온라인 비밀번호 관리

리셔 씨는 Google에서 인터넷 보안 분야 제품 관리 부문 이사로 일하고 계시는데요. 온라인 사기의 피해자가 된 적이 있으신가요?

마크 리셔: 지금 당장은 구체적인 사례가 떠오르지 않지만, 아마 그런 적이 있을 겁니다. 저도 다른 분들과 마찬가지로 웹 서핑을 하다가 실수를 하거든요. 예를 들어, 최근에 잘못된 웹사이트에 구글 비밀번호를 입력한 적이 있습니다. 다행히도 Chrome 비밀번호 경보 플러그인을 설치해 두었기 때문에 실수를 바로 알아챌 수 있었어요. 그래서 바로 비밀번호를 변경했죠.

슈테판 미클리츠(Google 개인 정보 보호 및 보안팀 엔지니어링 디렉터): 사람이니까 하는 실수죠. 비밀번호를 외우고 나면 어디에 입력하는지 충분히 주의하지 않고 무심결에 입력하는 일이 쉽게 발생할 수 있습니다.

리셔: 비밀번호를 아예 없애버릴 수 있다면 좋겠지만, 안타깝게도 그렇게 간단하지가 않습니다.

"많은 보안 조치가 보이지 않는 곳에서 이루어집니다."

마크 리셔

비밀번호의 문제점은 무엇인가요?

리셔: 비밀번호에는 많은 단점이 있습니다. 유출되기는 쉬운데 기억하기는 어렵고 관리하기가 번거롭죠. 많은 사용자들이 비밀번호는 가능한 한 길고 복잡해야 한다고 생각하는데, 사실 이는 오히려 보안 위험을 높입니다. 비밀번호가 복잡하면 사용자들은 같은 비밀번호를 여러 계정에 사용하기 쉽고, 그러면 훨씬 더 취약해집니다.

미클리츠: 비밀번호는 자주 입력하지 않을수록 좋습니다. 그러니 계정에 로그인했다가 로그아웃하기를 반복하지 않아야 하죠. 이렇게 하다 보면 시간이 지날수록 현재 로그인하려는 웹페이지에 크게 신경을 쓰지 않게 되는데, 그러면 비밀번호를 훔치기가 훨씬 쉬워집니다. 그래서 Google은 사용자에게 로그인 상태를 유지하라고 권하고 있습니다.

제가 이용하는 은행 웹사이트에서는 몇 분만 활동을 안 해도 자동으로 로그아웃시켜 버리는데요.

미클리츠: 안타깝게도 많은 기업이 여전히 구시대적인 규칙을 따르고 있습니다. 계속 로그아웃하라는 조언은 대부분의 사용자가 PC방에서 인터넷을 사용하거나 다른 사람과 컴퓨터를 함께 사용하던 시절에 생긴 것입니다. 저희 연구에 따르면 사람들이 비밀번호를 입력하는 횟수가 많아질수록 사이버 공격에 피해를 볼 가능성이 높아지는 것으로 나타났습니다. 그러니 휴대전화나 컴퓨터의 화면 잠금을 활성화하고 보안성이 높은 비밀번호를 사용하는 것이 훨씬 안전합니다.

리셔: 맞습니다. 안타깝게도 잘못되거나 실용적이지 않은 조언들이 많이 퍼져 있어서, 이로 인해 많은 사용자가 혼란을 겪을 수 있습니다. 최악의 경우는 사람들이 잘 모르겠으니 아예 포기해 버리게 되는 겁니다. '개인 보안을 지키기가 이렇게 어렵다면 차라리 지키려는 시도조차 하지 않는 게 낫겠어.'라고 생각해 버리는 거죠. 이건 마치 주변에 강도가 있다는 사실을 알면서도 대문을 항상 열어두는 것과 같습니다.

마크 리셔는 Google의 보안 및 개인 정보 보호 제품 관리 부문 이사입니다. 2010년에 사이버 보안 스타트업인 Impermium을 설립했으며, 이 회사는 2014년 Google에 인수되었습니다. 그때부터는 캘리포니아 마운틴 뷰에 있는 Google 본사에서 일하고 있습니다. 오른쪽 사진: 고급 보호 프로그램에 사용되는 보안 키입니다. 적은 비용으로 구매할 수 있으며 다양한 웹사이트에서 사용할 수 있습니다.

만약 비밀번호가 없어진다면 Google은 어떻게 사용자 보안을 보장할 건가요?

리셔: 보이지 않는 곳에서 이미 추가적인 보안 조치가 다양하게 실행되고 있습니다. 해커가 사용자의 비밀번호와 휴대전화 번호를 알아내더라도 Google은 Google 계정의 보안을 99.9% 보장할 수 있습니다. 예를 들어, Google은 어떤 기기에서 또는 어떤 국가에서 로그인하는지 확인합니다. 잘못된 비밀번호로 계정에 연속으로 여러 번 로그인을 시도하면 Google 보안 시스템에 경보가 발동됩니다.

미클리츠: Google은 사용자가 Google 계정에서 개인 보안 설정을 단계별로 진행할 수 있는 보안 진단 기능 또한 개발해 두었습니다. 그리고 고급 보호 프로그램을 통해 더 높은 수준의 보안을 제공합니다.

이 프로그램의 취지는 무엇인가요?

미클리츠: 원래 이 프로그램은 정치인, CEO, 기자 등 범죄자들이 특히 노릴 만한 사람들을 위해 개발되었습니다. 하지만 이제는 추가적인 온라인 보호 조치를 원하는 모든 사람에게 제공되고 있죠. 특수한 USB 또는 블루투스 동글이 있어야 보호된 Google 계정에 액세스할 수 있습니다.

리셔: 저희는 이 시스템이 얼마나 효과적인지 경험으로 알고 있습니다. 모든 Google 직원이 회사 계정의 보안을 유지하기 위해 보안 키를 사용하고 있거든요. 이러한 보안 조치를 도입한 이후 비밀번호 입력이 원인이 된 피싱 사례가 단 한 건도 발생하지 않았습니다. 토큰 덕분에 Google 계정 보안이 크게 향상되었습니다. 공격자가 비밀번호를 알더라도 토큰이 없으면 계정에 액세스할 수 없기 때문이죠. 일반적으로 온라인 계정은 전 세계 어디에서나 해킹당할 수 있지만, 물리적 보안 토큰으로 보호되는 계정은 그렇지 않습니다.

미클리츠: 참고로 이러한 보안 토큰은 Google의 고급 보호 프로그램뿐만 아니라 다른 여러 웹사이트에도 사용할 수 있습니다. Google이나 다른 공급업체에서 적은 금액으로 구매할 수 있죠. 자세한 내용은 g.co/advancedprotection에서 확인할 수 있습니다.

"사람들이 인터넷상의 위험은 제대로 평가하지 못하는 경우가 많습니다."

슈테판 미클리츠

오늘날 인터넷에 도사리고 있는 가장 큰 위험은 무엇이라고 생각하시나요?

리셔: 온라인상에 수많은 사용자 이름과 비밀번호 목록이 존재한다는 게 위험 요소 중 하나라 할 수 있죠. 저희 동료인 타덱 피에트라셰크와 그가 속한 팀은 6주간 인터넷을 샅샅이 뒤져 35억 개의 사용자 이름과 비밀번호 조합을 찾아냈습니다. 해킹된 Google 계정에서 얻은 데이터가 아니라 다른 공급업체에서 도난당한 데이터죠. 하지만 여러 계정에 같은 비밀번호를 사용하는 사용자가 많기 때문에 이 목록은 저희에게도 문제가 됩니다.

미클리츠: 저는 스피어 피싱을 큰 문제로 봅니다. 스피어 피싱이란 공격자가 교묘하게 특정 개인에게 맞춤화된 메시지를 작성해서 피해자가 사기의 의도를 눈치채기 어렵게 만드는 것입니다. 해커들이 이 방법을 점점 더 많이 사용하고 있으며, 성공을 거두고 있습니다.

리셔: 저도 이 의견에 동의합니다. 게다가 스피어 피싱에는 생각보다 시간이 많이 걸리지 않습니다. 스팸 이메일을 특정 개인에게 맞춤화된 내용으로 작성하는 데 단 몇 분이면 충분합니다. 해커는 사용자가 자신에 관해 온라인에 게시한 정보를 사용할 수 있습니다. 이는 암호화폐와 관련해서도 문제가 됩니다. 예를 들어 비트코인을 10,000개 가지고 있다고 공개적으로 밝히는 사람은 당연히 이 정보로 인해 사이버 범죄자의 관심을 받게 될 겁니다.

미클리츠: 이건 마치 시장 한가운데 서서 확성기로 은행 계좌 잔액을 발표하는 것과 같습니다. 누가 그런 행동을 할까요? 아무도 안 그러겠죠. 하지만 사람들이 인터넷상의 위험은 제대로 평가하지 못하는 경우가 많습니다.

일반 스팸 이메일이 앞으로도 문제가 될까요?

리셔: 기기와 서비스를 연결하는 일은 큰 도전 과제입니다. 사람들은 노트북과 스마트폰뿐 아니라 TV, 스마트시계, 스마트 스피커도 온라인으로 사용합니다. 이러한 기기에서는 여러 가지 앱이 실행되고 있으며, 그 결과 해커들은 다양한 잠재적 공격점을 이용할 수 있게 됩니다. 이렇게 많은 기기가 연결되어 있기 때문에 해커들은 기기 한 대로 다른 기기에 저장된 정보에 액세스를 시도할 수 있습니다. 그러니 이제 이런 새롭고 다양한 사용 습관에도 불구하고 어떻게 사용자의 안전을 보장할 수 있을지에 대한 답을 찾아야 합니다.

미클리츠: 저희가 찾은 해답은 각 서비스에 실제로 필요한 데이터와 서비스 간에 교환되는 데이터가 무엇인지 자문하는 데서 출발합니다.

사용자를 보호하는 데 인공지능을 어떻게 활용하고 있나요?

미클리츠: Google은 꽤 오래전부터 인공지능을 사용해 왔습니다.

리셔: 사실 이 기술은 Google의 이메일 서비스인 Gmail에 처음부터 적용되어 있었습니다. Google은 TensorFlow라는 자체 머신러닝 라이브러리도 개발했는데, 이 라이브러리는 머신러닝에 관여하는 프로그래머의 작업을 용이하게 해주죠. 특히 Gmail은 일반적인 패턴을 인식하는 데 유용한 TensorFlow의 이점을 크게 활용하고 있습니다.

이러한 패턴 인식은 어떻게 작동하나요?

리셔: 여러 사용자 사이에서 기존에 알려진 유형으로 분류할 수 없는 의심스러운 활동이 관찰되었다고 가정해 보겠습니다. 자가 학습 머신이 이러한 이벤트를 비교하고 상황이 좋으면 새로운 사기 형태가 온라인에 퍼지기 시작하기도 전에 감지할 수 있습니다.

미클리츠: 하지만 한계도 있습니다. 머신의 지능은 사용하는 사람에 따라 좌우되니까요. 머신에 잘못되거나 편향된 데이터를 공급하면 머신이 인식하는 패턴도 잘못되거나 편향될 수밖에 없습니다. 인공지능을 둘러싼 온갖 미사여구에도 불구하고 그 효과는 언제나 인공지능을 사용하는 사람에게 달려 있습니다. 고품질 데이터로 머신을 훈련시키고 이후 결과를 확인하는 것은 사용자의 몫입니다.

리셔: 예전에 다른 이메일 공급업체에서 일할 때 라고스에 있는 은행 직원에게서 메시지를 받은 적이 있습니다. 당시에는 나이지리아에서 온 것으로 추정되는 사기 이메일이 많았거든요. 이 사람은 믿을 수 있는 은행에서 일하고 있는데 자신의 이메일이 항상 수신자의 스팸 폴더로 들어간다는 불만을 토로했습니다. 이 사례는 정보 부족으로 인해 패턴 인식 과정에서 발생하는 잘못된 일반화의 전형적인 예입니다. 이 문제는 알고리즘을 변경하는 방식으로 해결할 수 있었습니다.

.

사진: 코니 미르바흐