Breaking
국제 범죄(International Conflict)
마이크로소프트, ID나 암호 없이 로그인 가능한 USB 보안 키 지원
2019-05-28 23:57:30
허서윤
▲소프트웨어 회사 마이크로소프트는 사용자가 ID나 암호 없이 로그인할 수 있는 USB 보안 키를 지원한다(사진=ⓒ플리커)

[라이헨바흐=허서윤 기자] 미국 기술 기업 마이크로소프트(MS)가 USB 보안 키 지원을 발표했다. MS 계정 보유자들은 이제 ID나 패스워드 없이 자신의 계정이나 컴퓨터 등에 로그인할 수 있다.

MS 계정에 안전하게 로그인하는 방법

이 기술은 사용자가 MS 계정에 더 안전하게 로그인하도록 도와준다. 새로운 보안 기능은 빙(Bing), 엑스박스 라이브(Xbox Live), 스카이프(Skype), 원드라이브(OneDrive), 아웃룩(Outlook) 및 오피스 제품 등 다양한 MS 서비스를 지원한다. 

MS는 페이티안 바이오패스(FEITIAN Biopass)나 유비키(Yubikey) 등 잘 알려진 보안 키를 사용자들에게 제공할 것이라고 덧붙였다. 유비키는 하드웨어 인증 장치로서 1회용 비밀번호, 공개 키 암호화 등을 지원한다.

▲MS의 새로운 보안 기능은 엑스박스를 비롯해 MS의 모든 제품에 적용될 것이다(사진=ⓒ위키미디어 커먼즈)

USB 보안 키

USB 보안 키란 기기나 계정 등에 로그인할 수 있는 모든 정보가 USB에 입력돼 있는 것을 말한다.

MS의 보안 담당 부사장인 롭 레퍼츠는 ID 및 비밀번호를 사용하는 현행 방식이 사람들에게 나쁜 영향을 미친다고 말했다. 이 방식안 사이버 공격자가 해킹을 시도하기 가장 쉬운 방법이기 때문이다. 

해커가 일단 피해자의 ID와 비밀번호를 손에 넣는다면, 이 해커는 해당 인물의 비밀번호 등을 임의로 바꾸거나 계정을 삭제할 수 있다.

▲USB 보안 키를 사용하려면 우선 USB 드라이브에 보안 키를 다운로드한 다음 그것을 컴퓨터로 전송해야 한다(사진=ⓒ위키미디어 커먼즈)

비밀번호 없는 미래 생활

MS는 비밀번호를 없애는 데 앞장서고 있는 기업이다. 이들은 '윈도우 헬로' 서비스의 일부로 생체 인식 옵션을 활용할 것을 권장한다. 생체 인증은 인증 보안을 강화하고 사용자를 잠재적인 스푸핑으로부터 보호한다. 또 MS는 애저 ID 등을 이용해 다중 요소 인증 방법을 허용하고 있다.

구글의 모회사 '알파벳' 또한 지메일 서비스를 강화하기 위해 키 기반 서비스를 제공한다. 하지만 이 경우 사용자는 보안 키와 비밀번호를 함께 사용해야 한다. 애플은 보안을 강화하기 위해 얼굴 및 지문 인식 등의 솔루션을 지원한다.

CNBC에 따르면 보안 키 방식은 '피도(Fast Identity Online, FIDO)' 얼라이언스에서 지원하는 3개 회사에서 모두 사용된다. 이것은 모바일 서비스 및 웹 사이트에서 보다 안전하고 간단한 사용자 인증 경험을 제공하는 표준 방식으로서 확장 가능하다. 지난 5년 동안 FIDO는 사용자 ID나 비밀번호에 의존하지 않는 다양한 기술을 지원했다.

FIDO 얼라이언스의 회원사에는 미국계 다국적 투자 및 금융 서비스 회사 JP 모건 체이스, 구글, 투자 은행 골드만 삭스, MS, 아마존 등이 포함된다.
 

 

표준 기반 FIDO2 보안 키

더버지에 따르면 작년 10월 10일 윈도우 10 10월 업데이트를 사용하는 사람들은 FIDO2를 지원하는 페이티안 또는 유빅의 물리적 보안 키를 설정할 수 있다.

FIDO2 프로젝트는 FIDO 생태계를 확장하는 일련의 이니셔티브다. FIDO2는 월드와이드웹 콘소시움의 CTAP(ClientAuthenticator Protocol)와 웹오센티케이션 API 등으로 구성된다. 웹오센티케이션은 SMS 텍스트 또는 비밀번호 대신 공개 키 암호화 방식을 수행한다. 또 2차 인증을 지원해 데이터 침해 및 피싱과 관련된 보안 문제를 해결한다.

MS는 에지 브라우저에서 웹오센티케이션을 지원한다고 발표했고 크롬과 파이어폭스도 뒤이어 비밀번호 없는 인증을 도입한 바 있다. 지문 인식 장치 또는 윈도우 헬로 웹캡이 구축된 장치에서 윈도우 10 시스템을 연결하고 계정을 설정하면 더 이상 로그인할 때 비밀번호를 입력할 필요가 없다.

MS의 CIO 브렛 아스노는 "나는 비밀번호 사용을 없애기 위한 임무를 수행하고 있다"고 말했다. 아스노에 따르면 평범한 사람들은 평균적으로 27개의 온라인 계정을 보유하고 있다. 즉 27개의 ID와 그에 따른 비밀번호를 보유하고 있는 셈이다. 

그런데 이 모든 계정의 ID와 비밀번호를 다르게 설정한다면 기억해내는 데 애를 먹을 것이다. 요즘에는 영대소문자, 숫자, 특수기호가 포함된 8자리 이상의 복잡한 비밀번호를 사용해야 하기 때문이다. 그래서 대부분의 사람들은 여러 계정의 ID와 비밀번호를 통일하거나 최대한 간단한 것으로 만든다. 이럴 경우 사이버 보안 위협이 커지게 된다.

아스노는 MS에 근무하는 직원중 약 3분의 2가 생체 인식기를 사용에 네트워크에 로그인하고 있다고 전했다. 이런 방식을 채택하는 회사는 MS만이 아니다. 이들은 FIDO 얼라이언스의 회원사와 협력해 더욱 간편하면서도 보안 수준은 높은 로그인 방식을 개발하고 있다.

이들의 혁신은 곧 많은 사람들에 의해 사용될 것이다. 게다가 더 많은 회사가 직원들에게 이런 로그인 방식을 권장한다면 많은 사람들의 개인 정보가 안전하게 보호될 것이다. 

아스노는 "의심스러운 첨부파일이나 링크, 이메일 등은 클릭하지 않고 데이터를 정기적으로 백업하는 등 사이버 보안에 대해 경각심을 가져야 한다"고 덧붙였다.

 

[라이헨바흐=허서윤 기자]