'새로운 인증'의 시대
안녕하세요. OO입니다. 반갑습니다.
응? 누구시죠? 누구길래 나에게 접근하는 건가요.
나야 나를 잘 알지만 타인은 내가 누구고 어떤 일을 하는지 전혀 알 길이 없다. 상대가 컴퓨터라면 더 그렇다. 주민등록번호라는 훌륭한 넘버제도가 있지만 이 13자리 번호는 공공재가 된지 오래다. 전화번호 또한 마음만 먹으면 구하는 시대가 됐다. 바꿔 말하면 민증과 전화번호만으로는 내 신분을 제대로 증명하기가 쉽지 않다. (이미 편의점 담배코너 앞 수많은 시도를 보지 않았는가!)
개인정보가 널리 흩뿌려진 세상. 그래서 인증은 더 중요한 시대가 됐다. 도용한 신분은 아닌지, 탈취된 아이디와 패스워드가 아닌지 면밀히 알아봐야 한다. 대면하지 않는 IT 세상. 이중 삼중으로 인증의 벽을 쌓아야 한다. 조금 귀찮더라도 말이다.
흔히 보안하면 세콤이나 캡스 같은 물리보안을 생각하기 마련이다. IT업자(?)들이 말하는 보안은 조금 다르다. 개인정보를 암호화해 저장한다거나 해킹을 위한 악성코드를 걸러내는 등의 보이지 않는 방패들이 컴퓨터 안에서 돌아간다.
소 잃고도 외양간이야 고칠 수 있지만 소도둑이 못 들어오는 게 우선 아니겠나. 그래서 최근 몇년간 새로운 '인증' 체계가 IT 업계에 새로 소개됐다. 이미 뿌리내린 것도 있고 낯선 것도 있다. 형태는 달라도 "최대한 간편하면서도 최대의 보안 효과를 누리는 데 초점을 맞춘다"는 목표는 같다.
당신의 섬섬옥수가 열쇠
생체인증은 스마트폰에 널리 쓰이며 벌써 익숙한 체계가 됐다. 스마트폰 액정에 지문을 찍거나 얼굴을 카메라에 대는 것을 생각하면 된다. 지문을 잃어버릴 일도 없고 사람의 얼굴은 다 가지각색이다. 도용의 위험이 적다는 뜻이다.
얼굴인증의 경우 사진 도용에 대한 우려가 있긴 하다. 이는 발전하는 컴퓨터 비전 기술이 보완하고 있다. 지문이나 얼굴 외에 홍채, 정맥과 같은 요소도 생체인증의 수단으로 활용된다. 간편 생체인증(FIDO·Fast IDentity Online)이라 불리는 이 기술은 간단해 보이지만 뒷단에 여러 프로세스가 있다.
지문을 예로 들자. 지문 자체는 열쇠 역할을 한다. 지켜야 할 개인 정보는 서버라는 금고 안에 담긴다. IT 시스템은 사용자를 등록할 때 디지털 서명문이라는 것을 만드는데 이 서명문에 싸인 역할을 하는 게 바로 지문이다.
서버에는 사용자 정보로 구성한 개인키를 넣어두고 이를 불러올 때, 즉 진짜 그 사람이 맞는지 확인할 때 지문이라는 생체정보를 쓴다. 개인키가 진짜라는 지문 도장을 찍으면 서버의 키와 맞춰보고 로그인을 허용한다.
애플이나 삼성 스마트폰에는 이미 적용된지 오래고 PC에도 보급되기 시작했다. 윈도우는 최근 안면인식 로그인 기능을 제공하기 시작했다. 컴퓨터를 키고 그대로 있으면 얼굴을 인식해 로그인해준다.
불안하면 두 번 세 번 확인하고 싶다. 다중요소인증(MFC·Multi Factor Authentication)은 물리적인 절차를 여러번 넣어 보안을 지키는 모델이다. 조금 번거로워도 사용자의 여러 인증 요소를 섞어 신분 도용을 막는다.
들어간 어떤 앱이나 웹페이지에서 내 ID와 패스워드를 적어 넣었을 때 2단계 인증 알림을 본 적이 있을테다. 2개 이상 복수의 인증 요소를 결합하는 방식을 의미한다.
사용자의 ID와 패스워드에 더해 생체인증을 한 번 더 거치거나 문자메시지로 오는 일회용 패스워드(OTP ·One-Time Password), 보안카드 등 사용자가 소유한 인증 요소를 추가로 확인하는 과정이다. 패스워드와 ID가 유출되더라도 무단 로그인을 막아 더 강화한 보안 체계를 갖출 수 있다.
그래도 뚫린다
특히 AI는 입력하는 내용이 새어나가면 개인정보 유출로 직결될 수 있다. 연애편지 쓰는 법을 물었다가 내 순애보가 다른사람 질문의 답변으로 샐 수 있는 구조다.
최근 뉴욕타임즈는 챗GPT를 만든 오픈AI의 내부 메시지 시스템이 해킹당했다고 보도했다. 직원들이 소통하는 대화방이 털린 모양인데 ID 인증 체계에 문제가 있었따는 이야기다. 다행히 AI 모델까지는 접근하지 못한 모양이지만 세계의 이목이 쏠린 회사를 털었다니... 해커가 대단한걸까 오픈AI가 나이브한 걸까.
꼭 복잡한 인증 체계까지 공부할 필요는 없을지도 모른다. 사실 이글은 화장실에서 손을 닦다가 생각났다. 패스워드를 한 번 더 체크하고 바꾸거나 정리해보길 바라는 마음에 글로 옮겼다.
