The end of passwords

비밀번호의 종말

마침내 기업들이 안전하지 않은 것으로 악명 높았던 영문과 숫자를 조합하는 알파뉴메릭(alphanemerics) 방식에서 다른 인증 방식으로 전환하고 있다.

핵심 플레이어: 마이크로소프트, 구글, 옥타(Okta), 듀오(Duo)

실용화 시기: 현재

1960년대 초 페르난도 코르바토(Fernando Corbató) MIT 교수는 새로운 종류의 공유 컴퓨터 시스템을 개발하면서 개인 문서를 보호할 수 있는 방법을 고민했다. 그러다 그가 찾아낸 방법이 비밀번호였다. 이후로 비밀번호는 다른 인증 수단들을 밀어내고 거의 모든 곳에 접속할 때마다 사용하는 표준 방식이 되었다. 그런데 여기에 함정이 존재한다. 비밀번호는 본질적으로 안전하지 않다. 비밀번호를 도난당하거나 추측해서 맞추는 게 가능하다. 심지어 무차별 대입으로 풀 수도 있다. 또한 사람들은 대체로 보안성이 떨어지는 비밀번호를 사용하는 것은 물론이고, 설상가상 여기저기서 똑 같은 비밀번호를 사용한다.

대시레인(Dashlane)이나 원패스워드(1Password) 등의 비밀번호 관리업체는 다양한 알파뉴메릭을 추적할 수 있고, 심지어 취약한 비밀번호를 다른 비밀번호로 대체할 수도 있다. 그러나 보안에 관한 한 비밀번호 관리는 반쪽짜리 조치이다. 진정한 해결책은 비밀번호를 완전히 없애는 것이다. 

이미 이 과정이 진행되고 있다. 구글과 같은 개인 신원 제공 사이트뿐 아니라 옥타와 듀오 같은 기업 기반 회사들은 비밀번호 입력 없이 앱과 서비스에 로그인하는 방법을 제공한다. 애플의 안면 인식 시스템은 생체인식 로그인을 주류로 올려놨다. 특히 마이크로소프트는 2021년 3월 일부 사용자들이 비밀번호를 완전히 사용하지 않을 수 있다고 발표하였으며, 9월에는 사람들에게 비밀번호를 완전히 삭제하라고 말하며 그 움직임을 이어갔다. 다른 인증 방법이 마침내 승리하고 있는 것이다.

이 글을 읽는 독자들도 이미 경험해봤겠지만 우리는 이제 사이트에 로그인하거나 앱을 실행할 때 비밀번호 입력 메시지 대신 인증 앱에서 여섯 자리 코드를 입력하라는 메시지를 받거나, 휴대전화의 알림을 누르거나, 이메일로 전송된 링크를 클릭한다. 혹은 휴대전화를 얼굴까지 올리기만 해도 된다. 식은 죽 먹기다. 

여러 문자와 기호를 입력하기 위해 기억해내거나, 적어두거나, 데이터베이스에 저장해야 하는가? 이 모든 것에서 해방될 날이 머지않았다.

By 맷 호난(Mat Honan)

미리보기 3회1회

MIT Technology Review 구독을 시작하시면 모든 기사를 제한 없이 이용할 수 있습니다.