세계 최대 인터넷 서비스 업체 구글은 다른 많은 인터넷 사이트들과 마찬가지로 '보안 질문'이라는 신원 확인 수단을 한동안 활용했다.
이는 아이디와 패스워드를 잊어버린 사용자가 본인 확인을 하는 수단이었다.
예를 들어서 "좋아하는 음식은 무엇인가요?"라는 질문에 사용자가 미리 '피자'라는 답을 지정해 놓고, 나중에 아이디나 패스워드를 잊어버렸을 때 이 질문을 골라서 답을 입력하면 구글 시스템이 이 사용자에게 접근을 허락하는 것이다.
그러나 구글은 작년 9월에 보안 질문을 통한 본인 확인을 폐지했다. 아이디나 패스워드를 잊어버린 사용자는 연락을 받을 수 있는 전화번호나 이메일 주소를 통해서만 계정에 접근할 수 있도록 한 것이다.
이는 보안 질문에 대한 답을 짐작하기 쉬운 경우가 많아 해커들이 계정을 쉽게 탈취해 도용할 수 있다는 지적에 따른 조치였다.
구글 보안 연구팀 소속 연구자들은 이탈리아 피렌체에서 18∼22일 열린 '2015년 월드와이드웹 국제회의'의 발표 논문집에 수억 건의 보안 질문과 답을 분석한 연구 결과를 실었다.
연구자들은 흔히 쓰이는 보안 질문은 답을 짐작하기 쉬운 경우가 많아 보안이 쉽게 뚫린다는 사실을 지적했다.
영어 사용자의 경우 '좋아하는 음식은?'이라는 질문에 대한 답이 '피자'인 경우가 많았다. 이럴 경우 해커가 단 한 번만 짐작을 시도하더라도 19.7%가 뚫릴 수밖에 없다는 것이 구글 연구자들의 설명이다.
또 아랍어 사용자의 경우 '당신의 첫 선생님 이름은?'이라는 질문은 10차례 시도하면 거의 4분의 1이 뚫리는 것으로 나타났다.
스페인어 사용자의 경우 아버지의 미들 네임을 묻는 질문은 10차례 시도로 알아맞힐 확률이 21%였다.
한국 사용자들의 경우 '태어난 도시는 어디입니까?'라는 질문에 대해 10차례 짐작을 시도하면 자그마치 39%가 뚫리는 것으로 드러났다.
만약 답을 짐작하기 어려운 보안 질문을 제시하면 사용자 본인이 어떤 정답을 입력했는지 기억을 하지 못하는 사례가 많았다.
'본인이 기억하기 쉬워야 한다'는 요건과 '답을 짐작하기 어려워야 한다'는 요건을 동시에 충족시키는 보안 질문을 만드는 것은 거의 불가능하다는 것이 연구자들의 결론이다.
따라서 본인 확인을 위해서는 보안 질문 대신 다른 수단을 쓰는 것이 바람직하며, 만약 보안 질문을 사용하더라도 이것만으로 계정 접근을 허용해서는 안 되고 반드시 다른 확인 방법과 결합해서 써야 한다고 연구자들은 주장했다.