ABOUT ME

-

Today
-
Yesterday
-
Total
-
  • 비밀번호의 미래
    정보기술 2020. 7. 7. 05:51

    왜 아직도 비밀번호를 사용하는가?
    대부분의 사이버 공격과 데이터 침해는 취약한 암호 보안의 결과로 남아 있다.  그렇다면, 점점 더 많은 안전한 대안들이 현재 이용 가능한 상황에서, 왜 그것들은 여전히 널리 사용되는가?

     

    암호를 사용하여 온라인 생활에 액세스 하는 것은 흔한 경험이며, 수행자의 불만도 마찬가지다.  사이버 보안은 더 복잡한 수식을 요구한다.  암호는 반드시 최소 길이, 대문자, 숫자 또는 특수 문자를 사용할 수 있다. 암호는 약간 다른 암호로 업데이트하거나 이전에 사용했던 암호로 다시 업데이트해야 한다는 일반적인 주장이 있다.

    옥스퍼드 대학의 사이버 보안 연구원인 마리암 누는 "비밀번호에 관한 좋은 점은 비밀번호가 사용하기 쉽고, 손상되면 교체하기 쉽다는 것이다"라고 설명한다.  "호환성 문제는 없다. 여분의 하드웨어는 필요 없다. 그리고 기업들은 그들의 사용이 비용 효율적으로 구현될 수 있기 때문에 그들을 좋아한다.  하지만 문제는 그들이 그렇게 많은 방법으로 타협할 수 있다는 것이다."

    확실히, 사이버 보안 침해에 대한 시도는 점점 더 정교해질 수 있지만, 사실은 비밀번호가 인간의 심리학이나 더 구체적으로 기억력에 대항한다는 것이다.  암호 볼트 소프트웨어가 증가하는 한 가지 이유로는 보안 번호 없이 개인이 보유할 수 있는 개별 암호만 있을 뿐이다.

    그 결과는, 가능하면, 친숙하고 감정적으로 중요한 구절을 사용하는 것으로, 이것은 인간이 많은 것을 기억하는 방법 뒤에 있는 동일한 메커니즘을 이용하는 것이다.  그러나 친숙한 것은 해커들이 암호를 해독하는 것을 더 쉽게 만든다.

     

     


    개인 데이터 노출

    비밀번호 관리 회사인 LastPass와 Lab42의 2018년 조사에 따르면 응답자의 59%가 복수 계정에 걸쳐 동일한 비밀번호를 사용하고 있다.  대다수의 사람들은 해킹을 당했을 때만 비밀번호를 갱신하는 번거로움을 겪을 것이다. 결국, 그들은 그 시점까지 안전해 보인다.  그러나 버라이즌의 2019년 조사에 따르면 해킹과 관련된 보안 침해의 80%는 취약하거나 손상된 자격 증명의 결과라고 한다.

    우리는 한동안 비밀번호를 사용하려고 한다.  왜냐하면, 보안의 관점에서 볼 때, 시스템 전체가 너무 복잡하기 때문이다.

    2012년 LinkedIn이 데이터 침해로 인해 약 1억 1천7백만 개의 암호가 손상되었을 때, 상당수는 다소 명백한 것으로 밝혀졌다. 수십만 번 사용한 것 중에는 「123456」, 「linkedin」, 「password」 등이 있었다.

    LogMeIn의 제품 책임자인 Rachel Stockton은 "암호를 사용해야 한다는 것을 아는 방법과 실제로 사용하는 방법 사이에는 많은 불협화음이 있다"라고 말했다. 그리고 그것은 단지 기억의 문제가 아니다. "많은 고객이 단순성, 시간 낭비 감소, 생산성 향상을 추구하고 있다. 그리고 우리는 패스워드 관리에 있어 더 많은 단순성을 필요로 할 것이다. 왜냐하면 우리가 인터넷에서 사용하는 계정의 수는 증가할 것이기 때문이다."라고 그녀는 말한다.

     

     

     

     

    데이터 보안에 대한 교육

    우리들 대부분은 패스워드에 별로 노력을 하지 않는다는 것은 단지 우리의 잘못이 아니다.  논쟁의 여지없이 보안 소프트웨어 설계는 인간의 심리를 고려하지 못했다.

    인증 소프트웨어 판매업체인 녹록랩스의 롤프 린데만 부사장은 "암호 사용법을 소비자에게 교육하는 데 업계가 제대로 이뤄지지 않았다"라고 말했다.  "결과적으로 이런 보안과 편의의 절충이 있다. 그게 딜레마다."

    그리고 특히 대부분의 웹사이트들이 여전히 비밀번호를 사용하고 있다는 점을 감안하면 말이다.  현재 약 3,000억 개의 활성 비밀번호가 있는 것으로 추정된다.  심지어 온라인에서 패스워드를 처음 사용한 사람 페르난도 코르바토조차도 이 상황을 "일종의 악몽"이라고 표현했다.

    새로운 종류의 비밀번호가 제안되었다.  사람들은 단어를 기억하는 것보다 사진을 더 잘 인식하기 때문에, 소위 그래픽 패스워드는 사용자가 특정한 순서대로 이미지 상의 특정 지점을 클릭하도록 요청한다.  가능한 점의 수는 기본적으로 각 사용자의 순서를 예측할 수 없게 만든다.  이 접근법의 효험은 여전히 해결되고 있다.

    그러나 특허받은 다수의 사이버 보안 발명품을 보유하고 있는 미국 스타트업인 StrikeForce Technologies의 공동 창업자인 조지 월러와 같은 사람들은 비밀번호가 문제가 아니라고 주장한다.  비록 그는 대부분의 온라인 사업체들이 전형적으로 소비자들에게 그들의 사이트에 접근하기 위해 최소한의 저항의 길을 제공하기를 원한다고 지적한다.  문제는 비밀번호가 서버에 배달된다는 것이다.

    "궁극적으로, 그것은 실제로, 또는 당신이 그들의 사용에 대해 더 엄격한 정책을 시행하는지 아닌지의 문제가 아니다. 일반적으로 키 입력 단계에서는 암호화가 이루어지지 않고 암호 입력을 시작할 때부터 데이터가 전송 중이기 때문에 입력하는 것은 그다지 중요하지 않다"라고 그는 말했다. "보안 관점에서 볼 때, 밖에 있는 시스템 전체가 너무 복잡하기 때문에 우리는 꽤 오랫동안 암호를 사용할 것이다."


    암호의 미래

    그렇다면 암호는 특히 사물 인터넷의 출현을 고려할 때, 사이버 보안 침해를 더욱 광범위하게 만드는 것처럼 보이는 미래는 없는 것일까? 옥스퍼드 대학의 Nouh는 "암호가 완전히 사라지지는 않겠지만, 대중을 사로잡기 위한 합리적인 수준의 보안을 제공하면서, 여전히 사용하기 편리해야 하지만, 보다 다요소적인 인증을 기대해야 한다고 생각한다"라고 말한다.

    이러한 계층화된 보안 접근법은 암호와 달리 완전하게 안전하지 않고 도난당했을 때 대체 불가능한 생체 인식의 형태로 나올 것 같지 않다. 아니면 적어도 생체인식만은 아니다. 린더만은 보안 사이트에 접속할 경우 우리를 식별하기 위해 사용할 수 있는 장치에 연결해야 한다고 주장했다. 그리고 이것은 우리들 대부분이 이미 휴대하고 있고, 어쨌든 인터넷에 접속하기 위해 점점 더 많이 사용하는 장치인 스마트폰이다.

    우리는 보안 업무를 할 때 확인 문자 메시지를 받는 것에 점점 익숙해지고 있다. 그러나 이제 그러한 장치들은 지문이나 얼굴 인식 시스템도 작동한다. 불과 5년 전만 해도 고급 고가의 전화기에 국한된 기능들은 점점 더 보편화되고 있으며 쉽게 구입할 수 있는 가격이 책정되고 있다.

    지난해 마이크로소프트가 윈도 10 운영체제를 출시한 이후 이 같은 암호 없는 인증이 데스크톱에도 들어오기 시작했다. 기기 지리 위치(사용자가 그러한 정보를 공유할 의향이 있는 경우)는 잠재적으로 또 다른 추가 보안 계층이다.

    실제로, 어떤 의미에서 이 보다 효율적인 기기 주도 제안은 ATM이 PIN 번호와 실제 은행 카드를 모두 필요로 하는 방식과 유사하다. 또는 예를 들어, 에스토니아는 모든 시민들에게 개인의 디지털 ID를 인증하기 위해 고안된 칩-핀 전자 카드를 제공하는 전자 ID 시스템을 개발했다.

     

     

     

    계정 액세스 간소화

    린더만은 "이러한 기기를 올바른 방식으로 일관성 있게 활용할 수 있는 것은 사용자가 자신의 생체 인식(제삼자에게)을 신뢰하는 것이 불편할 경우 PIN을 사용할 수 있지만, 특정 장치에 대한 ID를 연결하는 기능인 일탈에 대한 신뢰도가 낮을 경우 PIN을 사용할 수 있다"라고 말했다. 우리는 필요한 드문 경우에 대해 소유하지 않는다. 이는 사람들이 사이트를 확보한 기업과의 보다 쉬운 관계를 원하기 때문이며, 사용 편의성이 기업에도 더 좋기 때문이라고 말했다.

    앤드류 시키아가 동의한다. 그는 미국 익스프레스, 아마존, 구글과 같은 대기업들이 지금까지 지원하고 있는 기기 간 보안 상호운용성을 해결하기 위해 산업 표준을 만드는 것을 추진하는 기술 보안 회사들의 컨소시엄인 FIDO Alliance의 전무이사다.

    "암호는 데이터 침해 문제의 창끝"이라고 시키아는 말한다. "그러나 근본적인 문제는 [온라인 보안] 아키텍처 그 자체다. 기기 사용은 더 나은 사용자 경험을 제공할 뿐만 아니라 – 사람들은 이미 생체 인식 장치를 사용하여 전화기의 잠금을 해제하는 데 익숙하다 – 그것은 확장 가능한 사이버 공격을 없앨 것이다. 행동 변화가 필요하겠지만 비밀번호에 대한 의존도를 깨야 한다고 말했다.

    그는 곧 그렇게 될 것이라고 장담하고 있다. 그는 온라인 소비자 서비스의 대다수가 5년 이내에 패스워드 없이 접속할 수 있는 수단을 갖게 될 것이라고 생각한다.

    댓글

Designed by Tistory.