오늘 갑자기 국외발신 문자로 문자 3개가 연달아왔다. 또 스팸인가부다 하고 무시하려고 했는데 페이스북이 보낸 문자인데다 잠시 후에 앱에서도 동일한 내용의 알림을 보내왔기 때문에 내용을 자세히 읽어봤다.
누군가 새로운 기기 또는 브라우저에서 회원님의 Facebook 계정에 액세스하려고 했습니다. 계정을 안전하게 보호할 수 있도록 fb.com/--- 주소로 이동하여 이 내역에 대한 본인 여부를 확인해주세요.
단순히 로그인 시도만으로 이런 문자와 알림을 보냈을리는 없으니 이는 분명 누군가가 내 페이스북 계정의 아이디와 비밀번호를 입력해서 로그인까지 성공했다는 이야기다. 최근에 중요한 계정들의 비밀번호를 바꾼터라 조금 놀랐다. 페이스북을 빼먹은 것 같다.
페이스북의 로그인 보안장치
문자의 링크를 클릭하니 이런 페이지로 연결되었다. 뭐라고 읽는지는 모르겠지만 대만의 어떤 곳에서 로그인을 했는데 이 로그인이 내가 한 것이 맞는지 확인하는 것이다. '아니요' 를 누르니 지금까지 등록된 로그인 세션이 모두 폐기됐고, 비밀번호를 변경해야했다.
새로운 비밀번호로 변경하고나서 가만히 생각해보니 이제 정말 안전해진 것 같다. 지금 이 비밀번호는 방금 내가 만들었으니 나만 안다. 그리고 지금까지 로그인한 모든 곳에서는 로그아웃 상태가 되었다. 내가 이해한대로 간단히 프로세스를 그려보면 아래와 같다.
이 프로세스의 핵심은 '정상적인 로그인인지를 어떻게 판단하느냐'에 달렸다. 페이스북은 이것을 로그인하는 지역이 완전히 다른 경우로 보는 것 같다. 비슷한 지역에서의 다른 컴퓨터를 사용했을 때는 이런 메시지를 본 적이 없다. 즉, 내가 살고 있는 지역에서 이런 식으로 계정이 털리면 그냥 털려야 한다.
스팀의 로그인 보안장치
페이스북의 인증을 머리 속에 그려보다보니 스팀의 인증과 비슷하면서도 조금 다른 것 같다는 생각이 들었다. 이전에 로그인했던 기기에서의 로그인은 바로 되고, 새로운 로그인은 인증을 거쳐야 한다는 점은 같지만 세부적인 부분이나 느낌은 많이 다르다.
둘이 다른 점은 정상 로그인을 판단하는 이유가 다르기 때문이라고 생각한다. 페이스북의 경우는 비정상 로그인인지를 확인하지만 스팀은 정상적인 로그인 인지만 확인한다. 같은 말 같지만 느낌이 사뭇 다르다. 페이스북은 계정 탈취라고 판단한 경우만 인증을 요구한다.
스팀은 오직 등록된 기기만 로그인을 허용하고 나머지는 모두 인증을 요구한다. 인증없이 계속 로그인 하려면 기기의 정보를 스팀에 등록해야한다. 화이트 리스트로 관리하는 것이다. 조금 빡빡한 느낌인데 아마도 로그인 이후부터는 클릭한번에 결제가 가능하기 때문에 이렇게 하는 것 같다. 스팀은 이 프로세스를 스팀가드라고 한다.
XBOX 스토어는 스팀보다는 조금 덜 빡빡하게 로그인은 언제 어디서든 가능하지만 등록된 기기에서만 구매를 할 수 있다. 등록하지 않은 기기에서 구매를 하려고 하면 스팀과 비슷한 방식의 인증을 진행한다.
비밀번호는 안전하지 않다?
페이스북과 스팀/XBOX의 이러한 로그인 보안장치를 보면 비밀번호는 계정을 보호하기에 충분하지 않다고 판단하고 있다는 것을 알 수 있다. 생각해보면 이런 것은 당연하다. 하루가 멀다하고 로그인 정보가 해킹/내부부정으로 외부에 유출된다. 이런 일은 국내외를 가리지 않고 발생한다.
물론 비밀번호를 각 사이트마다 다르게 사용하면 별다른 문제가 없을 수 있다. 그러나 수많은 보안 전문가와 수많은 서비스에서 이렇게 하라고 해도 어디 그렇게 되나? 내 페이스북 계정에 다른 사람이 로그인에 성공한 것도 당연히 내가 같은 비밀번호를 사용했기 때문이다. 적어도 6개월에 한번씩 비밀번호를 바꾸라고 하는 것도 어디 하던가? 시도때도 없이 알림을 보내 귀찮게 해도 무시한다.
이런 방법들은 결국 사용자들에게 비밀번호를 잘 관리하라고 하는 것이고 오직 비밀번호만이 유일한 안전장치임을 말하는 것이다. 페이스북과 스팀의 보안장치는 비밀번호가 더이상 안전하지 않으며 이를 넘어서 사용자의 힘만으로는 계정을 지킬 수 없다는 것을 말해준다. 사람의 귀차니즘을 서비스가 인정한 것이다.
내가 담당하는 서비스에서도 계정정보가 자신이 원치않게 변경되고 삭제되는 일이 발생했으니 다시 복원해달라는 요청이 빈번하게 접수된다. 아직 안전장치가 비밀번호 뿐이기때문에 당연한 결과라고 생각한다. 하루 빨리 추가적인 장치를 마련해야겠다. 그러지 않으면 상처받은 사용자가 점점 떠나갈 것 같다.