▲ 진승헌 ETRI 정보보호연구본부 본부장

'안전함과 편리함은 반비례 한다'는 말은 보안 분야에서 마치 상식인 것처럼 통해왔다. 보안을 강화하다보면 어쩔 수 없이 사용자가 불편함을 느낄 수도 있다는 이야기로 필자도 가끔 인용하기도 한다.

한 가지 예로, 요즘 우리는 정보보호 강화활동의 일환으로 많은 시스템에서 패스워드를 9자 이상 설정하도록 요구하고 있다. 또한, 시스템 보안정책에 따라 패스워드에 특수문자 등을 포함하지 않으면 패스워드를 설정할 수 없게 하여 사용자를 어렵게 한다. 그러면 이렇게 힘들게 설정한 패스워드가 얼마나 안전한 것일까? 지인들에게 패스워드를 실제 어떻게 사용하고 있는지 확인해 보면, 상당수가 영문자, 숫자, 특수문자(#, @, !)와 같은 순서 패턴으로 패스워드를 설정하는 것을 알 수 있었다. 독자들도 본인의 패스워드가 어떤 순서 패턴을 가지고 있는지 떠올려보라. 이용자 입장에서는 힘들게 패스워드를 만들었다고 생각하지만 이와 같은 예측 가능한 패턴의 패스워드는 해커들의 공격을 방어하는데 그리 도움이 되지 못한다.

가끔 개인정보 유출사고가 터지면 어김없이 개인정보 피해예방 수칙 등이 사용자에게 전달된다. 가입되어 있는 모든 사이트의 패스워드를 다르게 설정하시고, 자주 변경하라는 메시지다. 그러나 사용자들은 이런 경고를 알지만 귀찮고 힘들어서 안하는 것일 것이다. 그 한 가지 예로 지난 6월, 페이스북의 CEO 마크 저커버그의 트위터와 사진공유 서비스 핀터레스트 계정이 해킹된 사실이 기사화되었다. 그런데 그의 소셜 계정의 암호는 'dadada'인 것으로 알려졌다. 보안을 생명으로 하는 페이스북 최고경영자로서 전문 지식이 있었겠지만 편의성을 위해 여러 사이트에 같은 비밀번호를 사용한 것으로 보인다.

요즘 정보보안의 한 연구분야가 주목받는다. 바로 사용자중심 보안기술(Usable Security)이다. 즉, 단순히 안전성만을 강조하기 보다는 사용성 측면에서 보안을 강화하기 위한 방법들을 고민하기 시작한 것이다. 보안성을 강화하기 위해 인간 행동 패턴을 분석, 사용자 본인여부를 확인하는 행위기반 인증(Behavioral Biometrics)이 연구되고 있다. 사람들이 키보드로 글자를 입력하거나 스마트폰으로 터치할 때 사람마다 누르는 시간과 간격, 터치압력, 터치범위까지 분석한다. 또한, 마우스를 움직이는 패턴과 스마트폰을 쥐는 행동도 사람마다 다른 특징을 가질 수 있다. 이러한 정보를 조합해 사용자를 인증할 수 있다면, 사용자는 보안 강화를 위해 패스워드를 길게 입력해야 하는 불편함 없이 보안을 강화할 수 있을 것이다. 이러한 연구들은 사물인터넷(IoT) 세상이 되면서 스마트폰 같은 기기들이 사용자를 인식할 수 있는 많은 센서들을 보유하게 되어 더욱 관심을 받는다.

지금까지는 사람이 기계를 이해하고 사용하는 세대였다면 앞으로는 기계가 사람을 이해하고 서비스를 제공하게 될 것이다. 그래서 보안 분야에서도 더욱 더 사람을 이해하는 기술이 요구된다. 편리하면서도 안전한 서비스 환경은 이렇게 사람을 먼저 바라보는 시선을 통해 조금 더 우리에게 가까워 질 것으로 필자는 생각한다.

진승헌 ETRI 정보보호연구본부 본부장

중도일보(www.joongdo.co.kr), 무단전재 및 수집, 재배포 금지