MS, 차세대 로그인 방식으로 '패스워드리스' 채택
상태바
MS, 차세대 로그인 방식으로 '패스워드리스' 채택
  • 전유진 기자
  • 승인 2021.09.17 10:16
  • 댓글 0
이 기사를 공유합니다

마이크로소프트(MS)가 기존의 계정 인증 방식에서 벗어나 새로운 로그인 방법을 도입·확대한다고 밝혔다.

MS는 ‘패스워드리스’ 적용 범위를 확대해 모든 사용자가 비밀번호 없이도 자사 계정에 안전하게 로그인할 수 있도록 한다고 밝혔다. 패스워드리스는 생체인식이나 일회용 비밀번호(OTP) 등을 통해 더욱 안전하게 로그인할 수 있도록 하는 보안 방식이다.

이번 조치로 MS 계정 사이트에서 ‘고급 보안 옵션’, ‘비밀번호 없는 계정 켜기’를 설정하면, 누구나 비밀번호가 아닌 다른 인증 방법으로 로그인할 수 있다. 이때 휴대전화 등에 설치된 MS 인증 앱이 개인 계정과 연결돼야 한다.

ID/PW는 인터넷 초기부터 널리 사용됐지만, 사용자가 기억하기 쉬운 번호를 여러 사이트에 걸쳐 반복 사용하는 경향이 있어 사이버 공격자들의 표적이 돼 왔다. 가령 ‘12345’나 ‘111111’과 같은 단순한 숫자나 문자열의 반복, 가족의 이름과 생일 등을 기초로 한 단어와 숫자 조합은 반복적으로 지목되던 보안 취약 사례다.

실제로 한 암호 관리 매니저 서비스 기업이 2억 7500만 개의 비밀번호를 분석한 결과, 지난해 가장 많이 쓰인 암호에 ‘123456’이 선정됐다. 이 비밀번호는 약 250만 명이 사용하고 있으며, 1초내 해킹이 가능한 것으로 드러났다. 그 다음으로 많이 쓰인 암호로는 '123456789'가 집계됐다.

이에 초당 약 579건(연간 180억 건)에 달하는 사이버 공격이 진행될 정도로 비밀번호 탈취 공격은 기승을 부리고 있다.

네트워크를 통합 교류와 협업이 업무 진행의 필수 요소가 된 데 이어 최근 원격근무까지 빠르게 확산하는 상황에서 공격자는 비교적 손쉬운 비밀번호 탈취를 통해 공격 대상에게 심각한 위험을 줄 수 있다.

비밀번호를 탈취당해 사이버 공격자가 사용자 계정으로 로그인할 수 있게 되면, 이후 공격자가 내부에서 더 높은 권한을 탈취하면서 공격 범위를 확장하거나, 중요 데이터를 빼내고, 네트워크를 마비시키는 악성코드를 침투시키는 등 다양한 공격이 가능하게 된다.

MS의 이번 패스워드리스 도입은 해커들의 공격 진입점이 될 수 있는 비밀번호를 완전한 제거하기 위함으로, 전통적인 계정 인증 기반에서 벗어나려는 시도로 주목된다.

바수 자칼 MS 보안사업 부문 부사장은 “차세대 로그인 방식은 패스워드리스이며, MS는 모든 사용자에게 비밀번호 없는 인증을 장려할 것이다. 친숙하고 편리한 인증 경험을 통해 다양한 디바이스와 서비스에 걸쳐 최고 수준의 보안을 제공하겠다”고 말했다.

 

*이 기사는 글로벌 정보보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
 


 


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.