2013.01.21

구글, 패스워드 대체 기술 개발중 ··· USB 카드 · 스마트 반지 등 거론

Antone Gonsalves | CSO
구글의 보안팀이 웹사이트 로그인시 사용하는 패스워드를 대체하는 방법을 연구하고 있다. 패스워드만으로 더 이상 사용자를 보호하기에 충분치 않다는 판단이지만 대체 방안을 당장 급격하게 추진하지는 않을 것이라는 전망이다.
 
현재 구글은 패스워드를 대체할 방법으로 다른 기기를 이용한 장비기반 인증을 테스트하고 있다. 구체적으로는 다양한 방안이 논의되고 있는데 소형 유비코(Yubico) 암호 카드가 대표적이다. 이를 USB 리더기에 삽입하면 구글 계정이나 이를 지원하는 웹사이트에 로그인할 수 있다. 이러한 방식은 웹 브라우저가 지원해야 사용할 수 있다.
 
또 다른 아이디어는 스마트폰을 탭하거나 스마트카드가 임베디드된 반지를 이용하는 것이다. 이러한 구상의 자세한 내용은 아직 공개되지 않았으며 상세한 내용이 담긴 연구보고서가 이달 발행되는 과학저널 IEEE 시큐리티&프라이버시 매거진을 통해 발표된다. 이 보고서는 구글의 보안담당 부사장 에릭 그로스와 연구원인 마양 우파드예가 작성했다.
 
구글은 그로스나 우파드예에 대한 인터뷰를 허용하지 않고 있다. 그러나 이메일을 통해 "우리는 보안을 강화하면서 관리는 오히려 더 간편한 인증 방법을 개발하는데 주력하고 있다"며 "이러한 노력들이 로그인 시스템을 더 편리하게 만들어 줄 것"이라고 설명했다. 실제로 웹 메일이나 페이스북, 트위터와 같은 소설 미디어 계정을 해킹해 매일 어마어마한 양의 스팸이 발송되고 있어 패스워드 방식의 보완 필요성을 꾸준히 제기돼 왔다.
 
전문가들은 패스워드 방식이 빈틈없는 보안을 제공하는데 실패한 것은 분명하지만 향후 장비 기반 인증이 활성화된다고 해도 여전히 함께 사용될 것으로 전망한다. 소포스의 보안 어드바이저 채스터 위스니스키는 "휴대폰은 보안이 가장 취약한 영역이지만 두 가지 요소의 동시 인증 관련해서 진전된 것이 거의 없다"며 "사람들에게 새로운 방식이 패스워드를 대체하지 않을 것임을 분명히 해야 간단하게 새로 도입할 수 있다"고 말했다.
 
일반적으로 강력한 인증을 구현하려면 패스워드나 USB 토큰, 지문처럼 각각 사람들이 알고 있거나 소유하고 있고 혹은 사용자의 일부를 이용해야 한다. 사용자들이 이들 세가지 요소를 모두 이용할 것으로 기대하는 것은 비현실적이라는 것이다. 그러나 두가지를 동시에 사용하면 적어도 하나를 이용하는 것보다는 더 보안을 강화할 수 있다. 포레스터 리서치의 애널리스트 이브 말러는 "인증 전략의 측면에서 만약 두가지 이상의 방식을 사용한다면 나쁜 목적을 갖고 이 시스템을 뚫기는 더 힘들어진다"고 말했다.
 
말러에 따르면 여러가지 요소를 사용하는 새로운 방식의 인증은 이미 개발돼 적용되고 있다. 예를 들어 사람들이 페이팔을 통해 물건을 구입할 때 온라인 결제 사이트는 컴퓨터의 IP 주소, 구입 물품과 구입액 등 여러 요소를 동시에 고려한 알고리즘을 통해 결제 인증 여부를 판단하게 된다. 말러는 "그들은 조용히 당신의 행동을 관찰하고 있다"고 말했다.
 
말러는 패스워드 보완하는 것이 상당히 오랜 시간이 걸릴 수 있다고 전망했다. 단 사용자들이 현재 사용하는 것보다 패스워드를 강화해야 하는 것은 명백한 사실이다. 2012년 최악의 웹사이트 패스워드 리스트를 보면 상위 3개가 'password', '123456', '12345678'였기 때문이다.
 
한편 인증과정에서 기기를 사용하는 것은 동시에 이를 잃어버리거나 도난당할 가능성이 있음을 의미한다. 이에 대한 대안 중 하나가 바로 개인을 식별하는 생체인식이다. 가브리엘 컨설팅 그룹의 애널리스트 단 올즈는 "특정 기기를 오직 당신만 사용할 수 있음을 보장하는 매커니즘이 필요하다"고 말했다.
 
구글이 이러한 구상들을 얼마나 폭넓게 적용할 지는 아직 미지수다. 그러나 패스워드 문제를 인식하고 이를 풀기 위해 노력하는 것은 올바른 방향인 것으로 보인다. 앤서클의 보안 담당 이사 앤드류 스톰은 "이제 패스워드를 대체하는 방안에 대해 심각하게 고려해야 할 시기"라며 "구글의 새로운 시도에 대한 뉴스는 다른 업체들이 그 움직임에 관심을 갖고 대열에 합류하도록 하는데 큰 영향을 미칠 것"이라고 말했다. editor@idg.co.kr



2013.01.21

구글, 패스워드 대체 기술 개발중 ··· USB 카드 · 스마트 반지 등 거론

Antone Gonsalves | CSO
구글의 보안팀이 웹사이트 로그인시 사용하는 패스워드를 대체하는 방법을 연구하고 있다. 패스워드만으로 더 이상 사용자를 보호하기에 충분치 않다는 판단이지만 대체 방안을 당장 급격하게 추진하지는 않을 것이라는 전망이다.
 
현재 구글은 패스워드를 대체할 방법으로 다른 기기를 이용한 장비기반 인증을 테스트하고 있다. 구체적으로는 다양한 방안이 논의되고 있는데 소형 유비코(Yubico) 암호 카드가 대표적이다. 이를 USB 리더기에 삽입하면 구글 계정이나 이를 지원하는 웹사이트에 로그인할 수 있다. 이러한 방식은 웹 브라우저가 지원해야 사용할 수 있다.
 
또 다른 아이디어는 스마트폰을 탭하거나 스마트카드가 임베디드된 반지를 이용하는 것이다. 이러한 구상의 자세한 내용은 아직 공개되지 않았으며 상세한 내용이 담긴 연구보고서가 이달 발행되는 과학저널 IEEE 시큐리티&프라이버시 매거진을 통해 발표된다. 이 보고서는 구글의 보안담당 부사장 에릭 그로스와 연구원인 마양 우파드예가 작성했다.
 
구글은 그로스나 우파드예에 대한 인터뷰를 허용하지 않고 있다. 그러나 이메일을 통해 "우리는 보안을 강화하면서 관리는 오히려 더 간편한 인증 방법을 개발하는데 주력하고 있다"며 "이러한 노력들이 로그인 시스템을 더 편리하게 만들어 줄 것"이라고 설명했다. 실제로 웹 메일이나 페이스북, 트위터와 같은 소설 미디어 계정을 해킹해 매일 어마어마한 양의 스팸이 발송되고 있어 패스워드 방식의 보완 필요성을 꾸준히 제기돼 왔다.
 
전문가들은 패스워드 방식이 빈틈없는 보안을 제공하는데 실패한 것은 분명하지만 향후 장비 기반 인증이 활성화된다고 해도 여전히 함께 사용될 것으로 전망한다. 소포스의 보안 어드바이저 채스터 위스니스키는 "휴대폰은 보안이 가장 취약한 영역이지만 두 가지 요소의 동시 인증 관련해서 진전된 것이 거의 없다"며 "사람들에게 새로운 방식이 패스워드를 대체하지 않을 것임을 분명히 해야 간단하게 새로 도입할 수 있다"고 말했다.
 
일반적으로 강력한 인증을 구현하려면 패스워드나 USB 토큰, 지문처럼 각각 사람들이 알고 있거나 소유하고 있고 혹은 사용자의 일부를 이용해야 한다. 사용자들이 이들 세가지 요소를 모두 이용할 것으로 기대하는 것은 비현실적이라는 것이다. 그러나 두가지를 동시에 사용하면 적어도 하나를 이용하는 것보다는 더 보안을 강화할 수 있다. 포레스터 리서치의 애널리스트 이브 말러는 "인증 전략의 측면에서 만약 두가지 이상의 방식을 사용한다면 나쁜 목적을 갖고 이 시스템을 뚫기는 더 힘들어진다"고 말했다.
 
말러에 따르면 여러가지 요소를 사용하는 새로운 방식의 인증은 이미 개발돼 적용되고 있다. 예를 들어 사람들이 페이팔을 통해 물건을 구입할 때 온라인 결제 사이트는 컴퓨터의 IP 주소, 구입 물품과 구입액 등 여러 요소를 동시에 고려한 알고리즘을 통해 결제 인증 여부를 판단하게 된다. 말러는 "그들은 조용히 당신의 행동을 관찰하고 있다"고 말했다.
 
말러는 패스워드 보완하는 것이 상당히 오랜 시간이 걸릴 수 있다고 전망했다. 단 사용자들이 현재 사용하는 것보다 패스워드를 강화해야 하는 것은 명백한 사실이다. 2012년 최악의 웹사이트 패스워드 리스트를 보면 상위 3개가 'password', '123456', '12345678'였기 때문이다.
 
한편 인증과정에서 기기를 사용하는 것은 동시에 이를 잃어버리거나 도난당할 가능성이 있음을 의미한다. 이에 대한 대안 중 하나가 바로 개인을 식별하는 생체인식이다. 가브리엘 컨설팅 그룹의 애널리스트 단 올즈는 "특정 기기를 오직 당신만 사용할 수 있음을 보장하는 매커니즘이 필요하다"고 말했다.
 
구글이 이러한 구상들을 얼마나 폭넓게 적용할 지는 아직 미지수다. 그러나 패스워드 문제를 인식하고 이를 풀기 위해 노력하는 것은 올바른 방향인 것으로 보인다. 앤서클의 보안 담당 이사 앤드류 스톰은 "이제 패스워드를 대체하는 방안에 대해 심각하게 고려해야 할 시기"라며 "구글의 새로운 시도에 대한 뉴스는 다른 업체들이 그 움직임에 관심을 갖고 대열에 합류하도록 하는데 큰 영향을 미칠 것"이라고 말했다. editor@idg.co.kr

X