구글 계정에 결제 정보 입력해두면 보다 편리하게 이후 거래 진행할 수 있어
사용자에 따라 CVC 번호로 인증 가능...구글은 “웹오슨 사용했으니 생체 정보도 안전”

[보안뉴스 문가용 기자] 구글이 이번 주 크롬 브라우저를 위한 ‘자동 채우기’ 혹은 ‘자동 완성’ 기능을 강화했다고 발표했다. 이는 ‘autofill’ 기능을 말하는 것으로, 인터넷 사용자들이 온라인 거래를 하거나 회원 가입을 할 때 안전하고 편리하게 양식을 채울 수 있도록 하기 위해 마련됐다.


[이미지 = utoimage]

사용자들에 따라서는 구글 계정에 신용카드 정보를 저장해두기도 하는데, 크롬 브라우저는 그러한 정보를 자동 채우기를 위해 활용할 때 사용자의 확인을 요청한다. 그러면 사용자는 CVC 번호를 입력하는 방식으로 ‘확인’을 해주었다.

이번에 구글은 지문 등 생체 정보를 활용하도록 방식을 바꾸었다. 이제부터 사용자들은 신용카드를 제일 처음 사용할 때 한 번만 CVC 번호를 입력하면 된다. 그 다음부터는 생체 정보만으로 거래가 진행된다.

물론 이는 선택 사항이다. 생체 정보로 거래 확인을 하기 싫다면 예전처럼 CVC 번호를 입력함으로써 거래를 진행할 수 있다. 크롬의 ‘세팅’ 옵션을 통해서 언제나 이 기능을 활성화 혹은 비활성화 시킬 수 있다는 게 구글의 설명이다.

하지만 구글은 “크롬은 W3C의 표준인 웹오슨(WebAuthn)을 사용하여 생체 인증 정보를 보관 및 활용하기 때문에 생체 정보를 활용하는 것에 그 어떤 우려를 할 필요가 없다”고 덧붙이기도 했다. “자동 채우기 인증에 사용하는 생체 정보는 사용자의 장비 밖으로 나가는 일이 절대 없습니다.”

현재 이 기능은 윈도우와 맥 플랫폼 모두에 배포된 상태다. 가까운 미래에 안드로이드용 크롬에도 적용될 예정이다. 이 모바일 버전에는 한 가지 기능이 더 추가되는데, ‘터치로 채우기(touch-to-fill)’이다. 비밀번호 입력에 적용된다. 사용자가 이미 접근해본 적 있는 웹사이트에 비밀번호를 입력해야 할 때 크롬의 비밀번호 관리자가 계정에 저장된 비밀번호를 자동으로 입력해준다. “이 기능 때문에 한 손으로 모바일을 사용하는 것이 더 편리해질 예정입니다.”

구글은 크롬 내 탑재된 것과 같은 비밀번호 관리자 프로그램을 사용하는 것이, 피싱 공격이 난무하는 지금 시대에 반드시 필요한 일이라고 강조하며 “비밀번호 관리자를 잘 활용하면 피싱 공격에 대한 단단한 방어 체제를 구축할 수 있다”고 말했다.

3줄 요약
1. 신용카드 정보 등 입력할 때, 기존에는 CVC 번호로 확인.
2. 이제는 CVC 번호는 최초 한 번만 입력하고 거래 때마다 생체 정보 입력.
3. 윈도우와 맥 버전에는 이미 적용. 안드로이드 버전은 곧 적용.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>