뻥뻥 뚫리는 인터넷 보안망 대안은?
'열려라 참깨'에 뚫린 이베이 1억4500만명 개인정보 유출
2000년 넘은 방식 바꾸자 다양한 시스템 개발 잇달아
아라비안 나이트에 등장하는 ‘40인의 도둑’과 미국 대형 온라인 쇼핑몰 ‘이베이.’ 도무지 연관성이 없어 보일 것 같은 이들 사이에는 공통점이 있다. 바로 패스워드 관리에 실패했다는 점이다. 40인의 도둑들은 ‘열려라 참깨’라는 주문이 유출돼 평생 도둑질로 모은 재물을 잃었고, 이베이도 올해 초 1억4,500만명의 개인정보가 유출돼 신뢰도에 큰 타격을 입었다.
USA투데이에 따르면 이베이 정보유출 사태가 전반적인 온라인 구매심리 위축으로 이어지면서 다른 온라인 업체들까지 어려움을 겪고 있다. 온라인 구매자를 대상으로 실시한 조사에서 4명 중 1명꼴인 24%가 보안문제로 지난 몇 주간 인터넷 쇼핑을 중단했다고 응답했다. 또 56%는 기존에 이용하던 인터넷 사이트 방문을 줄이고 해킹에 안전한 것으로 알려진 업체 사이트를 찾고 있고, 55%는 자신이 거래하는 은행과 신용카드 회사 사이트를 방문해 해킹 여부를 확인했다고 답했다. 인터넷 보안 전문가인 캐머런 캠프는 “사람들이 (온라인으로 물건을 구매하던) 습관을 버린다는 것은 매우 놀라운 일”이라고 평가했다.
상황이 이쯤 되자 구글은 물론이고 마이크로소프트, 페이팔(온라인 결제업체), 뱅크오브아메리카 등 많은 대형 회사들이 새로운 보안체제를 모색하고 있다. 미국 보안업체 피도의 제이미 코퍼는 “사람들이 같은 비밀번호를 계속 사용하는 것이 가장 큰 문제”라고 말했다. 그는 “한 곳의 보안체계가 튼튼하더라도, 보안체계가 약한 다른 업체에서 비밀번호가 유출되면 우리 모두가 위험에 빠지게 된다”고 말한다.
대형 기업고객의 이런 요구를 만족하기 위해 전세계 보안업체는 새로운 보안체계 마련에 나섰다. 이들의 목표는 간단하다. 알리바바가 살던 중세 아랍시대에 고안된 방식, 즉 암호를 대면 문을 열어주는 방식의 전면 교체다. 미국 실리콘밸리 보안업체인 시냅틱의 세바스챤 타보 연구원은 “2000년이 넘는 시간 동안 우리는 한 가지 방법만 사용했다. 그럴듯한 옷을 입고 암호만 제대로 대면 어려움 없이 요새에 침투할 수 있었다”며 “이제는 새로운 방식이 필요하다”고 말했다.
1. 인체
시냅틱은 새로운 해법을 인체에서 찾고 있다. 타보 연구원은 “우리는 손가락이 어디에 붙어있는지 목소리가 어떤지 몰라도 되지만, 이는 가장 강력한 개별 인식장치”라고 말했다. 그는 “집을 나설 때 지갑이나 핸드폰을 깜박할 수 있지만 당신 자체를 두고 오지는 않을 테니, 분실 우려도 없는 보안장치”라고 덧붙였다. 실제로 이 회사가 개발한 지문인식 시스템은 삼성전자의 최신 스마트폰 기종인 ‘갤럭시 S5’에 장착됐다.
디지털 문신도 비슷한 해법이다. 미국 비보링크(VivoLNK)사가 휴대폰 인증을 위해 개발한 손목에 붙이는 방식의 ‘디지털 문신’이 대표 사례다. 디지털 문신은 5센트 동전만한 크기에 종이 한 장 두께인데, 손목에 붙이고 다니는 것 만으로 스마트폰 잠금 장치를 열고 풀 수 있다. 다만 보안 유지비용이 비싼 것이 문제로 지적된다. 디지털 문신의 효력은 5일 동안 지속되는데, 1개월 동안 쓸 수 있는 10개들이 포장이 1만원(9.99달러) 가량 가격에 팔리고 있다.
2. 소형 드라이브
모든 사람들이 생체인식에서 새로운 보안체계의 해법을 찾으려고 하는 건 아니다. 미국 유비코사의 창립자인 스티나 에른바드는 “개인적 특성에 따라 지문이 없거나 음성 인식이 불가능한 경우에는 생체인식 기술은 무용지물”이라고 지적했다. 또 “지문, 음성 등 생체정보가 도난 당했을 경우에는 더욱 큰 문제가 생길 것”이라고 우려했다. 비밀번호는 바꾸면 되지만, 지문과 음성은 바꿀 수 없기 때문이라는 것이다.
유비코사는 USB 방식의 소형 드라이브가 대안이라고 주장한다. 모든 기종의 컴퓨터에 통용될 수 있는 드라이브에는 44개의 암호화된 정보가 입력돼 해킹이 원천적으로 불가능하다. 에른바드는 “군에서 쓰이는 보안체계보다 낫다”며 “온라인 보안 문제가 심각해질수록 유비키와 같은 장치의 사용이 확산될 것”이라고 말했다.
3. 암호를 복잡하게
라스트패스나 스티키패스워드와 같은 보안 회사들은 ‘온고지신’(溫故知新) 방식을 추구한다. 일반 사용자들은 예전처럼 간단한 비밀번호만 입력하지만, 이들 업체들이 개발한 보안시스템을 거치면서 외부 유출을 막는 복잡한 암호로 바뀌도록 하는 방식이다.
체코 회사인 스티키패스워드의 보안전략 담당자 라리 브리드웰은 “많은 전문가들이 수년간 비밀번호 체계를 바꾸려 했지만 아직 성공하지 못했다”고 말했다. 그는 “우리가 개발한 이중인증체제는 기존의 비밀번호뿐 아니라 새로운 코드를 필요로 하며, 곧 세계의 새로운 보안 체제가 될 것”이라고 주장했다.
미국 버지니아주에 본부를 둔 라스트패스가 채택한 방식도 유사하다. 겉으로는 일반 사용자들이 기존 비밀번호를 사용하되, 자체 개발한 시스템으로 온라인에 접속하고 빠져 나올 때마다 실제 암호는 훨씬 복잡하고 수시로 바뀌도록 한다는 것이다.
박경균 인턴기자(서울시립대 영어영문학 4)
기사 URL이 복사되었습니다.
댓글0