생체인증 보안 방식, 단독 사용에는 무리가 있어
비밀번호 없는 세상은 아직까지 먼 미래
[보안뉴스 홍나경 기자] 계정 관리 기업인 타이코틱(Thycotic)이 새로운 조사 결과를 발표했다. 2020년까지 사용자 비밀번호와 시스템 관리자용 비밀번호가 3천억 개 이상으로 증가할 것이라는 내용이다. 3천억이라는 수치는 일반 인터넷 사용자 한 사람당 비밀번호를 평균 25개 사용하고 있을 것이라는 근거로 산출된 것이며, 이는 사물인터넷과 온라인 서비스의 증가로 인한 것이다.
이렇게 비밀번호 사용이 더 증가할 것이라는 의견은, 미래 정보보안에는 비밀번호가 사용되지 않을 것이라는 일부 전문가들의 예견과는 상반되는 것이다. 또한, 타이코틱은 비밀번호를 사용하지 않는 미래가 도래한다고 하더라도 가까운 미래는 아닐 것이라고 말했다. “비밀번호를 사용하는 방식의 보안이 더 이상 필요 없다고 생각한다면 틀린 것입니다. 비밀번호 사용량이 앞으로 4년 동안은 계속해서 증가 할 것이기 때문입니다” 타이코틱의 사이버 보안 전문가인 조셉 칼슨(Joseph Carson)의 설명이다.
계속해서 칼슨은 이전에 업계에 발표된 보고서들 중 2011년 IBM이 발간한 비밀번호 미래 예측 보고서를 두고 ‘실패한 예측’이라고 말했다. 해당 보고서에서 IBM은 2016년에는 비밀번호가 없어질 것이라고 내다봤기 때문이다. “몇몇 기업들은 생체인식 등을 동반한 다중인증 방식을 도입하고는 있으나 비밀번호 방식 없이 단독으로 사용하고 있지는 않습니다.”
칼슨이 설명한 대로 생체인증은 한때 비밀번호 보안 방식을 대체할 수 있는 방안으로 찬양 받았으나 이후 더 많은 연구 및 분석을 통해 완벽한 대안책이 아니라는 것이 중론으로 굳어지고 있다. “생체인증 방식은 절대 비밀번호 보안 방식을 대체하지 못할 것입니다. 비밀번호는 주기적으로 바꿀 수 있고 관리가 가능하지만 생체인증 정보는 한 번 유출되면 대체할 만한 것이 없기 때문입니다.”
이렇게 생체인증 정보 유출의 대안이 없는데다가 비밀번호가 계속 증가하고 있는 현실을 감안한다면, 비밀번호를 꼼꼼히 관리하는 게 미래에도 기업들의 중요한 관리 사항일 수밖에 없다는 것이다. 타이코틱은 같은 보고서를 통해 포춘지가 2015년에 선정한 500대 기업들의 경우를 예로 들며 2020년에는 이 기업들이 일반 계정 비밀번호는 총 54억개, 관리자 계정 비밀번호는 13억 5천만개를 사용하고 있을 것이라고 예측했다. 유수의 기업들조차도 당분간 비밀번호로부터 자유하지 못할 것이라는 것이다.
정말로 타이코틱의 예측대로 비밀번호 사용량이 증가한다면, 문제가 되는 것이 또 하나 있다. 바로 싱글사인온(Single Sign On) 시스템이다. 싱글사인온이란 페이스북이나 트위터, 구글과 같은 대형 웹 사이트의 크리덴셜 하나만으로 다양한 서비스에 가입 및 로그인이 가능하도록 한 것을 말한다. 웹 서비스 사용량이 늘어남에 따라 사용자들이 관리해야 할 비밀번호의 개수도 늘어나는 상황에서 싱글사인온은 편의성 문제를 해결해주기 때문에 계속해서 증가하고 있다.
하지만 이는 정보보안의 측면에서는 바람직하다고 볼 수 없다. “싱글사인온은 사용자가 비밀번호를 입력하지 않아도 되도록 하기 때문에 사용자가 직접 관리할 수가 없고, 비밀번호 관리 실태를 파악할 수도 없습니다. 또한 대부분 일회성 비밀번호가 사용된다고 잘못 알고 있는데, 그렇지 않습니다. 결국 사용자가 한 가지 비밀번호만을 사용하도록 방치하는 것이며, 당사자는 그 사실조차 인지하지 못하게 됩니다. 보안의 측면에서 상당히 심각한 것으로 반드시 해결되어야 할 부분입니다.”
[국제부 홍나경 기자(hnk726@boannews.com)]
비밀번호 없는 세상은 아직까지 먼 미래
[보안뉴스 홍나경 기자] 계정 관리 기업인 타이코틱(Thycotic)이 새로운 조사 결과를 발표했다. 2020년까지 사용자 비밀번호와 시스템 관리자용 비밀번호가 3천억 개 이상으로 증가할 것이라는 내용이다. 3천억이라는 수치는 일반 인터넷 사용자 한 사람당 비밀번호를 평균 25개 사용하고 있을 것이라는 근거로 산출된 것이며, 이는 사물인터넷과 온라인 서비스의 증가로 인한 것이다.
이렇게 비밀번호 사용이 더 증가할 것이라는 의견은, 미래 정보보안에는 비밀번호가 사용되지 않을 것이라는 일부 전문가들의 예견과는 상반되는 것이다. 또한, 타이코틱은 비밀번호를 사용하지 않는 미래가 도래한다고 하더라도 가까운 미래는 아닐 것이라고 말했다. “비밀번호를 사용하는 방식의 보안이 더 이상 필요 없다고 생각한다면 틀린 것입니다. 비밀번호 사용량이 앞으로 4년 동안은 계속해서 증가 할 것이기 때문입니다” 타이코틱의 사이버 보안 전문가인 조셉 칼슨(Joseph Carson)의 설명이다.
계속해서 칼슨은 이전에 업계에 발표된 보고서들 중 2011년 IBM이 발간한 비밀번호 미래 예측 보고서를 두고 ‘실패한 예측’이라고 말했다. 해당 보고서에서 IBM은 2016년에는 비밀번호가 없어질 것이라고 내다봤기 때문이다. “몇몇 기업들은 생체인식 등을 동반한 다중인증 방식을 도입하고는 있으나 비밀번호 방식 없이 단독으로 사용하고 있지는 않습니다.”
칼슨이 설명한 대로 생체인증은 한때 비밀번호 보안 방식을 대체할 수 있는 방안으로 찬양 받았으나 이후 더 많은 연구 및 분석을 통해 완벽한 대안책이 아니라는 것이 중론으로 굳어지고 있다. “생체인증 방식은 절대 비밀번호 보안 방식을 대체하지 못할 것입니다. 비밀번호는 주기적으로 바꿀 수 있고 관리가 가능하지만 생체인증 정보는 한 번 유출되면 대체할 만한 것이 없기 때문입니다.”
이렇게 생체인증 정보 유출의 대안이 없는데다가 비밀번호가 계속 증가하고 있는 현실을 감안한다면, 비밀번호를 꼼꼼히 관리하는 게 미래에도 기업들의 중요한 관리 사항일 수밖에 없다는 것이다. 타이코틱은 같은 보고서를 통해 포춘지가 2015년에 선정한 500대 기업들의 경우를 예로 들며 2020년에는 이 기업들이 일반 계정 비밀번호는 총 54억개, 관리자 계정 비밀번호는 13억 5천만개를 사용하고 있을 것이라고 예측했다. 유수의 기업들조차도 당분간 비밀번호로부터 자유하지 못할 것이라는 것이다.
정말로 타이코틱의 예측대로 비밀번호 사용량이 증가한다면, 문제가 되는 것이 또 하나 있다. 바로 싱글사인온(Single Sign On) 시스템이다. 싱글사인온이란 페이스북이나 트위터, 구글과 같은 대형 웹 사이트의 크리덴셜 하나만으로 다양한 서비스에 가입 및 로그인이 가능하도록 한 것을 말한다. 웹 서비스 사용량이 늘어남에 따라 사용자들이 관리해야 할 비밀번호의 개수도 늘어나는 상황에서 싱글사인온은 편의성 문제를 해결해주기 때문에 계속해서 증가하고 있다.
하지만 이는 정보보안의 측면에서는 바람직하다고 볼 수 없다. “싱글사인온은 사용자가 비밀번호를 입력하지 않아도 되도록 하기 때문에 사용자가 직접 관리할 수가 없고, 비밀번호 관리 실태를 파악할 수도 없습니다. 또한 대부분 일회성 비밀번호가 사용된다고 잘못 알고 있는데, 그렇지 않습니다. 결국 사용자가 한 가지 비밀번호만을 사용하도록 방치하는 것이며, 당사자는 그 사실조차 인지하지 못하게 됩니다. 보안의 측면에서 상당히 심각한 것으로 반드시 해결되어야 할 부분입니다.”
[국제부 홍나경 기자(hnk726@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
