대부분의 사람들은 보통 하루에 수많은 비밀번호를 사용합니다. 하지만 온라인에서 물건을 구매하려다 이커머스 사이트의 비밀번호를 잊어버려 당황한 경험이 있을 것입니다. 비밀번호 없는 인증이 더 나은 대안이 될 수 있지만, 어떤 위험이 있을까요?
비밀번호 없는 인증은 어떻게 작동하나요?
비밀번호 없는 인증은 기존 비밀번호나 암기된 정보보다 더 안전한 것으로 간주되는 대체 방법을 사용하여 개인의 신원을 확인합니다. 일상적인 기술 사용 과정에서 자신도 모르게 특정 형태의 비밀번호 없는 로그인 절차를 활용했을 가능성이 있습니다. 이러한 접근 방식에는 다양한 방식이 포함되며 생체 인식, 보안 질문, 하드웨어 토큰, 문자 메시지나 이메일을 통해 전송되는 일회용 코드 등이 포함되지만 이에 국한되지는 않습니다.
생체 인증은 지문이나 얼굴 특징과 같은 고유한 신체적 특징을 활용하여 개인의 신원을 확인하는 프로세스입니다. 이 기술은 출입 통제 시스템, 금융 거래 및 국경 보안 조치를 포함한 다양한 애플리케이션에 안전하고 편리한 식별 방법을 제공할 수 있기 때문에 최근 몇 년 동안 점점 더 인기를 얻고 있습니다.
인증 유효성 검사 코드가 포함된 고유한 일회용 URL을 활용하여 이를 클릭하는 것만으로 비밀번호 없는 로그인 포털에 원활하게 로그인할 수 있습니다.
USB 토큰 또는 드라이브 등 하드웨어 기반 인증 메커니즘을 활용하여 디지털 수단이 아닌 유형 장치를 통해 사용자의 신원을 확인합니다.
일회용 비밀번호(OTP)는 사용자가 선택한 비밀번호 대신 회사에서 미리 생성한 고유한 숫자 코드를 사용하는 대체 인증 방식입니다.
QR 코드 인증은 기존 비밀번호를 입력하는 대신 빠른 응답(QR) 코드를 활용하여 개인의 신원을 확인하는 인증 방법입니다. 이 기술을 사용하면 스마트폰 카메라로 고유 코드를 스캔하여 별도의 자격 증명을 기억하거나 입력할 필요 없이 보안 시스템 또는 애플리케이션에 즉시 액세스할 수 있습니다.
일회용 비밀번호(OTP)는 입력이 필요하기 때문에 진정한 의미의 비밀번호가 아니라고 주장하는 사람들도 있지만, 이러한 유형의 인증 방법은 기존 비밀번호에 비해 수명이 짧아 일반적인 로그인 자격 증명과 구별된다는 점을 지적하는 사람들도 있습니다.
비밀번호 없는 인증은 두 가지 이상의 범주에 속할 수도 있습니다. TechCrunch 에서 설명한 것처럼, Yubico의 2021년 릴리스에는 추가 보호를 위해 지문 판독기가 포함되어 있습니다. 또한 키와 지문 정보 저장소 구성 요소 간에 전달되는 데이터를 추가로 암호화합니다.
비밀번호 없는 쇼핑은 어디에서 시도해볼 수 있나요?
2023년 4월 Statista 보고서 에 따르면 전 세계 인터넷 사용자 수는 51억 8천만 명에 달합니다. 이들 중 많은 사람들이 온라인 쇼핑을 좋아합니다. 그럼에도 불구하고 비밀번호 없이 쇼핑하는 것이 주류가 되기까지는 시간이 좀 걸릴 수 있습니다.
Microsoft는 암호를 입력하지 않고 Microsoft Store 또는 기타 Windows 서비스에 액세스하기 위해 네 가지 대체 인증 방법을 도입했습니다. 여기에는 Microsoft 인증 응용 프로그램 사용, Microsoft Hello 활용, 보안 토큰 사용, 문자 메시지 또는 전자 메일을 통해 전달되는 일회용 암호 수신이 포함됩니다.
또한 Shopify는 판매자가 온라인 스토어 내에서 다양한 형태의 비밀번호 기반 인증을 통합할 수 있는 여러 애플리케이션을 제공합니다.
Google은 Android 7.0 이상에서 작동하는 장치와 호환되는 Google 보안 키와 같은 고급 보안 조치를 통합하여 비밀번호를 없애는 방향으로 미묘한 변화를 시작했습니다. 이 혁신적인 솔루션은 안전한 블루투스 연결을 통해 사용자 신원을 확인하여 기존 비밀번호를 사용하지 않고 보다 원활하고 신뢰할 수 있는 인증 방법을 제공합니다.
2023년 3월 PayPal 보도 자료에서 설명한 바와 같이, 페이팔은 Android 9 이상을 실행하는 디바이스를 위한 패스키를 도입했습니다. 이전에는 iOS 제품에도 비밀번호를 제공한 바 있습니다. 페이팔은 여전히 비밀번호를 사용하지만, 비밀번호를 덜 자주 입력하는 방식으로 전환할 준비가 된 사람들을 위해 이 새로운 서비스를 제공하며, 이는 앞으로의 변화의 신호가 될 것이 분명합니다.
또한 비밀번호 없이 쇼핑하는 관행은 여전히 특정 상황으로 제한되어 있습니다. 그럼에도 불구하고 소매업체가 이 기능을 명시적으로 구현하지 않고 암시적으로 구현할 수 있습니다. 따라서 가까운 시일 내에 비밀번호 없이 로그인할 수 있는 웹사이트를 더 많이 접하게 될 것입니다.
물론 비밀번호 없는 로그인 옵션을 제공하는 다른 비전자상거래 서비스도 있지만, 아직은 상대적으로 드뭅니다. 예를 들어 Slack에서는 사용자가 등록된 이메일 주소로 전송된 임시 코드를 통해 인증할 수 있습니다. 그러나 비밀번호 없는 미래를 향한 이러한 진전에도 불구하고 대다수의 애플리케이션과 소매업체는 여전히 기존의 비밀번호 인증 방식에 의존하고 있습니다.
비밀번호 없는 인터넷 사용의 장단점은 무엇인가요?
이커머스 전문가들은 비밀번호 없는 쇼핑을 구현하면 쇼핑객이 가상 장바구니에 상품을 넣은 후 거래를 완료하지 않고 웹사이트를 떠날 때 발생하는 장바구니 이탈 문제를 완화할 수 있다고 제안합니다. 비밀번호 없는 쇼핑의 목표는 소비자에게 간편한 구매 프로세스를 제공하는 것이며, 비밀번호를 기억할 필요가 없다는 것은 중요한 이점으로 간주될 수 있습니다.
또는 여러 디바이스에서 저장된 로그인 정보에 원활하게 액세스할 수 있는 동시에 사이버 범죄자가 침해된 볼트를 통해 무단으로 액세스하는 것을 방지하여 추가적인 보안 계층을 제공하는 Spectre와 같은 비밀번호 없는 비밀번호 관리자를 선택할 수도 있습니다.
비밀번호 없는 인증이 사용자가 생성한 비밀번호보다 더 안전하다고 주장할 수 있는데, 이는 너무 많은 사용자가 ‘password123’과 같이 추측하기 쉬운 비밀번호를 설정하기 때문입니다. 또한, 2022년 연구 에 따르면 전년도에 보안 침해로 데이터를 도난당한 사람들의 70%가 여러 계정에 걸쳐 비밀번호를 재사용한 것으로 나타났습니다. 비밀번호 재사용 문제는 포춘지 선정 1000대 기업에서 근무하는 직원 중 64%에서도 발생하고 있습니다. 이러한 습관은 해커가 도난당한 인증정보에 더 쉽게 접근할 수 있는 기회를 제공할 수 있습니다.
하지만 비밀번호를 사용하지 않는다고 해서 위험이 없는 것은 아닙니다. 누군가 물리적 보안 키를 훔칠 수 있습니다. KrebsOnSecurity 은 OTP 방식이 정당한 사용자보다 먼저 코드를 가로채는 가로채기 봇으로 인해 최대 80%의 경우 실패할 수 있다고 설명합니다. 놀랍게도 사람들은 Play-Doh에서 3D 마스크에 이르기까지 모든 것을 사용하여 생체 인식을 스푸핑했습니다.
그리고 다소 걱정스러운 것은 2023 HYPR 보고서 에 따르면 피싱에 강한 비밀번호 없는 방법을 사용하는 조직은 3%에 불과하다는 것입니다. 비밀번호 없는 로그인이 보안에 대한 잘못된 인식을 심어줄 경우 사람들이 간과할 수 있는 취약점이 있다는 점을 강조합니다.
특히 기업과 관련된 또 다른 과제는 기업 경영진과 직원들이 새로운 기술 발전을 도입하는 것을 주저한다는 것입니다. 오랜 기간 동안 비밀번호를 사용해 온 많은 개인은 자신의 습관을 바꾸려고 하지 않는 경우가 많습니다. 비밀번호를 입력하지 않아도 되는 등 사무용품 구매에 변화를 도입할 때 특정 개인은 저항감을 보이거나 접근 방식의 변화에 대해 의문을 제기할 수 있습니다.
비밀번호 없는 쇼핑이 나에게 적합할까요?
다양한 보안 조치를 고려할 때, 신뢰할 수 있는 옵션 중 하나는 물리적 하드웨어 키를 획득하여 잠긴 금고와 같은 안전한 장소에 보관하는 것입니다.
인증에 모바일 장치를 사용하면 특정 우려가 제기됩니다. 일회용 비밀번호(OTP)는 모든 상황에서 전달되지 않을 수 있습니다. 디바이스를 분실할 경우 생체 인식 요소의 보안이 손상될 수 있습니다. 일부 전문가들은 앞서 언급한 대안 중 하나 이상의 옵션과 타이핑 속도, 전화기 취급 등 사람의 행동을 평가하는 방법을 통합할 것을 제안합니다.
비밀번호 이외의 수단을 통해 본인을 인증하는 것은 편의성이나 보안 조치 측면에서 특정 이점을 제공할 수 있지만, 어떤 대체 방법도 사이버 위협으로부터 절대적인 보호를 보장할 수 없다는 점을 인식하는 것이 중요합니다. 악의적인 공격자들이 점점 더 발전된 도구와 기술을 보유하고 있는 오늘날의 상호 연결된 세상에서는 모든 디지털 상호 작용에 내재된 취약성이 존재합니다. 따라서 개인은 자신이 선택한 인증 방법과 관련된 잠재적 위험과 보상을 신중하게 평가하여 잠재적 위험에 대한 노출을 최소화하면서 온라인 환경을 탐색하는 최선의 방법에 대해 정보에 입각한 결정을 내릴 수 있어야 합니다.