MS, 더 단순하고 더 안전하게 로그인하는 ‘인증앱’ 공식 출시
바이오인증 통해 본인인증하는 윈도우즈 헬로우와 유사
이젠 전화기에 물리적으로 접근해야만 침해 가능하게 돼
[보안뉴스 오다인 기자] 마이크로소프트(MS)가 기존의 비밀번호 인증 절차를 없애고 MS 인증앱(Authenticator application)을 통해 푸시 알림을 받는 것으로 단순화한다.
그동안 비밀번호를 만들고 관리하는 일은 사용자들에게 골칫거리였다. 단순한 비밀번호 조합을 사용하거나 여러 계정에 동일한 비밀번호를 사용하는 데에는 위험이 따르지만, 사용자들은 지속적으로 보안성 보다는 편리함을 선호해 왔다. 연구자들은 2016년 가장 흔한 비밀번호가 ‘123456’이었다고 발표하기도 했다.
ⓒ iclickart
비밀번호 대신 인증앱을 만들자는 생각은 보안 절차를 단순화하자는 데서 출발했다. 대문자 및 소문자, 숫자, 특수문자, 이모지(유니코드 체계를 이용해 만든 그림 문자), 비밀악수(secret handshake: 내부자 전용 접근법) 등을 조합해 비밀번호를 생성해야 하는 필요성을 없애고, 인증의 핵심을 사람 기억력에서 기기로 옮겨두자는 데서 나온 생각이다.
iOS나 안드로이드 기기에서 MS 인증앱을 다운받은 뒤, 계정 정보를 추가하고 사용자명을 입력하면 웹사이트에 접근할 수 있게 하는 구조다. 비밀번호를 입력하는 대신, 푸시 알림을 받는데 이때 ‘승인’을 누르면 로그인 된다. 쉽게 말해 ID 입력 후 버튼 하나 누르는 것으로 로그인이 소폭 간소화된 것.
MS 신원 부서의 프로그램 관리 이사인 알렉스 사이먼스(Alex Simons)는 “고객이 스스로 누구인지 입증하는 걸 완전히 쉽게 만들고 싶었다”고 말했다. 그 첫 단계가 바로 기존에 비밀번호를 입력해야 했던 단계들을 없애는 것이었다.
“비밀번호는 대개 성가신 게 사실이죠.” 사이먼스는 “안전하게 사용하려는 사람들이라면 각기 다른 서비스에 각기 다르게 설정한 비밀번호들을 모두 관리해야 되는데, 도대체 누가 그렇게 할 수 있겠냐”며 “그 누구도 20개, 30개, 40개씩 다 다른 비밀번호를 안전하게 관리할 수는 없는 일”이라고 지적했다.
비밀번호 절차를 없애려고 시도한 최초의 회사는 MS가 아니다. 사이먼스에 따르면, 인증앱 실행 모델은 바이오인증을 통해 윈도우즈 10 기기에 로그인하는 윈도우즈의 헬로우(Windows Hello) 모델과 유사하다.
사이먼스는 인증앱이 애초에 고객들을 위해 고안된 것이라며 약 8억 명의 고객들이 매월 MS 계정을 활발하게 사용하고 있다고 말했다. MS가 준비 중인 기업용 상품은 다가오는 가을에 일반 대중을 대상으로 선보일 예정이다. 그러나 기업보다 개별 고객들 사이에서 인증앱의 사용이 빠르게 퍼질 것으로 기대된다.
MS 인증앱은 페이스북과 구글을 포함한 다른 사용자 계정뿐 아니라 온라인 MS 계정과도 함께 사용될 수 있다.
MS 인증앱을 만든 목적 중에 하나가 사용자 접근을 단순화하는 것이라면, 또 다른 목적은 범죄자들이 기기를 뚫고 들어오는 걸 더 어렵게 만드는 것이었다.
미국의 기업 컨설팅 전문업체 웨스트 먼로 파트너스(West Monroe Partners)의 고위급 보안 설계자 폴 코터(Paul Cotter)는 MS의 업데이트가 “통상적인 비밀번호”를 개선한 것에 틀림없다고 강조했다. 사용자가 계정에 접근하려면 무조건 물리적으로 전화기에 접근해야만 하기 때문이다.
“지금까진 누군가 다른 사람의 비밀번호를 캐내면, 언제 어디서나 여러 개의 온라인 서비스에 접근할 수 있었다는 게 비밀번호가 가진 근본적인 문제점이었습니다.” 코터는 설명을 이어갔다. “전화기로 인증해야 하기 때문에 해커는 공격을 하려면 물리적인 전화기 그 자체가 필요하게 됐습니다.”
그러나 코터는 MS가 이번 인증앱을 통해 진정한 의미에서 “비밀번호를 없앤” 것은 아니라고 말했다.
코터는 “MS 인증앱 또한 (이중인증이나 다중인증이 아닌) 단 한 번 인증하는 방법”이라며 “비밀번호를 전화기로 갈아치운 것 뿐이지 한 번만 인증하면 통과된다는 사실이 바뀐 건 아니”라고 말해 여전히 위험이 남는다고 우려했다.
코터는 “취약한 비밀번호를 개선하는 최고의 방법은 결국 다중인증”이라며 보안성을 높이기 위해 두 번 이상 인증과정을 거쳐야 한다고 주장했다. 이 같은 방법은 인증을 다각화함으로써 도둑이나 사이버범죄자들이 기기를 뚫고 들어오는 것을 어렵게 만들기 때문이다.
이러한 지적에 대해 MS는 자사 블로그를 통해 “이중인증이라는 개념을 어떻게 정의하느냐에 따라 달리 볼 수 있는 문제”라고 반박했다. “비밀번호를 확인 버튼 하나로 바꿨다고만 보면 이중인증이 아니라고 볼 수 있습니다. 하지만 이 승인 방식이 모바일 기기에서 작동한다는 걸 생각해보면 어떨까요? 그 기기에 접근하기 위해 활용되는 지문이나 별도의 PIN 번호까지 생각하면, 충분히 이중인증이라고 볼 수 있습니다. 결국 크게 보면 두 번 인증해야 한다는 것이 사실이라는 겁니다.”
이에 대해 코터는 코터는 모바일 기기가 해커들에게 있어 뚫고 들어가기 쉬운 기기라는 점 역시 주목해야 한다고 말한다. 사람들은 ‘1234’와 같이 단순한 비밀번호를 사용하기 때문에, 사람 대신 기기가 인증하도록 하는 건 위험을 단순히 사람에서 기기로 옮겨두는 것과 다르지 않다는 것이다.
코터는 또한 바이오인증이 미국 수정헌법 제5조와 충돌할 가능성이 있다는 점도 지적했다. 수년 전, 미 법원은 개인이 수정헌법 제5조의 자기부죄금지의 원칙(the right to not self-incriminate)에 따라 비밀번호 제공을 강요받을 수 없다고 판결했다. “그러나 이 판례는 언제까지나 비밀번호에 관한 것이었습니다. 지문이 아니었다고 법을 새롭게 해석한다면, 비밀번호는 보호받아도 지문정보까지는 보호받지 못할 수 있습니다.”
현재 미국 수정헌법 제5조에 의해 기기의 개인 비밀번호는 보호받고 있다. 하지만 법적인 보호 범위에 지문은 정식으로 포함되어 있지 않다. 비밀번호와 지문을 동등하게 보는 시각도 아직 논란 중에 있다. 안드로이드센트럴(AndroidCentral)이라는 매체는 이러한 점을 꼭 기억해야 한다면서, 지문만으로 안전할 수 있다고 생각하지 말고 PIN 번호도 추가로 설정해 사법기관 등이 합법적으로 내 사생활을 침해하지 못하도록 해야 한다고 경고하고 있다.
[국제부 오다인 기자(boan2@boannews.com)]
바이오인증 통해 본인인증하는 윈도우즈 헬로우와 유사
이젠 전화기에 물리적으로 접근해야만 침해 가능하게 돼
[보안뉴스 오다인 기자] 마이크로소프트(MS)가 기존의 비밀번호 인증 절차를 없애고 MS 인증앱(Authenticator application)을 통해 푸시 알림을 받는 것으로 단순화한다.
그동안 비밀번호를 만들고 관리하는 일은 사용자들에게 골칫거리였다. 단순한 비밀번호 조합을 사용하거나 여러 계정에 동일한 비밀번호를 사용하는 데에는 위험이 따르지만, 사용자들은 지속적으로 보안성 보다는 편리함을 선호해 왔다. 연구자들은 2016년 가장 흔한 비밀번호가 ‘123456’이었다고 발표하기도 했다.
ⓒ iclickart
비밀번호 대신 인증앱을 만들자는 생각은 보안 절차를 단순화하자는 데서 출발했다. 대문자 및 소문자, 숫자, 특수문자, 이모지(유니코드 체계를 이용해 만든 그림 문자), 비밀악수(secret handshake: 내부자 전용 접근법) 등을 조합해 비밀번호를 생성해야 하는 필요성을 없애고, 인증의 핵심을 사람 기억력에서 기기로 옮겨두자는 데서 나온 생각이다.
iOS나 안드로이드 기기에서 MS 인증앱을 다운받은 뒤, 계정 정보를 추가하고 사용자명을 입력하면 웹사이트에 접근할 수 있게 하는 구조다. 비밀번호를 입력하는 대신, 푸시 알림을 받는데 이때 ‘승인’을 누르면 로그인 된다. 쉽게 말해 ID 입력 후 버튼 하나 누르는 것으로 로그인이 소폭 간소화된 것.
MS 신원 부서의 프로그램 관리 이사인 알렉스 사이먼스(Alex Simons)는 “고객이 스스로 누구인지 입증하는 걸 완전히 쉽게 만들고 싶었다”고 말했다. 그 첫 단계가 바로 기존에 비밀번호를 입력해야 했던 단계들을 없애는 것이었다.
“비밀번호는 대개 성가신 게 사실이죠.” 사이먼스는 “안전하게 사용하려는 사람들이라면 각기 다른 서비스에 각기 다르게 설정한 비밀번호들을 모두 관리해야 되는데, 도대체 누가 그렇게 할 수 있겠냐”며 “그 누구도 20개, 30개, 40개씩 다 다른 비밀번호를 안전하게 관리할 수는 없는 일”이라고 지적했다.
비밀번호 절차를 없애려고 시도한 최초의 회사는 MS가 아니다. 사이먼스에 따르면, 인증앱 실행 모델은 바이오인증을 통해 윈도우즈 10 기기에 로그인하는 윈도우즈의 헬로우(Windows Hello) 모델과 유사하다.
사이먼스는 인증앱이 애초에 고객들을 위해 고안된 것이라며 약 8억 명의 고객들이 매월 MS 계정을 활발하게 사용하고 있다고 말했다. MS가 준비 중인 기업용 상품은 다가오는 가을에 일반 대중을 대상으로 선보일 예정이다. 그러나 기업보다 개별 고객들 사이에서 인증앱의 사용이 빠르게 퍼질 것으로 기대된다.
MS 인증앱은 페이스북과 구글을 포함한 다른 사용자 계정뿐 아니라 온라인 MS 계정과도 함께 사용될 수 있다.
MS 인증앱을 만든 목적 중에 하나가 사용자 접근을 단순화하는 것이라면, 또 다른 목적은 범죄자들이 기기를 뚫고 들어오는 걸 더 어렵게 만드는 것이었다.
미국의 기업 컨설팅 전문업체 웨스트 먼로 파트너스(West Monroe Partners)의 고위급 보안 설계자 폴 코터(Paul Cotter)는 MS의 업데이트가 “통상적인 비밀번호”를 개선한 것에 틀림없다고 강조했다. 사용자가 계정에 접근하려면 무조건 물리적으로 전화기에 접근해야만 하기 때문이다.
“지금까진 누군가 다른 사람의 비밀번호를 캐내면, 언제 어디서나 여러 개의 온라인 서비스에 접근할 수 있었다는 게 비밀번호가 가진 근본적인 문제점이었습니다.” 코터는 설명을 이어갔다. “전화기로 인증해야 하기 때문에 해커는 공격을 하려면 물리적인 전화기 그 자체가 필요하게 됐습니다.”
그러나 코터는 MS가 이번 인증앱을 통해 진정한 의미에서 “비밀번호를 없앤” 것은 아니라고 말했다.
코터는 “MS 인증앱 또한 (이중인증이나 다중인증이 아닌) 단 한 번 인증하는 방법”이라며 “비밀번호를 전화기로 갈아치운 것 뿐이지 한 번만 인증하면 통과된다는 사실이 바뀐 건 아니”라고 말해 여전히 위험이 남는다고 우려했다.
코터는 “취약한 비밀번호를 개선하는 최고의 방법은 결국 다중인증”이라며 보안성을 높이기 위해 두 번 이상 인증과정을 거쳐야 한다고 주장했다. 이 같은 방법은 인증을 다각화함으로써 도둑이나 사이버범죄자들이 기기를 뚫고 들어오는 것을 어렵게 만들기 때문이다.
이러한 지적에 대해 MS는 자사 블로그를 통해 “이중인증이라는 개념을 어떻게 정의하느냐에 따라 달리 볼 수 있는 문제”라고 반박했다. “비밀번호를 확인 버튼 하나로 바꿨다고만 보면 이중인증이 아니라고 볼 수 있습니다. 하지만 이 승인 방식이 모바일 기기에서 작동한다는 걸 생각해보면 어떨까요? 그 기기에 접근하기 위해 활용되는 지문이나 별도의 PIN 번호까지 생각하면, 충분히 이중인증이라고 볼 수 있습니다. 결국 크게 보면 두 번 인증해야 한다는 것이 사실이라는 겁니다.”
이에 대해 코터는 코터는 모바일 기기가 해커들에게 있어 뚫고 들어가기 쉬운 기기라는 점 역시 주목해야 한다고 말한다. 사람들은 ‘1234’와 같이 단순한 비밀번호를 사용하기 때문에, 사람 대신 기기가 인증하도록 하는 건 위험을 단순히 사람에서 기기로 옮겨두는 것과 다르지 않다는 것이다.
코터는 또한 바이오인증이 미국 수정헌법 제5조와 충돌할 가능성이 있다는 점도 지적했다. 수년 전, 미 법원은 개인이 수정헌법 제5조의 자기부죄금지의 원칙(the right to not self-incriminate)에 따라 비밀번호 제공을 강요받을 수 없다고 판결했다. “그러나 이 판례는 언제까지나 비밀번호에 관한 것이었습니다. 지문이 아니었다고 법을 새롭게 해석한다면, 비밀번호는 보호받아도 지문정보까지는 보호받지 못할 수 있습니다.”
현재 미국 수정헌법 제5조에 의해 기기의 개인 비밀번호는 보호받고 있다. 하지만 법적인 보호 범위에 지문은 정식으로 포함되어 있지 않다. 비밀번호와 지문을 동등하게 보는 시각도 아직 논란 중에 있다. 안드로이드센트럴(AndroidCentral)이라는 매체는 이러한 점을 꼭 기억해야 한다면서, 지문만으로 안전할 수 있다고 생각하지 말고 PIN 번호도 추가로 설정해 사법기관 등이 합법적으로 내 사생활을 침해하지 못하도록 해야 한다고 경고하고 있다.
[국제부 오다인 기자(boan2@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
