당신의 비밀번호는 안전할까요?

동동이·2023년 1월 31일
2
post-thumbnail
post-custom-banner

아마 비밀번호를 올바르게 설정하는법이나 비밀번호를 보관하는 법등을 생각하고 들어오셨다면

여기서는 비밀번호를 잘 관리하는 법이 아닌 '비밀번호'자체가 가지는 취약점에 대해 이야기볼려고 한다.

비밀번호란??

비밀번호가 뭔지를 모르는 사람은 없을거 알지만 비밀번호가 어떻게 비밀을 유지하는지에 대해 알아보자. 우리가 비밀번호를 입력하고 전송을 누르면, 사용자는 PKI방식을 이용해 서버에게 암호화된 비밀번호 정보를 전송한다.
그러면 서버가 그 암호화된 비밀번호를 복호화해서 비밀번호가 맞는지 검증과정을 거치게 되는데 이는 겉보기에는 지극히 안전해 보이는 시스템이다.
하지만, 보안을 공부하면서 해킹기법에 대한 조사를 1분 30초만 했다면 이 시스템은 근본적으로 취약하다는 것을 알 수 있다. 그 해킹 기법은 바로 MITM(man in the middle) 공격으로 쉽게 말하자면 위에 그림처럼 중간에서 둘 사이의 통신에서 일어나는 정보를 가로채는 공격을 말한다.
이렇게 들으면 아마 이렇게 말하실거다 "아니 어차피 암호화 되어있는데 뭔상관임?" 물론 그걸 방지하기 위해 암호화를 하는거지만 모든 암호는 결국 뚫리게 되어있을 뿐더러, 암호화 되어있는 데이터만 가지고도 다른 해킹기법을 이용해 계정에 접근할수도 있다.
위와 같이 비밀번호는 근본적으로 다른사람이 내 데이터를 훔쳐갈 수 있다는 취약점이 존재한다.

그래서 어쩌라는 거임??

사실 그럼에도 비밀번호의 가성비는 매우좋기 때문에 많은 서비스가 비밀번호를 통해 사용자 인증을 수행하고 있다.
그래서 어떤 단체는 이 비밀번호가 만연해있는 사용자 인증 환경을 개선하기 위해 머리를 싸매고 있는데..
그 단체가 바로 이 글의 진짜 주제인 FIDO Alliance이다.

FIDO(Fast Identity Online)Alliance란?

2013년 페이팔과 레노버등에서 일하던 보안 전문가들은 우리가 앞서 봤던 비밀번호가 가지고 있는 보안 취약점을 비판하면서 FIDO Alliance를 결성하게 된다.
이 FIDO Alliance는 '비밀번호가 없는 미래'를 위해 FIDO 규격을 개발해냈는데,
FIDO는 웹사이트나 기타 서비스 공급업체가 비밀번호 기반 보안을 탈피할 수 있도록 전용 하드웨어 보안기기나 스마트폰, 일부PC에 탑재되어있는 생체 인증 기능 등 생체 인증이나 기타 하드웨어 보안 체계를 활용할 수 있도록 해준다. FIDO Alliance는 이러한 규격을 웹사이트에 쉽게 통합할 수 있도록 Javascript API등도 개발했다.
라고 내가 조사한 자료에 적혀있었는데, 사실 쉽게 말하면 생체인증 즉 지문, 홍채등으로 비밀번호를 대체한다는 것이다. 이것만 보면 이게 뭐 어쩐다는건지 감이 안잡히지만, 아까 비밀번호가 취약했던 이유를 다시한번 생각해보자. 비밀번호의 문제는 데이터가 제 3자에게 유출될 위험이 있다 하지만 하드웨어 보안기기나 생체인증을 활용하면, 서버로 데이터를 보낼필요없이 클라이언트단에서 인증을 바로 수행할 수 있다(!!)
참고로 현재 FIDO 얼라이언스에는 Apple, Google, Intel, Microsoft등 현재 내노라하는 it기업들이 대부분 속해 있다.
또한 애플은 FIDO 기술을 응용해 패스키라는 서비스를 만들어 현재 상용화를 준비하고 있다

느낀점

사실 요즘 최신 기술들을 조사하다 보면 느끼는거지만 점점 서버의 역할이 작아지는거 같다. 클라이언트 기기들의 컴퓨팅파워와 용량이 방대해지면서, 중앙장치에 데이터를 보내기 보단 차라리 클라이언트에서 데이터를 저장하거나(블록체인), 인증할 수 있는 수단을 클라이언트에 제공해서 인증(FIDO)을 수행하는것 같다. 이에 대한 얘기도 나중에 견문을 넗히고 풀어보겠다

profile
보안 공부하는 사람
post-custom-banner

0개의 댓글