[2018년 09월 26일] - 우리는 은행과 기업, 공공기관에 이르기까지 수많은 보안위협에 시달려 왔다. 이미 공공재나 다름없다고 평가되는 개인의 ID와 패스워드를 가지고 무엇을 하겠냐는 의견도 분분하다. 하지만 아이부터 어른까지 스마트폰이 필수가 된 지금, 스마트폰을 적극 활용한 보안인증이 업계의 화두가 됐다. 이른바 ‘생체인증기술’을 활용한 멀티 팩터 인증이 활성화돼야 한다는 것이 업계의 설명이다.
비밀번호보다는 바이오 인증, 파이도 인증 취득은 ‘필수’
최근 보안업계에서는 바이오 인증 체계가 본격적으로 도입되기 시작하면서 ‘파이도(FIDO) 인증’을 받은 솔루션들을 출시하거나, 개발에 박차를 가하는 상황이다. 파이도 인증은 UAF 표준과 U2F 표준이라는 두 가지 프로토콜로 구성돼 있다.
UAF 표준은 사용자가 디바이스 인증기법을 온라인서비스와 연동해 사용자를 인증하는 기술 프로토콜이며, U2F는 기존의 ID와 패스워드를 사용하는 온라인 서비스에서 두 번째 인증 요소로 생체정보와 같은 개인정보를 추가해 사용자 로그인에 추가할 수 있도록 하는 기술 프로토콜이다.
하지만 이 두 가지 기술 프로토콜이 추구하는 공통사항은 온라인상의 빠른 신원 확인을 위해 간단하고 강력한 인증방식을 개발하는 것이다. 때문에 ID, 비밀번호를 이용한 보안방식 대신 지문인식, 홍채인식, 안면인식, 음성인식 등 다양한 생체인식 정보를 가지고 본인 여부를 판단할 수 있게끔 하는 새로운 보안 인증 수단이라고 볼 수 있겠다.
쉽게 말하자면, 최근 스마트폰을 이용해 은행 앱을 이용하고자 할 때 지문이나 홍채인식, 안면인식과 같은 개인의 생체정보를 별도로 입력해 두었다가 추후 앱에 접속할 때 이용할 수 있도록 하는 것이 파이도 인증을 받아 서비스를 제공하고 있다는 것으로 이해하면 된다.
파이도 인증을 받은 솔루션의 대표적인 예는 ▲워치가드 어스포인트(AuthPoint) 다중인증 솔루션 ▲센스톤 스톤패스(Stone Pass) 솔루션, ▲ 케이사인 위즈패스 2.0 & 위즈사인 2.0 등이다. 이 외에도 파이도 인증을 받은 보안 솔루션들은 많지만, 대표기업 3곳의 이야기를 들어보았다.
워치가드, “멀티팩트 보안 안착 위해 총력 다할 것”
워치가드는 멀티팩터 보안의 중요성을 감안해 2017년 8월 멀티팩터 보안솔루션을 보유하고 있던 기업인 ‘데이터블링크’를 인수하고, 어스포인트 다중인증 솔루션에 대한 본격적인 개발 및 도입에 박차를 가하고 있다.
특히 워치가드의 어스포인트 다중인증 솔루션은 더욱 발전된 멀티 팩터 인증을 안착시키기 위해 클라우드나 래디우스(Readus)서버를 구축한 기업들에 더욱 유용한 솔루션을 제공할 수 있다는 것이 워치가드 측의 설명이다.
워치가드 솔루션을 국내에 유통하고 있는 아이플랜네트웍스 강도균 팀장은 “기존 투팩터 인증에 약하다는 업계의 인식을 불식시키기 위해 데이터블링크를 인수했고, 더욱 발전된 멀티 팩터 인증 기술을 기존 워치가드 솔루션들과 연계할 수 있도록 하고 있다”고 말했다.
이어 “어스포인트 솔루션은 아카마이, 드롭박스, 에버노트 등 클라우드를 활발히 사용하는 기업들과 협력해 더욱 강력한 보안, 쉬운 IT보안 환경을 제공하고 손쉬운 설정과 관리를 할 수 있고, 타사의 솔루션을 이용한다고 하더라도 래디우스 서버를 구축한 상태라면 솔루션을 쉽게 적용할 수 있는 준비가 돼 있는 상태”라고 밝혔다.
센스톤, “양방향 소통 가능한 보안으로 철벽 방어”
보안 분야 스타트업 중 하나인 센스톤은 스톤패스 솔루션으로 시장을 공략하고 있다. 금융권에서는 SBI저축은행, 빗썸, 한국가상화폐거래소, DB저축은행을 비롯해 공공기관 중에서는 생명보험협회, 국민건강보험공단, 행정안전부, 헌법재판소, 문화체육관광부, 유통업계에서는 롯데 엘페이, 롯데 멤버스, 한화 S&C 등이 주요 고객사다.
센스톤 전진욱 수석은 “스톤패스 솔루션은 모듈화할 수 있는 간편한 보안솔루션을 표방한다.”며, “기존 사용자 또는 시스템에서 유출된 정보로 발생하는 문제를 해결하기 위해 매번 달라지는 사용자와 서버 동적 값을 해결하는 차세대 보안 인증 기술인 투-웨이 다이내믹 키 매칭(2-Way Dynamic Key Matching) 알고리즘에 대한 특허를 가지고 있다.“고 언급했다.
이어, “이를 기반으로 사용자와 서버 자체가 상호 작용할 수 있도록 해 스마트폰이나 고객사의 서버가 변경된다고 하더라도 보다 안전한 멀티팩트 인증을 실현할 수 있도록 하고 있다. 이는 국내 유명 화이트 해커팀인 ‘타이거팀’과 연계해 해킹테스트 진행했고, 실제로 사용자 인증 설정값이 매번 바뀌어 실질적으로 해킹이 불가능하다는 것을 확인했다”고 강조했다.
케이사인, “올 하반기 내 멀티 팩터 보안 솔루션 본격 상용화할 것”
케이사인 측은 모바일 앱 형태의 멀티팩트 인증 솔루션인 ‘위즈패스 2.0’과 단말기에 별도의 인증서를 발급받는 ‘위즈사인 2.0’ 솔루션을 올해 내 상용화한다는 계획이다. 특히 하드웨어 스타일의 OTP를 통해 블루투스 보안 인증을 받을 수 있는 제품도 선보일 계획이다.
케이사인 구자동 부사장은 “기존에 공인인증서 없이는 서비스되지 않았던 보안방식을 고려해 공인인증서 없이도 강력한 보안을 실현할 수 있도록 하는 방식으로 위즈패스 2.0과 위즈사인 2.0을 개발하고 있다.”고 밝혔다.
이어 “IT 인프라가 많아진 현재 상황에서 파이도 인증과 같은 생체인증 기술로 업계의 방향이 맞춰져 가고 있지만, 스마트폰을 소지하지 않아도 멀티팩트 인증을 활용할 수 있도록 기술개발을 하자는 것이 우리의 방향. 기존의 불편하고 복잡한 보안체계를 간편화할 수 있는 방향으로 제품개발을 추진해 나갈 것”이라고 밝혔다.
보안업계의 고민, “멀티 팩터 인증에 대한 정부 입장 명확했으면”
이렇듯 멀티 팩터 인증 솔루션이 속속 등장하고 있으며, 도입하는 사례 또한 증가추세다. 하지만 업계 관계자는 한목소리로 멀티 팩터 인증 솔루션 개발과 도입에 관해 답답함을 토로했다. 왜일까?
“이제 시작단계인데, 명확한 규격이나 표준 등이 없다. 가이드라인 또는 권고사항은 정부 차원에서 제시해줘야 하는 것 아니냐”는 것. 정작 멀티 팩터 인증 솔루션 개발과 도입에 중요함에도 이의 도입에 막강한 결정권을 가진 정부는 정작 뒷짐 지고 관망하는 모습 탓이다.
즉 현행 단계에서 확인되는 멀티 팩터 보안에 대한 정부 권고사항 혹은 정부 시행지침은 전무하다. 그 와중에 업계가 자발적으로 나서 멀티 팩터 보안에 초점을 맞춰 솔루션을 개발하고, 현재보다 더 고 퀄리티의 보안 서비스 제공에 비중을 높이다 보니 지금에 이르게 됐다.
또 한 가지는 스마트폰의 생체인증 기능을 접목하는 인증 방식이다. 지문인식, 안면인식, 홍채인식 등의 기능이 기본적으로 탑재된 고사양 스마트폰 이용자가 많아졌고, 향후 출시될 스마트폰들 또한 이 기능이 필수로 탑재될 것이라는 전제조건에서다.
그런데도 기업이나 기관에서 멀티 팩터 인증 솔루션을 개인 휴대폰에 수용하라는 상부의 지시를 받아들이겠냐는 것이 보안업계 관계자들의 공통된 전언이다.
이 외에도 멀티 팩터 기능 구현이 가능한 OTP 활용 등 추가적인 물리 자원을 도입할 수 있다. 하지만 이 또한 추가적인 비용 발생이 걸림돌이다. 기업 입장에서는 비용 부담 증가를 억제하는 것이 공통된 추세인 만큼 이 또한 도입은 난황이 될 전망이다.
모든 정황을 요약하자면 시장이 갈피를 못 잡고 움직이는 것의 근본적인 배경은 결국 명확한 보안 지침이 전무한 탓이다. 칼과 방패의 지루한 싸움이 계속될수록 보안 수요는 폭발적으로 증가할 수밖에 없다.
“금융권에서는 스마트폰을 이용한 멀티 팩터 인증이 SMS, 혹은 ARS를 이용한 인증 방식을 대체하는 추세라고 하지만, 사기업과 기관에서 업무용도 아닌 굳이 개인 스마트폰에 인증 앱을 설치하라고 한다면 누가 순순히 응할까? 궁금하다”는 반응이 나오는 것이 현실이다.
앞으로 보안 시장에서 멀티 팩터 인증은 권고사항이 아닌 필수가 될 전망이다. 다행인 것은 시장 도입 초기 단계이기에 새롭게 마련될 기준 혹은 권고에 비교적 쉽게 순응할 수 있다는 것. 보안업계가 하루라도 빨리 정부가 나서줄 것을 주문하는 근거다. 관계 당국의 심도 있는 대책 마련과 업계를 향한 관심이 시급해 보인다.
By 김미리 에디터 miri.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
