시장동향 이야기
생체인식 기술의 발전으로 스스로를 증명, 인증하는 수단이 빠르게 변화하고 있다. 최신 스마트폰들에는 지문인식 기술이 탑재되어 있고, 홍채인식 기술을 활용한 금융 서비스가 시작되는 등 차세대 인증수단으로 생체인식 기술이 주목받고 있는 상황이다. 하지만 아직까지 웹, 모바일 서비스를 이용하기 위해 가장 많이 사용하고 있는 인증 수단은 '사용자 계정(ID/PW)'이라고 할 수 있다. 그러나 가장 많은 비중을 차지하고 있음에도 불구하고 사용자 계정에 대한 관리는 좀처럼 나아지지 못하고 있는 것이 현실이다.
그 이유는 사용자 계정에 대한 중요성을 인식하지 못하고 있기 때문이라고 생각된다. 실제로 주요 보안 사고를 통해 유출된 정보에는 사용자 계정부터 사용자 정보(이름, 주소, 연락처 등), 이메일, 금융정보(계좌, 카드 등), 신원정보(주민등록번호와 같은 고유 식별번호 등)까지 다양한 정보들이 포함되어 있다. 대다수의 사람들은 유출 사고가 발생할 경우 신원정보나 금융정보의 피해에 특히 민감하게 생각한다. 사용자 계정은 정보 유출 시점에도 그 이후에도 특별한 관심이나 대응이 부족하다고 할 수 있다.
하지만, 사용자 계정은 무엇보다 보안에 있어 중요한 의미를 가지고 있다.
첫 번째는 사용자 계정은 사용자가 조치할 수 있는 보안이라는 점이다. 함께 유출된 신원정보 및 금융정보 등의 민감정보는 사용자가 유출 피해를 당했음에도 불구하고 추가적인 조치가 어려운 정보라고 할 수 있다. 그 이유는 아직까지 정보유출 피해를 경험했더라도 고정된 신원정보(주민등록번호)를 개인이 변경할 수 없기 때문이다. 물론 이 부분은 내년 5월 시행 예정인 주민등록번호 변경 제도로 보완될 수 있다. 하지만 변경을 위해서 얼마나 많은 조건이 요구될지는 아직까지 미정이기 때문에 실효성 부분에서는 조금 더 지켜볼 필요가 있다. 조건이 복잡할 경우 실질적인 주민등록번호 변경 신청은 많지 않을 수 있기 때문이다.
반면 사용자 계정 정보(PW)는 언제든지 쉽게 변경이 가능한 정보이다. 사용자가 결정한 비밀번호의 복잡도에 따라 보안 수준 역시 상이하다고 할 수 있다. 다시 말하면 사용자가 보안 수준까지 조절할 수 있다는 것이다. 그럼에도 불구하고 비밀번호에 대한 보안 수준은 높지 않다고 말할 수 있다. 실제로 개인정보 유출 조사 전문기업인 리크트소스의 발표에 따르면 트위터 이용자 3,289만 명 중 가장 많이 쓰는 비밀번호는 '123456'으로 약 12만 417명이 이용하고 있다고 한다. 또 다른 자료에 따르면 2015년 소셜 네트워크 서비스와 인터넷뱅킹 이용자들에게 가장 인기 있는 비밀번호는 '1234567890'으로 나타났을 만큼 비밀번호의 보안성에 대해서 여전히 인식이 부족한 것을 볼 수 있다. (출처 : 스플래시데이터)
위와 같은 비밀번호 설정은 스스로 자신의 정보를 포기하는 것과 다를 게 없다.
두 번째는 사용자 계정은 단순히 하나의 웹 서비스나 모바일 서비스에만 이용되고 있지 않다는 것이다. 대다수의 사용자들은 동일한 ID와 PW로 수많은 웹, 모바일 서비스를 가입하고 이용하고 있다. 이는 너무나 많은 서비스로 인하여 각각의 계정으로 이용하기에는 제약(모든 계정 정보를 기억하거나 별도로 기록해둬야 하는 번거로움이 존재)이 있기 때문이다. 실제로 와이즈앱이 조사한 안드로이드 스마트폰 사용 조사에 따르면 1인당 한 달 평균 사용하는 모바일 앱은 약 45개로 나타난 만큼, 모바일 하나만으로도 수많은 계정이 요구되고 있기 때문에 동일한 계정 정보(ID/PW, SNS, 이메일 등)를 이용하는 것은 빠른 서비스 이용에서도 불가피하다고 할 수 있다.
하지만, 동일한 사용자 계정의 이용은 현재와 그리고 미래에 대한 보안 위협으로 확대될 수 있는 요인이기도 하다. 실제로 보안 사고가 발생하면 기업은 서비스 이용자들에게 비밀번호 변경 안내를 고지하지만, 비밀번호 변경을 하지 않는 사용자들도 상당수 존재한다고 한다. 그 이유는 보안에 대한 무관심도 있지만, 현재 해당 서비스를 이용하지 않고 있다면 해당 내용에 대해서 인지하기 어렵기 때문이다. 몇 해 전에 개인정보 유출을 경험한 Dropbox의 경우도 그렇다. 개인정보 유출은 2012년에 발생하였지만 실제 개인정보 유출을 인지하고 사용자들에게 고지한 것은 최근이었다. 그렇다면 그 기간 동안 동일 계정으로 이용하고 있던 다양한 웹, 모바일 서비스들의 정보는 과연 안전할까? 그렇지 않을 것이다.
결국 사용자 계정의 유출은 다른 여타 이용 서비스에 대한 보안 위협까지 의미한다고 할 수 있다.
이제 보안 위협은 특정 시점의 사건이 아닌 지속적으로 이어질 수 있는 위협이라는 것을 인지해야 한다. 또한 지속적으로 보안 위협이 이어지는 데 있어 가장 중요한 게이트 역할을 하는 것이 사용자 계정이라는 것도 이해할 필요가 있다. 앞으로 더욱더 많은 서비스들을 이용하기 위해서라도 연결된 세상에서 나를 증명할 수 있는 사용자 계정에 대한 보안은 지금부터 시작해야 할 것이다.