“개인정보, 비밀번호만으론 불안한데”···그래도 바뀌지 않는 로그인 ‘기본값’

[이뉴스투데이 김진영 기자] 예스24, 알바몬, SK텔레콤 등 국내 주요 플랫폼뿐 아니라 구글·애플·페이스북·깃허브 등 글로벌 서비스에서도 개인정보 유출 사례가 이어지고 있다. 강화된 인증 체계 필요성이 꾸준히 제기되고 있는 가운데 반복되는 개인정보 유출 사고 배경에 ‘비밀번호’ 중심 인증 구조가 자리잡고 있다는 우려가 나온다.

미국 개인정보유출신고센터(ITRC)가 2024년 발표한 보고서에 따르면 다중인증(MFA) 도입 시 전체 데이터 유출 사고의 94%를 방지할 수 있었던 것으로 파악됐다. 그러나 보안업체 듀오 시큐리티는 글로벌 기업의 MFA 채택률은 30%대에 그치고 있다고 설명했다.

국내 상황도 크게 다르지 않다. 한국인터넷진흥원(KISA)에 따르면 국내 서버 해킹은 지난해 하반기 기준 553건으로 전년 동기 대비 110% 이상 늘어났다. 이 가운데 90% 이상이 중소·중견기업을 대상으로 발생, 상대적으로 보안 체계가 취약한 곳에 피해가 집중되고 있는 것으로 나타났다. 일각에서는 공격 수단이 고도화되고 있는 것과 달리 방어 체계는 기초 인증에 머무르고 있다고 평가한다.

현재 MFA는 글로벌 기술 표준으로 간주된다. 구글과 애플 등은 이미 FIDO(Fast IDentity Online) 기반 패스키 인증을 상용화해 운영 중이다. ‘FIDO’는 비밀번호를 대체해 지문, 얼굴 인식 등 생체 인증을 사용하는 방식이다.

업계는 인증 기술은 이미 충분히 마련된 상태라고 보고있다. 국내외를 막론하고 다수 플랫폼이 여전히 비밀번호 기반 인증 중심으로 MFA 역시 일부 사용자 계정에만 적용되는 사례가 많다. 인증 기술이 존재하더라도 이를 ‘기본값’으로 제공하거나 전체 사용자에게 확대 적용하는 구조는 미비하다는 지적이 나오는 이유다.

금융·교육·공공 분야에서도 다양한 인증 수단이 도입되고 있으나 인증 방식은 각 서비스 UX 설계 기준에 따라 개별적으로 결정되는 경우가 일반적이다. 생체 인증, OTP, 인증서 연계 로그인 등 다양한 기술이 적용 가능하지만, 모든 사용자에게 의무화하거나 기본 설정으로 제공하는 사례는 드물다.

은행 앱이 생체 인증이나 인증서 연계를 기본값으로 제공하고 있는 반면, 많은 쇼핑몰이나 포털은 단순 1차 인증만 요구한다. MFA나 패스키는 설정이 번거롭거나 생소하다는 이유로 사용자가 직접 선택해야 하는 구조에 머무르고 있어 보안 사고 발생 시 책임이 사용자 개인에게 전가되는 사례도 적지 않다는 지적이 나온다.

전문가들은 인증 시스템 설계와 운영 주체가 기업과 기관임에도 불구하고, 사고 책임이 사용자에게 집중된다는 점을 구조적 한계로 언급한다. MFA 미설정이나 동일 비밀번호 반복 사용 등 사용자 부주의가 사고 원인으로 지목되는 경우가 있지만, 실제 인증 체계를 설계하고 기본 정책을 설정하는 주체가 서비스 제공자인 만큼 구조적인 보완이 필요하다는 목소리가 나온다.

각국의 유출 사고 발생에도 제도적 대응은 나라마다 차이가 있다. 미국은 2022년 ‘제로 트러스트 전략’을 수립해 연방정부 시스템 전반에 MFA 적용을 의무화하고, 국방·금융·의료 분야 등으로 적용 범위를 확장하고 있다.

유럽연합(EU)도 eIDAS 2.0 체계에 따라 EU 전역에서 사용 가능한 ‘유럽 디지털 신원 지갑’ 기반 인증 인프라를 구축 중이다. 인증 시스템을 사회 전체 디지털 인프라로 간주하고 제도적 기반을 마련하고 있다.

반면 한국은 MFA 포함 인증 보안 기술의 법적 도입 기준이나 공공·민간 통합 적용 체계가 미흡하다. 개인정보보호법과 전자금융감독규정 등 관련 규정은 ‘위험 기반 보호조치’ 원칙을 명시하고 있지만, 구체적인 기술 요건이나 적용 기준은 따로 제시하지 않고 있다. 때문에 보안 체계 적용 여부는 민간사업자 자율에 맡겨지고, 정부 차원의 일관된 가이드라인이나 제도적 강제력 역시 제한적 수준에 머물러 있다.

플랫폼 기업들 역시 사용자 편의성과 비용 부담 등을 이유로 다중 보안 인증 체계 도입에 신중한 입장이다. 인증 시스템이 사회 전반의 디지털 인프라를 구성함에도 불구하고, 이를 공공적 자산으로 바라보고 정책적으로 관리하려는 시도는 아직 제한적이라는 분석이다.

보안업계 관계자는 “기술적으로는 이미 퇴출된 패스워드 인증 체계가 사회적으로는 여전히 표준처럼 기능하고 있다”며 “MFA 도입을 권장하고 있으나 대부분 플랫폼에서 이를 기본값으로 적용하지 않고 있다”고 말했다.

이어 “기술이 이미 오래전부터 준비돼 있던 것과 달리 인증 시스템을 기본값으로 바꾸려는 사회적 설계는 따라오지 않고 있다는 점이 한국 보안의 가장 큰 본질적인 문제”라며 “인증 기술을 기본값으로 정착시키기 위한 제도 설계, 기술 의무화 가이드라인, 공공 인증 인프라 확대 등 정책적 결정이 필요한 시점”이라고 설명했다.