비밀번호, 어떻게 관리하세요?

우리는 수많은 서비스를 이용하기 위해 ID와 비밀번호를 이용하여 회원가입, 로그인을 해야합니다. 비밀번호를 설정할 때에는 영어와 숫자, 특수문자를 포함한 최소 10자이상으로 설정해야 하며, 이렇게 설정한 비밀번호는 최소 6개월 주기로 변경하는 것이 안전합니다. 하지만 대부분 사용자들은 기존에 사용했던 비밀번호를 재사용하거나 비슷한 패턴으로 변경합니다.

그러나 이렇게 설정한 비밀번호는 해킹위협에 노출되기 쉽다는 점 알고 계신가요? 해외 시장조사기관 FMI(Future Market Insights)에 따르면 해킹사례의 원인 중 80%는 재사용된 비밀번호이지만 90%이상의 사용자가 대부분 계정의 암호를 재사용하고 있습니다. 따라서 글로벌 IT기업에서는 비밀번호 없이 보안을 유지할 수 있는 패스워드리스 방식을 고안하고 있습니다.

패스워드리스란(passwordless)?

비밀번호를 뜻하는 Password 뒤에 ‘~이 없는’이라는 뜻의 접미사 -less를 붙인 패스워드리스는 인식, 지문, 개인식별번호(PIN)등으로 사용자 신원을 확인하는 로그인 방식입니다. 한번 로그인 하면 재차인증을 요구하지 않는다는 점에서 2차 인증과는 다르며 어려운 비밀번호를 기억하지 않아도 된다는 편리함이 있습니다.

해외 시장조사기관 FMI(Future Market Insights)에 따르면 전세계 패스워드리스 시장은 2022년 약 19조원의 규모에 이를 정도로 성장하였고, 연평균 15.3% 성장하여 2032년에는 약 80조원의 규모를 이를 것으로 보았습니다.

대표적인 패스워드리스 방식에는 FIDO가 있습니다. FIDO란 Fast Identity Online의 약자로, 아이디와 비밀번호 대신 지문인식과 안면인식, 개인식별번호(PIN)등의 인증방식을 통해 웹과 앱에서 로그인하는 보안방식입니다.

FIDO는 로컬인증과 원격인증으로 나눌 수 있습니다. 로컬인증은 생체인증 정보 관리가 사용자가 보유한 디바이스 내에서 이루어집니다. 원격인증은 단말기에서 생성된 인증 결과가 서비스 서버로 전달되어 만약 노출되더라도 재사용 불가능한 무의미한 값으로 구성되어 있습니다. 따라서 FIDO기술로 생채인증 진행 시 생채정보가 온라인상에 노출되지 않아 안전합니다.

기업들의 패스워드리스 도입

구글, 애플, 마이크로소프트에서는 이미 FDIO연합의 비밀번호 인증규격을 지원해왔으나, 지원 및 도입을 더욱 확대할 방침임을 밝혔습니다. 또한 올해 1월 4일 네이버는 국내 포털업계 최초로 본인인증 로그인을 도입하였습니다. 네이버 앱 환경에서 사용자 동의 후 본인인증을 하고, 본인인증이 완료되면 아이디/비밀번호 입력단계를 생략하고 로그인이 가능합니다. 네이버에서는 우선적으로 구글 안드로이드 앱에 도입하였으며, IOS 및 PC웹까지 확대 적용할 방침이라 하였습니다. 금융감독원에서는 은행 내부 직원의 시스템 접근 통제를 강화하기 위한 생체인증 도입을 추진하고 있습니다.

출처 및 참고자료

Future Market Insights, Leadership Compass on Passwordless Authentication