최근 발생한 보안 침해 사고들로 인해 많은 사람들이 개인 계정 보안에 극도로 신경을 쓰고 있습니다. 보안은 항상 중요한 문제이며, 이를 위해 다양한 방법들이 제시되고 있습니다. 이미지, 개별 폴더, 앱(안드로이드 및 iOS), 심지어 북마크까지 보호하는 솔루션들이 있습니다. 아이러니하게도, 보안을 제공하는 서비스들은 더 나은 보안을 위해 더 많은 개인 정보를 요구하는 것처럼 보입니다. 온라인 서비스 보안을 위해 지문 인식부터 전화 인증까지 다양한 추가적인 방법들이 사용되고 있습니다. 하지만 이러한 방법들은 보안 침해 발생 시 웹 서비스뿐만 아니라 지문 정보나 개인 전화번호까지 노출될 수 있다는 위험을 안고 있습니다. 그러나 Mac, Java 데스크탑, iOS 및 Android(베타)용 마스터 비밀번호를 사용하면 복잡한 문자열을 외우는 번거로움 없이 간편하게 보안을 유지할 수 있습니다. 그 방법을 자세히 알아보겠습니다.
앱에 대해 더 자세히 알아보기 전에, 복잡한 비밀번호 문자열의 중요성에 대해 이야기해 보겠습니다. 온라인 서비스에서는 숫자, 기호, 대문자가 조합된 8자리 이상의 비밀번호를 요구하는 경우가 많습니다. 이는 비밀번호를 추측하기 어렵게 만들어 봇(비밀번호를 추측하는 프로그램)이 해독하는 데 더 오랜 시간이 걸리도록 하기 위함입니다. 여러 서비스에 동일한 비밀번호를 사용하지 않는 것이 좋습니다. 예를 들어, 트위터 계정의 비밀번호를 ‘7&62-0~!vbB’와 같은 복잡한 문자로 설정하면 보안 수준이 높아집니다. 하지만 이러한 복잡한 비밀번호를 기억해야 할 뿐만 아니라, 다른 계정들을 보호하기 위해 또 다른 핵 발사 코드와 같은 복잡한 문자를 만들어야 한다는 어려움이 있습니다. 이렇게 복잡한 비밀번호를 쉽게 기억할 수 있는 사람은 없을 것입니다. 그래서 사람들은 비밀번호를 기록하거나 비밀번호 동기화 서비스에 저장합니다. 하지만 이러한 방법들은 또 다른 보안 위험에 노출될 수 있습니다. 컴퓨터가 비밀번호를 추측하려고 할 때, ‘7&62-0~!vbB’와 같은 구문은 1초에 1000번 추측하는 속도로 약 3일 만에 추측될 수 있다는 수학적 제약이 있습니다. 하지만 ‘HorsesEatTonsOfHayAllDay’와 같이 이해하기 쉬운 문구를 사용하면 복잡성이 크게 증가합니다. 1초에 1000번 추측하는 경우, 이 문구를 추측하는 데 약 550년이 걸릴 수 있습니다. (더 어렵게 만들려면 공백을 추가할 수 있습니다). 즉, 이른바 ‘비밀번호’라고 불리는 이 신경과학적 시험은 기억하기는 어렵지만 해독하기는 그리 어렵지 않습니다.
이제 추측하기 어려운 더 긴 문자열을 만들거나, 오프라인 도구(인터넷 연결이 없는)를 사용하여 관리하고, 마스터 암호를 입력할 수 있습니다. 이 앱은 웹 서비스에 의존하지 않고 비밀번호를 생성하고 기억하여 비밀번호가 노출될 위험을 줄여줍니다. 모든 비밀번호는 로컬에 저장되므로 안전합니다. 이러한 제품군이 안전하지 않게 되는 유일한 경우는 마스터 암호가 아닌 다른 암호를 처리하기 위해 타사 서비스에 의존해야 하는 경우입니다. 비밀번호를 직접 입력해야 하며, 변경하려면 기존에 사용하던 방법을 계속 사용해야 합니다. 앱은 비밀번호를 생성하고 (복사 가능한) 로그인 정보를 제공하는 역할을 합니다. 이에 대한 자세한 내용은 잠시 후에 알아보겠습니다.
처음으로 Mac을 사용하여 앱을 실행했을 때, 이름과 마스터 비밀번호를 입력하라는 메시지가 나타났습니다. 이 모든 정보는 하드 드라이브에 로컬로 저장되었습니다. 지금까지는 큰 보안 위험에 노출되지 않았습니다. 그 다음, 비밀번호를 생성할 웹사이트를 입력하라는 요청이 있었습니다. www.twitter.com을 입력하자, 기억하기 불가능할 정도로 복잡한 비밀번호가 생성되었습니다. 이제 원할 때마다 이 비밀번호를 복사할 수 있습니다. 마스터 비밀번호로 다시 로그인하여 업데이트된 비밀번호를 복사하고 바로 로그인할 수 있습니다.
원하는 만큼 많은 웹 서비스에 대해 이 과정을 반복할 수 있습니다. 이 앱은 여러 플랫폼에서 동일한 키를 생성하는 알고리즘, 즉 비밀번호를 생성하는 알고리즘을 사용합니다. 따라서 iOS 기기에서도 동일한 비밀번호가 생성되어 웹 서비스에 의존하지 않고 어느 플랫폼에서나 언제든지 로그인할 수 있습니다. 비밀번호를 변경해야 하는 경우, 앱에서 더 많은 비밀번호를 생성할 수 있습니다. 공식 지침에 따라 특정 형식을 유지해야 하는 경우, 마스터 암호 앱은 마스터 암호를 사용하여 암호화하는 사용자 지정 비밀번호를 제공하여 이를 수용할 수 있습니다. 참고로 iOS 앱의 디자인은 다소 개선이 필요해 보입니다.
웹 보안에 관해서는 ‘완벽한 해결책’은 결코 존재할 수 없으며, 누군가가 해결 방법을 찾아내어 다시 원점으로 돌아갈 때까지 잠시 동안만 작동하는 훌륭한 아이디어만 존재한다는 점을 이해해야 합니다. 이상적으로는 오프라인 상태를 유지하고, 마스터 비밀번호처럼 해독하기 어려운 비밀번호를 생성하는 것이 가장 안전합니다. 하지만 이 모든 것이 하나의 암호 구문으로 보호되고 마스터 비밀번호로 암호화되어 있기 때문에, 누군가 침입을 시도할 경우 여러 개의 비밀번호를 해독할 필요 없이 단 하나의 비밀번호만 해독하면 모든 것에 접근할 수 있습니다. 웹 동기화가 없기 때문에 많은 작업을 수동으로 수행해야 하며, ‘건초를 먹는 말’과 같은 구문을 사용하면 앱 자체가 필요하지 않을 수도 있습니다.
하지만 연결을 보호하기 위해 복잡한 비밀번호가 필요하고, 모든 사람들이 마스터 비밀번호 앱의 존재를 알지 못하도록 할 수 있다면 실행 가능한 보안 솔루션이 될 수 있습니다. 또한 중요한 점은, 대중과 공유하고 싶지 않은 민감한 데이터가 있는 경우, 해당 데이터를 항상 오프라인 상태로 유지하는 것이 좋다는 것입니다. 웹 서비스를 통해 영구적인 보안을 보장할 수 있는 방법은 없습니다.