.jpg)
.gif)
해외에 맡겨진 로그인, 디지털 주권이 흔들린다
소버린 패스워드 기술인 국제표준 Passwordless X1280, 대안으로 떠올라
[보안뉴스= 패스워드리스 얼라이언스 포럼 운영위원회] 최근 대한민국을 비롯해 전 세계가 소버린 AI(Sovereign AI)에 주목하고 있다. 외국 빅테크 기업에 의존하지 않고 자체적으로 인공지능(AI)을 개발하고 데이터를 활용하겠다는 국가 전략은 디지털 주권을 위한 중요한 방향으로 추진되고 있다. 그러나 필자는 소버린 AI만큼이나 시급하고 함께 고민해야 하는 분야가 ‘소버린 로그인’이라고 생각한다.
▲Passwordless X1280 [자료: 패스워드리스 얼라이언스 포럼]
대부분의 이용자는 온라인 서비스를 이용하는 데 있어 웹 브라우저에 아이디와 패스워드를 저장한 후 나중에 자동으로 입력해 주는 패스워드 자동완성 기능을 사용하거나 구글, 페이스북, MS, 애플 등 외국 기업의 소셜 로그인을 통해 다른 온라인 서비스에 로그인한다. 또한 해외 유명 온라인 서비스에서는 생체인증 기반 패스키 로그인을 강조하며 패스워드리스를 적극 유도하고 있다.
그러나 로그인의 편리함 위해 사용하는 브라우저 내 자동완성, 소셜 로그인, 생체인증 패스키 등은 사용자만 알고 있어야 하는 디지털 열쇠가 해외에서 관리되는 것이다.
브라우저 자동완성 기능은 브라우저 제작사의 패스워드 매니저 기능을 이용하는 것으로, 해외 서버에 사용자의 모든 아이디와 패스워드가 동기화되는 방식이며, 소셜 로그인은 외국 사업자가 서비스 이용자와 제공자 사이에서 인증을 대신 수행할 수 있게 권한을 위임 받은 구조다. 마지막으로 생체인증 패스키 역시, 스마트폰이나 PC에 저장된 개인 키를, 운영체제를 개발한 외국 플랫폼 사업자에 동기화되어 생체 인증용 개인 키가 외국 기업에 의해 관리되는 구조라고 볼 수 있다.
즉, 프라이버시를 포함해 온라인 모든 데이터와 활동 내역에 접근할 수 있는 열쇠가 해외 기업에 보관되는 셈이다. 국내 이용자가 국내 서비스를 이용하더라도 디지털 열쇠가 해외에 위탁된 상태라면 모든 데이터와 활동 내역에 나만 접근할 수 있는 것이 아닐 수 있다.
편리함을 이유로 디지털 열쇠를 제3자에게 생각 없이 계속 맡긴다면, 사용자의 디지털 주권은 이미 사라진 것이다. 이는 단순한 기술 선택의 문제가 아니라 온라인 정체성과 정보 주권 전체를 해외에 위임하는 구조라는 점에서 본질적인 문제로 봐야 한다. ‘소버린’이라는 단어가 AI를 통해 회자되는 이 시점에, 디지털 주권 확보를 위한 ‘소버린 로그인’에 대해 보다 근본적으로 생각하고 실천해야 할 때다.
소버린 로그인을 해결하기 위한 국제표준과 무료기술 ‘Passwordless X1280’
이용자가 편리함을 유지하면서도 제3자에게 의존하지 않는 소버린 로그인 기술이 속속 등장하고 있다. 대표적인 것이 소버린 패스워드리스 기술인 ‘Passwordless X1280’이다.
‘Passwordless X1280’은 온라인 서비스에 로그인할 때 사용자가 패스워드를 입력하지 않고, 온라인 서비스가 자동 비밀번호를 사용자에게 먼저 제시하고, 사용자가 이를 스마트폰에서 생성한 값과 비교해 일치하면 승인하는 방식이다. 기존 방식은 사용자가 패스워드를 입력하고 온라인 서비스가 일치 여부를 승인했지만, 이 기술은 온라인 서비스가 자동 패스워드를 제시하고 사용자가 일치 여부를 스마트폰에서 승인하기 때문에 사용자의 패스워드 숙지 및 변경에 대한 책임이 사라진다.
특히 계정 도용이나 피싱 사고가 발생해도 온라인 서비스는 전혀 책임을 지지 않고 관리 소홀로 사용자에게만 책임을 묻는 불합리한 ‘사용자 입증 책임’ 방식을 개선하는 ‘서비스 입증 책임’ 방식이다. 사용자를 속이는 AI 기반 피싱 공격이 더욱 많아지고 있는 상황에서 사용자에게만 책임을 돌리는 방식보다는 피싱 저항성에 대한 근본적인 대안을 갖춘 서비스라 할 수 있다. 게다가 서비스에 접속할 때마다 자동 패스워드를 제시하기 때문에, 사용자는 서비스마다 패스워드를 기억하거나 관리할 필요가 없어 편리하게 여러 서비스를 이용할 수 있고, 기존 소셜 로그인처럼 제3자에게 내가 어디를 방문했는지도 노출할 필요가 없다.
이 기술은 UN 산하 국제 기술 표준화 기구인 ITU에서 국제 표준 X.1280으로 제정해 활용을 권고하고 있으며, 국내 은행이나 국가기관 등에서 이미 사용하고 있다. 또한 스위스 제네바에 설립된 비영리기구 패스워드리스 얼라이언스를 통해 전 세계에 무료로 소프트웨어와 교육을 제공하고 있다.
소버린 로그인이 선행되어야 소버린 AI도 지킬 수 있다
소버린 AI라는 거대한 담론 이전에 디지털 시작점인 로그인을 해외 의존형 구조에서 자립시켜야 진정한 디지털 주권을 확보할 수 있다. 기존의 패스워드 자동 입력, 소셜 로그인, 생체인증 방식은 제3자 중심의 종속적 로그인 구조에 머물게 만들며, 이 구조 안에서는 어떤 AI를 사용하더라도 우리의 데이터가 여전히 제3자에 의해 접근될 수밖에 없다.
이에 정부와 기업, 그리고 사용자 모두가 지금부터라도 자신의 디지털 주권을 강화할 수 있는 소버린 로그인 기술을 적극적으로 도입하고 활용하는 노력을 기울여야 한다. 외국 기업에 의해 배포된 친숙한 로그인 방식에 머물러 있다가는 진정한 디지털 주권을 회복할 수 없다.
소버린 로그인과 관련된 무료 기술과 국제 표준이 이미 개발된 상태에서, 정부는 국제표준으로 제정된 소버린 로그인 체계의 확산과 배포를 정책적으로 지원함으로써 해외 종속적인 로그인 구조를 사용자 자립형 로그인으로 전환할 수 있도록 인식 개선과 제도 정비를 서둘러야 한다.
또한 온라인 서비스도 로그인에 대한 사용자 입증책임을 전가하는 소셜 로그인 구조를 탈피해 온라인 서비스가 로그인에 대한 입증 책임을 부담하고, 사용자에게 편리함과 안전함을 동시에 제공하는 무료 국제 표준 기술의 활용에 참여할 필요가 있다.
소버린 AI가 회자되면서 디지털 주권에 대한 생각을 시작하는 지금이 누구나 알면서도 이야기하지 않았던 소버린 로그인을 함께 고민하고 실천해야 할 때라고 생각한다. 정부, 기업, 국민 모두가 ‘소버린 로그인’이라는 작은 원칙을 실천해 나갈 때 디지털 주권의 근간이 확립될 수 있을 것이다.
한편, 패스워드리스 얼라이언스 포럼은 국내 산학연 전문가들이 참여해 B2C 온라인 서비스에 패스워드리스 기술을 보급·확산하기 위해 운영되는 국내 기술 포럼이다. 한국정보통신기술협회(TTA)의 지원을 받아, 개인정보보호협회 산하에서 운영되고 있다. 포럼 운영위원회에는 우종현 의장을 비롯해 ETRI 진승헌 박사, IITP 김창오 PM, Passwordless Alliance 이재섭 회장, 서강대학교 이영주 연구교수, 세종대학교 김종현 교수 등이 포함되어 있다.
[글_ 패스워드리스 얼라이언스 포럼 운영위원회]
소버린 패스워드 기술인 국제표준 Passwordless X1280, 대안으로 떠올라
[보안뉴스= 패스워드리스 얼라이언스 포럼 운영위원회] 최근 대한민국을 비롯해 전 세계가 소버린 AI(Sovereign AI)에 주목하고 있다. 외국 빅테크 기업에 의존하지 않고 자체적으로 인공지능(AI)을 개발하고 데이터를 활용하겠다는 국가 전략은 디지털 주권을 위한 중요한 방향으로 추진되고 있다. 그러나 필자는 소버린 AI만큼이나 시급하고 함께 고민해야 하는 분야가 ‘소버린 로그인’이라고 생각한다.
▲Passwordless X1280 [자료: 패스워드리스 얼라이언스 포럼]
대부분의 이용자는 온라인 서비스를 이용하는 데 있어 웹 브라우저에 아이디와 패스워드를 저장한 후 나중에 자동으로 입력해 주는 패스워드 자동완성 기능을 사용하거나 구글, 페이스북, MS, 애플 등 외국 기업의 소셜 로그인을 통해 다른 온라인 서비스에 로그인한다. 또한 해외 유명 온라인 서비스에서는 생체인증 기반 패스키 로그인을 강조하며 패스워드리스를 적극 유도하고 있다.
그러나 로그인의 편리함 위해 사용하는 브라우저 내 자동완성, 소셜 로그인, 생체인증 패스키 등은 사용자만 알고 있어야 하는 디지털 열쇠가 해외에서 관리되는 것이다.
브라우저 자동완성 기능은 브라우저 제작사의 패스워드 매니저 기능을 이용하는 것으로, 해외 서버에 사용자의 모든 아이디와 패스워드가 동기화되는 방식이며, 소셜 로그인은 외국 사업자가 서비스 이용자와 제공자 사이에서 인증을 대신 수행할 수 있게 권한을 위임 받은 구조다. 마지막으로 생체인증 패스키 역시, 스마트폰이나 PC에 저장된 개인 키를, 운영체제를 개발한 외국 플랫폼 사업자에 동기화되어 생체 인증용 개인 키가 외국 기업에 의해 관리되는 구조라고 볼 수 있다.
즉, 프라이버시를 포함해 온라인 모든 데이터와 활동 내역에 접근할 수 있는 열쇠가 해외 기업에 보관되는 셈이다. 국내 이용자가 국내 서비스를 이용하더라도 디지털 열쇠가 해외에 위탁된 상태라면 모든 데이터와 활동 내역에 나만 접근할 수 있는 것이 아닐 수 있다.
편리함을 이유로 디지털 열쇠를 제3자에게 생각 없이 계속 맡긴다면, 사용자의 디지털 주권은 이미 사라진 것이다. 이는 단순한 기술 선택의 문제가 아니라 온라인 정체성과 정보 주권 전체를 해외에 위임하는 구조라는 점에서 본질적인 문제로 봐야 한다. ‘소버린’이라는 단어가 AI를 통해 회자되는 이 시점에, 디지털 주권 확보를 위한 ‘소버린 로그인’에 대해 보다 근본적으로 생각하고 실천해야 할 때다.
소버린 로그인을 해결하기 위한 국제표준과 무료기술 ‘Passwordless X1280’
이용자가 편리함을 유지하면서도 제3자에게 의존하지 않는 소버린 로그인 기술이 속속 등장하고 있다. 대표적인 것이 소버린 패스워드리스 기술인 ‘Passwordless X1280’이다.
‘Passwordless X1280’은 온라인 서비스에 로그인할 때 사용자가 패스워드를 입력하지 않고, 온라인 서비스가 자동 비밀번호를 사용자에게 먼저 제시하고, 사용자가 이를 스마트폰에서 생성한 값과 비교해 일치하면 승인하는 방식이다. 기존 방식은 사용자가 패스워드를 입력하고 온라인 서비스가 일치 여부를 승인했지만, 이 기술은 온라인 서비스가 자동 패스워드를 제시하고 사용자가 일치 여부를 스마트폰에서 승인하기 때문에 사용자의 패스워드 숙지 및 변경에 대한 책임이 사라진다.
특히 계정 도용이나 피싱 사고가 발생해도 온라인 서비스는 전혀 책임을 지지 않고 관리 소홀로 사용자에게만 책임을 묻는 불합리한 ‘사용자 입증 책임’ 방식을 개선하는 ‘서비스 입증 책임’ 방식이다. 사용자를 속이는 AI 기반 피싱 공격이 더욱 많아지고 있는 상황에서 사용자에게만 책임을 돌리는 방식보다는 피싱 저항성에 대한 근본적인 대안을 갖춘 서비스라 할 수 있다. 게다가 서비스에 접속할 때마다 자동 패스워드를 제시하기 때문에, 사용자는 서비스마다 패스워드를 기억하거나 관리할 필요가 없어 편리하게 여러 서비스를 이용할 수 있고, 기존 소셜 로그인처럼 제3자에게 내가 어디를 방문했는지도 노출할 필요가 없다.
이 기술은 UN 산하 국제 기술 표준화 기구인 ITU에서 국제 표준 X.1280으로 제정해 활용을 권고하고 있으며, 국내 은행이나 국가기관 등에서 이미 사용하고 있다. 또한 스위스 제네바에 설립된 비영리기구 패스워드리스 얼라이언스를 통해 전 세계에 무료로 소프트웨어와 교육을 제공하고 있다.
소버린 로그인이 선행되어야 소버린 AI도 지킬 수 있다
소버린 AI라는 거대한 담론 이전에 디지털 시작점인 로그인을 해외 의존형 구조에서 자립시켜야 진정한 디지털 주권을 확보할 수 있다. 기존의 패스워드 자동 입력, 소셜 로그인, 생체인증 방식은 제3자 중심의 종속적 로그인 구조에 머물게 만들며, 이 구조 안에서는 어떤 AI를 사용하더라도 우리의 데이터가 여전히 제3자에 의해 접근될 수밖에 없다.
이에 정부와 기업, 그리고 사용자 모두가 지금부터라도 자신의 디지털 주권을 강화할 수 있는 소버린 로그인 기술을 적극적으로 도입하고 활용하는 노력을 기울여야 한다. 외국 기업에 의해 배포된 친숙한 로그인 방식에 머물러 있다가는 진정한 디지털 주권을 회복할 수 없다.
소버린 로그인과 관련된 무료 기술과 국제 표준이 이미 개발된 상태에서, 정부는 국제표준으로 제정된 소버린 로그인 체계의 확산과 배포를 정책적으로 지원함으로써 해외 종속적인 로그인 구조를 사용자 자립형 로그인으로 전환할 수 있도록 인식 개선과 제도 정비를 서둘러야 한다.
또한 온라인 서비스도 로그인에 대한 사용자 입증책임을 전가하는 소셜 로그인 구조를 탈피해 온라인 서비스가 로그인에 대한 입증 책임을 부담하고, 사용자에게 편리함과 안전함을 동시에 제공하는 무료 국제 표준 기술의 활용에 참여할 필요가 있다.
소버린 AI가 회자되면서 디지털 주권에 대한 생각을 시작하는 지금이 누구나 알면서도 이야기하지 않았던 소버린 로그인을 함께 고민하고 실천해야 할 때라고 생각한다. 정부, 기업, 국민 모두가 ‘소버린 로그인’이라는 작은 원칙을 실천해 나갈 때 디지털 주권의 근간이 확립될 수 있을 것이다.
한편, 패스워드리스 얼라이언스 포럼은 국내 산학연 전문가들이 참여해 B2C 온라인 서비스에 패스워드리스 기술을 보급·확산하기 위해 운영되는 국내 기술 포럼이다. 한국정보통신기술협회(TTA)의 지원을 받아, 개인정보보호협회 산하에서 운영되고 있다. 포럼 운영위원회에는 우종현 의장을 비롯해 ETRI 진승헌 박사, IITP 김창오 PM, Passwordless Alliance 이재섭 회장, 서강대학교 이영주 연구교수, 세종대학교 김종현 교수 등이 포함되어 있다.
[글_ 패스워드리스 얼라이언스 포럼 운영위원회]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)