아이디와 패스워드만 믿고 있을 수 없는 현실
OTP 등 2차 인증수단 적극 검토해야 


[보안뉴스= 지승용 미래테크놀로지 이사] 기업의 보안에 대한 관심은 나날이 높아져 가고 있다. 이를 위한 다양하고 새로운 보안 솔루션이 출시되고 있으며, 보안 시스템들도 한층 업그레이드되고 있다.
 


 
네트워크 레벨에서의 외부 침입을 탐지하고 차단하는 제품으로부터 엔드포인트 단의 바이러스나 악성코드 탐지 및 치료 제품부터 각종 콘텐츠의 외부유출탐지 및 차단, 그리고 방화벽 내부에서조차 인가된 사용자 외에는 접근을 차단하는 제품에 이르기까지 각각의 보안 솔루션은 전산 시스템을 보유하고 있는 회사라면 반드시 갖추어야 할 솔루션이 되었다.

사용자와 관리자 본인임을 입증하는 방법은 무엇이 있을까? 인터넷이 태동하면서 각 개인을 구별하는 최초의 방법은 바로 아이디(ID)와 패스워드(Password)를 사용하는 본인인증 방법이었다. 당연히 당시에는 패스워드란 본인만이 알고 있는 것으로 널리 인식되었으나 시간이 지남에 따라 아이디나 패스워드는 인증서버의 해킹을 통해 유출 가능성이 있는 것으로 판명됐다. 이에 대응하기 위해 방화벽이나 침입탐지 솔루션으로 인증서버의 침입을 보호하고 아이디, 패스워드 정보는 암호화 하는 방법으로 보호하게 되었다. 또한, 네트워크에서의 패킷정보 역시 암호화 되어 절대 유출될 수 없는 정보로 인식되어 왔다.

아이디와 패스워드의 빈번한 유출
그러나 최근의 게임사이트나 포털사이트의 아이디, 패스워드 해킹이 빈번하게 발생되고 있으며 심한 경우에는 공인인증서마저 탈취되는 사고도 일어나고 있다. 기업의 경우에도, 과거와 달리 외부에서의 접속이 빈번해지고 있으며 보호되지 않는 외부의 컴퓨터를 통한 접속 시 아이디, 패스워드가 유출되는 사고도 자주 발생하는데, 최근에는 방화벽 내부에 위치한 보안성이 높은 PC를 통한 아이디 패스워드 유출사고도 빈번하다. 문제는 관리자 계정이 해킹되어 외부로 유출됨으로써 과거 몇 대의 PC 혹은 몇몇의 사용자 계정 유출과는 규모가 다른 대규모의 해킹사고로 이어진다는 점이다.

문제는 이러한 아이디나 패스워드의 유출이 특별한 기술을 가진 해커에 의해 일어나는 것이 아니라 누구나 마음만 먹으면 쉽게 할 수 있는 낮은 기술의 해킹 기법이라는 점이다. 특히 외부접속이 많은 기업의 경우 더 쉽게 위험에 노출될 수 있으며, 보안등급이 아주 높은 기업이나 기관에서도 관리자 계정이 탈취되는 사고가 발생한다.

추가적인 2차 인증수단의 강구
이러한 사고에 대비하여 많은 기업들이 패스워드의 자리수를 늘리고 특수문자와 대문자를 반드시 포함하게 하는 등 좀 더 복잡한 패스워드 및 패스워드의 정기적인 변경 등의 방법으로 대처했으나, 패스워드 분실 등 부작용 사례만 늘어나게 되었고, 이에 따라 아이디 패스워드 이외의 추가적인 2차 인증수단(Two Factor Authentication)을 강구하게 됐다.

2차 인증수단으로는 OTP(One Time Password), 공인인증서, 바이오인식, 스마트카드 등이 있다. 공인인증서 방식은 공인인증서를 활용하여 추가적인 인증을 하는 방식인데 국내에서만 사용되는 공인인증수단으로서 각 개인키를 암호화해서 개인이 소지하는 방식을 활용한다. 문제는 이 개인키를 HSM(Hardware Security Module)에 저장하지 않으면 유출 가능성이 있고, 웹 화면에서만 동작하기 때문에 다양한 시스템에 적용하기에는 불편한 점이 많다는 것이다.

바이오인식이나 스마트카드 방식의 경우에는 정보를 인식하는 단말장치를 통해서만 인증이 가능한데, 모바일 환경이나 데스크탑 가상화 환경 혹은 외부 접속시 사용자가 단말을 휴대하는데 지장이 있으며 각 단말기의 가격이 비싸다는 단점이 있다.

2차 인증수단의 다크호스, 일회용비밀번호 발생기(OTP)
이러한 환경에서 최근 각광 받는 2차 인증수단이 바로 OTP(One Time Password)다. OTP 시스템은 사용이 가장 쉽고, 강력한 보안성을 제공해 줄 뿐만 아니라 표준인증 프로토콜을 사용하기 때문에 다양한 환경에 별도의 커스터마이징 작업을 최소화하면서 쉽게 적용이 가능하다.

예를 들면 웹 화면 접속뿐만 아니라 SSL-VPN 장비, 네트워크 장비의 관리자 계정, Vmware나 Citrix의 데스트탑 가상화 환경에 적용이 가능하다. 나아가 Telnet, SSH, Ftp 등의 접속시에도 기존의 계정정보(ID, Password)외 추가적으로 OTP 번호를 입력해야만 접속이 가능하도록 할 수도 있다. OTP 솔루션의 클라이언트인 일회용 비밀번호 발생기도 다양한 제품이 있어 사용자가 사용의 편리성과 보안성 그리고 휴대성을 고려하여 선택이 가능하다.

계정 탈취 사고에 대응하는 기업의 대응
APT 공격을 비롯한 최근의 공격유형은 많은 경우 관리자나 사용자의 계정 탈취를 동반하는 경우가 많다. 이러한 추세에 대응하기 위해서는 전반적인 보안 시스템을 다시 점검·보완하면서 사용자의 비밀번호를 보호할 수 있는 정책이 반드시 수립되어야 한다. 2차인증 수단으로의 OTP도 적극 검토할 수 있는 정책 가운데 하나다.  
[글_지승용 미래테크놀로지 이사(syji@mirae-tech.co.kr)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>