패스워드 없는 로그인. 인증의 연쇄

지금 읽고 계신 Thinking Machine 뉴스레터는 예전에 블로그를 통해 공개했던 글은 제한 없이 읽을 수 있지만 지난 4월 말 첫 뉴스레터를 보낸 시점부터 작성한 글은 끝까지 읽기 위해 뉴스레터 가입을 요구하고 있습니다. 이 뉴스레터와 블로그 웹사이트를 운영하는데는 고스트라는 서비스를 사용하고 있는데 고스트는 사용자 등록에 이메일 주소를 요구할 뿐 패스워드를 설정하게 하지 않습니다. 사실 패스워드를 받는 순간부터 이를 안전하게 저장하고 매 인증 때마다 사용자가 입력한 패스워드를 인터넷을 통해 안전하게 전송 받아 안전하게 저장해 둔 패스워드와 비교해 올바른 패스워드를 제출했는지 확인한 다음에야 로그인 시킬 수 있습니다. 또 패스워드 만으로는 충분히 안전하지 않을 수 있으니 2FA를 제공하면 더 좋은데 이 모든 인증 수단은 상당한 기술력을 들여 신중하게 만들어야 하기 때문에 함부로 이를 구축할 생각을 하기 어렵습니다.

아마도 그런 인증 시스템 구축 비용을 줄이기 위해 고스트는 등록과 로그인에 오직 이메일 주소에만 의존하는데 간단히 등록, 로그인 양쪽 모두 이메일 주소만 넣으면 인증 문자열을 포함한 웹 주소를 메일을 통해 발송하고 이 링크를 통해 접속하면 로그인 된 상태를 만들어 줍니다. 서비스를 만드는 입장에서는 패스워드를 안전하게 보관할 고민을 하지 않아도 되고 사용자 입장에서는 그렇잖아도 모든 장소마다 다른 패스워드를 사용하라는 보안 규칙 때문에 골머리를 앓는 마당에 기억해야 할 또 다른 패스워드를 만들지 않아도 됩니다. 고스트 로그인 과정은 로그인 폼에 이메일을 입력하고 서브밋 하면 몇 초 안에 메일이 도착해 링크를 클릭해 바로 로그인 할 수 있어 나쁘지 않습니다.

한번은 이런 오직 이메일을 사용한 인증 과정을 곰곰이 생각해 보다가 이메일 만을 사용한 인증 절차는 편리하지만 근본적으로 서비스에 필요한 인증을 서비스 자기 자신이 수행하지 않는다는 느낌을 받았습니다. 가령 이메일을 통한 인증은 이메일 주소로 메일을 보내고 사용자가 이 메일 주소로 발송된 메일에 접근할 수 있는 권한이 있는지 확인하는 것과 같습니다. 개인 이메일은 구글 워크스페이스를 통해 사용하고 있는데 고스트 로그인에 개인 이메일을 제출해 로그인 한다는 의미는 제 구글 계정에 이메일 주소, 패스워드, 2FA를 모두 제시해 메일을 읽을 수 있는 상태임을 증명해야 합니다. 고스트 로그인 과정에는 구글 로그인 과정이 완전히 생략되기는 했지만 이메일을 통한 패스워드 없는 로그인 과정에는 인증 절차를 다른 서비스에 의존한다고 볼 수 있습니다.