최고의 인증과 최악의 인증
최고의 인증: 비밀번호 없는 로그인
예를 들면 Windows Hello나 Keychain 로그인, 하드웨어 및 모바일 OTP 등으로 처음부터 로그인, 비밀번호 없음
모범사례: MS, 구글…. 음… 역시 기술 대기업은 다르군요…
OS 기능을 활용하는 방식이라 안전성도 확보됐고, 비밀번호를 잊어먹어도 되니 편리.
물론 저장한 장치를 분실하면 복구 키라는 최후의 수단이 있고, 이조차 없으면… 영영 못쓰는 사태가 발생하지만 이걸 해킹하려면 집 자체를 모두 해킹해서 순식간에 사용자의 디바이스를 모두 해킹하는 고난도의 기법이 필요할 정도로 견고합니다.
물론 논란도 있습니다. 대기업 중심의 인증 방식에 반감을 드러내는 자유 소프트웨어 개발자들도 존재하는 것도 사실이다보니 이런 방식을 거부하는 흐름도 존재합니다. 하지만 어쩌겠어요. 점유율 센 브라우저가 따라하면 결국 하게 되어 있는데…
특이사항으로는 국내에 이런 로그인을 지원하는 서비스는 거의 테스트 용도 아니면 단 한번도 못봤다는 점이 되겠습니다.
괜찮은 인증: 다단계 인증 (그 다단계 말고)
네. 비밀번호를 요구하는 사이트가 대부분입니다. 하지만 2단계 인증도 나쁘진 않아요.
대신 비밀번호를 단순하게 요구할수록 더 좋습니다. 비번을 12345678로 낚는 재미도 있죠. 게다가 1024768 같이 뭔가 계정에게 빌미를 제공하는 비번을 제공할 필요도 없고, 아니면 비밀번호 관리자가 만들어주는 졸라게 난해한 비밀번호를 써도 됩니다.
이런 경우는 비밀번호 없는 로그인 방식을 더 요구합니다. 당연히 보안성도 높죠. 물론 논란은 위에 적었듯 적잖아 있습니다.
네. 귀찮아요. 아디까진 좋은데 비번 입력하고 생체인증 하거나 하드웨어 인증하거나 OTP 키거나… 조금 번거롭긴 합니다.
이런 로그인은 국내 사이트도 지원하고 있습니다. 특히 해외에서 한국어 서비스하는 사이트는 대부분 지원하고 있고요.
최악의 인증: 광신도 인증
지적 사항이 한두개가 아닙니다. 특히 국내 사이트에 많이 보이고, 2026년에도 아직도 존재한다는게 놀라우며, 특히 공공사이트에서 자주 보이는 거지같은 패턴이고 고칠 생각일랑 전혀 없습니다. 이중 대표적인 사례를 꼽자면,
ID에 영문과 숫자 혼용을 강제 (ID에 보안 걸어서 뭐하시게?)
비밀번호에 특수문자를 특정 문자로 제한 (내게 이런 제한은 SQL Injection 대응 존나게 못하는 멍청한 개발자들이 만든 작품으로 취급)
일정 기간 비밀번호 변경 강제(특히 공공사이트에서, 사내시스템에서 발생하며, 사내시스템까지는 참겠지만 대국민서비스는 정말 못참겠음)
몇몇 사이트는 며칠 연장 같은 옵션이 있는 사이트도 있는데, 다들 아시다시피 “잦은 비밀번호 변경이 취약하다는” 연구 결과도 발표했지만 그렇게 안하면 보안팀이 역으로 이상한 이유로 털리거나 보안팀장이 이게 안전하다는 신념 가지기 시작하는 등으로 한국 사이트들은 이게 무슨 종교인줄 알았어요. 참고로 네카라쿠배 등의 네임드 IT 업체는 그런 짓 안합니다.비밀번호에 최대 자릿수를 표현: 2026년에 아직도 이런 사이트가 있습니다. 8자리 이상 16자리 이하??? 정말로??? 네가 뭐 레거시 없이 어려운 대규모 핵심 시스템을 가진 금융권도 아니고 단순 사이트 주제에 그깟 비밀번호 저장용량 아끼겠다고?
가장 최악의 사례로 바로 로그인 자동완성을 막는 사이트. 네. 어떻게든 가능하긴 합니다.(autocomplete=”one-time-code”) 근데 왜 막아요? 보안 때문에? 보안?? 보안??? 살다살다 보안 때문에 자동완성 막는 개소리도 들었습니다.
그… 몇몇 보안팀 무슨 종교 믿으세요?
