비밀번호 없는 세상을 꿈꾸는 ‘라인페이’

라인 신기은 보안 소프트웨어 엔지니어

가 +
가 -

당신이 사용하는 ID는 몇 개인가요?

인터넷 사용 경험을 떠올려 보자. 각종 포털 서비스, 이메일, 인터넷 쇼핑몰, 미디어 스트리밍 서비스 등을 이용하려면 ID가 필요하다. ID는 인터넷 세상에서 일종의 신분증으로서 나 자신을 대표한다. 수많은 인터넷 서비스를 누리기 위해선 ID와 같은 계정 정보가 필수다.

원활한 인터넷 서비스를 누리기 위해 ID와 함께 쌍으로 움직이는 것이 있다. 바로 비밀번호다. 인터넷 서비스 사용자가 ‘나’임을 증명하는 수단이자 일종의 보안 장치로서 ID와 비밀번호는 짝이 되어 움직인다.

“당신이 사용하는 비밀번호는 몇 개인가요?”

새로운 인터넷 서비스를 이용하려면 회원가입을 해야 한다. 회원가입 할 때, ID를 정하고 비밀번호를 입력한다. 보안을 위해서 각 사이트마다 ID와 비밀번호를 달리 설정하는 게 좋다고 하지만, 사람의 기억력에는 한계가 있다. 보안을 취약하게 만든다는 걸 알면서도 습관처럼 늘 쓰는 ID와 비밀번호를 넣게 된다.

“비밀번호를 좋아하는 사람은 없습니다. 100개가 넘는 계정 정보를 가지고 있어도, 비밀번호는 쓰는 것만 쓰기 마련이지요. 결국 비밀번호는 해커의 표적이 되기 쉽습니다. 안전하지 않죠.”

| 신기은 라인 보안 소프트웨어 엔지니어

| 신기은 라인 보안 소프트웨어 엔지니어

신기은 라인 보안 소프트웨어 엔지니어는 ‘버라이즌 사이버 범죄 사례 연구-2017’ 자료를 인용해 비밀번호 기반의 보안 정책은 안전하지 않다고 설명했다. 2016년과 비교해 2017년 보안 사고는 279% 많게 일어났으며 이 중 81%가 비밀번호 유출로 일어났다면서 말이다.

물론 이런 보안 사고를 막기 위해서 비밀번호 관리 서비스, 일회용 암호인 OTP나 문자서비스(SMS)를 활용해 2단계 인증을 도입하는 경우가 늘고 있다. 지문인식이나 얼굴인식을 활용한 생체 인증 서비스, 페더레이션 기반 싱글사인온(SSO)과 같은 보안 기술이 등장했다. 이렇게 다양한 기술 가운데 신기은 엔지니어가 주목한 건 FIDO(Fast Identity Online) 인증이다.

| FIDO 인증 작동 방식

| FIDO 인증 작동 방식

FIDO 인증은 사용자 단말기에 저장된 키(개인키)를 기반으로, 해당키를 단말이 보유하고 있는지를 인증 서버에서 검증하는 방식이다. 해당키는 단말 내부에 안전하게 저장되며, 다양한 기술로 보호가 되어 있기 때문에 해커가 인증 서버를 공격해 데이터를 탈취해도 안심할 수 있다. 다만, 지원 가능한 플랫폼이 제한적이다. FIDO 기술만으로 모든 플랫폼을 커버하기 힘들다.

“FIDO 인증은 장치마다 강력한 보안을 자랑합니다. 다요소 인증을 지원하고, 주요 브라우저 및 플랫폼이 지원하지요. 최근 윈도우, 안드로이드에서 해당 기능을 지원하는 등 적용할 수 있는 영역이 점차 늘어나고 있습니다. 다양한 보안 솔루션마다 저마다 장단점이 존재하지만, FIDO가 기존 비밀번호 문제점을 해결해 줄 수 있는 가장 적합한 솔루션에 가깝다고 봅니다.”

라인, FIDO 인증 도입…핀테크 서비스로 확산 예정

신기은 엔지니어가 근무하는 라인은 이미 라인페이에 FIDO 기반 생체인증을 도입했다. iOS 사용자는 페이스ID나 터치ID를 활용해 인증, 인증 확인을 수행할 수 있다. 이 기능은 조만간 안드로이드 라인페이 앱에도 적용될 예정이다.

이를 위해 라인은 지난해 FIDO 유니버설 서버 자격인증을 획득했다. FIDO 기술은 크게 FIDO 1, FIDO 2로 구분한다. 이 중 FIDO는 UAF, U2F 표준으로 구성이 되어있다. FIDO 유니버설 서버는 다양한 FIDO 기술 및 표준에 대응할 수 있는 서버를 말한다. 라인은 FIDO 유니버설 서버를 통해 다양한 인증 장치를 지원할 수 있게 된 셈이다. 라인 서비스가 향후 FIDO 인증 확대할 계획임을 엿볼 수 있다.

실제로 라인은 엔지니어링 블로그를 통해 비밀번호 없는 로그인을 공개하면서, 핀테크 기반 라인 서비스에 로그인 및 인증 수단으로 FIDO를 도입할 예정이라고 밝혔다.

| 라인 FIDO 유니버설 서버 소프트웨어 스택

| 라인 FIDO 유니버설 서버 소프트웨어 스택

라인은 FIDO 인증 도입 다음을 바라보고 있다. FIDO를 사용하던 사용자가 해당 기기를 잃어버렸을 경우, 어떤 식으로 계정 복구를 할 수 있는지 등에 대한 방안을 고민하고 있다. 계정 복구가 상대적으로 보안 수준이 낮은 형태라면, FIDO를 통해 보안 강도를 높였다 한들, 공격자는 계정 복구 프로세스를 이용하여 계정 탈취를 시도할 수 있기 때문이다.

“라인 보안팀에서는 비밀번호 방식의 로그인이나 인증이 많은 보안 문제의 원인이라고 생각하고 있습니다. 비밀번호를 대체하는 인증 수단을 도입하고자 노력했으며, 비밀번호 없는 로그인을 제공하기 위해 준비하고 있지요. FIDO 도입과 함께 연관된 다른 보안 기능의 보안 수준에 대한 확인과 그에 맞는 정책, 기술, 프로세스 도입을 통해 보안을 강화해 나갈 계획입니다.”