B-4 2025 년 11 월 14 일- 2025 년 11 월 20 일 재정 / 교육

< 김선영 기자 > 암호 열쇠 덕분에 비밀번호를 다시는 기억 할 필요가 없다. 애플과 구글은 사용하는 비 밀번호 중 몇 개에 대해 주의가 필요하다고 알려준다. 그들 중 일부는 재사용되었고 일부는 데이 터 유출에 휘말렸으며 일부는 잘못된 암호일 뿐이다. 이런 불편함 때문에 지난 11년 동안 피도협의체( FIDO Alliance) 라는 그룹이 암 호를 없애기 위해 노력해 왔다.‘ 신속한 온라인 증명( Fast IDentity Online)’ 의 약자인 FIDO는 계정에 더 안전하게 로그인할 수 있을 뿐만 아니라 이름에서 알 수 있듯이 더 빠르고 쉽게 로그인할 수 있기 를 원한다. 아마존( Amazon), 애플( Apple), 구글( Google), 메타( Meta) 등 온라인 경험 의 설계자가 회원사로 가입되어 있기 때문에 FIDO 얼라이언스도 이를 달성할 수 있는 위 치에 있다.

알게 모르게 비밀번호의 번거로움을 해소 하려는 노력은 이미 온라인에서 모든 것에 로 그인하는 방식을 계속 변화시키게 만들었다. 예를 들어, 몇 년 전에 훨씬 더 많은 사이트에 서 다단계 인증이라는 것을 요구하기 시작했 고, 이는 사이트에서 사용자를 확인할 수 있 도록 휴대폰으로 코드를 문자로 보내는 것과 같이 로그인 프로세스에 추가 단계를 추가하 는 작업이었다. 이것은 FIDO가 한 일이었다. 그러나 수년 동안 로그인을 더 어렵게 만들 지만 더 안전하게 만든 후, 이 협의체는 최근 플랫폼과 사람들 모두가 암호를 완전히 없앨 수 있는 기술, 즉 암호 열쇠를 채택하도록 하 기 위한 주요 작업을 추진하기 시작했다. 암호 열쇠는 암호를 사용하지 않고 웹 계정

에 로그인하는 데 사용할 수 있는 새로운 종 류의 자격 증명이다. 이 새로운 인증 표준은 새롭고 더 간단하지만 더 안전한 워크플로우 를 도입해 암호를 무의미하게 만들고 있다. 암호 열쇠는 사용자 측과 웹 사이트 측에 있 는 두 개의 암호화된 파일로 생각할 수 있다. 열쇠와 잠금 장치와 마찬가지로 하나가 다른 하나와 일치할 때 계정에 대한 액세스를 열 수 있다. 암호 열쇠는 복사하거나 피싱할 수 없다. 웹 사이트에 대한 암호 열쇠를 설정한 후에는 휴대폰의 잠금을 해제하는 것과 동일 한 방식으로 얼굴, 지문 또는 핀( PIN) 을 사용 해 로그인할 수 있다. 이 프로세스는 매우 빠르고 친숙해 이미 구 글과 아마존과 같은 사이트에서 암호 열쇠를 사용하고 있는 것으로 보인다. 머지않아 암호 열쇠를 모두 사용할 것으로 전망되며 비밀번호는 평화롭게 잠자게 된 것 이다.

비밀번호의 문제 항상 비밀번호를 넣어야 사이트에 로그인이 되는 것은 아니었다. 컴퓨터 초창기에는 컴퓨 터가 방 전체를 차지하고 여러 사람이 조작해 야 했기 때문에 암호가 필요하지 않았다. 그 러나 사람들이 이런 시스템을 공유하기 시작 하자 암호는 개인 컴퓨팅의 핵심이 되었다. 1960 년대 초, MIT 의 연구원들은 호환이 가

능한 시간 공유 시스템( Compatible Time- Sharing System) 이라는 거대한 컴퓨터를 만 들었다. 이 선구적인 기계는 이메일과 파일 공유와 같은 것의 개발로 이어졌다. 여러 사람이 한 번에 자신의 프로젝트에서 작업할 수 있었기 때문에 프로젝트 책임자인 페르난도 코르바토( Fernando Corbató) 는 사 람들이 시스템에 개인 파일을 보관할 수 있는 방법을 고안했다. 그는 연구원들이 계정을 설정하고 고유 한 문자열로 액세스할 수 있도록 했고, 그렇 게 해서 비밀번호가 탄생했다. 세월이 흘러 20104 년 코르바토는 불행히도 비밀번호는 일 종의 악몽이 되었다고 언급했다.

비밀번호는 전혀 비공개가 아닌 것으로 나 타났다. MIT 연구원들은 동료의 비밀번호를 훔치고 장난을 칠 수 있는 방법을 빠르게 알 아냈다. 수십 년 후, 사람들은 수백 개의 온라 인 계정을 보호하기 위해 수백 개의 암호를 사용하고 있다. 때로는 모든 계정에 동일한 암호를 사용하고 있다. 그야말로 악몽이다. 암호는 잊어버리기 쉽 고 재설정하기 어려울 수 있다. 해커가 여러 개를 추적하는 것이 번거롭기 때문에 사용하 는 하나의 암호를 훔치면 모든 계정에 로그 인해 돈을 훔치고 일반적으로 혼란을 일으킬 수 있다.

또한 해커는 사람들의 신원을 훔치기 위해

한 번에 수백만 개의 암호를 훔칠 수 있다. 피 싱 공격은 악의적인 행위자가 누군가를 속여 로그인 자격 증명을 포기하도록 하는 것으로, 대량의 민감한 데이터에 액세스할 수 있는 특 히 교묘한 방법이다. 이런 데이터 침해는 실제로 2013 년 기술 회 사, 은행 그리고 정부로 구성된 컨소시엄이 계정을 보호하는 더 나은 방법을 고안하기 위 해 힘을 합쳐 FIDO 를 설립하게 된 계기가 되 었다. 이런 노력은 기본 비밀번호 위에 보안 계층을 추가하는 것으로 시작되었다. 다단계 인증은 약 10 년 전에 주류가 되었다. 이로 인 해 보안이 향상되었지만 실제로는 고통이 가 중되었다. 그 이후로 훨씬 더 복잡한 로그인 루틴을 보 게 되었다. 암호에 대한 요구 사항은 더욱 복 잡해졌다. 12 개의 문자, 대문자와 소문자, 특 수 문자 등을 조합해야 하고 그것을 기억해야 한다는 것은 더욱 고통이다. 마비될 정도로 길고 복잡한 암호를 입력한 후에도 다른 장치 에서 푸시 알림을 받아 노트북에서 본인임을 확인할 수 있다. 혹은 이메일로 마법의 링크 를 받을 수 있다. 그리고 QR 코드가 포함될 수도 있다. 이런 모든 방법은 오히려 피싱 시도에도 취약하다. 문제를 해결하려면 문제의 근원에 정확히 접 근해야 한다. 암호 문제를 해결하면 실제로 데이터 유출 문제를 해결할 수 있다는 점에서 이는 최대 장점으로 꼽힌다.

암호 열쇠 솔루션 암호 열쇠는 비밀번호로 인해 발생하는 많 은 문제를 해결할 것을 약속한다.

▶6 면에 계속