PC 보안 SW 설치 없는 국제표준 ITU-T X.1280 기반 패스워드리스 로그인 이론 및 실습 교육
[보안뉴스 원병철 기자] 패스워드리스 얼라이언스는 5월 21일 보안뉴스 리더스홀에서 ‘ITU-T 국제표준 X.1280 기반 비설치형 인증기술 활용 세미나’를 개최한다고 밝혔다.
이번 세미나는 사용자 PC에 별도의 보안 소프트웨어를 설치하지 않고도 사용자가 안전하게 온라인 서비스에 로그인할 수 있는 국제표준 X.1280 기반의 ‘Passwordless X1280’ 소프트웨어 설치 및 적용 교육이 진행된다.
X.1280은 뛰어난 보안성과 편리성을 인정받아 이미 국민은행, 우리은행, 유안타증권, 한국관광공사, 구리시청 등에서 임직원 인증수단으로 사용 중이며, 보안뉴스와 케이팝에이전트 등 소비자 대상 온라인 서비스에도 도입되어 있다.
기존 인증 기술의 문제점 — 사용자가 PC 보안을 책임지는 인증 기술
패스워드, OTP, 공동인증서 등 기존 사용자 인증 기술은 사용자에게 인증값을 입력하도록 요구하고 온라인 서비스가 이를 검증하는 ‘소비자 입증책임 인증기술’이다. 이 구조에서는 인증값 도용·탈취 사고가 발생하면 그 책임이 사용자에게 귀속되어 서비스 제공자가 면책되는 구조적 한계가 있었다.
사람이 바이러스에 감염되면 감기에 걸릴 수 있듯이, 사용자의 PC는 언제든 멀웨어에 감염될 수 있다. 감염된 PC에서 인증값을 입력하면 모든 인증 정보가 탈취될 수밖에 없는 환경임에도, 사고 발생 시 책임은 소비자에게 돌아가는 불합리한 구조였다.
▲X.1280 기반 서비스 보안 책임 인증 구조. PC가 멀웨어에 감염되더라도 인증값 탈취 불가[출처: 패스워드리스 얼라이언스]
ITU-T 국제표준 X.1280 — 서비스가 PC 보안을 책임지는 인증 기술
이러한 입증책임 구조의 한계를 해소하고 편리성을 동시에 높이기 위해, ITU-T는 사용자가 인증값을 입력하는 방식이 아니라 온라인 서비스가 인증값을 출력하고 사용자가 이를 스마트폰에서 검증하는 ‘서비스 입증책임 인증기술’을 국제표준 X.1280으로 제정했다.
X.1280은 온라인 서비스가 생성하여 인증창에 제시하는 일회성 인증값(이하 ‘자동 패스워드’)을 사용자가 자신의 스마트폰에서 생성한 값과 비교한 뒤, 일치하면 스마트폰의 생체인증으로 승인하는 방식으로 사용성이 매우 뛰어나다. 또한 이 구조는 PC 환경에 멀웨어가 구동 중이더라도 사용자가 스마트폰에서 승인하는 인증값이 탈취되지 않으며, 어떤 PC에서 자신의 모바일 생체인증이 사용되는지 사용자가 직접 확인할 수 있는 피싱 저항성도 갖추고 있다.
패스워드리스 얼라이언스, 무상 보급 및 정기 세미나 운영
패스워드리스 얼라이언스는 소비자에게 인증 입증책임을 전가하는 현재의 인증 기술 구조를 개선하기 위해 스위스 제네바에 설립된 비영리단체로, X.1280 기반 ‘Passwordless X1280’ 소프트웨어를 무상으로 배포하고 있다. 국내에서는 개인정보보호위원회와 TTA에서 지원하는 패스워드리스 얼라이언스 포럼을 통해 무료 세미나와 소프트웨어 보급·확산 활동을 전개하고 있다.
패스워드리스 얼라이언스 포럼은 매년 상·하반기 연 2회의 공개 세미나를 개최하고 있다. 이번 5월 21일 세미나에서는 X.1280 표준 해설과 함께 Passwordless X1280 소프트웨어의 설치·적용 실습 교육이 진행된다.
[원병철 기자(boanone@boannews.com)]
[보안뉴스 원병철 기자] 패스워드리스 얼라이언스는 5월 21일 보안뉴스 리더스홀에서 ‘ITU-T 국제표준 X.1280 기반 비설치형 인증기술 활용 세미나’를 개최한다고 밝혔다.
이번 세미나는 사용자 PC에 별도의 보안 소프트웨어를 설치하지 않고도 사용자가 안전하게 온라인 서비스에 로그인할 수 있는 국제표준 X.1280 기반의 ‘Passwordless X1280’ 소프트웨어 설치 및 적용 교육이 진행된다.
X.1280은 뛰어난 보안성과 편리성을 인정받아 이미 국민은행, 우리은행, 유안타증권, 한국관광공사, 구리시청 등에서 임직원 인증수단으로 사용 중이며, 보안뉴스와 케이팝에이전트 등 소비자 대상 온라인 서비스에도 도입되어 있다.
기존 인증 기술의 문제점 — 사용자가 PC 보안을 책임지는 인증 기술
패스워드, OTP, 공동인증서 등 기존 사용자 인증 기술은 사용자에게 인증값을 입력하도록 요구하고 온라인 서비스가 이를 검증하는 ‘소비자 입증책임 인증기술’이다. 이 구조에서는 인증값 도용·탈취 사고가 발생하면 그 책임이 사용자에게 귀속되어 서비스 제공자가 면책되는 구조적 한계가 있었다.
사람이 바이러스에 감염되면 감기에 걸릴 수 있듯이, 사용자의 PC는 언제든 멀웨어에 감염될 수 있다. 감염된 PC에서 인증값을 입력하면 모든 인증 정보가 탈취될 수밖에 없는 환경임에도, 사고 발생 시 책임은 소비자에게 돌아가는 불합리한 구조였다.
▲X.1280 기반 서비스 보안 책임 인증 구조. PC가 멀웨어에 감염되더라도 인증값 탈취 불가[출처: 패스워드리스 얼라이언스]
ITU-T 국제표준 X.1280 — 서비스가 PC 보안을 책임지는 인증 기술
이러한 입증책임 구조의 한계를 해소하고 편리성을 동시에 높이기 위해, ITU-T는 사용자가 인증값을 입력하는 방식이 아니라 온라인 서비스가 인증값을 출력하고 사용자가 이를 스마트폰에서 검증하는 ‘서비스 입증책임 인증기술’을 국제표준 X.1280으로 제정했다.
X.1280은 온라인 서비스가 생성하여 인증창에 제시하는 일회성 인증값(이하 ‘자동 패스워드’)을 사용자가 자신의 스마트폰에서 생성한 값과 비교한 뒤, 일치하면 스마트폰의 생체인증으로 승인하는 방식으로 사용성이 매우 뛰어나다. 또한 이 구조는 PC 환경에 멀웨어가 구동 중이더라도 사용자가 스마트폰에서 승인하는 인증값이 탈취되지 않으며, 어떤 PC에서 자신의 모바일 생체인증이 사용되는지 사용자가 직접 확인할 수 있는 피싱 저항성도 갖추고 있다.
패스워드리스 얼라이언스, 무상 보급 및 정기 세미나 운영
패스워드리스 얼라이언스는 소비자에게 인증 입증책임을 전가하는 현재의 인증 기술 구조를 개선하기 위해 스위스 제네바에 설립된 비영리단체로, X.1280 기반 ‘Passwordless X1280’ 소프트웨어를 무상으로 배포하고 있다. 국내에서는 개인정보보호위원회와 TTA에서 지원하는 패스워드리스 얼라이언스 포럼을 통해 무료 세미나와 소프트웨어 보급·확산 활동을 전개하고 있다.
패스워드리스 얼라이언스 포럼은 매년 상·하반기 연 2회의 공개 세미나를 개최하고 있다. 이번 5월 21일 세미나에서는 X.1280 표준 해설과 함께 Passwordless X1280 소프트웨어의 설치·적용 실습 교육이 진행된다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
-1.png)
.jpg)
.jpg)
.jpg)
-1(1).png)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
