페이스북, iOS와 안드로이드에도 물리 보안 키 기능 탑재

#정보보호 #정보보안 #IT보안 #사이버보안

페이스북은 2017년 PC로 로그인하는 사용자들이 계정을 보다 안전하게 지킬 수 있도록 물리 보안 키 활용 옵션을 제공했다. 그리고 2021년, 같은 기능을 iOS와 안드로이드 사용자들에게도 제공하기로 했다. 소셜미디어가 각종 염탐과 정찰 공격의 온상이 되고 있는 때 모든 사용자에게 권장되는 것이기도 하다.

[보안뉴스 문가용 기자] 페이스북이 iOS와 안드로이드 사용자들을 위한 보안 옵션을 새로이 추가하겠다고 발표했다. 그것은 바로 하드웨어 보안 키다. PC 환경에서 페이스북에 로그인 할 때 사용할 수 있었던 보안 옵션이 모바일 환경으로 확대된 것이다. 위험성이 큰 환경에 처한 사용자들에게 적극 권장되고 있다.

[이미지 = utoimage]

이제 iOS 장비나 안드로이드 장비에서 페이스북에 로그인을 할 때 사용자가 자주 사용해오던 브라우저나 장비가 아닐 경우 물리 보안 키를 활용한 로그인을 실시할 수 있다. 누군가 나의 계정을 침투하려 한다는 사실을 파악할 수 있게 되는 것이다. PC 버전에서는 페이스북이 2017년부터 제공해 오던 기능이다.

페이스북의 보안 정책 수장인 나다니엘 글레이처(Nathaniel Gleicher)는 “페이스북 사용자들 중 곧잘 공격의 표적이 되는 부류들이 있다”며 “주로 인권 탄압 지역에서 활동하는 기자들, 활동가들, 정치가들, 시민 운동가들이 그런 사람들”이라고 설명한다. “주로 이들에게서 첩보를 얻기 위한 공격이 가해지지만, 목숨을 노리는 공격도 존재합니다. 계정 탈취가 치명적인 결과를 낳을 수 있죠. 그런 사람들이라면 2중 인증 옵션을 반드시 사용해야 합니다.”

최근 사회 공학 기법이 사이버 공격자들 사이에서 활성화 되면서 페이스북과 같은 소셜미디어를 모니터링하는 공격 행위나 늘어나고 있다. 소셜미디어에서 민감하고 개인적인 정보를 취득한 후, 이를 활용해 정교한 표적 공격을 실시하는 수법이 이미 사이버 공격자들 사이에서는 흔한 것이 되어버렸다. 따라서 소셜미디어의 계정이 탈취되는 건 거대한 리스크가 될 수 있는 것이다.

“대단한 족적을 남기고 언론의 하이라이트를 받는 사람들만 표적이 되는 게 아닙니다. 일반 회사의 임원진, 정부 기관에서 일하는 공무원들도 모두 스파이들의 정찰 대상이 되고 있습니다. 그들이 다루는 정보가 꽤나 유용하기 때문이죠. 공격자들의 주된 목표가 되는 사람들의 경우, 공식 계정만이 아니라 개인 계정들까지도 표적이 됩니다.” 즉 물리 보안 키를 사용하면 좋을 사람들이 많다는 것이다.

가트너(Gartner)의 부회장인 앤트 알란(Ant Allan)은, “디지털 서비스 제공 업체들 사이에서 물리 보안 키라는 옵션이 점점 더 많이 부여되고 있다”며 “이런 흐름이면 더 많은 사용자들이 이중인증이라는 보안 장치에 대한 거부감을 낮출 수 있을 것”이라고 말한다. 하지만 아직까지 자발적으로 이중인증 옵션을 활용하는 사용자의 비율은 극히 낮은 상태다.

알란은 “이런 흐름(이중인증의 활성화)과 맞물려 FIDO2가 점점 더 중요한 기술로서 자리를 잡을 것으로 예상한다”고 말한다. “2~3년 안에 FIDO2의 도입 분위기가 크게 일어날 것으로 예상하고 있습니다. MS와 같은 주요 기업들이 FIDO2를 도입하면서 이런 흐름은 가속화 될 것입니다. 로그인 서비스를 제공하는 업체라면 FIDO2와 다중인증 기능을 언젠가 도입해야 할 것이라고 예상하고 준비하는 게 현명할 것이라고 봅니다.”

물리 보안 키는 다중인증을 구현하는 다양한 방법들 중 상당히 강력한 것으로 인정받고 있다. 하지만 사용자는 극히 드문 것이 현실이다. 물리 키를 매일처럼 챙겨서 다니기가 힘들고 귀찮기 때문이다. 글레이처는 “물리 보안 키를 매일 가지고 다니는 사람의 수는 앞으로도 획기적으로 늘어나기 힘들다”고 말한다. “그렇기에 페이스북도 위험성이 높은 사람들에게 권장한다고 했겠죠. 물리 키를 가지고 다녀야 하는 귀찮음을 무릅써야 할 이유가 충분히 있는 사람들을 위해서 마련한 옵션이라는 게 페이스북의 기본적인 입장입니다.”

그럼에도 글레이처는 “모든 사람들이 이중인증 기능을 활용하는 것이 좋다”는 의견이다. “위험에 노출되어 있는 사람들만 위험한 게 아닙니다. 그 사람들과 알음알음 아는 사람들도 공격자들은 얼마든지 활용할 준비가 되어 있습니다. 모든 사람이 연결되어 있는 시대에, 그 어떤 사람이라도 공격의 발판이 될 수 있고 악성 행위자의 조력자가 될 수 있습니다.”

혹시 페이스북이 물리 보안 키를 제작해 판매하려는 것일까? 그건 아니다. 페이스북은 물리 키를 제조하지도 않고, 그럴 의사도 없다. 페이스북의 설명에 따르면 전화기 장비와 블루투스 등으로 연결될 수 있는 기존 물리 보안 키 제품만 있으면 된다고 한다. 가지고 있는 스마트폰에, 시장에 이미 나와 있는 키 제품들을 쓰면 된다는 것으로, 페이스북이 특별히 수익을 더 가져갈 것은 없다. 특정 브랜드를 지목하지도 않았다.

트위터는 이미 지난 12월에 비슷한 기능을 사용자들에게 제공한 바 있다.

3줄 요약

1. 페이스북, 물리 보안 키 사용한 로그인 기능을 모바일 사용자들에게 제공.

2. 2017년부터 PC 버전에서 제공하던 것을 iOS와 안드로이드에도 확대 적용한 것.

3. 이런 흐름이면 다중인증 옵션 자발적으로 활성화 하던 사용자들이 점차 늘어날지도?

[국제부 문가용 기자(globoan@boannews.com)]

느낀 점 : 현재 완벽한 암호란 존재하지 않는다고 생각한다. 하지만 그래도 현재 가장 안전한 암호 체계는 바로 물리 보안 키 아닐까 싶다. 2단계 인증이라고 알려진 물리 보안 키는 휴대폰에 어플을 깔거나 문자를 받아서 번호를 입력하거나 OTP 생성기로 주어진 암호를 입력하는 방식이다. 이게 안전한 이유는 무조건 본인이 소유한 휴대폰이 있어야 인증이 가능하기 때문이다. 이 때문에 페이스북에서 안전한 보안을 유지하기 위해서 물리 보안 키를 사용하기 시작한 것이다. 나 역시 중요한 계정들은 다 2단계 인증을 사용하고 있다. 중요한 계정들은 2단계 인증을 사용하는 습관을 키우는 것이 중요하다고 생각한다.