트위터의 2FA 유료화는 약한 고리를 노린 정책
2022년에 일론님이 꽤 많은 돈을 내고 트위터를 산 다음 트위터를 살 때 빌린 돈을 갚기 위해 돈을 많이 벌어야 하는 상황에 놓인 것 같아 보였습니다. 당시 세계에서 재산이 가장 많은 사람이었다 하더라도 그 돈 전부를 한 번에 현금으로 만들어 지불할 수는 없었을 테니 당장 일부를 지급하고 또 일부는 주식을 팔아 지불하고 또 나머지는 대출을 받아 지급한 것 같습니다. 주식을 팔았더니 주가가 떨어져 같은 주식을 보유한 주주들로부터 비난을 받았고 대출은 회사 명의로 받았기 때문에 이자를 갚지 못하면 회사가 파산할 수도 있습니다.
그래서 일론님은 돈을 마련하기 위해 공격적으로 비용을 줄이고 또 흥미로운 유료화 정책을 도입하는 등 적어도 겉으로 보기에는 그 새로운 정책들이 불러올 결과를 깊이 고민하지 않고 실행하는 것처럼 보입니다. 길게 생각한 결과를 실행하며 시간을 쓰기 보다는 짧게 생각한 결과를 빨리 실행하고 이로부터 발생하는 문제에 계속해서 대응하는 방법을 사용하고 있을 수도 있습니다. 실은 '경험치 곡선을 만들어낼 때 했던 실수'에 소개한 소위 역경험치 사건 역시 문제를 당장 눈앞에 보이는 방법으로 해결하기를 반복하는 과정에서 생긴 문제이기도 해서 이런 의사결정과 실행이 그리 낯설지 않습니다.
대강 생각해봐도 IT 회사에서 데이터센터 하나를 통째로 닫으면 아주 큰 비용을 줄일 수 있을 테고 또 공격적으로 인력을 줄여도 비용을 많이 줄일 수 있을 겁니다. 이 과정이 공격적이다 못해 폭력적이어서 직원들 뿐 아니라 고객들에게도 큰 상처를 남겼고 또 남기는 중이며 이에 따라 광고 수익이 급격히 줄어드는 과정은 적어도 밖에서 지켜보는 입장에서는 흥미롭습니다. 이제 상처를 입은 남은 직원과 고객들을 안고 새로운 문제에 빠르게 대응해야 할 텐데 이번에는 어떤 새로운 공격적이고 근시안적인 정책을 가지고 나올 지 궁금합니다.
한편 새로 발표된 유료화 정책 중 가장 흥미로웠던 것은 SMS를 통한 2FA 인증을 유료화하는 것입니다. 현대 온라인 인증은 여전히 패스워드에 강하게 의존하고 있습니다. 하지만 패스워드는 종종 기억에 전적으로 의존하고 기억에 의존하는 이상 충분히 강력하게 만들 수도 없으며 이를 안전하게 보관하고 또 안전하게 전송하기도 쉽지 않습니다. 그래서 패스워드의 약점을 보완하기 위해 패스워드와 함께 미리 약속한 인증수단을 추가로 요구하는데 이 때 미리 약속한 전화번호에 메시지를 보내 이 메시지에 포함된 숫자를 입력하기를 요구하거나 미리 약속한 OTP 알고리즘에 따라 생성한 숫자를 입력하기를 요구하기도 합니다. 두 가지 방법 모두 패스워드에만 의존할 때와 비교해 로그인 과정을 꽤 안전하게 만듭니다.
한편 이런 안전성에도 불구하고 2FA 인증은 편안하지도 않고 또 직관적이지도 않으며 심지어는 이런 보안 강화 방법이 존재한다는 사실 조차도 모르는 사용자들이 대부분입니다. 실제로 트위터 전체 사용자들 중 2FA 설정을 사용하는 비율은 한 자릿수 퍼센트에도 미치지 못한다고 들었습니다. 그런데 이렇게 적은 비율의 인원들에게 SMS를 통한 2FA를 유료화 해서 얻을 수 있는 이익이 무엇인지 잘 납득할 수가 없었습니다. 기왕 유료화 요소를 설계한다면 보다 많은 사람들에 해당하고 또 보다 많은 사람들이 직관적인 매력을 느낄 만한 요소를 유료로 만드는 편이 같은 개발 비용을 들일 때 훨씬 이익이기 때문입니다. 게다가 SMS를 통한 2FA만 유료화 할 뿐 OTP를 통한 2FA는 유료화 하지 않기 때문에 돈을 내기 싫으면 SMS 대신 OTP를 사용하면 그만인데 왜 이 지점을 유료화 하는지 납득하기 어려웠습니다.
그러다가 문득 사용자 대부분은 2FA의 존재 조차 모를 가능성이 있으며 이들 중 간신히 최소한의 기술력과 최소한의 관리 비용으로 더 높은 보안 수준을 얻으려는 사용자들이 직관적으로 간신히 이해하고 사용할 수 있는 방법이 SMS를 통한 2FA라는 생각을 하기 시작했습니다. 개인적으로 너무 당연히 2FA에 1Password 앱과 서비스를 사용하고 있습니다. 로그인 할 때 이메일, 패스워드, OTP 모두 완전히 기억에 의존하지 않고 이 정보들을 자동으로 입력하거나 복사해서 붙여 넣는 생활이 전혀 이상하거나 불편하지 않습니다.
하지만 가족들에게 이 생활을 추천할 수 있을지 생각해보면 이는 그리 단순한 문제가 아닙니다. 2FA가 강력한 것은 이해 시킬 수 있겠지만 그 전까지 직관적으로 여러 사이트에 같은 이메일 주소와 같은 패스워드를 공유하며 기억에 의존하던 사람들에게 어느 날 갑자기 SMS를 통해 편안히 내 폰에 날아오던 정보를 어떤 앱을 실행하고 그 앱의 로그인 정보를 입력한 다음 특정 사이트에 해당하는 정보를 직접 찾아서 입력해야 한다는 것은 직관적으로 납득할 수 있는 수준을 아득하게 벗어나고 있습니다.
또한 만약 기기 변경이나 분실에 대비해 복구 정보를 충분히 준비하지 않았다면 졸지에 웹사이트에 로그인할 수 없게 될 수도 있습니다. 물론 이런 상황을 대비해 2FA를 제공하는 거의 모든 서비스가 백업 코드를 제안하지만 애초에 별도 앱을 통해 로그인 정보를 찾는 행동 자체가 직관적이지 않은 상황에서 만약을 대비한 백업 코드를 안전하게 보관하기를 기대하기는 아주 어렵다고 생각합니다.
결국 2FA의 존재를 알고 있지만 본격적으로 이 체계를 안정적으로 사용하기에는 지식과 기술력이 부족한 상태에서 SMS를 통한 2FA는 그나마 직관적이고 꽤 합리적인 방법입니다. 달리 말하면 일론님이 목표로 삼은 이 사람들은 SMS를 통한 2FA가 유료화되면 OTP를 제공하는 앱을 통해 2FA를 유지하기보다는 익숙한 습관을 유지하기 위해 돈을 내거나 2FA를 제거하는 결정을 할 가능성이 높다고 가정할 수 있습니다. 처음에는 일론님의 이 유료화 정책이 효율적이지도 않고 많은 돈을 벌 수도 없을 거라고 생각했지만 적어도 가장 약한 고리를 정확히 공격해 이들에게 돈을 내거나 아니면 2FA 사용을 그만 둘 것을 종용하는 수익 측면에서 효과적이지는 않지만 돈을 낼 가능성이 있는 사람들에게 강하게 압력을 가하는 정책이라고 인정하게 되었습니다.