넷플릭스가 한 계정을 여러 명이 돌려쓰는 행위를 근절시키기 위해 칼을 빼들었다. 그런데 뜻하지 않게 고객 계정의 안전성을 높일 수 있는 방법까지 제시하게 됐다. 설마 의도한 걸까?
[보안뉴스 문가용 기자] 이번 달 넷플릭스는 중요한 이용 약관을 변경하며 소비자들 사이에 적잖은 화제가 되었다. 넷플릭스 사용자들 사이에 만연했던 ‘계정 공유’를 금지시킨 것이다. 이제는 한 계정으로 한 개의 와이파이망에 연결된 제한된 장비들에서만 접속할 수 있다. 한 지붕 아래에서만 계정을 공유하라는 뜻이다. 저 먼 동네의 친구와 사촌들까지 죄다 하나의 계정을 공유할 수 없게 됐다.
![[보안뉴스 / 6.1.] 계정 공유 금지시킨 넷플릭스, 알고 보니 계정 보안 전도사?](http://www.boannews.com/media/upFiles2/2023/06/1066097606_4406.jpg)
[이미지 = gettyimagesbank]
그런데 넷플릭스의 의도와 상관 없이 이 새 규정이 사용자들의 계정을 보호하는 데에 매우 적합한 것으로 분석되기 시작했다. 보안 업체 온티뉴(Ontinue)의 부회장 크레이그 존스(Craig Jones)는 “여러 사람이 비밀번호를 공유하면 누가 언제 어떤 목적으로, 어떤 패턴을 가지고 접속하는지 알 수가 없게 된다”고 말하며 “이 때문에 공격자가 비정상적으로 접속해도 알아챌 수 없다”고 설명한다.
“비밀번호라는 것은 한 번 공유가 되면, 사실 그 한 번으로 끝나지 않는 경우가 많습니다. 더 많이 퍼져나가죠. 그리고 비밀번호의 특성상 어떤 경로로 퍼져가는지, 누가 공유를 받는지 투명하게 알 수가 없습니다. 가시성 확보가 아예 안 되는 것이죠. 그렇기에 누군가 살짝 바꾸면 본래의 주인이 로그인을 할 수 없게 되는 상황이 일어납니다. 본래의 주인이 같은 비밀번호로 여러 계정을 운영하고 있었다면 문제는 더 커지게 되고요. 피싱 공격이나 소셜 엔지니어링의 피해자가 될 수도 있습니다.”
그렇기에 넷플릭스가 “계정 공유를 중단하라”고 한 건 넷플릭스의 원래 의도야 어쨌든 보안의 측면에서 매우 합당한 처사라고 볼 수 있다. 또한 고객들의 계정을 고객들 스스로가 한 차원 더 안전하게 보호할 수 있도록 기업이 유도하는 방법을 하나 제시한 것이라고도 볼 수 있다. 물론 모든 기업들이 다 같은 방법으로 접근할 수는 없을 것이지만 말이다.
생체 인증이라는 좋은 기술이 존재하지만
고객이 늘 안전하게 로그인 하게 하는 것, 이것은 테크 분야 전체의 오랜 과업이었다. 물론 안전만 생각한다면 방법은 충분히 많았다. 문제는 안전하게 하면서 동시에 불편하지 않게 하는 것이었다. 모바일 장비의 사용량이 증가하면서 ‘편리’는 더욱 대두되기 시작했고, 그러면서 보안성에 대한 고민은 점점 소리를 잃어갔다.
그래서 어떻게 됐나? 서비스를 만들어 제공하는 업체들은 계정 보안에 대한 말을 고객들에게 하지도 못한 채, 조금의 불편이라도 끼칠까봐 벌벌 떨면서 가장 기초적인 안전 장치를 겨우 마련하는 둥 마는 둥 했다. 수많은 계정의 정보가 다크웹에 새나갔고, 로그인 크리덴셜을 전문적으로 거래하는 시장이 개설되고 폐쇄되고 다시 개설되기를 반복했다. 그래도 기업들은 계정 보안에 대해 속으로만 끙끙 앓았다.
그러다가 2013년 애플이 터치아이디라는 지문 인식 장치를 아이폰에 탑재해 판매하면서 로그인에 대한 개념이 조금씩 바뀌기 시작했다. 그러더니 조금 있다가 페이스아이디까지 널리 퍼지기 시작했다. 그러면서 지문 인식과 얼굴 인식 기술이 좀 더 친숙하게 대중들에게 다가갔다. 안전하면서도 편리한 로그인 및 계정 관리 방법이 존재한다는 것이 알려졌다.
보안 업체 딜리트미(DeleteMe)의 존 길모어(John Gilmore)는 “그러나 그런 최신 인증 기술을 자사 제품과 서비스에 접목해 출시할 수 있는 기업은 소수일 뿐”이라고 지적한다. “애플이 그렇게 앞장섰다고 해서 일반 중소 규모 온라인 쇼핑 업체가 하루아침에 지문 인식을 통과한 사용자만 쇼핑할 수 있게 규정을 바꿀 수는 없습니다. 애플이 멋진 방법을 제시한 건 사실입니다만, 로그인 문제를 고민하던 모든 기업이 ‘이거다!’하고 가져다 쓰기는 어려운 방법이었던 것입니다.”
생체 인증이 새로운 바람을 일으키나 싶었지만, 일반 사용자들이 보편적으로 사용할 수 있는 인증 기법들은 여전히 어렵고 성가셨다. 그러므로 기업들은 오래된 비밀번호에만 매달릴 수밖에 없었다. “불편함을 느낀 고객은 오지 않고 사지 않는다는 게 기업 운영자들에게 너무나 큰 공포로 다가옵니다. 그러니 계정을 보호하는 여러 기술이 시장에 있지만 시도조차 못해보는 게 현실입니다. 이제 겨우 이중인증을 하는 서비스들이 하나 둘 생겨나고 있을 정도지요.”
사용자 경험을 훼손하지 않는 계정 보안
그렇다고 기업들이 가만히 있는 건 아니다. 여전히 고객들이 안전하게 로그인하고, 보다 단단하게 계정을 보호할 수 있도록 하는 방법들을 고민하고 있다. “기업들은 계속해서 실험을 이어가고 있습니다. 사용자가 좋아할 만한 보안 기술들을 탐색하는 것이죠. 비밀번호를 처음부터 강력하게 설정하도록 제한 사항을 걸어둔다거나, 주기적으로 비밀번호 바꾸라는 알림을 보낸다거나, 이중 인증을 활성화 하는 등이 눈에 띕니다.” 존스의 설명이다.
“하지만 로그인 페이지에 여러 가지 메시지를 부착하거나, 짧고 간략한 보안 팁을 노출시키는 등 기업들이 할 수 있는 일은 얼마든지 더 남아있습니다. 마치 담배 갑에 경고 이미지와 문구를 부착시키는 것과 마찬가지라고 볼 수 있습니다. 그 외에 사용자가 보안 실천 사항을 준수했을 때 서비스를 추가한다든지 다른 혜택을 조금 맛보게 하는 식으로 ‘보안 당근’을 주는 것도 가능합니다.”
대형 게임사인 에픽게임즈(Epic Games)의 경우 보안 사고가 한 번 터진 후 그것을 계기로 이중 인증을 도입하고, 이 옵션을 활성화 한 사용자들에게 게임 재화를 추가로 주는 등의 이벤트를 진행했었다. 그러면서 게임을 즐기는 어린 연령층의 사용자들이 ‘이런 로그인 방법도 존재한다’는 것을 체험할 수 있었다.
보안 업체 키퍼시큐리티(Keeper Security)의 CEO 대런 구시온(Darren Guccione)은 “보안이 극단적으로 강조되면 사용자들을 불편하게 만드는 게 사실이지만, 그렇지 않고도 보안을 강화할 수 있는 방법들이 하나 둘 나타나고 있다”며 “계속해서 연구하고, 새로운 기술에 도전하다 보면 사용성과 안전성 모두를 다잡는 방법이 분명 나올 것”이라고 보고 있다.
“결국 사용자와 기업 모두가 똑같이 자기의 몫을 담당해야 하는 문제입니다. 비밀번호 관리 습관이 좋지 않다고 사용자만 문제라고 손가락질 할 수도 없고, 보안 옵션을 제공하지 않는다고 기업만 탓할 수 없습니다. 기업은 여러 가지 사례 연구를 통해 로그인 방법들을 연구하고, 사용자들 역시 이런 저런 방법들을 직접 겪어보고 편리하고 안전한 걸 채택할 수 있어야 합니다. 과거의 편리했던 것에만 매달리는 게 가장 해악스러운 행동입니다.”
3줄 요약
1. 넷플릭스, 계정 공유 금지시키면서 의도치 않게 사용자 계정 보호 방법 전파.
2. 계정 보호는 오랜 고민거리이지만 사용자 경험을 훼손하기에 함부로 손대기 어려움.
3. 사용자와 기업 모두가 더 강력한 안전 장치 도입 및 구축 위해 해야 할 일이 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.1.] 계정 공유 금지시킨 넷플릭스, 알고 보니 계정 보안 전도사?](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
