맨위로가기

비밀번호 없는 인증

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

비밀번호 없는 인증은 비밀번호를 사용하지 않고 사용자의 신원을 확인하는 기술로, 2004년부터 컴퓨터 과학계에서 비밀번호의 종말을 예견하면서 연구가 시작되었다. 생체 인식 기술과 스마트폰의 보급, 분산된 인력 증가 등 기술 및 비즈니스 환경 변화에 따라 마이크로소프트, 구글 등 주요 기술 기업을 중심으로 채택이 증가하고 있다. 비밀번호 없는 인증은 보안성 강화, 사용자 편의성 증대, IT 비용 절감 등의 장점을 가지지만, 초기 구축 비용, 새로운 인증 방식에 대한 교육 필요성, 단일 실패 지점 발생 가능성 등의 단점도 존재한다.

더 읽어볼만한 페이지

  • 응용암호학 - 위키리크스
    위키리크스는 2006년 설립되어 줄리언 어산지가 주도한 비영리 조직으로, 정부와 기업의 기밀 정보를 폭로하는 것을 목표로 하지만 정보 진위 논쟁, 러시아 정부 연루 의혹, 법적 문제 등으로 평가가 엇갈린다.
  • 응용암호학 - 크립토아나키즘
    크립토아나키즘은 암호 기술을 통해 정부의 감시를 회피하고 익명성을 보장하며 자유를 증진하려는 사상으로, 암호화폐와 다크넷 마켓 등에서 활용되며 자유지상주의적 가치를 추구한다.
  • 접근 제어 - 오므론
    오므론은 1933년 설립된 일본의 글로벌 기업으로, 센서, 제어 장치, 의료기기 등 다양한 전자 부품 및 시스템을 생산·판매하며, 특히 전자 혈압계 분야에서 세계적인 선두주자이다.
  • 접근 제어 - 허가 (컴퓨터 과학)
    허가는 컴퓨터 과학에서 접근 제어 정책에 따라 자원에 대한 접근 권한을 부여하는 과정으로, 시스템 보안과 규정 준수를 위해 최소 권한의 원칙에 기반하여 관리되며, 역할 기반 접근 제어와 속성 기반 접근 제어 등의 모델이 사용된다.
비밀번호 없는 인증

2. 역사

비밀번호 없는 인증 방식에 대한 논의는 2000년대 초반부터 시작되었다. 빌 게이츠와 같은 정보기술 분야의 선구자들은 일찍이 기존 비밀번호 방식의 보안상 한계를 지적하며 새로운 인증 수단의 필요성을 강조했다.[1][2] 이후 IBM, 구글 등 여러 기업과 전문가들이 비밀번호 시대의 종말을 예측하며, 사용성과 보안 문제를 주요 원인으로 꼽았다.[3][4][5][6][7][8]

그러나 새로운 인증 방식이 비밀번호를 완전히 대체하기에는 배포 가능성 등 현실적인 어려움이 존재한다는 분석도 있었다.[9][10] 그럼에도 불구하고, 생체 인식 기술의 발전, 스마트폰의 대중화, 그리고 FIDO2 프로젝트WebAuthn과 같은 개방형 표준의 등장은 비밀번호 없는 인증 기술의 개발과 채택을 꾸준히 촉진하고 있다.[11][12][13]

2. 1. 초기 논의 및 예측

비밀번호가 쓸모 없어질 것이라는 생각은 적어도 2004년부터 컴퓨터 과학계에서 제기되어 왔다. 빌 게이츠는 2004년 RSA 컨퍼런스에서 "비밀번호는 정말 안전하게 보호하려는 모든 것에 대한 요구 사항을 충족하지 못한다"고 말하며 비밀번호의 종말을 예언했다.[1][2] 2011년 IBM은 5년 안에 "다시는 비밀번호가 필요하지 않을 것"이라고 예측했다.[3] 해킹 사건의 피해자였던 ''와이어드''의 기자 맷 호난은 2012년에 "비밀번호 시대는 끝났다"고 썼다.[4] 2013년 구글의 정보 보안 관리자인 헤더 애드킨스는 "구글에서는 비밀번호가 끝났다"고 말했다.[5] 구글의 보안 엔지니어링 부사장인 에릭 그로스는 "비밀번호와 쿠키와 같은 간단한 베어러 토큰으로는 사용자를 안전하게 보호하기에 더 이상 충분하지 않다"고 덧붙였다.[6] ''월스트리트 저널''에 기고한 크리스토퍼 밈스는 비밀번호가 "마침내 죽어가고 있다"고 주장하며, 장치 기반 인증으로 대체될 것이라고 예측했다. 하지만 그는 의도적으로 자신의 트위터 비밀번호를 공개했다가 휴대폰 번호를 변경해야 하는 일을 겪기도 했다.[7]

가트너의 아비바 리탄은 2014년에 "비밀번호는 몇 년 전에 죽었다. 이제는 죽음 이상이다"라고 말하며 이러한 주장에 힘을 실었다.[8] 이러한 예측의 배경에는 비밀번호의 사용성 및 보안 문제가 자리 잡고 있다.

보노(Bonneau) 등은 웹 비밀번호와 35가지 경쟁 인증 방식을 사용성, 배포 가능성, 보안 측면에서 체계적으로 비교하는 연구를 수행했다.[9][10] 분석 결과, 대부분의 방식이 보안 측면에서는 비밀번호보다 우수했지만, 사용성 측면에서는 일부만 더 좋았고, 배포 가능성 측면에서는 ''모든'' 방식이 비밀번호보다 열악했다. 연구진은 "변두리적 이득은 종종 상당한 전환 비용을 극복하는 데 필요한 활성화 에너지에 도달하기에 충분하지 않으며, 이는 우리가 비밀번호의 장례 행렬이 묘지에 도착하기 전에 훨씬 더 오래 살 가능성이 있는 가장 좋은 이유를 제공할 수 있다"고 결론지으며, 비밀번호가 쉽게 사라지지 않을 것임을 시사했다.

2. 2. 기술 발전과 업계 동향

최근 스마트폰의 확산과 생체 인식 기술의 발전, 그리고 원격 근무 등으로 인한 분산된 인력 증가는 비밀번호 없는 인증 방식의 도입을 촉진하는 주요 요인이 되고 있다. 이러한 기술 및 비즈니스 환경 변화에 발맞춰, 마이크로소프트[11], 구글[12] 등 주요 정보기술 기업들은 비밀번호 없는 인증 기술 개발과 적용에 적극적으로 나서고 있다. 이들 기업과 업계 전반의 노력은 더 나은 인증 구조와 방식을 개발하여 기술의 보급을 넓히는 데 기여하고 있다. 다만, 많은 기업은 여전히 신중한 접근을 취하며 특정 서비스에서는 비밀번호를 보조적인 수단으로 남겨두기도 한다.

FIDO2 프로젝트WebAuthn과 같은 개방형 표준의 개발은 비밀번호 없는 인증 기술의 확산을 더욱 가속했다. 이러한 표준은 Windows Hello와 같은 구체적인 기술 구현으로 이어져 사용자 편의성과 보안성을 높이는 데 기여한다. 일례로 2020년 6월 24일, 애플은 자사 웹 브라우저인 사파리에서 Face ID 또는 Touch IDWebAuthn 플랫폼 인증자로 사용하여 비밀번호 없이 로그인할 수 있도록 지원한다고 발표했다.[13]

3. 작동 방식

비밀번호 없는 인증 시스템은 사용자가 먼저 자신의 신원을 시스템에 등록하는 과정으로 시작한다. 이 등록 과정에서는 사용자의 장치와 서버 간에 공개 키와 개인 키 쌍이 생성 및 교환되어 향후 인증의 기반을 마련한다.

등록이 완료된 사용자는 이후 시스템에 로그인할 때, 서버로부터 받은 인증 요청(챌린지)에 대해 개인 키를 이용해 디지털 서명을 생성하여 응답한다. 서버는 미리 저장된 사용자의 공개 키를 이용해 이 서명을 검증함으로써 사용자를 인증하고 접근을 허용한다. 이러한 방식은 생체 인식 정보 등을 활용하여 사용자의 편의성과 보안성을 높이는 것을 목표로 한다.

3. 1. 등록 절차

사용자는 먼저 시스템에 등록해야 신원을 확인할 수 있다. 비밀번호 없는 등록 절차는 다음과 같은 단계를 포함할 수 있다:[14]

  • '''등록 요청''': 사용자가 웹사이트에 등록을 시도하면 서버는 사용자 장치로 등록 요청을 보낸다.
  • '''인증 요소 선택''': 사용자의 장치가 등록 요청을 받으면 사용자를 인증할 방법을 설정한다. 예를 들어, 장치는 사용자 식별을 위해 지문 스캐너 또는 안면 인식과 같은 생체 인식을 사용할 수 있다.[15]
  • '''키 생성''': 사용자의 장치는 공개 키/개인 키 쌍을 생성하고 향후 검증을 위해 공개 키를 서버로 보낸다.[16]

3. 2. 로그인 절차

등록이 완료되면 사용자는 다음 프로세스를 통해 시스템에 로그인할 수 있다.

  • '''인증 챌린지''': 사용자가 사이트에 로그인을 시도하면 서버는 인증 챌린지를 사용자의 장치로 보낸다.[16]
  • '''사용자 인증''': 사용자는 생체 인식 스캐너 등을 사용하여 장치에 자신의 신원을 증명하여 개인 키를 잠금 해제한다.[17]
  • '''챌린지-응답''': 사용자의 장치는 사용자의 개인 키를 사용하여 인증 챌린지에 대한 응답에 디지털 서명을 한다.[18]
  • '''응답 유효성 검사''': 서버는 사용자의 디지털 서명을 확인하기 위해 사용자의 공개 키를 사용하고 사용자의 계정에 대한 접근 권한을 제공한다.[18]

4. 장점 및 단점

비밀번호 없는 인증 방식은 기존 비밀번호 기반 시스템에 비해 보안성 향상, 사용자 경험 개선, IT 관리 비용 절감 등 여러 장점을 제공한다. 그러나 초기 도입 비용, 사용자 및 관리자 교육의 필요성, 인증 수단 분실이나 고장 시 발생할 수 있는 단일 실패 지점 문제와 같은 단점도 존재한다.

4. 1. 장점

비밀번호 없는 인증 방식은 기존 인증 방식에 비해 여러 장점을 가진다.

  • '''더 높은 보안''': 비밀번호는 컴퓨터 시스템의 잘 알려진 취약점이다. 비밀번호 재사용, 공유, 크래킹, 비밀번호 분무 공격 등은 많은 보안 침해 사고의 주요 원인이 되는 공격 벡터로 여겨진다. 비밀번호 없는 인증은 이러한 취약점을 제거하여 보안 수준을 높인다.
  • '''더 나은 사용자 경험''': 사용자는 더 이상 복잡한 비밀번호를 외우거나, 서비스마다 다른 보안 정책에 맞춰 비밀번호를 설정하고 주기적으로 변경해야 하는 불편함을 겪지 않아도 된다.
  • '''IT 비용 절감''': 비밀번호 저장 및 관리가 필요 없어지므로, IT 부서는 비밀번호 정책 수립, 유출 감지, 분실 비밀번호 재설정 지원, 비밀번호 저장 관련 규정 준수 등 관리 부담과 비용을 줄일 수 있다.
  • '''자격 증명 사용의 더 나은 가시성''': 자격 증명이 특정 장치나 고유한 사용자 속성(예: 생체 인식 정보)에 연결되기 때문에, 계정 탈취를 통한 대량 부정 사용이 어려워진다. 이를 통해 접근 제어가 더욱 강화된다.
  • '''확장성''': 사용자는 추가적인 비밀번호 피로를 느끼거나 복잡한 등록 절차를 거치지 않고도 여러 서비스의 로그인을 간편하게 관리할 수 있다.

4. 2. 단점


  • 구현 비용: 비밀번호 없는 인증이 장기적으로 비용 절감 효과가 있을 수 있지만, 초기 구축 비용은 부담이 될 수 있다. 기존 사용자 디렉터리에 인증 시스템을 구축하고, 때로는 OTP(One-Time Password) 생성기나 보안 키 같은 추가 하드웨어를 사용자에게 배포해야 하는 비용이 발생한다.
  • 교육 및 전문 지식 필요: 기존 비밀번호 관리 시스템은 오랫동안 사용되어 익숙하지만, 비밀번호 없는 인증 방식은 IT 팀과 최종 사용자 모두에게 새로운 학습과 적응을 요구한다.
  • 단일 실패 지점: 특히 OTP나 스마트폰 앱의 푸시 알림을 사용하는 경우, 인증에 사용되는 기기가 고장 나거나 분실, 도난당했을 때, 혹은 단순히 기기를 교체했을 때 사용자가 인증에 어려움을 겪을 수 있다.[19]

참조

[1] 웹사이트 Gates predicts death of the password http://news.cnet.com[...] News.cnet.com 2004-02-25
[2] 뉴스 Gates predicts death of the password https://www.zdnet.co[...] 2004-02-25
[3] 웹사이트 IBM Reveals Five Innovations That Will Change Our Lives within Five Years http://www-03.ibm.co[...] IBM 2015-03-14
[4] 간행물 Kill the Password: Why a String of Characters Can't Protect us Anymore https://www.wired.co[...] 2015-03-14
[5] 웹사이트 Google security exec: 'Passwords are dead' https://www.cnet.com[...] 2015-03-14
[6] 논문 Authentication at Scale http://www.computer.[...] 2022-07-02
[7] 뉴스 The Password is Finally Dying. Here's Mine https://www.wsj.com/[...] 2015-03-14
[7] 웹사이트 Commentary: What I Learned, and What You Should Know, After I Published My Twitter Password http://blogs.wsj.com[...] 2014-07-15
[8] 간행물 Russian credential theft shows why the password is dead http://www.computerw[...] 2015-03-14
[9] 논문 The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes https://www.cl.cam.a[...] University of Cambridge Computer Laboratory 2012
[10] conference The Quest to Replace Passwords: A Framework for Comparative Evaluation of Web Authentication Schemes 2012
[11] 웹사이트 Use passwordless authentication to improve security https://www.microsof[...] Microsoft.com 2020-04-12
[12] 웹사이트 Making authentication even easier https://security.goo[...] security.googleblog.com 2020-04-12
[13] 웹사이트 Apple Developer Documentation https://developer.ap[...] 2020-10-07
[14] 뉴스 Passwordless Authentication: A Complete Guide [2022] - Transmit Security https://www.transmit[...] 2022-01-13
[15] 뉴스 No password for Microsoft Account: What does passwordless authentication mean? https://www.business[...] 2022-04-12
[16] 뉴스 Technology Alliance Says It Is Closer to Killing Off Passwords https://www.wsj.com/[...] 2022-03-22
[17] 뉴스 Accelerating the Journey to Passwordless Authentication https://www.ibm.com/[...] 2022-04-12
[18] 뉴스 Passwordless Authentication https://www3.weforum[...] 2022-04-12
[19] 웹사이트 Issues with Multi-Factor Authentication: PSA for MFA App Users https://resources.sa[...] 2022-07-02


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com