구글, 피싱에 맞서 FIDO 보안 키 직접 판다

1년전 도입한 직원 계정 보호 기술, '타이탄 시큐리티 키'로 제품화

컴퓨팅입력 :2018/07/27 17:56

구글이 1년 전 직원 계정 보호 수단으로 도입한 FIDO 표준 기반 하드웨어(실물) 보안 키를 '타이탄 시큐리티 키(Titan Security Key)'라는 이름의 일반 이용자 대상으로 제품화했다.

구글은 이 제품을 우선 자사 클라우드 서비스 이용자 대상으로 제공할 것으로 보이지만, 조만간 '구글 스토어'를 통해 자기 계정을 보호하려는 타사 서비스 이용자에게도 판매할 계획을 내놨다. 실물 보안 키 확산에 성공할지 주목된다.

타이탄 시큐리티 키는 생체정보인증기술 표준화 컨소시엄 '패스트아이덴티티온라인(FIDO) 얼라이언스'의 유니버설세컨드팩터(U2F) 표준을 지원하는 실물 보안 키다.

보안 키는 온라인 서비스 이용자의 계정을 보호하는 수단이다. 서비스에 로그인할 때 이중요소인증(2FA) 또는 2단계 인증 과정에서 패스워드와 함께 쓰인다. 패스워드를 훔쳤으나 보안 키를 소지하지 않은 범죄자의 계정 탈취 공격을 막아 준다.

구글은 타이탄 시큐리티 키를 내놓기 전에 사내 업무시스템에 접속하는 직원들의 계정 보호 수단으로 도입해 그 효과를 검증했다. 이전엔 일회용코드를 생성해 주는 모바일앱 '구글 오센티케이터(Google Authenticator)'가 쓰였다. 구글 직원들에게 1년전 FIDO U2F 표준 실물 보안 키가 보급됐다. 구글은 이걸 활용한 지난 1년 동안 직원 8만5천명 가운데 누구도 업무 계정 탈취 공격에 당하지 않았다고 최근 밝혔다.

구글 자체 브랜드로 출시되는 실물 보안 키 제품 '타이탄 시큐리티 키' USB 버전. [사진=씨넷]

■ 고급 보호 프로그램, 실물 보안 키 일반인 보급 시동

지난 25일 미국 씨넷에 따르면 구글은 지난해 하반기부터 일반 이용자들에게도 이런 실물 보안 키 보급을 해왔다. 2017년 10월 시작한 '고급 보호 프로그램(Advanced Protection Program)'이라는 보안 강화 캠페인 얘기다. 그 소개 페이지는 "고급 보호 프로그램은 기자, 비즈니스 리더, 정치 캠페인 팀과 같이 표적 공격을 당할 위험성이 가장 높은 사용자의 개인 구글 계정을 안전하게 보호한다"고 안내하고 있다.

타이탄 시큐리티 키로 온라인서비스 계정을 보호하려는 이용자는 계정의 2단계 인증 기능을 켜고, 이후 로그인할 때 이 장치를 윈도와 맥OS 컴퓨터에 연결하면 된다. 연결하는 방식은 USB와 블루투스, 2가지다. 구글은 2가지 인터페이스를 각각 지원하는 2가지 타이탄 시큐리티 키 제품을 묶어서 또는 낱개로 판매할 계획이다. 구글은 이르면 3분기 구글스토어를 통해 타이탄 시큐리티 키를 판매할 예정이다.

미국 씨넷은 타이탄 시큐리티 키의 실물을 분석한 결과 "기능적으로 구글이 과거 추천해 온 유비코(YubiCo)의 '유비키'처럼, 이미 시중에 나와 있는 보안 키 제품과 동일하게 작동할 것"이라고 설명했다. 구글의 자체 보안 키 제조를 맡은 파트너 업체가 어딘지는 공개되지 않았다. 구글은 타사 제품과 경쟁하려는 게 아니라, 저조한 인터넷 이용자의 실물 보안 키 활용률을 높이고 그 선택지를 넓히려 한다는 입장이다.

■ "타이탄 시큐리티 키, 더 안전하고 편리하다"

현재 타이탄 키같은 실물 보안 키는 대중성이 떨어진다. 일단 구글같은 대형 업체 외엔 지원되는 웹사이트가 별로 없다. 구글 이용자들조차 많이 안 쓴다. 지난 1월 한 구글 엔지니어는 G메일 계정을 2FA 기능으로 보호하고 있는 이용자가 10%도 안 된다고 밝혔다. 이용자들이 2FA를 쓰더라도, 별도 구입해야 하는 실물 보안 키보다는 패스워드와 함께 휴대전화 문자로 받은 PIN 번호를 입력하는 방식이 일반적이다.

구글이 공개한 2단계 인증용 하드웨어 장치, 타이탄 보안키. (사진=씨넷)

사람들이 실물 보안 키에 관심을 덜 갖는 이유는 뭘까. 패스워드가 계정을 보호하기에 충분하다고 여겨서일 수 있다. 또는 이미 휴대전화를 통해 2FA 기능을 쓰고 있기 때문에 굳이 그 수단을 실물 보안 키로 바꿀 이유를 느끼지 못해서일 수 있다. 하지만 휴대전화로 PIN 번호를 전달하는 방식은 이용자를 공격자의 가짜 사이트에 방문해 로그인하게 만드는 피싱 공격에 여전히 취약하다고 구글 담당자들은 지적한다.

구글의 셰인 헌틀리 위협분석그룹 디렉터는 지난 22일 트위터 메시지를 통해 "공격 순서: 1. 이용자가 공격자 사이트에 패스워드를 입력함 2. 공격자가 즉각 로그인하고 SMS 코드가 이용자에게 전송됨 3. 공격자가 코드 요청을 접하고 이용자에게 코드를 요구하는 페이지를 반환 3. 이용자가 코드를 입력 5. 공격자의 승리"라고 썼다. 그는 이런 시나리오에 당하지 않으려면 실물 보안 키를 쓰라고 권고했다.

구글의 샘 스리니바스 정보보안 부문 제품관리 디렉터는 실물 보안 키의 편리함도 강조했다. 타이탄 키는 SMS처럼 통신망 사정에 의존하지 않아도 되고, USB 버전은 전원이 필요 없다. 블루투스 버전은 1번 충전으로 6개월까지 쓸 수 있다. 그는 또 "가장 중요한 점은 모든 사람들이 보안 키를 써야 한다는 것"이라며 "타이탄 키는 특히 보안 키를 원하면서 구글을 신뢰하는 고객을 위한 제품"이라고 덧붙였다.

■ 클라우드 서버 보안칩에 이어 클라이언트 계정 보안 장치 브랜드로 확장

IT미디어 더버지 보도에 따르면 구글은 자신들의 서비스에서 실물 보안 키와 다른 FIDO 표준 기반 인증 기술을 2014년부터 지원했다. 관련 보안 표준을 따르는 여러 서드파티 솔루션 업체들의 제품을 활용해 더 안전한 로그인을 할 수 있게 해왔다. 작년 직원용 내부 시스템 로그인에 관련 기술을 도입하고 고급보호프로그램이라는 일반 이용자 대상 추가 보안 기능을 제공하면서 이제 직접 보안 키 보급에 나섰다.

구글 클라우드 서버용 보안칩 타이탄은 구글 클라우드 서버에 탑재된 펌웨어가 조작되지 않고 안전한지 여부를 확인해 준다.

구글은 타이탄 키를 널리 보급하고 싶어하는 눈치다. 일단 USB 및 블루투스 버전 각각을 20~25달러에, 또는 묶어서 50달러에 팔 계획인데, 수요가 충분하면 훨씬 저렴하게 공급할 거라고 암시한다. 구글의 크리스티안 브랜드 인증 및 보안 제품 매니저는 "이 기기를 구매할 여유가 없는 고객들에게 이걸 보급할 수 없다는 점은 달갑지 않다"며 "때가 되면 이 보안 키(가격)가 10달러 이내 범위에 들 것"이라고 말했다.

관련기사

구글은 '타이탄'을 보안기술 간판 브랜드로 만들려는 분위기다. 구글은 이전에도 자체 보안 기술에 '타이탄'이라는 명칭을 썼다. 지난해 3월 클라우드 넥스트 2017 컨퍼런스에서 공개한 서버용 보안 칩의 이름도 타이탄이었다. 그해 8월말 서버용 타이탄 칩의 작동 원리가 공개됐다. 칩마다 고유 키 값을 부여하고, 이를 탑재한 구글 클라우드 서버의 펌웨어 조작 여부를 확인하는 역할을 한다는 내용이었다.

타이탄 시큐리티 키는 구글이 이번주 치른 클라우드 넥스트 2018 컨퍼런스에서 등장했다. 같은 연례 행사를 통해 같은 이름으로 소개된만큼, 먼젓번 서버용 보안 칩과 기술적 관련성이 있거나 연계된 기능을 수행할 듯한 인상을 준다. 하지만 씨넷에 따르면 각 칩은 '다른 구성'을 사용할 예정이다. 또 미국 IT정보사이트 디지털트렌드는 타이탄 시큐리티 키에 서버용 칩과 뭔가 맞물리는 부분은 없다고 지적했다.