암호 무용지물론, 현재 보안 업계 대세...다음 체제 등장해야
바이오메트릭스 기술 개발 한창... 진짜 문제는 기술의 도입
[보안뉴스 문가용 기자] 정보보안에 있어 인증은 매우 중요한 절차이자 기능이다. 그래서 보안이 철저한 곳에서는 엄격한 과정을 거쳐 신뢰를 획득한 사람들만이 인증 자격을 갖추게 된다. 그렇기에 인증 원리 및 과정 자체가 튼튼하지 않으면 힘들게 쌓아둔 신뢰들이 한 순간에 무너지게 된다.
▲ 겹겹이 쌓으면 맛도 좋고 칼로리도 높고
그런데 이 일이 실제로 일어나고 있다. 최근 들어 로그인 정보 탈취로 인한 해킹 및 데이터 탈취 사건이 빈번해지고 있기 때문이다. 그리고 무섭게 무너져 내리고 있는 ‘신뢰 체제’ 중에서 가장 큰 지탄을 받고 있는 건 바로 암호, 즉 비밀번호다. 암호가 약해서 이런 일이 벌어진다고, 암호 체제를 뒤집어서 ‘뉴 플레이어’를 받아들여야 한다는 목소리가 쩌렁쩌렁하다.
여기서 말하는 뉴 플레이어로 가장 많이 거론되는 것이 바이오메트릭스다. 지문, 안면, 홍채, 행동 패턴 등의 정보를 암호로 대신 사용하는 게 편리성과 보안성 모두를 해결한다는 것. 암호에 비해 훔치거나 탈취하는 것도 쉽지 않을뿐더러, 암호처럼 암기해야 할 필요가 없기 때문이다. 심지어 여기에 심장 박동 패턴과 뇌파를 활용한 바이오메트릭스도 개발되고 있다.
그러나 암호를 폐지하는 문제에 있어서 모두가 동의하는 건 아니다. 편리하고 강력한 바이오메트릭스가 좋긴 하지만, 그렇다고 암호를 완전히 배제하기엔 찜찜하다는 게 업계 분위기인데, 왜 그런 걸까?
이 이야기를 진행하기에 앞서 먼저 짚어두고 싶은 것이 있는데, 바이오메트릭스는 확실히 미래 보안의 핵심 중 핵심 요소라는 것이다. 이 사실 자체는 암호가 살아남을 가치가 있든 없든 유효하다. 하지만 모든 신기술에는 중요한 두 가지 요소가 있다는 걸 잊지 말아야 한다. 기술 그 자체와, 그 기술을 실제 현장이나 삶에 도입하는 문제가 바로 그것이다.
지문 인식기가 달린 보안 게이트도, 그냥 귀찮다고 하루 종일 열어두면 보안에 아무런 도움이 되지 않는다. 실제 대부분 보안 사고도 이 ‘도입’ 부분의 약점에서부터 불거진다. 결국 도입의 문제를 고민하지 않고서는 바이오메트릭스라는 화려한 신기술은 그저 진짜 문제를 가리기 위한 눈가리개에 지나지 않게 된다.
게다가 바이오메트릭스 기술 자체가 완전무결한 것도 아니다. 내 몸에 있는 나만의 생체 정보라는 것도 마음만 먹으면 훔칠 수 있다는 것이 수차례 증명되었고, 심지어 대체가 불가능한 생체 정보가 서버에 저장되어 있다가 도난당한 사건도 있었다. 이런 경우 차라리 정보 수정을 통해 고칠 수 있는 암호가 도난당한 편이 훨씬 안전하다. 암호가 지금 이렇게 내동댕이쳐지고 있는 것처럼 바이오메트릭스도 언젠가 그런 운명을 맞는다면, 어디에 어떤 식으로 보관되어 있는지 잘 확인해보지도 않았던 우리 소중한 생체 정보들은 어떻게 처리해야 할까?
게다가 암호가 완전히 대체되지 않고 지금처럼 어정쩡하게 바이오메트릭스와 암호가 동시에 사용되는 것도 문제다. 보안은 가장 약한 곳만큼 강력한 것이기 때문이다. 암호가 그렇게 문제라고 한다면, 암호와 바이오메트릭스를 같이 사용해도 마찬가지다. 갑자기 암호의 문제가 사라지는 건 아니란 소리다. 암호를 바이오메트릭스로 대체해야 한다고 하면서 암호와 바이오메트릭스를 혼용한다는 건 모순이다.
결국 암호를 겨냥한 삿대질이 잘못되었다고 본다. 그 어떤 인증 기술도 완벽할 수는 없다. 암호도 그런 ‘완벽할 수 없는’ 한계에 부딪혔을 뿐이다. 바이오메트릭스도 언젠가 그러할 것이다. 암호의 약점을 보완할 수 있는 건, 새로운 기술이 아니라 두 겹 세 겹의 암호다. 바이오메트릭스도 두 겹 세 겹을 써야 더 단단한 인증 기술로 살아남을 것이다.
편리성 문제도 간과해서는 안 된다. 사용자들에게 외면 받는 인증 기술이야말로 세상에서 가장 쓸모없는 인증 기술이기 때문이다. 바이오메트릭스 기술은 확실히 많은 장점을 보유하고 있다. 이 장점을 최대한 오래, 극대화하여 활용하려면 그에 맞는 ‘도입 방법’을 개발해내야 한다. 개인적으론 암호든 지문이든 OTP든, 한 번 입력으로 인증 절차가 완료되는 것부터 제거해야 한다고 생각한다.
글 : 코리 나크라이너(Corey Nachreiner)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
바이오메트릭스 기술 개발 한창... 진짜 문제는 기술의 도입
[보안뉴스 문가용 기자] 정보보안에 있어 인증은 매우 중요한 절차이자 기능이다. 그래서 보안이 철저한 곳에서는 엄격한 과정을 거쳐 신뢰를 획득한 사람들만이 인증 자격을 갖추게 된다. 그렇기에 인증 원리 및 과정 자체가 튼튼하지 않으면 힘들게 쌓아둔 신뢰들이 한 순간에 무너지게 된다.
▲ 겹겹이 쌓으면 맛도 좋고 칼로리도 높고
그런데 이 일이 실제로 일어나고 있다. 최근 들어 로그인 정보 탈취로 인한 해킹 및 데이터 탈취 사건이 빈번해지고 있기 때문이다. 그리고 무섭게 무너져 내리고 있는 ‘신뢰 체제’ 중에서 가장 큰 지탄을 받고 있는 건 바로 암호, 즉 비밀번호다. 암호가 약해서 이런 일이 벌어진다고, 암호 체제를 뒤집어서 ‘뉴 플레이어’를 받아들여야 한다는 목소리가 쩌렁쩌렁하다.
여기서 말하는 뉴 플레이어로 가장 많이 거론되는 것이 바이오메트릭스다. 지문, 안면, 홍채, 행동 패턴 등의 정보를 암호로 대신 사용하는 게 편리성과 보안성 모두를 해결한다는 것. 암호에 비해 훔치거나 탈취하는 것도 쉽지 않을뿐더러, 암호처럼 암기해야 할 필요가 없기 때문이다. 심지어 여기에 심장 박동 패턴과 뇌파를 활용한 바이오메트릭스도 개발되고 있다.
그러나 암호를 폐지하는 문제에 있어서 모두가 동의하는 건 아니다. 편리하고 강력한 바이오메트릭스가 좋긴 하지만, 그렇다고 암호를 완전히 배제하기엔 찜찜하다는 게 업계 분위기인데, 왜 그런 걸까?
이 이야기를 진행하기에 앞서 먼저 짚어두고 싶은 것이 있는데, 바이오메트릭스는 확실히 미래 보안의 핵심 중 핵심 요소라는 것이다. 이 사실 자체는 암호가 살아남을 가치가 있든 없든 유효하다. 하지만 모든 신기술에는 중요한 두 가지 요소가 있다는 걸 잊지 말아야 한다. 기술 그 자체와, 그 기술을 실제 현장이나 삶에 도입하는 문제가 바로 그것이다.
지문 인식기가 달린 보안 게이트도, 그냥 귀찮다고 하루 종일 열어두면 보안에 아무런 도움이 되지 않는다. 실제 대부분 보안 사고도 이 ‘도입’ 부분의 약점에서부터 불거진다. 결국 도입의 문제를 고민하지 않고서는 바이오메트릭스라는 화려한 신기술은 그저 진짜 문제를 가리기 위한 눈가리개에 지나지 않게 된다.
게다가 바이오메트릭스 기술 자체가 완전무결한 것도 아니다. 내 몸에 있는 나만의 생체 정보라는 것도 마음만 먹으면 훔칠 수 있다는 것이 수차례 증명되었고, 심지어 대체가 불가능한 생체 정보가 서버에 저장되어 있다가 도난당한 사건도 있었다. 이런 경우 차라리 정보 수정을 통해 고칠 수 있는 암호가 도난당한 편이 훨씬 안전하다. 암호가 지금 이렇게 내동댕이쳐지고 있는 것처럼 바이오메트릭스도 언젠가 그런 운명을 맞는다면, 어디에 어떤 식으로 보관되어 있는지 잘 확인해보지도 않았던 우리 소중한 생체 정보들은 어떻게 처리해야 할까?
게다가 암호가 완전히 대체되지 않고 지금처럼 어정쩡하게 바이오메트릭스와 암호가 동시에 사용되는 것도 문제다. 보안은 가장 약한 곳만큼 강력한 것이기 때문이다. 암호가 그렇게 문제라고 한다면, 암호와 바이오메트릭스를 같이 사용해도 마찬가지다. 갑자기 암호의 문제가 사라지는 건 아니란 소리다. 암호를 바이오메트릭스로 대체해야 한다고 하면서 암호와 바이오메트릭스를 혼용한다는 건 모순이다.
결국 암호를 겨냥한 삿대질이 잘못되었다고 본다. 그 어떤 인증 기술도 완벽할 수는 없다. 암호도 그런 ‘완벽할 수 없는’ 한계에 부딪혔을 뿐이다. 바이오메트릭스도 언젠가 그러할 것이다. 암호의 약점을 보완할 수 있는 건, 새로운 기술이 아니라 두 겹 세 겹의 암호다. 바이오메트릭스도 두 겹 세 겹을 써야 더 단단한 인증 기술로 살아남을 것이다.
편리성 문제도 간과해서는 안 된다. 사용자들에게 외면 받는 인증 기술이야말로 세상에서 가장 쓸모없는 인증 기술이기 때문이다. 바이오메트릭스 기술은 확실히 많은 장점을 보유하고 있다. 이 장점을 최대한 오래, 극대화하여 활용하려면 그에 맞는 ‘도입 방법’을 개발해내야 한다. 개인적으론 암호든 지문이든 OTP든, 한 번 입력으로 인증 절차가 완료되는 것부터 제거해야 한다고 생각한다.
글 : 코리 나크라이너(Corey Nachreiner)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
