유명인이나 정치인, 공무원, 활동가, 언론인 등 많은 이의 주목을 받고 있는 그들은 언제 어디서 누구에게 습격받을 지 모른다. 그렇기에 그들 주위에는 큰 보디가드들의 보호를 받으며 활동을 하는데, 웹상에서는 그렇지 못한 것 같다. 최근 들어, FAPPENING, 힐러리 E-Mail 해킹 사건 등 유명인사의 개인 계정을 해킹하여 정보를 유출하는 사건이 자주 발생하고 있다. 인스타그램, 페이스북, 트위터 등 소셜 네트워크의 계정이 주로 해킹당하는데, 거의 대다수가 Gmail의 계정을 이용해서 해킹 당하는 사건이 많은 것 같다. 따라서 비즈니스의 리더, 정치인, 언론인 등 대중들의 주목을 받는 이들을 표적으로 하는 공격으로부터 사용자를 보호하기 위해 구글은 새로운 보안 시스템을 도입했다.[1][2] 그것이 무엇인지, 어떻게 사용하고, 누구에게 필요한지에 대해 살펴보자.

지난 10월 17일, 구글은 Advanced Protection Program(APP)을 발표했다.[3] APP은 무엇일까. 세 개의 핵심 특징을 통해 말해보자. 첫 번째, 물리적인 보안 키를 사용하여 피싱(Phishing)로부터 사용자를 보호한다. APP은 물리적인 보안 키를 사용하여 계정에 로그인한다. 보안 키는 작은 USB나 무선 장치로 되어 있는데, 2단계 인증을 통하여 공개키 암호화 및 디지털 서명을 사용하여 사용자가 진짜임을 구글에 증명하는 것이다. 당연한 얘기지만, 보안 키가 없다면 비밀번호를 알고 있어도 로그인은 되지 않는다. 두 번째, Gmail 및 파일에 대한 제 3자의 접근을 제한한다. 간혹 사람들은 특정 데이터, 자료에 다른 이의 접근 권한을 부여해버리는 실수를 하곤 한다. 하지만 APP을 사용하면 Gmail, 드라이브에 대한 접근 권한을 특정 앱으로 제한하여 이를 방지하여 다른 이로부터 자료를 보호할 수 있을 것이다. 마지막으로, 허위 계정 접근을 차단한다. 이는 공격자가 사용자처럼 꾸며 계정에 로그인하는 것을 방지하는 것으로 일반적인 사용자 이름과 비밀번호를 통한 로그인 위에 물리적인 보안 키를 사용하여 이중 보안으로 이 작업을 수행한다. 즉, 물리적인 보안 키를 통해 제 3자의 접근을 제한하여, 사용자의 계정과 중요한 파일을 보호하는 프로그램이다.[4]

물리적인 보안 키란 무엇일까. 물리적인 보안 키는 블루투스 또는 USB 동글이라고 보면 된다. 사용자가 구글 계정에 로그인하기 위해서는 특수 USB가 필요하며, 스마트 폰이나 태블릿에서 계정에 접근할 경우 휴대 전화와 페어링 된 블루투스를 지원하는 USB가 필요하다. 이는 실제로 전화를 기반을 둔 2단계 인증으로, 보안 키는 공개 키 암호 및 디지털 서명을 사용하여 사용자가 진짜임을 증명한다.[5] APP 등록 절차로 Bluetooth 기능과 USB의 두 가지 키가 필요하다. 구글은 이와 같은 기능을 가진 USB로 Feitian MultiPass Fido 보안 키와 Yubikey Fido U2F USB 보안 키가 있다.[6] 앞서 얘기한 Feitian MultiPass Fido 보안 키는 현재 아마존에서 24.99달러에 판매되고 있지만 재고가 얼마 남지 않은 것 같고[7], Yubikey Fido U2F USB 보안 키는 아마존에서는 17.99달러[8], 사이트에서는 18달러에 판매하고 있다.[9] 약 2만 원이면 계정의 보안이 더욱 높아질 수 있다. 만약, 이미 블루투스와 USB 기능 이 2개의 기능 호환이 가능한 키를 가지고 있다면 키를 살 필요가 없겠지?

근데 단순히 보안 키만으로 어떻게 피싱을 방지할 수 있다는 것일까. 공격자는 그럴듯하게 구글 사이트로 가장한 피싱 사이트를 만들고, 보안 키에서 보내는 2단계 인증 코드를 처리하고 캡처 할 수 있을지도 모른다. 하지만 이건 공격자의 그럴듯한 상상일 뿐이다. 만약 보안 키를 그런 곳에서 사용하게 되면 로그인은 되지 않을 것이고 키 역시 작동하지 않는다. 이는 보안 키가 알려진 사이트에서만 키가 작동하기 때문에 합법이 아닌 사이트에 로그인할 수 없게 된다는 것이다.

하, 매번 로그인할 때마다 USB를 꼽고 이중 인증이라니, 너무 번거롭다. 아이디와 비밀번호를 입력하고, USB를 컴퓨터에 연결하여 로그인한다. 만약 스마트폰이나 태블릿에서 연결할 경우 USB의 블루투스로 연결한 후 로그인을 한다. 보안은 높아졌지만 Useable은 떨어졌다. 더욱이 열쇠를 분실하게 되면 계정에 다시 로그인하는 데 며칠이 걸릴 수도 있다.[10] 또한, 제한된 계정에 대한 접근 설정으로부터 만약 Gmail이나 구글 드라이브에 대한 접근 권한이 필요한 타 앱은 사용할 수 없다. 특히, iPhone이나 iPad 사용자는 Apple의 Mail, 연락처, 캘린더가 APP에서 작동하지 않는다고 한다. 만약 사용하려면 구글의 동등한 앱으로 전환해야 하며, Edge나 Firefox, Opera와 같은 다른 인터넷 브라우저에서는 아직 구글 서비스에 로그인할 수 없다.[11] 즉, 이 기능을 사용하기 위해서는 구글 제품인 크롬을 사용해야 한다는 것이다. 이에 대해서 구글은 차차 이 기술을 다른 브라우저에서도 사용할 수 있도록 할 것이라고 답했다.[12]

유명인과 같이 특정 대상은 일반적인 사용자보다 해킹당할 가능성이 높다. 그렇다고 해서, 일반 사용자가 안전하다는 것은 아니다. 분명 위험요소는 존재한다. 이 때문에 APP가 과도하게 사용되었을 수 있다. 하지만 단돈 2~3만 원 돈과 약간의 번거로움만 아니라면 전혀 해가 존재하지 않는다. 아직 초기 단계이므로 특정 타사 사이트나 서비스에 대한 접근에 문제가 발생할 수도 있지만, 보안만큼은 인증만큼은 어디와 비교한들 높은 보안으로 보호가 보장될 것이다. 하지만 이마저도 귀찮다! APP는 하기 싫지만, 보안을 높이고 싶어하는 이들에게 권해줄 수 있는 가장 좋은 방법의 하나는 Authenticator 앱이나 SMS 문자 메시지를 사용하여 인증하는 2단계 인증을 사용하는 것이다. 하지만 SMS는 안전성이 상대적으로 낮으므로 이메일도 권장한다. 이 외에도 우리가 흔히 알고 있는 것처럼, 모든 사이트마다 다른 암호를 사용하고, 암호 관리자를 사용하여 암호를 생성하고 관리하는 것이다. 또한, 공용 Wi-Fi 네트워크에 연결할 때 VPN을 사용하여 계정을 보호하는 것이다.[13] 음, 이게 더 귀찮을 수도 있지 않을까? 여러분의 선택에 맡기겠다.