매일 같이 스트레스를 주는 것 중에 하나가 비밀번호죠. 수많은 사이트들이 비밀번호를 입력해서 접속을 하게 합니다. 문제는 여러 사이트들의 비밀번호 규칙이 다릅니다. 어디는 대소문자에 특수문자 넣어야 생성 가능하고 어디는 8자 이상 16자 이하라고 요청하고요.
이러다 보니 자주 들어가는 곳은 비밀번호를 기억하지만 1년에 한두 번 또는 1달에 한 번 들어가는 사이트는 비밀번호를 까먹어서 비밀번호 찾기로 찾습니다. 이러다 보니 비밀번호를 하나로 통일하게 되고 그러다 보니 한 사이트 해킹해서 비밀번호 획득하면 다른 사이트도 해킹이 되는 문제가 발생하고 있습니다.
이 비밀번호 인증 시스템은 정말 구닥다리고 보안에도 취약합니다. 누가 내 아이디와 비밀번호를 훔쳐가면 그냥 내 정보 싹 다 털리게 되잖아요. 그나마 금융 거래를 하기 위해서는 2차 인증 예를 들어서 휴대폰 문자 인증 등을 해야 해서 그나마 낫지만 금융 거래가 없는 사이트들은 해킹을 당해도 모르는 경우가 많습니다.
그나마 네이버는 나 몰래 누군가가 접속시도하거나 접속하면 알림으로 알려주지만 네이버 같은 곳은 극히 일부입니다. 그래서 이 비밀번호 인증 제도를 바꿔야 한다는 소리가 많았습니다. 너무 너무 너무 너무 불편합니다. 그래서 접속하려고 했다가 비밀번호가 틀려서 접속을 포기하고 그냥 그 서비스를 안 쓰게 되는 경우도 많습니다.
비밀번호 입력 없이 접속 가능한 구글 패스키
구글이 패스키 도입을 공식화 했습니다. 오늘 구글 접속을 하니 패스키 사용하기를 권하는 내용에 패스키를 사용해 봤습니다. 우리가 사용하는 문자 입력 방식의 비밀번호는 패스워드로 텍스트를 입력해야 하는 방식이었죠. 그런데 여러 사이트들이 요구하는 패스워드 기본 규칙이 달라서 패스워드를 까먹을 경우가 참 많죠.
이는 사용자들의 고통을 전혀 생각하지 않고 웹 서비스에 대한 보안만 강조하는 철저히 공급자 위주의 정책이라고 볼 수 있습니다. 그럼 사용자들은 그 서비스를 덜 사용하거나 안 사용하게 됩니다. 이런 문제점을 개선한 것이 패스키입니다. 패스워드 대신 key로 인증을 하는 방식입니다.
그럼 key는 뭐냐. 뭘로 텍스트 비밀번호를 대체하냐고 할 수 있는데 이미 우리가 사용하고 있는 지문인식, 얼굴인식을 사용하고 PC에서는 MS 윈도의 PIN 코드를 통해서 인증을 합니다. 그렇다고 이게 기존 지문인식과 얼굴인식과 동일한 것은 아닙니다. 기존의 지문인식, 얼굴인식은 1단계 인증은 여전히 패스워드를 사용하고 지문이나 얼굴 인증을 통과하면 스마트폰이 그 패스워드를 대신 입력해 주는 방식입니다.
그러나 패스키는 1단계 인증인 패스워드 자체를 없애 버리고 2단계 인증에서 사용하는 문자 인증 시스템을 1단계로 바로 내려 버린 역할을 합니다. 또한 기존 패스워드 방식은 기기와 상관없이 아이디와 비밀번호를 알면 어느 곳에서 어느 기기에서 언제나 접속 가능하죠. 그래서 아이디와 비밀번호를 해킹을 당하거나 빌려주면 다른 곳에서 내 친구나 내 가족이 이용할 수 있습니다.
그러나 패스키는 다릅니다. 우리가 사용하는 PC와 스마트폰마다 주민등록번호 같은 기기식별번호가 있습니다. 보통 랜카드의 맥어드레스가 그 역할을 합니다. 이렇게 기기식별번호를 이용해서 암호화된 개인 식별 키를 가지게 됩니다. 이 키는 누가 훔쳐가도 그 기기가 아닌 다른 기기에서 사용하면 기기 번호가 다르기에 사용할 수 없습니다. 물론 맥 어드레스나 기기 식별번호까지 위변조하는 기술로는 털릴 수 있지만 쉽지 않습니다.
피싱 유도 메일로 부터 내 네이버 아이디와 비번 털어가는 걸 막을 수 있는 패스키
또한 이 패스키가 좋은 점은 피싱 사이트로부터 사용자를 보호할 수 있습니다.
요즘도 많이 날아오는 피싱 메일 많이 날아옵니다. 특히 네이버 계정 탈취를 목적으로 한 다양한 피싱 메일이 오죠. 국세청 환급금 메일에 네이버 계정이 털렸다는 네이버 사칭 메일에 각종 피싱 메일이 날아옵니다. 그 피싱 메일의 링크를 누르면 위와 같은 네이버 접속창이 뜹니다. 이미 네이버에 접속해서 메일을 보고 있는데 네이버 접속창이 뜨는 자체가 이상하지만 대부분 잘 모릅니다. 그냥 네이버 아이디 비번 입력하죠. 그럼 첫번 째는 무조건 틀렸다고 나옵니다. 그래야 제대로 또박또박 입력하니까요.
그렇게 두번 째 또박또박 입력하면 그 내용 전체가 해커 서버로 전송되고 한 순간에 내 네이버 계정 아이디와 비번 털리게 됩니다. 이걸 방지하려면 2단계 인증 설정등을 해야 하지만 원초적으로 네이버가 비밀번호가 없는 서비스를 만들어야 합니다. 그래서 구글 패스키 사용을 네이버도 하루 빨리 따라해야 합니다. 패스키는 저장하는 비밀번호가 없기에 털릴 위험도 없습니다. 비밀번호가 없는데 어떻게 털어가요. 패스키 정보를 털어간다고 해도 내가 사용하는 스마트폰이나 pc가 아닌 곳에서 접속하려면 접속 자체가 안 됩니다. 무용지물이에요.
그래서 패스키가 패스워드보다 더 강력한 보안체계라고 하죠. 물리적 보안이 되니까요. 그 기기 아니면 다른 곳에서 사용할 수도 없고요. 이 패스키를 주도하는 기업은 구글, MS사, 애플로 다 해외 유명 IT기업으로 한국의 네이버나 다음은 아무런 말도 없네요.
다른 PC에서 구글 계정 접속하려면 어떻게 하나?
그런데 이 패스키도 고민이 좀 있습니다. 내 스마트폰에서 구글 접속, 내 PC에서 내 노트북에서 구글 접속을 주로 하지만 남의 PC 예를 들어 PC방이나 공용 PC에서 구글 접속을 해야 할 경우는 어떻게 할까요? 기기 기반이라서 물리보안이 뛰어나지만 다른 디바이스에서 접속해야 하는 극히 일부의 경우 문제가 될 수 있죠.
이에 QR코드 접속이나 블루투스 통신을 이용한 접속으로 할 수 있습니다. 네이버의 QR코드 접속이 그런 형태가 될 겁니다. 잠시 로그인 할 수 있게 스마트폰으로 QR코드를 촬영한 후에 나오는 숫자를 입력하면 PC에서 로그인이 됩니다.
그리나 구글은 이거 말고 구글 Authenticator라는 이중 인증 전용 앱을 통해서 접속 가능합니다.
최근 에버노트 서비스 이용하려고 하닌 구글 패스키 이용하라고 하기에 뭔가 하고 했더니 구글 Authenticator 이중 인증 전용 앱 설치하고 그거 누르면 나오는 6자리 숫자를 입력하라고 하더라고요. 1회용 패스워드인가 봅니다. 이런 식으로 다른 기기에서 잠시 구글 접속을 할 때는 이런 Authenticator 앱을 통해서 접속할 수 있습니다.
구글 패스키 설정
구글 패스키 설정은 쉽습니다. 그냥 안내대로 따라 하면 됩니다.
자동으로 생성된 패스키는 제 스마트폰과 PC에서 만들어 놓았네요. 오른쪽 상단 패스키 사용을 체크하세요.
패스키를 사용하기 위해서 본인 인증을 합니다. 기기에서 지문, 얼굴, 화면 잠금을 요청할 수 있고 이걸 이용해서 패스워드 대신 편리한 패스키를 사용할 수 있습니다.
윈도우에서는 PIN 코드로 인증을 하네요. 이 PIN 코드는 윈도우의 보안 시스템으로 제가 설정한 윈도우 비밀번호를 입력하면 됩니다.
복구 이메일 확인 설정만 하면 끝
테스트로 해보기 위해서 일부러 구글 계정 로그 아웃을 하고 다시 접속을 하니 비밀번호 대신 윈도우 PIN 번호 입력창이 뜨네요. 입력 후에 바로 접속이 되네요. 이 구글 패스키 시스템을 도입하는 많은 사이트들도 비밀번호 대신 윈도우 PIN번호만 입력하면 모두 접속이 가능하고 웹사이트별로 다른 비밀번호를 생성하고 접속하는 번거로움이 사라집니다.
아니면 구글 Authenticator 이중 인증 전용 앱을 통해서 1회성 비밀번호 생성후 접속 후에 바로 사라지는 1회용 비밀번호로 접속할 수 있게 되겠네요. 매일 같이 비밀번호 분실해서 스트레스받았는데 구글, 애플, MS 외국 IT 3 대장이 소비자를 위해서 앞장서네요.
