'패스워드 없는 로그인' MS 계정에 써보니

보안 관리 부담 ↓…패스워드 필요 서비스엔 OTP 지원

컴퓨팅입력 :2021/09/20 14:19    수정: 2021/09/20 17:09

인터넷 서비스 이용에 필수 요소인 패스워드가 보안 문제를 야기하는 골칫거리 취급받고 있다. 동일한 패스워드를 여러 곳에서 돌려쓰는 경우가 비일비재해 한 곳에서 정보가 털리면 또다른 해킹 피해를 낳기 쉽기 때문이다.

인터넷 서비스 업체나 정보보호 관련 기관은 패스워드 유출로 인한 해킹 피해를 예방하기 위해 같은 패스워드를 돌려쓰지 말고 유추하기 어렵게 설정하되 주기적으로 변경하라는 보안 권고를 한다. 하지만 수많은 인터넷 사이트를 이용하면서 빈틈없이 적용하기엔 현실적으로 불가능하다는 문제가 따른다.

패스워드 없는 로그인이 이런 문제를 해소할 수단으로 등장했다. 부실한 패스워드 관리에 따르는 보안 위협을 없애면서 동시에 이용자에게는 손쉬운 로그인을 지원한다는 장점을 고루 지녔다. 이 때문에 주요 IT 기기와 서비스를 중심으로 패스워드 없는 로그인 기능이 활발히 보급되고 있다.

이런 대세에 마이크로소프트(MS)도 발을 맞췄다. 지난 16일 MS 계정에 패스워드 없는 로그인 기능을 적용했다. 지난 3월 기업용 서비스에 해당 기능을 적용한 데 이어 범위를 확대했다.

MS 계정은 MS365와 아웃룩, 스카이프, 엣지, 엑스박스 등 MS 서비스에 사용된다. 기기에서 MS 계정으로 로그인하면 앱, 장치, 배경화면 등 기본 설정이 동기화하는 장점이 있다. PC 활동을 추적해 제3자의 로그인 여부 등을 파악할 수도 있다.

패스워드 없는 로그인 기능은 MS 계정 사이트에서 '보안' 메뉴에서 '고급 보안 옵션' 페이지에서 설정할 수 있다. 페이지에 접속하니 패스워드를 마지막으로 변경한 시기가 4년 전이었다는 사실도 알 수 있었다. 보안 권고 사항에 맞춰 패스워드를 관리하기가 어렵다는 걸 새삼 실감했다.

MS 계정 사이트 '고급 보안 옵션' 페이지 중 사용자 증명 수단 관리 현황.

기능 사용에 앞서 스마트폰에 'MS 어센티케이터' 앱을 설치, MS 계정과 연동해야 한다. 앱을 설치한 뒤 QR코드를 스캔하자 바로 계정 로그인이 됐다.

이후 '암호 없는 계정' 기능을 활성화하면 패스워드 없이 계정 로그인을 할 수 있다. 이 때 패스워드를 대체하는 것이 2단계 인증 수단들이다. MS 어센티케이터 앱을 통한 인증이나 이메일 또는 SMS 인증·보안 키·생체인식 기능 '윈도 헬로' 등을 MS 계정 로그인 수단으로 사용할 수 있게 된다.

기존 2단계 인증만 적용했을 때와 비교하면 계정 보안 설계 방식에 차이점이 있다. 2단계 인증은 제3자가 패스워드를 탈취하더라도, 2단계 인증 수단까지 통과해야 계정에 접근할 수 있다. 반면에 패스워드 없는 로그인을 활성화하면 패스워드라는 정보 자체가 사라지게 되는 만큼, 이용자가 패스워드를 안전하게 관리할 필요성이 사라지고, 때문에 패스워드 유출로 인한 2차 해킹 피해 등에 대한 걱정도 덜 수 있다.

2단계 인증을 사용하지 않고, 패스워드 자동 입력 기능을 사용하던 이용자라면 이전보다 로그인 과정이 번거롭다는 생각이 들 수는 있다. 로그인 과정에서 반드시 다른 인증 수단을 거쳐야 하기 때문이다. 그러나 계정 정보가 탈취될 위협을 예방하는 이점을 고려해 2단계 인증 기반 로그인을 채택하는 편이 바람직하다. 패스워드를 다시 사용하고자 할 때는 암호 없는 계정 기능을 끄면 패스워드를 재설정할 수 있다.

관련기사

아웃룩·엑스박스360·윈도 폰 등 타 서비스에 로그인하기 위해 패스워드가 필요한 경우가 있다. 이 때 로그인할 수단으로 '앱 암호' 기능이 지원된다. 로그인에 사용될 일회용 패스워드(OTP)를 생성해준다.

패스워드 없는 로그인 기능 설정을 비롯한 보안 설정은 MS 어센티케이터 앱을 통해 모바일 기기에서도 변경할 수 있다.