1년 동안 구글 직원 계정 해킹 없었다...피싱 방어 비밀은?

1년 동안 해킹 피해를 단 한 번도 보지 않은 구글의 보안 비결은 '보안키를 이용한 이중 인증'이었다. 구글은 보안키 덕분에 지난해부터 현재까지 직원 8만5000명 가운데 단 한 명도 계정 해킹 피해를 보지 않았다. 구글은 자체 보안키 '타이탄키(Titan Key)'를 개발·시판한다.

계정을 보호하는 보안키.
계정을 보호하는 보안키.

워싱턴타임스는 25일(현지시간) 구글이 보안키를 이용해 업무 계정에 접속하는 정책을 시행, 피싱 방어에 성공했다고 보도했다. 구글 대변인은 “2017년 USB포트에 끼우는 물리 보안키를 의무화한 후 업무 계정 손상이 발생하지 않았다”고 설명했다.

구글은 직원이 업무 계정에 접속할 때 반드시 실물 보안키를 이용, 이중 인증을 하게 했다. ID와 비밀번호를 넣은 후 다시 실물 보안키를 이용해 인증한다. 두 단계 인증을 거친다. 해커가 가짜 사이트를 만들어 구글 계정 ID와 비밀번호를 탈취해도 보안키가 없으면 접속할 수 없다. 보안키를 PC에 삽입하고 단추를 눌러야 로그인된다.

해커는 호시탐탐 구글 직원을 노린다. 낮은 직급이라도 구글 직원 피싱 공격에 성공하면 회사 내 민감한 시스템에 접속하거나 권한이 있는 직원을 다시 공격할 수 있다. 구글 계정을 탈취하려는 시도가 끊이지 않았다. 2016년 대선 당시 러시아 해커가 민주당 전국위원회를 해킹할 때도 피싱이 쓰였다.

1년 동안 구글 직원 계정 해킹 없었다...피싱 방어 비밀은?

구글은 지난해 USB 유비키(Yubikey)와 같은 '유니버설 세컨드 팩터 인증(U2F)'을 도입했다. 다른 이중인증 서비스인 문자메시지 코드는 스마트폰 해킹 등으로 탈취된다. 이와 달리 보안키는 물리적으로 PC에 삽입해야 인증된다. 해커가 보안키를 실제로 훔치지 못하면 계정을 탈취할 수 없다.

구글은 1년간 내부 테스트를 거쳐 보안키 안전성이 입증되자 자체적으로 '타이탄키'를 개발했다. 기존 사용하던 유비키와 유사한 제품이다. 타이탄키는 USB 포트에 꽂아서 쓰거나 블루투스로 접속한다. 모바일 기기에서도 이중인증을 편리하게 쓰는 형태다. 보안키를 이용한 이중인증은 구글 크롬 브라우저에서 작동한다.

일반인도 구글 계정 이중인증은 바로 쓸 수 있다. 유비키 등 USB 형태 보안키를 구매하면 된다. 구글 계정에 접속 후 ID와 비밀번호를 입력한다. 계정 설정에서 2단계 인증을 활성화한다. 이후 계정에 보안키를 등록한다. 다음부터 자동으로 2단계 인증 후 계정에 안전하게 로그인된다. 사용자는 로그인한 상태에서 특정 PC를 기억하도록 설정할 수 있다. 한번 설정하면 해당 PC에서 로그인할 때 비밀번호만 입력하면 된다. 다른 PC에서 구글 계정에 로그인할 때는 다시 보안키가 필요하다.

보안키는 인증코드가 아닌 암호 기법을 사용한다. 키가 작동하도록 설정된 사이트에서만 유용하다. 피싱이나 파밍용으로 만든 가짜 구글 사이트에 접속하는 피해를 방지한다. 보안키는 특정 PC가 아닌 구글 계정에 등록된다. 크롬이 설치된 모든 PC에서 사용할 수 있다. 구글 계정이 여러 개 있어도 하나의 보안키를 이용할 수 있다. 반대로 여러 보안키를 하나의 구글 계정에도 등록할 수 있다. 보안키에는 계정과 관련된 어떤 기록도 저장되지 않는다.

구글은 조만간 온라인 스토어에서 타이탄키를 판매할 예정이다. 구글 클라우드 고객에게 타이탄키를 먼저 판매할 계획이다.

1년 동안 구글 직원 계정 해킹 없었다...피싱 방어 비밀은?

김인순 보안 전문기자 insoon@etnews.com