시지를 보내 서비스에 접속할 수 있게 하는 방식이다.
구글의 이같은 행보는 미국 IT커뮤니티 레딧 사용자에 의해 처음 공개됐고 테크크런치 등 미디어들도 관련 사실을 확인 보도하면서 관심을 끌고 있다.
구글에 앞서 야후도 최근 비밀번호 없이 서비스에 로그인할 수 있는 인증 수단인 어카운트 키를 공개했다. 어카운트 키 역시 비밀번호 입력 대신 휴대폰 알람 메시지로 로그인을 지원하는 방식이다.
거대 인터넷 회사인 구글이 비밀번호 없는 로그인을 공식 제공할 경우 비밀번호 없는 웹서비스 접속 환경도 빠르게 확산될 것으로 보인다.
비밀번호는 그동안 사용자 계정 보안 측면에서 문제로 지적돼왔다. 복잡한 비밀번호를 쓰는 사용자가 많지 않을 뿐더러 하나의 비밀번호로 여러 서비스를 쓰는 이용자들도 많다. 마이크로소프트(MS)에 따르면 기존 ID/비밀번호 방식의 로그인은 공격자들이 비밀번호 혹은 암호화된 비밀번호를 네트워크상에서 가로채는 중간자 공격(MITM), 암호화된 비밀번호가 쉬운 비밀번호를 썼을 경우 이를 유추해 볼 수 있는 무차별대입공격(brute force attack) 등에 노출될 수도 있다.
IBM이 올해 업무용으로 쓰는 100만개 스마트기기를 조사한 결과 약 90% 회사들이 단순한 숫자 비밀번호만 사용하고 있었으며 80%가 4자리 비밀번호인 것으로 나타났다. 이를 풀어내는데 드는 시간은 20여분에 불과하다.
비밀번호 관련 보안 위협을 줄이는 대안으로 주목받고 있는 것이 2개의 인증 방식을 사용해 로그인하는 투팩터 인증이다.
ID/비밀번호 혹은 공인인증서를 통해 인터넷뱅킹 사이트에 로그인 한 뒤에 보안카드 번호를 입력하는 방식이 예다. 그러나 투팩터 인증은 보안성은 좋지만 인증에 추가 단계를 거치기 때문에 사용성 측면에선 마이너스일 수도 있다.
관련기사
- 비밀번호를 사라지게 할 새로운 기술 네 가지2015.12.23
- MS "비밀번호 로그인은 구시대 방식"2015.12.23
- iOS9, 비밀번호 입력 6자리가 주는 의미2015.12.23
- 야후, 복잡한 비번 몰라도 로그인 OK2015.12.23
구글이 테스트하고 있는 비밀번호 없는 인증은 투팩터 인증에 비해 상대적으로 간편한 편이다. 복잡한 비밀번호를 일일이 입력하는 것도 꽤 번거로운 일일 수 있다. 사용자는 구글 계정에 접속할 때 이메일 주소만 치면 된다. 그려면 스마트폰에 다른 기기에서 서비스에 접근할 것인지 묻는 알림 메시지가 뜬다. '예스'를 누르면 로그인이 이뤄진다.
구글 외에 삼성전자 등 다른 거물급 회사들도 비밀번호 없는 디지털 서비스를 제공하기 위해 속도를 내는 모습이다.