구글, 사내보안 어떻게…"업무 시 하드웨어 본인인증은 기본"

[쿠알라룸푸르=이데일리 최연두 기자] “구글의 보안 문화는 굉장히 독특합니다. 2013년부터 전체 임직원들을 대상으로 보안 키가 담긴 하드웨어 장치를 보급하기 시작했어요. 직원들은 출근하자 마자 개인용 컴퓨터(PC)에 하드웨어를 꽂아 본인임을 인증하게 되죠.”

크리스티안 브랜드 구글 프로덕트매니저(PM)가 지난 10일(현지시간) 말레이시아 쿠알라룸푸르에서 열린 ‘파이도 아시아태평양 지역(APAC) 서밋 2024’에서 이데일리와 인터뷰 이후 기념사진을 촬영했다.(사진=최연두 기자)

크리스티안 브랜드 구글 프로덕트매니저(PM)는 지난 10일(현지시간) 말레이시아 쿠알라룸푸르에서 열린 ‘파이도 아시아태평양 지역(APAC) 서밋 2024’에서 이데일리와 진행한 인터뷰에서 이 같이 말했다.

구글이 사내 보안에 신경 쓰기 시작한 시점은 2009년 말 중국발 사이버 공격인 일명 ‘오로라 작전’을 당한 직후다. 당시 해커는 구글 내 시스템에 접근해 일부 지식재산(IP)을 탈취했고 중국의 인권 운동가로 추정되는 지메일 이용자들의 계정에 무단 접속해 데이터를 유출시켰다. 중국 당국이 배후에 있을 것으로 추정된 해당 공격으로 구글뿐만 아니라 스무곳이 넘는 미국 기업이 피해를 입었다.

조사 결과 해커는 인터넷 익스플로러6의 취약점을 악용해 구글 내부에 침투한 것으로 확인됐다. 브랜드 PM은 “구글의 공동창업자(세르게이 브린)는 구글 시스템이 공격 당하는 일은 앞으로 절대 없어야 한다고 강조했고 엔지니어들과 논의한 끝에 이러한 문화가 정착됐다”고 설명했다.

또 브랜드 PM은 “구글의 재무, 인사관리(HR) 등 전 부서를 막론하고 직원들은 본인의 사내 계정에 접근하려면 보안 키가 필요하다”며 “보안 키는 이동식 저장장치(USB)나 키 포브(key fob·원격에서 작동 가능한 스마트키)등 다양한 형태로 여러 개 제공된다. 사내 시스템에 접근하려면 이 같은 보안 키가 꼭 필요하다”고 부연했다.

크리스티안 브랜드 구글 PM(사진=구글)

향후 파이도(FIDO·Fast Identity Online)가 표준 기술로 채택한 ‘패스키’ 생체인증을 도입할 것이란 가능성도 열어뒀다. 패스키는 이용자의 생체인증 코드 등 핵심 정보를 클라우드로 지원하는 것이 특징이다. 이용자가 처음 생체인증 정보를 등록한 기기가 망가지거나 파괴돼도 보유하고 있는 다른 기기에서 같은 방식으로 본인 인증이 가능하다. 다만 클라우드가 공격을 당하면 사실상 보안 키가 유출될 수 밖에 없다.

브랜드 PM은 “보안 관점에서 보면 물리적인 보안 키가 가장 안전한 것은 사실”이라며 “때문에 구글은 해당 보안 키 사용을 의무적으로 시행하고 있지만, 스마트폰 등 특정 기기에서 업무 편의도를 높이기 위해 패스키가 도입될 날도 머지 않았다고 본다”고 말했다.

전 세계적으로 구글 이용자 계정 약 4억개가 패스키 인증 방식으로 로그인하고 있다. 패스키로 로그인한 횟수는 10억회에 달한다. 구글에 따르면 기존 아이디와 비밀번호 방식 대비 로그인 시간이 절반으로 줄었고 로그인 성공률도 4배 이상 높아졌다.

브랜드 PM은 “우리의 최우선 과제는 온라인 서비스 이용자들에 안전한 사용 환경을 마련해주는 것”이라며 “이는 이용자들을 더 오래 온라인 환경에 머물 수 있도록 해주는 요인이기도 하다. 기업 입장에선 여러 사업적 기회가 생기는 셈”이라고 했다.

구글은 패스키 도입 확대를 위해 동료 회사와 협력 중이다. 브랜드 PM은 “아마존이나 메타 등도 패스키 도입을 논의하고 있는 것으로 알고 있다”며 “빅테크 기업들은 모두 패스키 방법의 일부분은 활용하고 있다. 구글이 그 선두에서 패스키 시장을 이끌어가고 싶다”고 포부를 밝혔다.