[설문조사] 비밀번호 72.8%, OTP 38.3%, SMS 및 문자메시지 36.2% 순으로 인증시스템 사용
[인터뷰] 한국정보보호학회 차세대인증연구회 최대선 위원장
대표 솔루션 분석 : 피앤피시큐어, 시큐브, 옥타코, 듀얼오스
[보안뉴스 김경애 기자] “최고가 되기 위해 가진 모든 것을 활용하세요.
이것이 바로 현재 제가 사는 방식이랍니다.”
-오프라 윈프리(Oprah Winfrey)-
[이미지=gettyimagesbank, 보안뉴스]
차세대 인증 솔루션의 탄생 및 배경
막으면 뚫리고, 막으면 또 다른 홀이 생긴다. ‘세월 앞에 장사 없다’는 말처럼 제아무리 잘나가던 보안 기술도 핫한 보안 솔루션도 취약점이 발견되고 끝내 뚫리기 마련이다. 최신 보안 기술을 하루빨리 적용해야 하는 이유다.
차세대 인증은 1세대 패스워드를 거쳐 2세대로 대표되는 PKI 기반의 공인인증서와 OTP, 3세대 대표주자인 멀티팩터(Multi-Factor) 인증과 FIDO 기반의 통합인증 등을 거쳐 오늘날에 이르렀다.
1세대: 1970년대 등장한 패스워드, 이젠 되려 ‘시한폭탄’
그중 가장 많이 사용하는 인증수단은 단연 패스워드다. 패스워드는 1970년대 대형 컴퓨터 시스템 파일에 안전한 접근을 위해 처음 사용되었다. 이후 1991년 브라우저 월드와이드웹이 등장하면서 기업은 온라인 회원 관리를 위해 패스워드 체계를 적용했다. 이때부터 패스워드 인증수단이 점차 확대되었다. 패스워드는 4자리 숫자 조합에서 영문, 특수문자로 확대됐고, 자릿수는 8자리, 10자리 이상으로 늘어났다.
하지만 이마저도 한계에 이르러 결국 부작용이 발생했다. 서비스의 급증으로 인해 사람들은 단순한 비밀번호, 유추하기 쉬운 비밀번호를 사용하다 비밀번호 기억이 어려워졌고, 새로 만드는 등의 번거로움이 발생했다. 결국 패스워드가 해킹되거나 도용되는 등 개인정보 유출 피해로 이어졌다.
▲차세대 인증 인식 및 선택 기준에 대한 설문조사중 현재 사용중인 인증 시스템 설문결과[이미지=보안뉴스]
그러나 지금도 패스워드 인증수단은 많이 사용되고 있다. 본지가 기업과 기관의 보안담당자를 대상으로 ‘차세대 인증 인식 및 선택 기준에 대한 설문조사(설문기간 : 2023년 11월 7일~2023년 13일 까지)’를 실시한 결과 ‘현재 사용하고 있는 인증 시스템’에 대해 ‘비밀번호를 통해 관리하고 있다’는 답변이 72.8%로 압도적으로 높았다. 이어 ‘OTP를 통해 관리하고 있다’ 38.3%, ‘SMS, 문자메시지 인증을 통해 관리하고 있다’ 36.2% 순으로 집계됐다.
▲기존 인증 시스템에서 가장 불편한 점은 무엇인지에 대한 설문조사 결과[이미지=보안뉴스]
기존 인증수단의 불편한 점도 패스워드와 관련된 사항이 많았다. ‘기존 인증 시스템에서 가장 불편한 점은 무엇인가요?’란 질문에 ‘패스워드를 자주 변경해야 한다’는 답변이 48.5%로 가장 높았고, ‘패스워드 재설정 등 불필요한 업무’ 43.4%, ‘보안에 취약하다’ 37.4%, ‘외우기가 힘들다’ 37% 순으로 나타났다.
2세대: 공인인증서 & OTP ‘양대 산맥’
공인인증서, ‘전자서명법’에 ‘전성시대 맞이’ 그러나 액티브엑스가 ‘보안 홀’
2세대 대표 인증인 공인인증서는 1999년 7월 ‘전자거래기본법’과 ‘전자서명법’이 시행되면서 사용되기 시작했다. 인터넷의 발달로 전자상거래가 활성화되면서 바야흐로 공인인증서 시대가 열리며 공인인증서는 전성기를 맞이했다.
하지만 공인인증서의 잇따른 보안 사고 발생과 보안 이슈에 액티브엑스(Active-X)가 취약점으로 지목되며 저물기 시작했다. 이후 독점 지위 폐지를 골자로 한 전자서명법 개정안이 의결됨에 따라 2020년 12월 10일부터 폐지되며 공인인증서의 막이 내렸다.
현재는 공인인증서에서 공동인증서로 명칭이 변경돼 사용되고 있다. 공동인증서에는 가입자 이름, 공동인증서의 유효기간, 발급기관명, 가입자의 전자서명 검증정보, 전자서명 방식, 공동인증서 일련번호 등이 포함돼 있으며, 전자정보 증명을 위해 인증기관(Certification Authority)에서 발행하고 있다.
OTP, 사용자 불편과 번거로움 그리고 취약점 이슈
공인인증서와 함께 2세대 인증을 대표하는 OTP(일회용 패스워드, One Time Password)는 무작위로 생성되는 일회용 패스워드로 인증하는 방식이다. 기존 패스워드 방식에서 보안을 좀 더 강화하기 위해 도입됐다. 주로 온라인 뱅킹(Online Banking) 등 금융권의 전자금융 거래에서 활용된다.
OTP 생성기의 방식은 버튼을 누르면 △6자리 패스워드가 나오는 방식 △1분마다 자동으로 서로 다른 6자리의 패스워드가 나오는 시간 동기 방식 △키패드에 4자리 비밀번호를 입력하면 6자리 패스워드를 보여주는 방식 등으로 구분된다.
OTP 형태는 소형 단말기인 토큰형과 신용카드 모양의 카드형이 사용되고 있다. 최근에는 휴대폰의 범용 가입자 식별 모듈(USIM) 기반의 모바일 OTP(MOTP) 도입이 추진되고 있다.
하지만 사용자 편의성 관점에서 OTP는 복잡한 인증절차, 사용자의 번거로움, OTP 재발급, 긴 인증 소요시간 등 불편한 점도 적지 않다. 또한, OTP 코드 저장 등 보안 취약점 이슈도 존재해 좀 더 강력한 보안인증 체계가 요구되고 있다.
패스워드 & 공인인증서, 보안 위협으로 ‘도발’
지금까지 1, 2세대 인증수단에 대해 알아봤다. 그러나 여전히 많은 기업과 기관에서 보안이 취약한 1, 2세대 인증수단은 물론 공인인증서와 패스워드를 사용하고 있다. 그리고 보안에 취약한 인증수단은 언제 터질지 모르는 시한폭탄으로 기업과 기관을 위협하고 있다.
지난 11월 동행복권에서 불법 취득한 아이디와 패스워드를 무작위로 조합하여 홈페이지에 부정 로그인한 정황이 포착됐다. 이보다 앞서 지난 9월에는 모아저축은행에서 대출 신청 서버에 불법 접근으로 인해 개인정보가 유출된 바 있다. 또한, 6월에는 북한 해커조직이 보안인증 SW 취약점을 악용, 공공기관·언론사·방산·IT 등 50여개 기관을 해킹했다. 지목된 주요 원인으로는 본인인증 SW ‘MagicLine4NX(매직라인)’로 조사됐다. 북한 해커조직은 지난 5월에도 중앙선거관리위원회 인터넷망부터 내부 선거 시스템을 뚫은 바 있다. 특히, 이 사건은 패스워드 관리 부실로 초기 패스워드를 그대로 사용한 것으로 드러났다.
기존 인증수단의 주요 보안 위협과 기업의 문제점
이처럼 부실한 패스워드 관리와 보안에 취약한 공인인증서 사용은 보안 사고로 이어지고 있다. 본지는 이러한 취약한 인증실태에 주목하고, 차세대 인증 솔루션 기업과의 인터뷰를 통해 기존 인증수단의 보안 취약점과 보안 위협, 그리고 기업의 문제점에 대해 짚어봤다.
피앤피시큐어, “인증수단 탈취·공유, OTP 유실, 크리덴셜 스터핑 등 보안 위협”
첫째, 로그인의 경우 인증수단 탈취 및 공유, OTP 기기 유실, 크리덴셜 스터핑(Credential Stuffing)의 보안 위협이 존재한다. 이는 안면 정보 기반 사용자 인증을 통해 탈취 및 유실을 방지할 수 있다. 또한, 사용자 개입을 최소화하고, 패스워드리스 정책을 준수할 수 있다.
둘째, 업무 시스템 접근의 경우 휴면계정, 이상 행위, 만료 계정 미관리, 정책 설정 오류, 과도한 권한 부여 등과 같은 보안 위협이 존재한다. 따라서 통합 계정관리 및 접근제어를 통해 계정 라이프사이클을 자동 관리하고, 이기종 계정에 대한 정책을 동기화해 관리해야 한다. 또한, 최소한의 권한 설정으로 안전하게 계정을 관리해야 한다.
셋째, 작업수행 시 데이터베이스 관리자인 DBA(Database Administrator), 개발자의 고의·실수 발생 가능성이 있다. 연결 세션을 이용한 단말 조작 및 권한 탈취, 작업 화면 유출 위험이 있다. 때문에 지속적으로 사용자 행위를 검증하고 차단해야 한다. 명령어 단위 권한을 제어하고, 외부자 해킹 시도를 차단, 카메라 촬영 및 훔쳐보기 공격인 숄더서핑어택(Shoulder Surfing Attack) 등 비주얼해킹(Visual Hacking)을 차단해야 한다. 기존 ID·PW 기반 인증 절차는 실제 접속자가 인가자인지 판단할 수 없고 또, 중요·금지 명령어 실행 시 재인증 절차가 마련돼 있지 않아 제3자접속, 기기 조작과 같은 보안 사고가 발생할 수 있다.
옥타코, “대부분 패스워드와 OTP 인증, 타인 도용 및 유출 위험”
기존 인증수단은 대부분 패스워드와 OTP 인증으로 이뤄져 있다. 이러한 인증은 비밀번호를 공유하는 구조로 한쪽이 보안을 잘해도 다른 한쪽이 해킹될 가능성이 있다. 아이디·패스워드 및 OTP는 숫자 또는 코드로 이뤄져 있고, 인증할 때도 코드 등 단일요소만 인증한다. 인증하는 사람이 등록한 사람이라는 전제하에 인증을 진행하기 때문에 타인도용 및 유출 위험이 있다. 패스워드만 알면 누구나 인증이 가능해 관리자의 인증정보가 유출될 경우 막대한 피해가 발생할 수 있다. 2차 인증을 적용했더라도 소셜 엔지니어링(Social Engineering) 등의 방법으로 해킹이 가능해 기업 내부자산이 유출될 위험이 크다.
듀얼오스, “기존 사용자 인증, 서비스 제공자 진짜 or 가짜 확인할 수 없어”
기존 사용자 인증기술은 사용자만 인증하는 기술이다. 즉, 서비스 제공자를 확인할 수 있는 기능이 없다는 뜻이다. 그런 측면에서 사용자는 지금까지 온라인 서비스에 접속할 때 인증값을 입력해 정당한 사용자임을 서비스에 입증해야 했다. 물론 원격지 서버를 확인하는 보조 기술이자 SSL 인증서를 확인하는 기술이 있다.
하지만 대다수 사용자는 웹사이트 접속 시 웹브라우저 내 서버 인증서를 확인하는 자물쇠 아이콘을 클릭하지 않고, 사용자 패스워드만 입력한다. 따라서 사용자는 패스워드, OTP 코드, 인증서, 지문, 홍채 등을 입력할 때 상대방이 정당한 온라인 서비스인지 아닌지 확인하고 사용자 인증값을 제출할 수 있어야 한다.
3세대: FIDO 기술 기반, 국제표준 기술로 인증 ‘새 바람’
3세대 인증은 기존 싱글팩터 인증(SFA, Single Factor Authentication)에서 중요도에 따라 여러 인증수단을 섞어 적용하는 멀티팩터 인증, 위험기반, 지식기반(Password, PIN 코드 등), 소유기반(휴대폰 SMS, 보안카드, OTP, 인증서 등), 신체적특징기반(지문, 얼굴, 홍채 등), 신체적행위기반(수기 서명, 위치·시간·행위 패턴, 키보드 입력 등) 등 사용자의 신원을 정확히 인증하는 형태로 발전하고 있다.
이를 대표하는 기술이 바로 FIDO(Fast Identity Online)다. 비밀번호 대체 기술로 떠오른 FIDO는 여러 인증수단을 하나의 플랫폼에서 사용할 수 있는 통합인증 기술이다. 사용자 생체정보를 인증하는 모바일 중심의 인증 방식인 UAF(Universal Authentication Factor)와 아이디(이메일) + 비밀번호 + 2단계 인증인 U2F(Universal 2nd Factor)로 나뉜다.
FIDO 외에 생체인증기술 국제표준화기구는 ‘ISO/IEC JTC1 SC37’이 있으며, 국내에서는 여기서 제시한 바이오인식시스템 시험 기준을 준용하여 ‘바이오인식시스템 성능 시험인증’을 한국인터넷진흥원(KISA)에서 수행하고 있다.
차세대 인증, 스마트카·메타버스 등 적용 범위·기술 확대
차세대 인증은 스마트 시티, OT 보안, 스마트카 등 기존에 없던 새로운 영역으로 확장되고 있다. 특히, 코로나19로 인한 비대면·재택근무 확산, 디지털 업무 환경의 변화, IoT, 5G, 자율주행 등 기술의 발달, 그리고 제로트러스트와 같이 정책·제도에 따라 ‘인증’의 중요성은 날로 커지고 있다. 발전된 고도의 기술과 최신 기술을 적용한 차세대 인증이 속속 등장하고 있다.
====================================================================
[인터뷰] 한국정보보호학회 차세대인증연구회 최대선 위원장
“차세대 인증, 심리스·IoT·OT·메타버스·우주 분야 등으로 인증 영역 확장”
“현장에서 필요한 기술과 제도, 솔루션 제공자가 서로 잘 동기화돼야”
그렇다면 차세대 인증은 어떤 게 있고, 어떤 기술이 활용될까? 차세대 인증 적용 분야와 트렌드, 그리고 기술 수준 및 발전단계는 어떠한지 한국정보보호학회 차세대인증연구회 최대선 위원장에게 들어봤다.
안녕하세요. 차세대인증연구회에 대한 소개 부탁드립니다
한국정보보호학회 차세대인증연구회는 인증, Identity 분야의 학계, 솔루션 공급회사, 관련 정책 당국, 금융기관 등 수요자가 한자리에 모여 새로운 지식, 기술, 솔루션, 요구사항을 소통 및 교류하고, 이슈를 논의하는 장입니다. 주요 관심 분야는 생체·행위 인증, 무자각 인증, 양자 인증 등 다양한 인증 요소(Primitives)와 DID(Decentralized Identifier), NFT(Non-Fungible Token), Assertion(인증 확인서), 전자지갑을 포함한 인증 플랫폼, 금융, 전자서명, IoT, 우주 사이버 환경, 자동차와 같은 다양한 인증 적용 분야에서 기술, 정책, 제도를 다루고 있습니다.
각 단계별 인증 발전 소개와 차새대 인증의 의미 및 기준에 대해 설명 바랍니다
1세대인 패스워드는 대소문자, 숫자, 특수문자 등을 혼합해 사용하며 진화했지만, 보안성이 효과적인지에 대한 연구가 많이 나오고 있습니다. 2세대는 암호학적 안전성에 기반을 둔 PKI, 생체인증, OTP 등입니다. 3세대에는 인증수단을 중요도에 따라 섞어 사용하는 멀티팩터 인증, 위험기반인증 개념이 등장했습니다.
대표 기술로는 FIDO가 있는데요. 차세대 인증은 온·오프라인 심리스(Seamless) 인증, IoT, OT, 메타버스, 우주로까지 확장되고 있어요. 인증 대상도 사람, 서비스를 넘어 IoT 기기, 로봇, 모빌리티 등으로 확대되고 있습니다. 또한, 제로트러스트와 같이 인증의 중요도가 강조되는 환경의 변화도 고려되고 있습니다.
차세대 인증 트렌드와 인증기술 및 적용 분야는 어떻게 되나요?
온라인 서비스의 인증 트렌드는 통합인증 플랫폼인 FIDO 기술의 확산입니다. FIDO는 패스워드 없는 인증으로 밀고 있는 기술인데요. 작년부터 ‘패스키(Passkey)’라는 브랜드 이름으로 도입이 확대되어 아마존, 이베이, 페이팔 등에서 채택하고 있습니다.
또 다른 트렌드는 아이덴티티(Identity) 관리와 인증의 통합입니다. EU의 인증 제도인 e-IDAS에선 Digital Identity Wallet(디지털 신원 지갑)이라는 개념으로 인증수단과 개인정보를 모두 담는 지갑을 제시하고 있고, 국내는 DID 기술에 기반을 둔 모바일 운전면허증과 같은 전자신분증이 온라인 인증 분야로의 확대를 모색하고 있습니다.
최근 문제가 되고 있는 주요 인증 보안 위협은 무엇인가요?
첫째, 비대면 계좌 개설을 위한 본인확인 과정에서 보안 사고가 발생하고 있습니다. 습득한 신분증이나 신분증 위조 등을 통해 알뜰폰을 개통하고, 이를 이용해 핸드폰 본인확인을 통과한 다음 계좌를 개설해 도용하는 사례가 큰 문제가 되고 있습니다.
둘째, 다른 서비스에서 유출된 이용자 인증정보(예: ID와 패스워드)를 다른 서비스에 도용하는 크리덴셜 스터핑도 큰 이슈입니다.
셋째, 생체인증, 행위인증 등은 AI 기술을 근간으로 하고 있는데 AI 자체를 속이는 보안 공격도 등장하고 있습니다. 공격 성공률이 높아 향후에는 이러한 공격이 주요한 위협이 될 것입니다.
차세대 인증 업계의 애로사항은 무엇이며, 어떤 협업을 하고 있나요?
업계 애로사항은 첫째, 보급에 관한 것과 둘째, 디테일한 규제입니다. 보급을 위해선 보안을 강화한 인증수단을 도입해야 하는 규제가 필요합니다. 반면, 인증수단은 구체적으로 어떠해야 한다며 지나치게 규제한다면 되려 차세대 인증 보급 및 발전에 발목을 잡을 수 있습니다. 이런 점에서 연구회는 새로운 요구사항과 신기술, 새로운 적용대상 등에 대해 정보를 교류하고, 논의함으로써 현장에서 필요한 기술과 제도, 솔루션 제공자가 서로 잘 동기화될 수 있도록 지원하고 있습니다.
====================================================================
차세대 인증 솔루션에 적용되는 핵심 기술
보안업계도 앞다퉈 차세대 인증 솔루션에 국제표준 기술과 최신 기술을 적용해 보안을 강화하고 있다.
피앤피시큐어, 사용자 안면 정보 실시간 탐지·분석하는 무자각 지속 인증 기술 적용
피앤피시큐어는 ‘무자각 지속 인증(Implicit Continuous Authentication)’ 기술을 FaceLocker(페이스락커) 솔루션에 적용해 시장에서 활약하고 있다. 페이스락커는 사용자 안면 정보를 실시간으로 탐지·분석하여 인증을 수행한다. 번거로운 인증 절차 없이 사용자가 화면을 바라보는 것만으로 실제 인가자인지 지속 검증이 가능한 게 특징이다.
핵심 기술은 △이미지 정규화 △안티스푸핑(Anti-Spoofing) △객체탐지 △이상행위 탐지 △원패스키(One Pass Key) △암호화로 보안을 강화하고 있다.
시큐브, 사용자 서명의 특정 정보로 서명자 인증 기술 적용
시큐브는 사용자의 서명 행위 과정의 특정 정보를 인식하여 사용자를 인증하는 기술로 SecuSign(시큐사인) 솔루션에 적용했다. 시큐사인은 사용자의 모바일 단말기에 손가락 또는 터치펜으로 서명하는 방식으로 ActiveX나 Toolkit 설치가 필요 없고, 터치스크린 외 다른 부가적인 장치도 필요 없다.
서명자가 직접 서명을 입력할 때, 서명 입력 과정에서 ‘실시간 라이브니스 탐지’를 통해 서명의 복제나 도용을 방지할 수 있는 게 특징이다. 서명 행위의 특징을 추적 분석하기 때문에 서명 이상 행위 분석 및 탐지가 가능하고, 서명자의 서명에 대한 부인방지가 가능하다.
옥타코, FIDO2 인증받은 MFA와 지문보안키에 제로트러스트 글로벌 표준기술 적용
옥타코는 제로트러스트 보안을 위해 설계된 차세대 패스워드리스 인증 기술을 옥타코 MFA 솔루션에 적용했다. FIDO 기술 기반으로 OTP, 사용자 디바이스, 벤더 ID, 통신채널, 암호화키, 웹 세션, 전자서명, IP 주소 등 사용자 인증의 다양한 요소를 확인해 중간자 공격에 취약한 패스워드와 OTP인증의 위험을 방지한다.
플랫폼형 설계로 FIDO2 기반의 암호화 기술, 생체인증, 제로트러스트 기반의 접근 권한 관리 등 글로벌 기술을 적용하고 있다. 또한, 글로벌 표준 WebAuthn API로 1일 만에 구축 가능하며, 새롭게 변화되는 인증체계 규제를 충족한다.
듀얼오스, ITU-T에서 X.1280 표준으로 사전 채택된 자동패스워드 기술 적용
듀얼오스는 차세대 인증 솔루션인 오토패스워드(AutoPassword)에 자동패스워드 기술을 적용했다. 자동패스워드 기술은 온라인 서비스가 패스워드 입력창에 일회용 자동패스워드를 먼저 제시하면, 사용자는 모바일 앱에서 생성된 패스워드가 온라인 서비스에서 제공한 패스워드와 일치하는지 확인하여 승인하는 것을 말한다.
이 기술은 국내 및 국제표준화 기구에서도 그 기술력을 인정받아 국제전기통신연합 전기통신 표준화 부문(ITU-T)에서 X.1280 표준으로 사전 채택됐다. 자동패스워드 기술이 ITU-T에서 최종 X.1280으로 채택되면 자동패스워드는 전 세계 패스워드리스의 대안으로 떠오를 것으로 기대하고 있다.
차세대 인증 솔루션의 발전과 시장 성장을 위해 개선돼야 할 점
그렇다고 차세대 인증이 만능이라는 것은 아니다. 차세대 인증 역시 계속 발전 중이라 기술의 한계점, 호환성, 보안 위협 등을 기술적·기능적으로 보완해야 한다. 정책·제도적으로도 다양한 생체인증 방식에 대한 검증과 표준 규격, 연동 방식 등 아직 풀어야 할 과제가 적지 않다. 그럼에도 불구하고 차세대 인증이 중요한 이유는 고도화되는 보안 위협에 피해를 최소화하고, 서비스 제공자와 사용자의 안전성을 높여주는 방안이기 때문이다.
========================================================================
▲피앤피시큐어의 안면정보 기반 실시간 사용자 인증 보안 솔루션 FaceLocker
[차세대 인증 대표 솔루션 집중분석-1]
피앤피시큐어, 무자각 지속 인증 기술로 편의성 갖춘 제로트러스트 환경 제공
실시간 안면정보 기반 사용자 검증… 업무 수행 중인 사용자 개입 불필요
국내외적으로 보안 위협이 증가하며 제로트러스트 보안 모델이 주목받고 있다. ‘절대 신뢰하지 말고, 항상 검증할 것’이라는 제로트러스트 기본 원칙에 따라 강력하고 지속적인 사용자 인증 체계 확립에 대한 수요가 증가하고 있다.
통합 접근제어 전문 기업 피앤피시큐어는 통합 접근제어 및 계정관리(Unified-IAM) 솔루션에 실시간 안면인식 보안 솔루션인 FaceLocker(페이스락커)를 접목해 보안성과 사용자 편의성을 모두 만족하는 차세대 제로트러스트 보안 모델을 제시한다.
안면정보 기반 실시간 사용자 인증 보안 솔루션 FaceLocker
FaceLocker(페이스락커)는 비전 AI 기술을 활용해 실시간으로 사용자의 안면정보를 탐지하여 지속적인 사용자 검증을 수행한다. 제로트러스트 모델에서 검증은 최초 한 번만 진행되는 것이 아닌, ‘지속적 검증’이 핵심이다. 하지만 이는 사용자의 불편과 생산성의 저하 문제를 수반할 수 있다.
피앤피시큐어는 본인인증 수단으로 생체정보 중 안면정보를 채택, 사용자가 웹캠이 장착된 업무 화면을 바라보는 것만으로 기기를 조작하는 사람이 실제 인가자인지를 지속적으로 검증할 수 있도록 했다. 인증 과정에서 별도의 사용자 행위 없이 사용자를 검증하는 ‘무자각 지속 인증’ 체계를 구축해 사용자 편의성을 확보한 사례다.
비대면·재택근무 및 클라우드 환경의 확산 등 디지털 환경에서 기업 보안의 또 다른 문제점은 사용자의 근무 환경을 신뢰할 수 없다는 것이다. 특히, 휴식 공간과 업무 공간이 혼재된 환경에서 근무자 개인의 노력만으로는 사무실과 동일한 수준의 보안을 유지할 수 없다. 페이스락커는 실시간으로 입력되는 영상 속에서 사용자의 부재 상황이나 제3자의 접근, 카메라 촬영 행위 등 이상 상황 탐지 시 업무 화면을 차단하는 기능을 통해 비대면·재택 근무 상황에서의 보안 위협을 원천 봉쇄한다.
DBSAFER DB·AM에 안면인증 모듈 적용해 제로트러스트 모델 실현
피앤피시큐어는 나아가 자사의 DB 및 시스템 접근제어 제품 디비세이퍼 DB(DBSAFER DB), 디비세이퍼 AM(DBSAFER AM)에 안면인증 모듈을 결합한 제로트러스트 접근제어 모델을 제시한다.
디비세이퍼 DB·AM은 온프레미스와 클라우드 환경 등 환경의 제약 없이 시스템, 네트워크, 데이터베이스에 대한 계정별 접근 및 업무 수행 권한 통제를 지원한다. 페이스락커의 안면인증 모듈을 적용해 리소스 접근 시점뿐만 아니라 업무 수행 단계별로 사용자를 지속적으로 검증하는 것은 제로트러스트의 ‘지속적 검증’에 부합한다.
▲피앤피시큐어 제로트러스트(Zero Trust)[이미지=피앤피시큐어 제공]
ISMS-P 인증 기준에서는 사용자 간 계정 공유를 엄격히 금하고 있다. 그러나 기존의 ID·PW는 내부자 간 계정 정보 공유가 가능해 실제 접속자가 인가자인지를 판단할 수 없다. 또한, 중요·금지 명령어 실행 시 재인증 절차가 마련돼 있지 않아 최초 인증 이후 제3자의 접속 및 기기 조작에 의한 보안 사고가 발생할 수 있다.
피앤피시큐어의 제로트러스트 접근제어 모델은 고유한 안면정보를 통해 계정 정보나 OTP 장치가 아닌, 실제 인가자에게 권한을 부여하고 동일 인가자 여부를 지속적으로 검증함으로써 기존 인증 절차의 한계를 극복했다.
제로트러스트의 핵심은 감시·통제 아닌 ‘보안·보호’
기업이 제로트러스트 모델을 도입하는 과정에서 보안을 강화하고자 하는 행동 지침이 근무자에 대한 감시나 통제를 강화하는 것은 아닌지 의심받는 부분도 있다. 모든 사용자는 기업의 보안 지침에 따라 주어진 업무를 수행하는 과정에서 권한 내 행위를 하는 것은 당연히 허용되고, 업무 수행 과정에서 불편함이나 장애 또한 없어야 한다.
피앤피시큐어의 페이스락커는 사용자 안면정보 탐지를 위해 카메라를 상시 사용하고 있다. 이러한 상시적인 카메라 사용이 비대면·재택근무에 필수적인 화상 스트리밍에 영향을 줄 수 있다. 페이스락커는 자체 기술을 활용해 화상 스트리밍과 인증을 위한 스트리밍 정보를 구분해 근무 상황에 맞춰 원활한 업무 처리가 가능하다.
또한, 보안 사고가 발생한 것으로 의심되는 경우, 해당 시점의 장면을 보관하기 때문에 추후 내부 직원이 본인을 보호하는 수단으로 활용할 수도 있다. 필수적인 보안 요구사항을 만족시키는 것과 동시에 비대면·재택 근무를 위한 업무 편의성을 확보한 사례라고 할 수 있다.
국내 금융권 중심으로 대형 프로젝트 연달아 수주하며 사업성 증명
피앤피시큐어의 페이스락커는 지난해 대형 은행의 안면인증 프로세스 구축 사업을 수주한 이후 안정화 작업을 진행하고 있다. 해당 프로젝트는 국내 안면인증 솔루션 도입 사업 중 최대 규모로 파악된다. 대규모 사용자 수용력과 금융권의 다양한 은행 내 시스템 연동 등 제품의 안정성이 검증된 셈이다.
피앤피시큐어 김신웅 페이스락커본부 개발팀장은 “은행 외에도 대형 증권사의 안면인증 솔루션 도입 프로젝트를 수주했다. 최초 도입 검토 당시에는 고객사에서 인증 기능에 중점을 뒀으나, 제품 시연 후 기능과 성능을 인정받아 내부정보 유출 방지 기능을 추가 구축했다. 제로트러스트 모델의 중요성이 재조명되고 있는 만큼, 정보유출 보안 체계를 강화하기 위해 힘쓸 예정이다. 현재 제조업을 비롯해 다양한 분야의 국내 다수 대기업이 도입을 검토 중”이라고 전했다.
▲SecuSign(시큐사인)의 수기서명 동적 분석 메커니즘[이미지=시큐브 제공]
[차세대 인증 대표 솔루션 집중분석-2]
시큐브, 생체수기서명 인증기술 SecuSign(시큐사인) 개발
시큐사인, 행위특징 기반 생체인증 기술로 신원 확인
SecuSign(시큐사인)은 사용자의 서명행위 과정의 특징정보를 인식하여 서명자를 인증하는 기술로, 기존 서명 결과 이미지를 비교하는 방식을 넘어선 최첨단 인증 기술이다.
사용자의 모바일 단말기에 손가락 또는 터치펜으로 서명을 하는 방식으로 ActiveX나 Toolkit 설치를 필요로하지 않고, 터치스크린 외 다른 부가적인 장치가 필요하지 않아 기존 모바일 단말기 대부분이 지원 가능할 정도로 활용성이 높다.
또한, 서명정보의 변경이 가능하기 때문에 생체정보를 저장하여 활용하는 인증방식에 비해, 만일에 있을 수 있는 유출사고에 상대적으로 안전하다. 이와 관련된 특허 등록은 국내특허 12건, 미국특허 6건, 일본특허 9건, 유럽특허 4건에 달한다.
안전하고 편리하게 다양한 응용 환경에 적용 가능
SecuSign(시큐사인)은 서명자가 직접 동적으로 서명을 입력해야 하므로, 서명 입력 과정에서 ‘실시간 라이브니스 탐지’를 통해 서명의 복제나 도용을 방지할 수 있다. 서명 행위 특징을 추적 분석하므로 서명 이상 행위 분석 및 탐지가 가능하고, 서명자의 서명에 대한 부인방지가 가능하다.
▲생체수기서명 인증기술 SecuSign(시큐사인)[이미지=시큐브 제공]
또한, 기본적인 터치스크린 외 다른 부가적인 HW 장치가 불필요하므로 사용 편의성이 높으며, 안드로이드, iOS, 모바일웹(Chrome, Edge, Safari, Firefox, Opera) 등 다양한 응용환경을 지원하기 때문에 인터넷 환경 모든 분야에 적용 가능하다.
다양한 형태의 서명 세그먼트 분할방식에 기반한 동적인 행위 특징 추출 및 분석
딥러닝(Deep Learning) 기반의 생체수기서명 분석 기법 적용
SecuSign(시큐사인)은 전체 서명을 서명 세그먼트 단위로 식별하고 서명 전체 및 세그먼트 단위의 행위 특징을 분석한다. 또한, 이러한 세그먼트 간의 행위 특징 및 상관관계를 분석하여 일치도 판단의 정확성을 높인다. 뿐만 아니라 앞서 설명한 전체 서명, 세그먼트 단위, 세그먼트 간 상관관계 분석을 통해 추출된 특징정보를 기반으로 학습된 딥러닝(Deep Learning) 분석 모듈도 탑재하여, 동적 서명의 일치도 분석의 정확도를 한층 더 높였다.
생체수기서명과 얼굴인식을 동시에 적용한 멀티모달 생체인증 지원
SecuSign(시큐사인)은 사용자가 서명을 하는 동안에 얼굴 이미지와 동작을 지속적으로 인식하여 얼굴인식과 수기서명 인증을 병행하는 방식으로 멀티모달(Multi-Modal) 생체인증을 수행한다. 이러한 멀티모달 인증 방식을 통해 생체인증의 정확도 및 성능을 고도화하고, 보안성을 강화하여 더욱 강력한 신원 도용 방지가 가능하다.
전자거래·계약, 전자문서 등 서명이 적용될 수 있는 모든 분야 적용 가능한 기술
SecuSign(시큐사인)은 전자거래에서 본인의 신원을 증명하는 영역뿐 아니라 오프라인상에서 은행에서 통장을 개설할 때나 계약 등 문서에 서명해온 모든 영역에서 활용할 수 있다. 이미 행정안전부와 지자체에서는 본인서명사실 확인제를 실시해 서명도 인감과 동일한 효력을 갖도록 제공하고 있고, 전자신분증 시대도 도래하고 있기 때문에 SecuSign(시큐사인)의 적용 분야는 무궁무진하다고 볼 수 있다.
▲Passwordless 인증 옥타코 MFA[이미지=옥타코 제공]
[차세대 인증 대표 솔루션 집중분석-3]
옥타코 MFA, 보안성과 편리성 높인 다중인증 ‘끝판왕’
제로트러스트 보안을 위해 설계된 패스워드리스 멀티팩터 인증 플랫폼 서비스로 ‘디지털 자산 보호’
데이터 유출 원인 80%는 취약한 패스워드와 OTP 해킹이다. 사용자는 피싱, 중간자 공격 등으로 계정을 탈취당하여, 자산 탈취 등 피해가 발생한다.
옥타코 MFA, 다양한 요소 확인으로 ‘디지털 자산 보호’
FIDO 기반 패스워드리스 멀티팩터 인증 플랫폼 서비스 옥타코 MFA(옥타코 멀티팩터인증, OCTATCO MFA)는 사용자 인증의 다양한 요소를 확인해 중간자 공격에 취약한 OTP 인증의 위험을 방지한다. 사용자가 이용 서비스 접속 시 △OTP △사용자 디바이스 △벤더 ID △통신채널 △암호화키 △웹세션 △전자서명 △IP주소 등을 확인하고, 모든 요소가 일치해야만 이용 서비스 접속이 가능해 해킹·피싱 위험을 예방할 수 있다.
특히, ID·PW없이 지문 보안키 또는 스마트폰 지문, 얼굴 인식으로 모든 시스템에 로그인이 가능하고, SSO에 스마트폰 지문 or PC 탑재지문, 보안키 등으로 단 1번 로그인 후 사용할 수 있어 편리하다.
옥타코 MFA, 안전성·편리성·생산성 높여주는 ‘팔방미인’
옥타코 MFA의 특징은 첫째, 제로트러스트 기반의 패스워드 없는 인증을 제공한다. 패스워드를 외우거나 변경 없이 터치 한 번으로 간단하고 편리하게 인증 서비스를 이용할 수 있다. 둘째, 지문·얼굴·모바일 인증 등 다양한 인증수단 제공으로 사용하기 편한 인증을 사용자가 선택해 편리하게 이용할 할 수 있다. 셋째, 패스워드보다 10배, OTP보다 5배 더 빨라 시간을 절약할 수 있어 업무 생산성을 높일 수 있다. 이 외에도 글로벌 표준기술인 WebAuthn API를 제공, 어떠한 OS 및 브라우저 버전도 손쉽고 빠르게 연동이 가능하다.
패스워드 인증 문제 95% 감소, 생산성 약 20% 향상
옥타코 MFA 인증 솔루션 적용 분야는 △윈도우, Mac PC 로그인 △회사 업무 네트워크 시스템 인증(그룹웨어, ERP, CRM 등) △재택근무 인증 △클라우드 SaaS 인증 △대고객 인증 △금융권 인증 △특수 권한 인증 등 다양하게 적용할 수 있다.
옥타코 MFA는 국제표준 기술이 탑재되어 있어 OS 및 브라우저 버전별 추가적인 연동 개발이 필요없다. 모든 시스템 및 애플리케이션 구간에 생체인식 기술을 활용한 Passwordless 인증 적용으로 패스워드 인증 문제 95% 감소, 사용자 UX의 획기적인 개선으로 생산성을 약 20% 향상시킬 수 있고, 강력한 개인정보보호로 규제충족 및 경영평가 가점 획득까지 가능하다.
스마트 지문 보안키 이지핑거 시리즈, 1초면 가능한 사용자 검증
옥타코의 스마트 지문 보안키(EzQuant, EzFinger C, EzFinger2+, EzFinger2 Desktop)는 다중 프로토콜을 지원한다. FIDO 기술과 Windows Hello 기술을 지원하여 온프레미스부터 클라우드 SaaS 서비스까지 번거로운 설치 없이 간단한 지문 터치 한 번으로 다양한 서비스에서 이용이 가능하다.
사용자의 정보는 옥타코 지문 보안키 내부 안전 영역에 저장되어 NIST 기준 인증 레벨 3을 충족하는 가장 높은 보안 수준을 제공한다. 높은 수준의 보안이 필요한 만큼 사용자의 모바일 인증이 불가한 국가 공공 금융 망분리 보안 환경에서 안전하고 편리하게 적용·이용이 가능하다.
[로고=듀얼오스]
[차세대 인증 대표 솔루션 집중분석-4]
듀얼오스, 국제표준으로 사전 채택된 패스워드리스 기술인 ‘자동패스워드’ 개발
서비스 확인 후 사용자를 인증하는 대역외 상호인증 생체인증 기술 구현
대부분의 사이버 공격은 패스워드 탈취에서 시작된다. 공격자가 가짜 웹사이트를 만들어 사용자 접속을 유도하여 사용자가 입력한 패스워드나 OTP 코드를 탈취하거나, 클릭을 유도하는 이메일, 메시지를 보내 사용자가 클릭 시 PC에 멀웨어를 설치한다. 그렇게 되면 사용자는 어떤 사이트에 접속하든지 입력한 계정 정보가 탈취된다. 때문에 사용자가 패스워드를 입력하지 않고 온라인 서비스를 사용할 수 있는 패스워드리스 인증 기술이 제로트러스트 구축에 꼭 필요하다.
기존 패스워드리스 기술의 한계점
패스워드리스란 패스워드를 사용하지 않고, 사용자를 검증, 서비스에 접근을 허용하는 방법을 말한다. 하지만 기존의 패스워드리스 기술은 보안적, 비용적, 사용상의 한계가 있다.
1. 사용자만 인증하는 기존 생체인증 기술, 모든 단말기에 생체인증센서 설치해야 가능
스마트폰에는 지문인증기, 안면인증기가 장착되어 있는 반면, 정작 대부분의 업무용 PC에는 지문인식기나 안면인증을 위한 센서가 부착되어 있지 않다. 생체인증 기술을 사용하기 위해서는 생체값을 인식할 수 있는 지문인증기나 카메라 등이 장착돼야 한다.
하지만 기존 PC에 지문인식기나 카메라를 추가로 설치하기에는 비용이 발생한다. 결국 어떤 단말기에는 생체인증 센서가 있어 생체인증을 하고 어떤 단말기에는 생체인증 센서가 없어 패스워드를 사용해야 한다면 서비스 제공자는 패스워드를 반드시 지원해야 한다. 또, 기존 생체인증 기술은 지문인식기나 카메라가 부착된 단말기 내에서만 유효하다. 생체인증 센서가 부착된 단말기가 다른 단말기의 인증기로 사용될 수 없는 한계가 있다.
2. 사용자만 인증하는 모바일 사용자 인증기술은 가짜사이트 공격에 취약
생체인증센서의 단말종속성을 극복하고자 스마트폰 기반의 모바일 사용자 인증기술이 대중화되어 있다. 모바일 사용자 인증 기술은 온라인 서비스를 사용하다가 사용자 인증이 필요할 때 모바일 푸시 메시지가 스마트폰에 들어오고 사용자가 이를 승인하거나, 표출된 QR코드를 스마트폰으로 스캔하여 승인하는 방식이다. 기존 모바일 사용자 인증 기술은 사용자가 정당한 사용자 인증기를 소지하고 있는지를 확인하는 방식으로 사용자만 인증하는 기술이다.
문제는 모바일 사용자 인증기 사용이 진짜 서비스에 연결되어 인증한 것인지 가짜 서비스에 연결되어 인증한 것인지 확인하지 않은 채, 스마트폰에 인증 요청이 도착하면 접속 승인을 하거나, 공격자가 화면에 제시한 QR코드를 스마트폰으로 스캔하여 사용자 인증을 진행한다는 것이다. 아무리 보안성이 뛰어난 사용자 인증기가 스마트폰에서 작동하더라도 해당 인증요청이 정당한 서비스 제공자에 의해서 시작된 것인지 공격자에 의해 시작된 것인지 확인할 수 없는 상태에서 모바일로 사용자 인증을 승인한다면, 내가 어떤 서류에 도장을 찍는지 확인하지 않고 도장을 찍어주는 것과 같다.
듀얼오스, 상호인증 기반 단말독립적인 생체인증기술 개발
주식회사 이스톰에서 분사한 듀얼오스는 기존 패스워드리스 기술의 한계점을 해결한 자동패스워드를 개발하여 제로트러스트나 패스워드리스 환경을 구축하려는 공공기관, 은행, 증권사 등에 공급하고 있다.
듀얼오스가 개발한 자동패스워드 기술은 사용자가 온라인 시스템에 패스워드를 입력하는 게 아니라 온라인 서비스가 패스워드 입력창에 일회용 자동패스워드를 먼저 제시한다. 사용자는 온라인 서비스가 제시한 일회용 자동패스워드가 정확한지를 확인하기 위해 모바일 앱에서도 OTP를 생성하여 두 값이 일치하면 모바일 앱에서 접속을 승인한다.
지금까지 사용자는 온라인 서비스에 접속할 때 인증값을 입력하여 정당한 사용자 임을 서비스에게 입증해야만 했다. 사용자는 패스워드, OTP코드, 인증서, 지문, 홍채 등을 입력할 때 상대방이 정당한 온라인 서비스인지 아닌지를 확인하고 사용자 인증값을 제출했어야 했다. 그런데 기존 사용자 인증기술은 사용자만 인증하는 기술일 뿐 서비스 제공자를 확인할 수 있는 기능이 없었다. 원격지 서버를 확인하는 보조 기술인 SSL 인증서를 확인하는 기술이 있지만 사용자 대부분은 웹사이트 접속 시 마다 웹브라우저 내 자물쇠 아이콘을 클릭하여 연결된 서비스의 서버 인증서를 확인하지 않고 사용자 패스워드만 입력하고 있다.
그에 반해 자동패스워드는 사용자가 명시적으로 서비스 제공자를 확인할 수 있으면서도 사용자가 스마트폰으로 자동패스워드를 승인할 때, 스마트폰에서 사용자의 생체정보를 확인하는 생체인증 기술이다. 기존의 생체인증 기술은 사용자만을 인증하는 기술이기 때문에 단말기마다 생체인증 센서를 부착했어야했다. 하지만 자동패스워드는 서비스 제공자를 스마트폰에서 확인한 후 생체인증 결과값을 해당 서비스 제공자에게 전송하기 때문에 생체인증 센서가 부착되지 않은 PC에서도 스마트폰을 이용한 단말 독립적인 생체인증이 가능하다.
자동패스워드는 사용자가 인증값을 서비스에 제출하고 서비스가 이를 검증하여 접속을 승인하는 게 아니라 서비스가 먼저 자동패스워드를 제출해 사용자가 자동패스워드를 검증하여 승인하는 것이다. 이는 피싱, 파밍, 중간자 공격 등과 같은 전통적인 사이버 공격 방식에 노출되지 않는 강점이 있다.
자동패스워드 기술, ITU-T 국제표준 X.1280 사전채택
자동패스워드 기술은 국내 및 국제표준화 기구에서도 그 기술력을 인정받아 국제전기통신연합 전기통신 표준화 부문(ITU-T)에서 X.1280 표준으로 사전 채택됐다. 자동패스워드 기술이 ITU-T에서 최종 X.1280으로 채택되면 자동패스워드 기술이 전세계 패스워드리스의 대안으로 떠오를 것으로 기대하고 있다.
자동패스워드 X.1280, 조달 혁신제품으로 지정
자동패스워드는 혁신성을 인정받아 2021년 12월 14일 중소벤처기업부로부터 조달 혁신제품으로 지정받았다. 자동패스워드 기술은 뛰어난 보안성뿐만 아니라 사용자가 패스워드를 외우거나, 변경, 입력할 필요가 없어 매우 편리하다. 특히, 자동패스워드는 생체인증센서가 장착되지 않은 PC, 태블릿, 클라우드 서비스 등에 단말 독립적인 생체인증기로 작동할 수 있어 매력적이다.
듀얼오스 우종현 대표는 “모두가 패스워드리스를 이야기 하지만 보안성, 편리성, 경제성을 동시에 충족시킬 수 있는 자동패스워드 기술이 차세대 패스워드리스 기술”이라며 “사람들이 하루빨리 패스워드 관리부담에서 해방되었으면 좋겠다”고 전했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>