카카오톡 패스워드 사용에 대한 생각
보안 전문가는 아니지만 일상 생활에서 보안 상 약점이 있는 것 같은 서비스의 동작을 보면 마음이 불편해집니다. 가령 로그인 할 때 아이디, 패스워드를 붙여 넣을 수 없게 하거나 온갖 규칙에 맞춰 작성해야 하지만 정작 12글자 밖에 지원하지 않는 패스워드나 매번 새로 로그인 해야만 하는 웹사이트 같은 것들이 저를 불편하게 합니다.
아이디와 패스워드를 붙여 넣을 수 없다면 항상 이를 직접 타이핑 해야 합니다. 타이핑은 귀찮은 동작이어서 이를 조금이라도 편하게 만들기 위해 더 짧은 패스워드를 사용하거나 다른 서비스와 같은 패스워드를 사용하게 됩니다. 새로운 서비스에 가입할 때 항상 나의 이메일 가리기를 통해 새 이메일 주소를 만들어 가입하고 이를 아이디와 이름으로 사용하곤 하는데 이렇게 사이트마다 다른 이메일을 제시하기도 어려워집니다. 특수문자 필수 사용, 특수문자 중 일부만 허용, 반드시 숫자를 포함, 연결된 숫자와 연속된 알파벳 사용 불가 같은 규칙은 패스워드를 만들기 어렵게 만들고 무작위로 생성한 패스워드가 거절될 가능성을 높여 규칙에 맞는 패스워드를 더 약한 강도로 생성하게 만듭니다. 또 매번 로그인을 요구하면 내 아이디와 패스워드를 번번이 타이핑 해야 하고 또 번번이 네트워크를 통해 전송해야만 합니다.
이런 관점에서 카카오톡 패스워드에 두 가지 불만이 있습니다. 먼저 카카오톡이 설치되지 않은 기계에서 카카오 계정을 연동할 때 앱이 제시한 인앱 브라우저에 카카오 계정 이메일 주소와 패스워드를 직접 입력해야 합니다. 2FA가 설정되어 있어도 패스워드까지만 확인하는 것도 불만이지만 인앱 브라우저를 허용하는 것은 심각한 문제입니다. 얼마 전 페이스북은 인앱 브라우저 로그인을 통해 로그인 정보를 훔친 앱 목록을 공개하기도 했습니다. 2FA 없이 인앱 브라우저를 통한 로그인은 그냥 계정 정보를 노출 시키는 거라고 생각하면 됩니다. 그리고 카카오톡은 아무 앱에나 이런 로그인을 허용합니다.
잠금 상태로 자동 로그인하는 기능을 제공하는데 이 잠금 상태를 해제하는데 카카오 계정 패스워드를 요구합니다. 일단 자동 로그인은 편리하지만 보안이 유지되지 않는 환경에서 위험할 수 있으므로 일단 로그인은 하되 ‘잠금 상태’가 되어 패스워드를 입력하면 이 상태를 해제할 수 있도록 한 것 같습니다. 그런데 이 패스워드를 입력하는 동작이 ‘로그인’과 다른 점이 뭔지 모르겠습니다. 로그인은 아이디와 패스워드를 입력하는 거고 잠금상태 해제는 패스워드만 입력한다는 정도의 차이가 있을 뿐입니다.
만약 잠금상태 해제 대신 같은 패스워드를 통해 로그인을 시킨다면 적어도 새로운 환경에서 2FA 로그인을 요구해 보안을 유지할 수 있습니다. 하지만 단순히 패스워드만 요구한다면 어차피 다양한 경로로 노출되어 있을 가능성이 높은 패스워드를 요구하는 의미밖에 없습니다. 또한 항상 패스워드가 키보드를 통해 타이핑 되고 네트워크를 통해 전송 되어 보안 사고가 생길 여지가 늘어납니다.
좋은 패스워드는 아주 길게 만들 수 있고 또 이 자체를 자주 입력할 필요가 없어야 한다고 생각합니다. 인증이 필요한 경우 고정된 패스워드 대신 2FA나 PIN 같은 ‘패스워드가 아닌 것’을 확인해야 합니다. 이런 관점에서 모바일이 아닌 환경에서 카카오톡에 로그인 할 때마다 마음이 불편합니다.