전남대학교 전산 시스템의 새로운 시도: 비밀번호 없는 로그인, 그리고 고민거리

도입

지금 전남대학교는 내부 포털 시스템의 로그인 방식을 변경하고 있습니다. SSO 시스템에서 비밀번호 인증을 완전히 제거하는 것이 목표인 것으로 보입니다.

다만 이 구현 방법이, 대개의 일반 사용자 입장에서는 불편한 절차 한 가지를 더 강제하는 형태가 되었습니다. 사람들에게 여간 번거로운 것이 아닌 모양입니다.

제 친구들도 제게 이 화두를 던지면서 이 작업이 이루어진 배경에 대해서 궁금해했습니다. 다른 사람의 반응이 궁금해 에브리타임을 살펴보았는데, 긍정적인 반응은 찾을 수 없었습니다. 원래 익명 게시판이 센 어휘를 사용한다는 것을 고려해도 꽤 공격적인 반응이 주를 이루고 있었습니다.

비밀번호 없는 로그인

• 비밀번호는 항상 주요한 공격 표면이 되어왔음
• 최근에는 인증 과정에서 비밀번호를 제거하려는 움직임과 기술 개발이 구체적으로 이루어지고 있음
• 따라서 지금의 전환은 방향성 측면에서는 타당함

이번 비밀번호 제거 작업에서 학내에 퍼진 주요한 의견은, “학교에서 전산 시스템을 제대로 관리해야 할 책임을 사용자에게 전가하기 위해 이번 작업이 이루어졌다”는 인식인 것 같습니다.

하지만 이번 작업을 두고 사용자에게 책임을 전가한다는 주장은 타당하지 않습니다. 오히려 저는 전산 시스템을 제대로 관리해야 할 책임을 적극적으로 다하고 있는 것으로 생각합니다.

금융감독원을 사칭한 피싱사이트[자료=과학기술정보통신부], #에서 획득

비밀번호는 항상 주요한 공격 표면이 되어왔습니다. 가짜 사이트를 만들어서, 키보드 입력을 가로채서 비밀번호를 훔치는 공격이 끊임없이 시도되고 있습니다.

또 대부분의 사람들은 여러 개 사이트에 걸쳐 비밀번호를 재사용하고 있습니다. 어딘가 취약한 사이트에서 비밀번호가 유출되면 다른 사이트에서도 계정이 탈취될 위험이 있다는 것입니다.

이와 관련한 사례는 빈번히 보고됩니다. 관련하여 꼽을 만한 사례 중 하나로는, 다수의 연예인이 휴대전화 해킹과 협박을 당한 삼성계정 도용 사건입니다. 최초에는 삼성측으로의 공격이 성공한 해킹 사건으로 인식되었으나, 실제로는 공격자는 보안이 허술한 다른 사이트에서 비밀번호를 획득해 로그인한 것으로 결론지어졌습니다. 해킹 사건이 아니라, 비밀번호를 여러개 사이트에 걸쳐 재사용하여 발생한 계정 남용 사건인 것입니다.

이러한 공격은 운영 측에서 아무리 노력하더라도 비밀번호 로그인만으로는 완전히 막을 수 없습니다.

암호를 사용하지 않는 것이 다음 세대의 계정 보안입니다.

- Microsoft “How to go passwordless with your Microsoft account”

그래서 최종적으로는 비밀번호 인증을 로그인 방법에서 완전히 제거하는 것을 목표로, 많은 테크 기업들이 새로운 신원 인증 기술을 개발하고 보급하고 있는 상황입니다. 최근에는 상당 부분 성과가 있었습니다. 그래서 마이크로소프트는 새 계정을 만들면 비밀번호로 로그인하기 옵션을 비활성화하는 것을 이제 기본으로 하게 되기도 했습니다.

패스키

이번 전환에서 아쉬운 점 중 하나는, 비밀번호 없는 로그인 방식으로 패스키와 같은 기술이 도입되지 않았다는 점입니다.

패스키는 휴대폰, 노트북등 사람들이 소유하고 있는 기기의 보안 시스템을 사용해 로그인을 할 수 있게 하는 기술입니다. 이들 기기는 거의 항상 소유자의 관리 하에 있을 것이고, 최근에는 이 기기들에 다양한 생체 인증 수단이 구현되어있습니다. 그래서 비밀번호보다는 이 인증 수단들을 활용하겠다는 것이 패스키의 기본적인 아이디어입니다.

동시에 구체적인 구현 방법에 있어서는, 서버 측에는 비밀번호나 민감 정보가 저장되지 않습니다. 서버에서 해킹으로 인해 정보 유출이 발생하더라도, 해커가 서버에서 획득한 패스키 인증 정보만으로는 로그인을 할 수 없다는 뜻입니다.

로그인에 성공하기 위한 패스키 인증 정보는 기본적으로 사용자의 기기에 저장됩니다. 그래서, 심지어는, 최근에는 기기 내부 시스템 깊숙한 위치에서 관리하도록 하거나 전용 보안 칩을 이용해 패스키의 보안 스펙을 더 높이는 구현도 등장하고 있습니다. 삼성의 패스키 구현은 Knox라고 하는 갤럭시의 보안 시스템과 연동되었고, 최고 수준의 물리 보안키 회사로 유명한 Yubico에서의 패스키 구현은 YubiKey라는 물리 보안 키에 패스키 정보를 저장하여 패스키 인증을 수행할 수 있도록 하고 있습니다.

최근에는 노트북에도 지문 인식, 얼굴 인식과 같은 생체 인증 수단이 계속해서 탑재되고 있고, 태블릿은 원래 노트북보다는 휴대폰에 더욱 가까운 만큼, 휴대폰이 아니어도 패스키 인증을 사용할 수 있게 되고 있습니다. 윈도우 노트북의 생체인증 기능인 Windows Hello, 맥북의 Touch ID은 이미 패스키를 전면적으로 지원하고 있습니다.

뿐만 아니라 크롬 비밀번호 관리자나, 1Password, Bitwarden과 같은 비밀번호 관리자 프로그램에, 기기에 저장된 패스키 인증 정보를 동기화하여 사용할 수도 있습니다. 패스키 인증을 위해서 패스키 정보가 등록된 기기를 따로 꺼내지 않고, 지금 사용하고 있는 기기에서 바로 패스키 인증을 할 수 있는 것입니다.

그래서 패스키를 도입하면, 제한적이지만 비밀번호 없는 로그인을 위해서 휴대폰을 따로 꺼내지 않아도 됩니다. 우리 학교는 이클래스에 접근하기 위해서는 학교 전산 시스템에 로그인해야 합니다. 최근에는 수업 중에 휴대폰을 꺼내 사용하는 것을 문제삼는 교수님이 많지 않다고 하더라도, 이번 변화로 수업 중간에 휴대폰을 사용하는 것을 학교에서 독려하는 형태가 되었다고 생각합니다. 수업중에 이클래스에 접근하기 위해서라고 해도, 이것이 적절하다고 생각하지 않습니다.

제한적이라는 단서를 달았던 만큼, 특히 노트북의 경우에, 패스키 로그인을 지원하지 않는다면 휴대폰을 사용하거나 해야하겠지만, 아예 일체의 대안이 전면 차단되는 것보다는 낫습니다.

신원 인증의 제어권을 잃지 않기

• 비밀번호는 지금까지 스스로 신원 인증을 제어할 수 있었음
• 표준화되고 있는 비밀번호 없는 로그인 방식은, 그 어떤 표준도 사용자로부터 신원 인증에 관한 제어권을 전부 빼앗지는 않음
• 학교의 사례에서는 이 측면에서 해결 과제가 있음

비밀번호는 지금까지 우리가 제어할 수 있는 범위 안에 있어왔습니다. 비밀번호를 보관하거나 기억하는 데 있어서, 특정 기업의 앱이나 서비스를 무조건적으로 사용해야할 필요는 없었습니다. 그래서 우리는 비밀번호를 머릿속에 기억하거나, 종이에 적어두거나, 혹은 “크롬 자동완성”, “애플 키체인”, 1Password 와 같은 비밀번호 관리 앱을 선택해서 비밀번호 보관에 사용할 수 있었습니다.

우리는 우리가 신원 인증에 대한 제어권을 가지고 있었습니다.

오늘날 업계에서 널리 고려되는 표준적인 비밀번호 없는 로그인은 크게 두가지입니다. 하나는 위에서 언급한 패스키였습니다. 언급하지 않은 다른 한 개의 수단을 포함해서, 이들 방식은 모두 사용자로부터 신원 인증에 관한 제어권을 전부 빼앗지는 않습니다.

이들 방식 모두 사용자가 자기 자신이 선택한 인증 앱이나, 패스키 구현을 선택할 수 있습니다. 예를 들어, 구글 이메일에 로그인하는 데 애플 키체인을 이용해 로그인할 수도 있고, 학교 이메일을 사용하기 위해 마이크로소프트에 로그인하더라도 구글 Authenticator 앱을 이용해 로그인할 수도 있습니다.

Google Authenticator에 다양한 회사의 계정 로그인 정보를 저장한 모습. 이와 같이 한 번에 관리하는 것도 가능합니다.

이렇게 하여 사람들이 자기 자신의 비밀번호를 관리하던 것과 마찬가지로, 사람들은 온라인에서 자기 자신을 증명하는 수단에 대한 제어권을 유지할 수 있습니다. 특정한 기업에서 해킹 사건이 벌어지면 비밀번호를 바꾸듯, 어딘가 문제가 있으면 인증 앱을 바꿀 수도 있습니다.

이러한 측면에서 비교하자면, 학교의 사례에서는 우리가 신원 인증에 있어 일체의 제어권이 없다는 점에서 생각할 지점이 있습니다. 물론 권한에는 책임이 따른다는 시각에서, 학교 측에서 관련한 보안 체계 전반의 책임도 함께 독점하는 것으로도 볼 수 있겠지만, 관련해서는 앞으로도 논의될 대상이 될 수 있겠습니다.

크롬에서 패스키를 이용해 애플에 로그인을 시도할 수 있는데, 이 때 구글이나 애플의 패스키가 아니라 다른 기업의 것을 사용할 수도 있습니다.

반복되는 인증은 보안을 더 높이는가

• 학교의 로그인 인증은 매우 쉽게 만료됨
• 접속하는 IP 주소가 바뀌거나, 네트워크에 문제가 있어 동일한 네트워크의 연결이 잠깐 끊겼다가 다시 연결될 때도 로그인이 해제됨
• 학교 전산을 사용해야 할때마다 인증이 반복됨

이번 전환 작업의 부정적인 여론이 더욱 부각되는 원인 중 하나로, 학교 전산 시스템의 로그인 인증이 매우 쉽게 만료된다는 점을 꼽고 싶습니다.

지금의 로그인 시스템은, 접속하는 IP 주소가 바뀌거나, 네트워크에 문제가 있어 동일한 네트워크의 연결이 잠깐 끊겼다가 다시 연결될 때도 로그인이 해제되도록 되어있습니다. 매 시간 강의실을 찾아 장소를 옮기고 때로는 데이터 네트워크를, 때로는 와이파이를 사용하게 되는 대학의 환경에서는 매우 자주 다시 로그인해야 하는 상황이 벌어집니다.

대게의 학생들에게 익숙할 애증의 화면: 이클래스(LMS)에서 로그인 정보가 만료되었을 때 표시됩니다. 특히 LMS는 전산 시스템 중에서도 가장 자주 인증 정보가 만료됩니다.

혹자는 매번 필요할 때마다 인증을 반복하는 것이 더 안전하다고 주장할 수 있습니다. 하지만 반복되는 로그인이 보안 수준을 더 높게 유지하는 데 도움이 된다는 인식과는 달리, 반복되는 인증은 보안을 더 강화시키지 않습니다. 심지어는 오히려 보안을 더 낮추고 공격 대상이 될 수 있다는 분석이 보고되기도 했습니다.

레거시 시스템과의 호환

• 레거시 시스템은 여전히 비밀번호 인증을 전제로 하고 있음
• 레거시 시스템과의 호환 문제는 상당히 오랜 기간이 걸릴 것으로 예상됨
• 와이파이 인증은 패스키 같은 수단도 없음

학교 로그인 시스템에서 비밀번호를 완전히 제거하는 것이 목표라면, 비밀번호 없는 로그인을 어떻게 구현할 것인지 외에도 우려되는 것이 더 있습니다. 특히 지금과 같이 솔루션만 구매해 시스템에 덧붙이는 형태에서 더욱 고려해야 할 것이라고 생각합니다.

학교의 많은 레거시 전산 시스템은 비밀번호 인증을 전제로 하고 있습니다. 당장 떠올릴 수 있는 사례로, 학내의 무인증명발급기계와, 와이파이 로그인이 그러합니다. 이 시스템은 비밀번호 인증이 제거된 후에도 계속 운영되어야 하겠지만, 지금의 비밀번호 없는 로그인 솔루션 제공 업체와는 다른 업체가 솔루션으로서 제공하고 있는 것으로 보입니다.

지금까지는 포털이 제공하고 있는 SSO 시스템이 다소 표준화되어서, 그 호환에 크게 무리가 없었다고 한다면, 이제는 아니게 될 수 있습니다. 그렇다면 당분간은 호환되지 않는 이들 레거시 전산 시스템을 전수 조사하는 것부터 시작해서 상당히 오랜 기간이 걸릴 것으로 생각합니다. 이에 대해서 충분히 고려되고 준비되고 있는지 점검할 필요가 있습니다.

그리고 마침내는 이들 시스템을 비밀번호 없는 로그인으로 완전히 전환시키기 위해, 레거시 시스템 전반을 들어내 새 시스템을 추가할 것인지, 혹은 완전한 비밀번호 없는 로그인을 포기하고, 지금의 비밀번호를 레거시 시스템 전용의 비밀번호로 남겨두는 형태로 갈 것인지도 생각해볼 필요가 있습니다.

와이파이 인증의 경우 패스키 같은 수단도 없습니다. 지금은 학교 전산 시스템의 계정 정보를 이용해 와이파이에 로그인하고 있는데, 비밀번호 없는 로그인으로 전환한 이후에는 와이파이 로그인을 어떻게 할 것인지도 생각해볼 필요가 있습니다.

공개 와이파이 로그인으로 알려진 캡티브 포털

그렇다고 캡티브 포털을 만들어서 비밀번호 없는 로그인을 구현하는 것은 절대 해결책이 될 수 없습니다. 자동 로그인이 설정되어있더라도, 매번 연결할 때마다 캡티브 포털을 한 번은 열어야 하므로, 여기서 초래될 부정적인 경험은 지금보다도 부정적으로 논의될 것으로 보입니다.

사실 캡티브 포털은 고려 대상이 되어서는 안됩니다. 캡티브 포털을 도입해서 초래될 보안상의 약점은, 비밀번호 없는 로그인을 도입해 얻을 수 있는 보안상의 이점을, 훨씬 더 크게 상회합니다. 비밀번호를 요구하는 무선 구간 암호화 기술과 달리, 캡티브 포털은 와이파이 장비와의 통신을 암호화하지 않습니다.

eduroam과의 연계도 우려됩니다. eduroam은 대학 간 와이파이 로밍을 위해 각 기관의 인증 시스템과 연동되어 있습니다. 이 인증 시스템은 모두 비밀번호 인증을 전제로 하고 있습니다. 학교의 인증 시스템이 비밀번호 없는 로그인으로 전환되면, 타 기관의 사람이 우리 학교의 eduroam을 사용할 수 있도록 eduroam을 유지할 것인지, 우리 학교 사람이 타 기관에서 eduroam을 사용할 수 있게 하기 위해서는 또 어떻게 할 것인지 고려해야 할 것으로 보입니다.

마무리

이번 비밀번호 없는 로그인 전환은 업계에서도 최신의 움직임입니다. 일반적으로 학교 조직이 보수적으로 의사결정을 내리는 것을 감안하면 꽤 이례적이라고 생각합니다.

비밀번호 없는 로그인에 관해 드라이브를 걸고 있는 일선 빅테크들도 아직 비밀번호를 체계에서 완전히 제거하지는 않았습니다. 비밀번호는 컴퓨터가 고안되었을 때부터 함께 등장한 가장 오래된 인증 방법이어서, 이것을 제거했을 때의 발생 가능한 예상치 못한 문제점이 꽤 있을 것으로 점쳐지기 때문입니다.

그래서 아직 비밀번호의 완전한 제거는 거의 시도되지 않고 있고, 비밀번호 없는 로그인의 장점이나 기능성을 충분히 이해하고도 비밀번호 로그인을 고집하는 사용자도 꽤 많은 상황입니다. 그래서 개인적으로는, 이번 전환은 조금 섣부른 것은 아닌가 하는 감도 있습니다.

하지만 방향성에서는 타당하고, 이왕 이렇게 시작하게 되었으니, 잘 발전시켜 나가면 좋겠습니다.

더 읽어보기 및 참조

• Microsoft “How to go passwordless with your Microsoft account”
• Yubico “What is a Passkey?”
• FIDO Alliance “Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins”
  • (한국어 요약본) GeekNews “패스워드 없는 시대가 오고 있다”
• Apple “Apple, Google 및 Microsoft와 함께 FIDO 표준 지원 확대 가속화”
• Avery Pennarun “Frequent reauth doesn’t make you more secure”, Tailscale
  • (한국어 요약본) GeekNews “자주 다시 인증한다고 보안이 더 강화되지 않음”
• William Brown “Yep, Passkeys Still Have Problems”
  • (한국어 요약본) GeekNews “Passkey는 여전히 문제가 있다”