2차 인증·해외로그인 차단·패스키 등으로 보안 강화해야
얼마 전 A씨는 자신이 자고 있던 새벽 시간에 도착한 마이크로소프트로부터 일회용 코드 이메일을 발견했다. 일회용 코드는 아이디와 비밀번호를 입력한 후 부여된다. 즉 누군가 자신의 비밀번호까지 정확하게 입력해 로그인을 시도했다는 것이다.
A씨가 마이크로소프트 홈페이지 내 계정 관리 페이지에 접속해보니 독일, 미국, 터키 등 가본 적도 없는 국가에서 로그인을 시도한 정황이 나타났다. 초반에는 아예 비밀번호를 뚫지 못했지만, 몇 번의 시도 끝에 맞는 비밀번호를 적어 넣었다는 것까지 확인할 수 있었다.
다행히 이메일과 마이크로소프트의 비밀번호를 서로 다르게 설정했기에 일회용 코드는 탈취당하지 않았지만, 동일한 비밀번호를 쓰고 있었다면 무슨 일이 일어났을지 A씨는 지금도 간담이 서늘하다고 회고했다.
비밀번호의 취약성은 꾸준히 높아지고 있다. 미국 한 보안업체의 보고서에 따르면 대·소문자, 숫자, 특수문자 등을 모두 사용해도 6자리 비밀번호는 4초 내에, 8자리는 7시간 내에 뚫리는 것으로 나타났다.
특히 AI 기술의 발전으로 인해 비밀번호를 유추하는 것은 더욱 쉬워졌다. 기존에는 무작위로 문자열을 대입해보는 방식으로 비밀번호 탈취 시도가 이뤄졌다면, 최근에는 유출된 암호 패턴을 학습해 비밀번호를 추측하기 때문이다.
따라서 스스로 계정 보안을 철저히 하고 싶다면, 비밀번호에만 의존하기보단 로그인 방식을 보다 복잡하게 설정할 필요가 있다.
실생활에서 가장 실천하기 쉬운 방법으로 ‘2차 인증’이 꼽힌다. 앞서 A씨와 같이 아이디와 비밀번호를 입력한 이후 이메일이나 휴대전화 등으로 전송된 인증코드 또는 앱에서의 OTP 인증번호 등을 입력해야 로그인이 완료되는 방식이다.
네이버와 다음, 구글 등 주요 포털사이트는 대부분 갖추고 있는 기능이므로 다소 귀찮더라도 2차 인증을 설정해두는 것을 추천한다. 일부 사이트는 주로 사용하는 PC를 등록하면 해당 PC에서는 2차 인증 절차를 거치지 않는 기능도 제공하고 있다.
타지역/해외 로그인을 미리 차단하는 것도 계정 보안에 도움이 된다. 로그인을 허용할 지역을 미리 설정하면 타지역이나 해외에서 로그인이 시도되는 경우 본인임을 확인하는 절차를 거쳐야만 로그인할 수 있는 방식이다.
최근에는 패스키를 도입하는 기업도 늘고 있다. 패스키는 생체인증을 기반으로 한 비밀번호 없는 로그인 기술이다. 스마트폰 등 개인 디바이스에 비밀 키를 내장한 후 생체인증으로 본인 확인을 하면 로그인이 완료된다.
한편, 시장조사기업 FMI에 따르면 전세계 비밀번호 없는 인증시장 규모는 2022년 134억5040만 달러에서 연평균 15.3%로 성장해 2032년 556억7940만 달러까지 확대될 전망이다.
