비밀번호가 없는 사무실을 계획하라

이 글은 개인 공부 목적으로 번역할 글로 오역이 있을 수 있습니다. 원글은 여기에서 확인해주세요.

비밀번호는 문제가 많다. 기억하기 어렵고, 도난당하기 쉬운 데다가, 어둠의 세상에 이미 공개되었으며, 그 수가 너무 많다. 비밀번호 관리 기업 LastPass의 연구에 따르면, 직원들이 기억해야 할 패스워드의 평균 개수는 191이라고 한다. 어느 누구도 그렇게 많은 패스워드를 기억할 수는 없다.

90일마다 비밀번호를 바꾸는 것은 더 이상 도움이 되지 않는다. 왜냐면, 이는 해커들이 공격할 때 사용할 오래된 비밀번호에 대한 새로운 공급처가 된다. 아무리 바꾸라고 해도 대부분의 사람들은 같은 비밀번호를 재사용하거나 패스워드의 일부만 약간 바꿔서 사용하는 게 현실이기 때문이다. 더 나쁜 건 책상 근처 어딘가에 적어 놓는 것이다. 일례로 미국 법무부 직원이 정부가 제공한 노트북 바닥에 그의 모든 로그인 정보와 비밀번호를 붙여둔 채 워싱턴 DC의 보안검색대를 통과하는 것이 목격된 적이 있다. Dan DeMichele, 보안 접근 서비스 제공사 LogMeln의 제품 관리 부사장은 이렇게 말한다.

비밀번호는 컴퓨터가 발명된 이후 계속 있어왔다. 

불행하게도, 직원들이 점점 더 많은 새로운 클라우드 서비스,  온라인 서비스 그리고  웹서비스에 접속할 필요가 있다는 걸 알게 됨에 따라 상황은 점점 더 나빠진다. 이것은 사용자의 이름으로 이메일 주소를 사용하는 트렌드로 인해 더 악화된다. 이메일 주소를 사용한다는 것은 보안 로그인 정보의 일부분이 공개되고 오로지 비밀번호만 유일한 방어선으로 남겨진다는 것을 의미한다.  Dan DeMichele 이렇게 말한다. 

우리가 최종 사용자에게 비밀번호가 필요 없는 경험을 만들더라도 비밀번호는 사라지지 않을 겁니다.

DeMichele는 위반사항의 80%는 비밀번호 도난의 결과이며, 일반적으로 비밀번호 도난은 사회 공학 또는 피싱 공격의 결과라고 한다. 다른 공격은 성공할 때까지 컴퓨터를 이용해서 비밀번호를 예상해서 지속적으로 시도하는 무차별 무력 공격이다. 사용자가 패스워드를 재사용하거나, 약간의 변경만 해서 사용하는 경우 이런 공격에 더 취약하다.

더 적은 비밀번호 기억하기

이런 동일하거나 비슷한 비밀번호에 대한 하나의 해결방법은 오직 하나 또는 몇 개만 가지는 것이다. DeMichele는  Single sign-on 접근방법으로 전환할 것을 제안한다. 이 방법은 각 사용자의 인증을 소프트웨어 단계에서 관리하며, 보안 인증(handshakes)이나 길고 복잡해서 사용자가 절대 볼 수 없는 비밀번호를 사용하여 접속 지점 또는 다른 애플리케이션에 인증 처리한다.

Single sign-on을 좀 더 보안성을 강화하면서도 IT부서에서 관리가 가능하고 사용자가 관리할 수 있게 하기 위해 인증 프로세스에 부가적인 인증 요소를 추가하는 게 도움이 된다. 부가 인증 요소는 연방정부에서 사용되는 것과 같은 스마트카드, USB 보안 키 또는 생체정보 리더기가 될 수 있다.

스마트폰 연결 

부가 인증 요소 또는 다중요소 인증에 대한 새로운 접근방법은 사용자 스마트폰을 인증에 이용하는 것이다. 대부분의 스마트폰은 그 자체에 합리적으로 안전한 인증 수단을 포함하고 있기 때문에 잘 동작한다.  안드로이드와 애플폰 모두 이미 보안을 위해 지문인증이나 얼굴인식을 쓰고 있다. 이는 인증 프로세스의 일부 단계에 폰을 쓸 수 있다는 의미다. 

아마  폰에 배달된 텍스트 메시지의 값으로 인증 매시 지를 답해 본 적이 있을 것이다. 이것은 은행, 연방정부 그리고 사기 방지를 위해 노력하는 조직들이 사용하는 인증 방법이다. 불행하게도 SMS 텍스트 메시지를 통한 인증은 특별히 안전하다고 볼 수 없다. 그 메시지들은 도용되거나 누군가 가로챌 수 있기 때문이다. 그러나 아예 없는 것보다는 낫다. 더 나은 방법은 폰의 인증자 앱을 사용하는 것이다. 이것들은 SMS 메시징에 의존하지 않는다. 이런 앱들은 마이크로소프트 , 구글 그리고 LastPass를 포함한 다른 회사들로부터 사용할 수 있다. 일반적으로 인증자들이 사용하는 사이트는 어느 것을 사용할지 또는 여러 개를 사용할 수 있도록 허용한다.

당신은 누구인가

좋은 보안은 당신이 알고 있는 것, 갖고 있는 것, 당신이어야 하는 것에 의존해야 한다고 한다. 이는 비밀번호, 암호 문구, 보안 토큰 또는 스마트폰을 포함한 다른 디바이스 그리고 생체정보를 통해 당신을 인지하는 수단을 의미할 수 있다.   

당신의 스마트폰은 몇몇 유형의 생체인식을 처리할 수 있다. 다른 접근 수단들은 사용자 식별을 위해 더 광범위한 수단들을 사용한다. 예를 들면 시설물은 당신에게 망막이나 홍채 스캔 또는 피부 아래 혈관의 유일한 패턴을 스캔하도록 요청할 수도 있다. 비슷하게, 생체 정보에 따른 보안토큰을 보여줄 것을 요구할 수도 있다. 이러한 토큰들은 USB 디바이스 또는 모바일 보안을 위한 형태를 취할 수 있는데 이런 것들은 다른 인증 유형과 조합해서 쓰일 수 있으며, 직원들이 끝나지 않는 비밀번호 리셋과의 투쟁을 끝낼 합리적인 보안이 될 수 있다. 

준비해야 할 것은 무엇인가

비밀번호가 없는 업무공간을 계획하기 위해 당신의 준비를 시작하기에 좋은 곳은 바로 FIDO Alliance이다. FIDO Alliance는 세계의 비밀번호 문제를 해결하기 위해 특화되어 있다. 이 그룹은 인증의 표준을 설정했고, 제품들을 인증하며, 일련의 이벤트를 통해 교육을 실시한다. 이 조직의 웹사이트에 대한 연구를 통해, 당신은 패스워드가 없는 인증의 의미를 잘 이해할 수 있고 FIDO 표준에 준수하는 제품을 찾을 수 있다. 예를 들면 Micosoft Windows10의 인증은 최신 표준을 충족하는 FIDO2 호환 인증을 받았다.

비밀번호가 없는 업무공간을 위해 다양한 벤더에서 제공하는 SSO 설루션과 도입할 수도 있다.  포레스트 리서치는 최근 Identigy as a service에 대한 연구를 발표했는데 이 연구는 어떤 출발점을 제공하고 있다. 이 시장은 빠르게 움직이고 있어서, 새로운 밴더와 새로운 유형의 설루션들이 매 시간 터져 나오는 중이다. DeMichele는 LogMeln가 2019년 12월에 종합적인 접근제어 제품으로 소개될 것이라고 말한다. 

앞으로 회사를 위한 IT제품을 구매할 때, 비밀번호가 없는 접근을 어떻게 반영할지 고민을 해야 한다. 윈도 10의 윈도 헬로를 가진 노트북 컴퓨터는 비밀번호가 없는 접근을 제공한다. FIDO2 표준을 충족하는 안드로이드 7.0 디바이스도 있다. 당신이 다른 장비를 구매할 때 당신의 Single- sign-on 제품과 호환되는지 확인이 필요할 것이다.  

그리고 당신은 키패드를 넘어 다중요소 인증을 사용하는 물리적 보안 제품에 투자할 필요가 있다. 이것은 많은 문제와 비용이 필요한 것처럼 들릴 수 있지만 그렇지 않다. 대부분의 영역은 단계들 안에서 처리될 수 있다. 예를 들면 당신은 윈도 헬로가 지원되는 새로운 랩탑을 요구할 수 있다. FIDO Alliance 표준위에서 기업 표준을 설정하고 점진적인 확장을 시작하라.

그러나 우선 당신은 사용자 이름과 비밀번호 조합이 돌이킬 수 없을 정도로 깨지고 있음을 인지하는 것부터 시작해야 한다. 사용자 이름과 비밀번호의 조합으로 접속하는 것은 점점 더 상황을 악화시킨다. 회사를 무너뜨릴 수 있는 데이터 위반이 일어날 가능성을 최소화할 의지가 있다면, 당신의 유일한 선택은 지금 바로 비밀번호 문제를 제거하는 작업을 시작하는 것이다. 

---

역자의 의견

요즘도 그런지 모르겠지만, 외국 회사들은 우리나라처럼 SLO(Single Log-on)나 SSO(Single Sign-on) 처리를 통해 사내 시스템들을 통합하지 않는다고 들었습니다. 그래서 사내 업무포털에 로그인해서 최신 소식을 보고 HR 시스템 등의 내부 시스템 접속 시 다시 ID/PW를 입력한다고 그러더군요. 이유는 보안 때문이라고... 한번 접속하면 모든 시스템 접속이 가능하면 보안이 필요한 정보가 유출될 수 있다고 일부러 안 한다고 들었습니다. 우리나라 기업들은 유독 한번 로그인으로 모든 시스템 접근을 허용 해서 ID/PW 입력을 최소화하는 것 같습니다. 이렇게 아무리 최소화를 해도 최근처럼 보안이 강화된 상황에서는 하루에 최소 10번 이상은 ID/PW를 입력할 겁니다.

아침에 PC 부팅 시 CMOS, Window, 사내 업무포털 로그인. 여기까지는 기본이고, 잠시 자리 비웠다 다시 들어오면 다시 Window 로그인, 점심 먹고 또 Window 로그인, 그 외 간간히 암호화된 문서 로그인, 결재 비밀번호 등등등 

SSO로 모든 시스템을 뚫어 놔도 결국엔 이런 상황이 됩니다. 거기다가 90일마다 변경조건까지 들어가면, 생각하기도 싫네요. 여하튼 대기업 사무실에서 근무하시는 분이라면 정말 지긋지긋한 게 바로 ID/PW일 겁니다. 외부 웹사이트들은 어떤가요? 오랜만에 접근한 웹사이트는 PW는커녕 ID조차 기억이 나질 않죠. 

여기 글에서 처럼 많은 PW들이 이미 털린 상태에서 정말 핸드폰의 생체인식 기반의 인증 방법은 오래된 PW이슈를 해결해줄 구원자일 수도 있을 거 같네요. 

자동차도 주인을 알아보고(스마트키를 알아보는 거지만...) 근처 가면 문을 열어주는데 머지않아 노트북도 자리에 앉는 순간 자동 로그인해서 '어서옵쇼 주인님' 하는 날, 머지않았겠죠?    

FIDO에 대해 더 알아보고 싶으신 분들은 여기 방문하셔서 번 읽어 보시면 좋겠습니다.