연결된 앱 권한 점검법: 연동 로그인은 왜 따로 정리해야 할까
비밀번호를 바꾸고 2단계 인증까지 설정했는데도 로그인 알림이 어딘가 낯설게 느껴질 때가 있다. 최근 활동 기록에 기억에 없는 기기 이름이 보이면 괜히 신경이 쓰인다. 대부분은 “비밀번호를 바꿨으니 괜찮겠지”라고 생각하고 넘어간다. 나 역시 그랬다. 그런데 계정을 몇 년 이상 사용하다 보니 한 가지는 꼭 따로 확인하게 됐다. 바로 연결된 앱(제3자 서비스) 권한이다.
요즘은 회원가입을 할 때 새로운 아이디를 만들기보다 ‘구글로 로그인’, ‘네이버로 로그인’을 선택하는 경우가 더 많다. 몇 번의 클릭이면 가입이 끝나니 편하다. 이 방식은 비밀번호를 외부 서비스에 직접 저장하지 않도록 설계되어 있어 구조 자체는 비교적 안전한 편이다. 다만 여기서 놓치기 쉬운 부분이 있다. 한 번 승인한 접근 권한은 계정 내부 설정에 별도로 남는다는 점이다. 평소에는 잘 열어보지 않는 메뉴라 더 기억에서 멀어진다.
여기서부터 헷갈리기 시작한다. 브라우저에서 로그아웃을 하면 모든 연결이 함께 끊긴다고 생각하기 쉽다. 우리가 흔히 말하는 ‘로그아웃’은 보통 세션(Session) 종료를 의미한다. 로그인하면 서버가 세션 값을 발급하고, 브라우저는 이를 쿠키에 저장한다. 로그아웃하거나 일정 시간이 지나면 세션은 끝난다. 보통은 여기까지를 ‘로그아웃’이라고 생각한다.
하지만 연동 로그인은 조금 다르게 움직인다. 많은 서비스가 OAuth 기반 구조를 사용하며, 접근 권한을 나타내는 토큰을 따로 발급한다. 쉽게 말해, 일정 기간 동안 접근을 허용하는 ‘열쇠’ 같은 값이라고 보면 된다. 이 토큰은 브라우저 세션과는 별도로 관리된다. 그래서 브라우저에서 로그아웃을 했다고 해서 ‘연결된 앱’ 목록이 자동으로 사라지지는 않는다.
비밀번호를 변경했을 때도 상황은 크게 다르지 않다. 서비스 정책에 따라 기존 토큰을 함께 무효화하는 경우도 있고, 사용자가 직접 연결을 해제하기 전까지 승인 상태가 유지되는 경우도 있다. 이것이 곧 위험을 의미하는 것은 아니다. 다만 내가 어떤 범위까지 접근을 허용해 두었는지는 한 번쯤 직접 확인해보는 편이 훨씬 명확하다.
오래된 연결이 그대로 남아 있는 경우
연결된 앱 목록을 한 번 열어보면 “이걸 내가 언제 연결했지?” 싶은 항목이 하나쯤 나온다. 실제로 확인해 보면 생각보다 오래된 연결이 그대로 남아 있는 경우도 있다. 당장 문제가 생기는 것은 아니지만, 내가 의식하지 못한 접근 통로가 여러 개 열려 있는 상태를 계속 유지할 필요는 없다.
특히 아래와 같은 권한은 조금 더 천천히 읽어보는 것이 좋다.
- 이메일 읽기 또는 보내기 권한
- 클라우드 파일 열람 및 수정 권한
- 연락처 접근 권한
- 계정 기본 정보 수정 권한
- 지속 로그인(오프라인 접근) 허용 여부
판단은 의외로 간단하다. 이 서비스가 실제로 수행하는 기능을 떠올려보고, 그 기능에 비해 권한이 과하지 않은지 생각해보면 된다. 일정 동기화 서비스라면 캘린더 접근은 자연스럽다. 하지만 단순 로그인 확인 목적의 서비스가 메일이나 파일 수정 권한까지 요구한다면, 그 범위가 꼭 필요한지 한 번쯤 점검해볼 필요가 있다.
연결된 앱을 정리하는 기본 흐름
1단계: 복구 정보 확인
연결을 정리하기 전에 복구 이메일과 전화번호가 최신 상태인지 먼저 확인한다. 재로그인이 필요한 상황을 대비하는 기본 점검이다.
2단계: 연결 목록 확인
계정 설정의 보안 메뉴에서 ‘연결된 앱’ 또는 ‘제3자 앱 접근’ 항목을 찾는다. 구글이나 네이버 모두 보안 관련 메뉴 아래에서 확인할 수 있으며, 버전이나 업데이트에 따라 메뉴 이름은 조금씩 다를 수 있다. 현재 연결된 서비스와 승인 범위를 한 번씩 읽어보는 것이 우선이다.
3단계: 사용하지 않는 연결 해제
최근 몇 달 이상 사용하지 않은 서비스라면 연결을 해제해도 무리가 없는 경우가 많다. 필요하다면 다시 로그인하여 재연결할 수 있다. 연결을 줄이는 것은 기능을 없애는 것이 아니라 관리 범위를 줄이는 과정에 가깝다.
4단계: 유지 서비스의 권한 재확인
자주 사용하는 서비스라도 승인된 권한 범위를 다시 확인한다. 기능에 비해 과도하다고 느껴진다면 해제 후 필요한 범위로 다시 연결하는 방법도 있다.
5단계: 반영 여부 확인
연결을 해제한 뒤 해당 서비스에 접속했을 때 다시 로그인 요청이 나타나는지 확인한다. 접속이 그대로 유지된다면 브라우저 세션이 남아 있을 수 있으므로 로그아웃까지 함께 진행한다.
정리
연동 로그인 자체는 편리한 기능이다. 결국 핵심은 내가 무엇을 허용해 두었는지를 한 번 확인해보는 데 있다.
비밀번호를 변경했다면 연결된 앱 목록도 함께 열어보는 정도면 충분하다. 몇 분이면 끝나는 작업이다. 거창한 보안 강화가 아니라, 내가 열어 둔 통로를 스스로 확인하는 과정에 가깝다. 화면 구성이나 메뉴 이름은 업데이트에 따라 달라질 수 있으니, 메뉴가 보이지 않는다면 ‘연결된 앱’이나 ‘제3자 앱’과 같은 키워드로 검색해보는 것도 방법이다.