온라인 비밀번호 관리

온라인 보안에 대해 부담을 느끼는 사용자가 많습니다. Google의 마크 리셔와 슈테판 미클리츠가 보안 조치 개발 시 고려하는 사용자의 감정에 관해 이야기합니다.

리셔 씨는 인터넷 보안 분야에서 일하는 Google 제품 관리 부문 디렉터이시죠. 온라인 사기를 당하신 적이 있나요?

마크 리셔: 딱 맞는 사례가 떠오르지 않지만 그럴 뻔한 적은 있을 거예요. 저도 다른 분들과 마찬가지로 웹 서핑 중에 실수를 저지릅니다. 일례로 최근에 잘못된 웹사이트에 Google 비밀번호를 입력한 적이 있어요. 다행히 Chrome 비밀번호 경보 플러그인을 설치해 두어서 플러그인이 제 실수를 지적해 주었습니다. 당연히 비밀번호를 바로 변경했죠.

슈테판 미클리츠 Google 개인정보 보호 및 보안팀 엔지니어링 디렉터: 사람이니까 하는 실수죠. 외워둔 비밀번호를 어디에 입력하는지 크게 신경 쓰지 않고 입력하는 일이 쉽게 발생할 수 있습니다.

리셔: 비밀번호를 아예 쓰지 않고 싶지만 아쉽게도 이는 쉬운 일은 아닙니다.

"많은 보안 조치가 보이지 않는 곳에서 실행되고 있습니다."

마크 리셔

비밀번호의 문제점이 무엇인가요?

리셔: 비밀번호에는 약점이 많습니다. 알아내기는 쉬운데 기억하기는 어렵고 관리하기는 또 번거롭죠. 비밀번호는 최대한 길고 복잡해야 한다고 생각하는 사용자가 많습니다. 이것이 실제로는 보안 위험을 높이더라도 말입니다. 비밀번호가 복잡하면 사용자들은 같은 비밀번호를 여러 계정에 사용하기 쉽고, 그러면 계정은 훨씬 더 취약해집니다.

미클리츠: 비밀번호는 자주 입력하지 않을수록 좋습니다. 그러기 위해서는 계정에 로그인했다가 로그아웃하기를 반복하지 않아야 하죠. 이렇게 하다 보면 시간이 지날수록 현재 로그인하려는 웹페이지에 크게 신경을 쓰지 않게 되는데, 그러면 비밀번호를 훔치기가 훨씬 쉬워집니다. 그래서 Google은 사용자에게 로그인 상태를 유지하도록 조언합니다.

은행 웹사이트에서는 몇 분만 활동을 안 해도 자동으로 로그아웃되잖아요.

미클리츠: 안타깝게도 오래된 규칙을 여전히 따르고 있는 기업이 많습니다. 계속 로그아웃하라는 조언은 대부분의 사용자가 인터넷 카페에서 접속하거나 다른 사람과 컴퓨터를 공유하던 시절에 시작된 것입니다. 저희 연구에 따르면 사람들이 비밀번호를 입력하는 횟수가 많아질수록 사이버 공격에 피해를 입을 가능성이 높아지는 것으로 나타났습니다. 그러니 휴대전화나 컴퓨터의 화면 잠금을 활성화하고 보안 비밀번호를 사용하기만 해도 훨씬 안전합니다.

리셔: 맞습니다. 자주 회자되는 조언 중에는 잘못되거나 실용적이지 않은 것이 많은데, 이에 따라 많은 사용자가 혼란을 겪을 수 있습니다. 최악의 상황에서는 '이렇게 스스로를 보호하기가 어렵다면 시도도 안 하겠다.'라며 그냥 포기해 버리게 되죠. 이건 마치 주변에 강도가 있다는 사실을 알면서도 대문을 항상 열어두는 것과 같습니다.

마크 리셔는 Google의 보안 및 개인정보 보호 제품 관리 부문 디렉터입니다. 2010년에 사이버 보안 스타트업인 Impermium을 설립했으며, 이 회사는 2014년 Google에 인수되었습니다. 그때부터는 캘리포니아 마운틴 뷰에 있는 Google 본사에서 일하고 있습니다. 오른쪽은 고급 보호 프로그램에 사용되는 보안 키입니다. 소정의 금액을 지불하면 다양한 웹사이트에서 사용할 수 있습니다.

비밀번호가 무효화 되면 Google은 사용자 보안을 어떻게 유지하나요?

리셔: 보이지 않는 곳에서 이미 추가적인 보안 조치가 다양하게 실행되고 있습니다. 해커가 사용자의 비밀번호와 휴대전화 번호를 알아내더라도 Google은 Google 계정의 보안을 99.9% 보장할 수 있습니다. 일례로 Google은 누군가가 로그인하는 기기 또는 국가를 확인합니다. 계정에 잘못된 비밀번호로 여러 번 연속해서 로그인을 시도하면 Google 보안 시스템에 경보가 발동됩니다.

미클리츠: Google은 사용자가 Google 계정에서 개인 보안 설정을 단계별로 진행할 수 있도록 보안 진단도 개발해 두었습니다. 또한 고급 보호 프로그램으로 한 단계 앞서 조치할 수 있습니다.

이 프로그램은 어떤 아이디어에서 비롯되었나요?

미클리츠: 원래 이 프로그램은 정치인, CEO, 기자 같이 범죄 위협에 특히 신경 쓰는 사람들을 위해 개발되었습니다. 하지만 이제는 추가적인 온라인 보호 조치를 원하는 모든 사람에게 제공되고 있죠. 특수한 USB 또는 블루투스 동글이 있어야 보호된 Google 계정에 액세스할 수 있습니다.

리셔: 저희는 이 시스템이 얼마나 효과적인지 경험적으로 알고 있습니다. 모든 Google 직원들이 보안 키를 사용해 회사 계정의 보안을 유지하고 있으니까요. 이러한 보안 조치를 도입한 이후 비밀번호 확인까지 추적 가능한 피싱 케이스가 단 한 건도 발생하지 않았습니다. 토큰 덕분에 Google 계정 보안이 크게 향상되었습니다. 공격자가 비밀번호를 알더라도 토큰이 없으면 계정에 액세스할 수 없기 때문이죠. 보통 온라인 계정은 전 세계 어디에서나 해킹당할 수 있습니다. 하지만 물리적 보안 토큰으로 보호되는 계정에는 해당하지 않는 이야기입니다.

미클리츠: 이러한 보안 토큰은 Google의 고급 보호 프로그램뿐 아니라 다른 웹사이트에도 사용할 수 있습니다. 소정의 금액을 지불하고 Google이나 다른 공급업체에서 구매할 수 있죠. 자세한 내용은 g.co/advancedprotection에서 확인해 보세요.

"사람들이 인터넷상의 위험은 제대로 평가하지 못하는 경우가 많습니다."

스테판 미클리츠

오늘날 인터넷에 도사리고 있는 가장 큰 위험은 무엇이라고 생각하시나요?

리셔: 사용자 이름과 비밀번호의 목록이 온라인상에 많이 존재한다는 점을 한 가지 문제로 꼽을 수 있습니다. 저희 동료인 타덱 피에트라제크와 그가 속한 팀은 6주간 인터넷을 샅샅이 뒤져 35억 개의 사용자 이름과 비밀번호 조합을 찾아냈습니다. 해킹된 Google 계정에서 얻은 데이터가 아니라 다른 공급업체에서 도난당한 데이터죠. 하지만 여러 계정에 같은 비밀번호를 사용하는 사용자가 많기 때문에 이 목록은 저희에게도 문제가 됩니다.

미클리츠: 저는 스피어 피싱을 큰 문제로 봅니다. 스피어 피싱이란 피해자가 사기의 의도를 눈치채기 어렵도록 공격자가 메시지를 교묘하게 개인화하는 경우를 말합니다. 앞으로도 해커들은 이 방법을 더 많이 사용하고, 더 성공을 거둘 것입니다.

리셔: 저도 이 의견에 동의합니다. 게다가 스피어 피싱에는 생각보다 시간이 많이 걸리지 않습니다. 몇 분이면 스팸 이메일을 개인화할 수 있는 경우가 많죠. 해커는 사용자 스스로 온라인에 게시한 정보를 사용할 수 있습니다. 이것은 암호화폐와 관련해서도 문제가 됩니다. 예를 들어 어떤 사람이 10,000비트코인을 가지고 있다는 사실이 알려져 있다면 그 사람은 당연히 이 정보로 인해 사이버 범죄자의 관심을 모을 것입니다.

미클리츠: 이건 마치 시장 한가운데 서서 메가폰으로 은행 계좌 잔고를 발표하는 상황과 같습니다. 누가 그런 행동을 할까요? 아무도 안 그러겠죠. 하지만 사람들이 인터넷상의 위험은 제대로 평가하지 못하는 경우가 많습니다.

기존 스팸 이메일이 앞으로도 문제가 될까요?

리셔: 기기와 서비스를 연결하는 일은 큰 도전과제입니다. 사람들은 노트북과 스마트폰뿐 아니라 TV, 스마트시계, 스마트 스피커도 온라인으로 사용합니다. 이러한 기기에서는 여러 가지 앱이 실행되고 있으며, 그 결과 해커들은 다양한 잠재적 공격점을 이용할 수 있게 됩니다. 이렇게 많은 기기가 연결되어 있기 때문에 해커들은 기기 한 대만으로도 다른 기기에 저장된 정보에 액세스를 시도할 수 있습니다. 그러니 이제는 '새롭고 다양한 사용 습관에도 불구하고 사용자의 안전을 보장하려면 어떻게 해야 하는가?' 같은 질문에 답해야 하는 것이죠.

미클리츠: 이는 각 서비스에 실제로 필요한 데이터는 무엇이며, 서비스 간에 어떤 데이터가 교환되는지 자문하는 데서 출발합니다.

슈테판 미클리츠

슈테판 미클리츠는 Google 개인정보 보호 및 보안팀의 엔지니어링 디렉터입니다. 뮌헨 공과대학교에서 컴퓨터 공학을 전공했으며 2007년 말부터 Google 뮌헨 지사에서 근무해오고 있습니다. 또한 독일의 온라인 보안 이니셔티브인 Deutschland sicher im Netz(DsiN)에서 이사회 임원으로 활동하고 있습니다.

인공지능을 어떻게 사용하면 사용자를 보호하는 데 도움이 될까요?

미클리츠: Google은 상당히 오랫동안 인공지능을 사용해 왔습니다.

리셔: 이 기술은 Google의 이메일 서비스인 Gmail에 처음부터 탑재되어 있었습니다. Google은 TensorFlow라는 자체 머신러닝 라이브러리도 개발했는데, 이 라이브러리는 머신러닝에 관여하는 프로그래머의 작업을 용이하게 해주죠. Gmail은 특히 일반적인 패턴 인식에 관한 중요한 서비스를 제공해주는 TensorFlow의 이점을 활용하고 있습니다.

이 패턴 인식의 작동 방식을 설명해 주실 수 있을까요?

리셔: 여러 사용자 사이에서 분류할 수 없는 의심스러운 활동이 관찰되었다고 가정해 보겠습니다. 자체 학습 머신이 이러한 이벤트를 비교하고 최적의 상황에서는 새로운 사기 형태가 온라인에 퍼지기 시작하기도 전에 감지할 수 있습니다.

미클리츠: 하지만 한계도 있습니다. 머신의 지능은 사용하는 사람에 따라 좌우되니까요. 머신에 잘못되거나 편향된 데이터를 공급하면 잘못되거나 편향된 패턴을 인식하게 됩니다. 인공지능을 둘러싼 온갖 미사여구에도 불구하고 그 효과는 언제나 인공지능을 사용하는 사람에게 달려 있습니다. 고품질 데이터로 머신을 훈련시키고 이후 결과를 확인하는 것은 사용자의 몫입니다.

리셔: 예전에 다른 이메일 공급업체에서 일할 때 라고스에 있는 은행 직원에게서 메시지를 받은 적이 있습니다. 당시에는 사기 이메일이 많이 유포되고 있었는데, 아마도 발신지는 나이지리아였던 것 같습니다. 이 사람은 믿을 수 있는 은행에서 일하고 있는데 자신의 이메일이 항상 수신자의 스팸 폴더로 들어간다고 불평했습니다. 이 사례는 불충분한 정보로 인해 발생하는 패턴 인식 내 잘못된 일반화의 전형적인 예입니다. 이 문제는 알고리즘을 변경하는 방식으로 해결할 수 있었습니다.

사진: 코니 미어바흐

맨 위로