[리뷰] 8만 명이 인증한 완벽한 보안... 구글 '타이탄키'
[IT동아 강일용 기자] 전 세계 수십억 명의 사용자가 이용 중인 구글 계정은 지메일, 구글 플레이, 구글 드라이브, 구글닥스, 유튜브 등 구글의 모든 서비스를 이용할 수 있는 통합 아이디다. 그만큼 가치가 높다. 때문에 수 많은 해커가 오늘도 호시탐탐 사용자의 지메일 계정을 노리고 있다.
이러한 해커의 위협에 대처하기 위해 구글은 다양한 보안 기술을 구글 계정에 적용했다. 보안접속(https)을 활용한 로그인 시스템, 전화번호를 활용한 2중 인증 등 비밀번호와 함께 이용할 수 있는 보안 시스템을 선보였다. 하지만 둘 다 완벽하게 안전하다고 보장할 수는 없다.
때문에 구글이 선보인 것이 물리적인 보안 기술인 '구글 시큐리티 키'다. 구글 계정과 연동되는 실제 보안키를 제공해, 해당 키가 없으면 제아무리 비밀번호를 알아낸다 해도 구글 계정에 로그인할 수 없다. 해킹을 통해 비밀번호를 알아내고, 도둑질을 통해 보안키를 훔친다는 두 가지 작업을 동시에 수행하지 못하면 절대 구글 계정을 탈취할 수 없다. 사실상 해킹으로부터 가장 안전한 기술인 셈이다. (구글 시큐리티 키 참고기사: http://it.donga.com/20698/)
하지만 구글 시큐리티 키는 등장한지 4년이 넘은 기술이다 보니 사용에 조금 불편한 점이 있다. USB 단자가 있는 PC에서만 이용할 수 있고, 스마트폰이나 태블릿PC 같은 모바일 기기에선 이용할 수 없다는 점이다.
지난 7월 미국 샌프란시스코에서 열린 구글 넥스트 2018 행사에서 구글은 2세대 구글 시큐리티 키인 '타이탄키'를 공개했다. 타이탄키는 모바일 기기에서 이용할 수 없다는 기존 보안키의 단점을 해결한 제품이다. 구글은 8만 5000여명의 내부 직원들이 몇 달 동안 타이탄키를 사용해본 결과 외부 해킹에 피해를 입은 사람이 단 한 명도 없는 것로 나타났다. 보안 접속이나 2중 인증보다 더 안전한 보안 방식임을 직접 인증한 것이다.
<구글 타이탄 키 구성품,
(좌) 멀티패스키 (우) 유비키>
타이탄키는 두 개의 제품이 한 짝으로 구성되어 있다. 과거 구글 시큐리티 키에서 이용했던 유비코사의 유비키와 페이션사의 멀티패스키다. 유비키는 PC 또는 NFC를 지원하는 모바일 기기에서 구글 계정 로그인을 시도할 때 필요하고, 멀티패스키는 PC 또는 블루투스만 이용할 수 있는 모바일 기기에서 로그인을 시도할 때 필요한 보안키다. 멀티패스키로 PC에 로그인하려면 마이크로 USB 단자가 필요하며, 충전이 필요없는 유비키와 달리 멀티패스키는 가끔 충전을 해줘야 이용할 수 있다. 구글에선 유비키를 백업용으로, 멀티패스키를 일반용으로 이용하길 권장하고 있다.
사용법은 매우 쉽다. 먼저 타이탄키를 구매한 후 구글 고급 보호 프로그램 홈페이지(https://landing.google.com/advancedprotection/)에 접속한다. 여기서 시작하기를 선택하면 구글 계정과 타이탄키를 연동하는 화면이 나온다. 여기서 안내하는 절차에 따라 유비키와 멀티패스키를 구글 계정에 등록하면 된다. 타이탄키를 등록하는 순간 지금까지 이용했던 모든 기기에서 구글 계정이 강제로 로그아웃되며, 모두 타이탄키를 이용해 새로 로그인해야 한다.
<구글 타이탄키를 등록한 후 구글 계정에 뜨는 2단계 인증 화면>
등록이 마무리된 후 유비키 또는 멀티패스키가 없으면 제아무리 구글 계정의 비밀번호를 알더라도 로그인을 할 수 없다. 반드시 유비키를 PC에 꽂거나, 멀티패스키와 모바일 기기를 연결해야 해당 구글 계정에 로그인할 수 있다. 다만 로그인할때마다 타이탄키를 찾는 불편함을 덜어주기 위해 특정 PC에서 로그인할 때 더 이상 타이탄키를 요구하지 않게 하는 옵션도 제공한다. 절대 공용 PC에선 해당 옵션을 선택하지 말고, 믿고 사용할 수 있는 개인용 컴퓨터에서만 선택하도록 하자. 또한 해당 옵션을 활성화했더라도 주기적으로(보통 1달) 강제 로그아웃되며 타이탄키를 요구한다.
타이탄키는 구글 계정에서만 이용할 수 있는 기기가 아니다. 페이스북, 드랍박스, 깃허브 계정에서도 이용할 수 있다. 해당 서비스의 고급 보안 옵션에서 계정과 타이탄키를 연동하는 옵션을 찾을 수 있다. 구글의 온라인 협업 도구 지스위트 계정의 경우 관리자가 고급 보호 프로그램을 활성화시켜야 이용할 수 있고, 일반적으로는 이용할 수 없으니 주의할 것.
<구글
타이탄키를 PC에 꽂은 후 손으로 터치하면 구글 계정에 로그인할 수 있다>
어찌보면 당연한 얘기지만, 타이탄키를 잃어버리면 계정에 접근하는 것이 매우 까다로워진다. 만약 구글 계정에 스마트폰 전화번호를 등록해놓지 않았다면 구글에 영문으로 이메일을 보내 자신이 정당한 계정 소유권자임을 증명해야 한다. 사실상 불가능한 절차다. 때문에 타이탄키를 등록하기 앞서 구글 계정에 전화번호를 꼭 등록해놓자. 그래야 타이탄키를 잃어버림으로써 생길 수 있는 불상사를 막을 수 있다. 물론 가장 좋은 방법은 타이탄키를 절대 잃어버리지 않고 잘 보관하는 것이다.
타이탄키는 아직 판매 중인 제품이 아니다. 구글 직원과 넥스트 2018 행사에 참여한 구글 클라우드 플랫폼 사용자들만이 시범적으로 이용할 수 있다. 하지만 곧 20~30달러 내외의 가격으로 구글 온라인 스토어에서 판매할 계획이다. 한국에서 제품을 판매할지 여부는 아직 알려진 것이 없다. 하지만 해외에서 구매해온 타이탄키를 한국 구글 계정에 연동하는 것은 언제든지 가능하다. 하나의 제품만 구매하면 네 가지 서비스를 안전하게 이용할 수 있게 되니, 보안에 관심있는 사용자라면 타이탄키를 주목해보는 편이 좋겠다.
<구글 타이탄키는 곧 시중에
출시된다. 다만 한국에서 구매할 수 있을지 여부는 미정이다.>
글 / IT동아 강일용(zero@itdonga.com)