IT/과학/트랜드/기획
보안인증, 투 팩터 넘어 멀티 팩터로 진화중
위클리포스트
2018. 9. 11. 11:41
[2018년 09월 11일] - 소 잃고 외양간 고치기 전에 받아들여야 할 다중보안 인증이 요즘 화두다. 그 와중에 끝없이 이어져 온 공인인증서논란을 한 방에 불식시킨 멀티 인증에 업계의 관심이 쏠린 상태다. 전문가는 지문인식을 넘어 위치정보 및 시간 정보도 보안 인증으로 안착해야 한다며 한목소리로 외쳤다. 컴퓨터와 스마트폰, 각종 스마트패드를 이용해 은행이나 카드 업무를 보고 쇼핑을 하며, 결제까지도 손쉽게 해결하는 현시대는 이미 익숙해진 우리의 일상이라는 점에서 그 이유를 찾을 수 있다.
투 팩터 인증, 불편하지만 익숙해진 그 이름
최근 이용되고 있는 네트워크 보안인증 기술은 매우 다양하다. 그중에서도 사용자의 입장에서 사용자의 신원을 확인하는 방법은 크게 3가지로 나뉜다. 지식을 기반으로 하는 정보보안, 그리고 스마트폰을 이용한 SMS 인증이나 보안카드 혹은 공인인증서 등을 이용한 소유기반 정보보안, 그리고 지문이나 홍채, 정맥 인식, 안면인식과 같은 속성기반 인증을 이용한 정보보안이다.
이 중 많은 기업이 선호하는 기본 보안기술은 투 팩터 인증(two-factor authentication, 2단계 인증), 그리고 멀티 팩터 인증(Multi-Factor Authentication, 다중단계 인증) 이다. 쉽게 말하자면 사용자의 정보보안 정보 중에서 2가지 방법을 결합해 최종 인증에 성공하는 것이 투 팩터 인증이라면, 더욱 강화된 보안을 추구한다는 것이 멀티 팩터 인증이다.
투 팩터 인증을 가장 이해하기 쉬운 예는 은행 ATM기, 혹은 스마트폰 앱을 이용한 인출 시스템이다. 먼저 ATM기 앞에 서서 카드나 통장을 넣고, 4자리로 사전에 설정해 둔 비밀번호 4자리를 이용하거나, 스마트폰으로 쇼핑을 하거나 은행 업무를 볼 때, ID 패스워드 로그인 혹은 스마트폰 지문인식 로그인 이후 공인인증서 비밀번호를 입력하는 등의 행위다. 이처럼 투 팩터 인증은 사용자가 알고 있는 다른 요소를 사용해야 한다는 전제조건을 가지고 있다.
하지만 아직 국내에서는 쇼핑몰 대다수와 포털사이트, 금융권에서는 멀티 팩터 기반을 다져 놨음에도 불구하고 사용자의 편의에 따라 투 팩터 인증으로 고객의 정보를 확인하고 업무를 처리할 수 있도록 했다.
그도 그럴 것이 보안이 더욱 강해질수록 사용자의 입장에서는 ‘이거 뭐 이렇게 어렵고 불편해??’라는 고충을 털어놓으며 이용을 포기해버리는 상황도 비일비재함에 기인한다. 예컨대 스마트폰에 익숙하지 않은 어르신, 수없이 발생해 온 보안사고들로 인해 보안시스템에 대한 불신을 뼈저리게 느끼고 있어 사용하고 싶지 않아도 울며 겨자 먹기로 사용하고 있는 사람이 대표적이다.
더 진화한 보안인증 ‘멀티 팩터’로 철벽 수비
이미 수년간 노출된 많은 해킹공격과 정보유출 사례들을 봐 온 터라 ‘내 정보는 이미 공공재나 다를 게 없잖아?’라는 슬픈 우스갯소리를 하는 사람도 널렸다. 그만큼 국내에서 서비스되고 있는 어떠한 것에서도 보안이 정확히 이뤄지고 있는지 불신하는 것이 작금의 현실이다.
그렇기에 앞으로 나아가야 할 보안 방향은 단연 멀티 팩터 인증이라는 것에 주목할 수밖에 없다. 비록 대중에게는 “그저 귀찮은 보안 단계만 늘었어”라는 푸념에 그치겠지만, 기업 혹은 은행의 다중 보안정책은 고객의 정보를 탈취당하지 않기 위한 최선의 노력을 다하고 있다는 방증이며, 사용자들에게 앞으로의 신뢰성을 더욱 높일 수 있는 또 다른 기회다.
그뿐만 아니라 국내의 경우 공인인증서를 대체수단으로 한 각종 간편인증수단이 폭발적으로 늘어나면서 SMS 문자서비스를 이용한 인증을 응용하는 분야도 확대되어 가는 추세다. 예를 들면 SMS 문자메시지를 이용한 인증에 대한 공격시도가 심화할 것이라는 보안업계의 전망도 나오는 만큼, 사전에 보안 강도를 먼저 높여야 한다는 설명이다.
하지만 사용자를 고려해야 하는 기업 입장에서는 “그저 이용자가 사용하기 쉽고 편리하면서도 보안공격에 뚫리지 않게만 개발해주세요”라는 주장에 머무르고 있다. 혹시나 하는 마음인즉슨 보안공격에 속수무책으로 당하며 자신의 지문정보나, 공인인증서 정보까지도 해커들에 의해 탈취될까 하는 노파심이다. 과연 그럴까?
멀티 팩터 인증, 실제 은행 해킹 막았다
실제로 올해 7월, 우리은행은 다른 웹사이트의 해킹을 통해 얻은 5만 6000여 건의 개인정보로 우리은행에 약 85만 번의 부정접속을 시도했나, 실패했다고 밝혔다. 해커집단이 우리은행을 뚫지 못한 이유는 단 하나, 공인인증서와 보안카드 같은 고객소유 기반의 정보보안 시스템을 뚫지 못한 것.
당시 우리은행 측은 “공격자가 타 웹사이트에서 아이디와 비밀번호를 가져와 당행 이용자도 같은 계정 값을 이용하고 있는지 매칭하는 행위를 한 것으로 밝혀졌다”며 “본인인증과 공인인증서와 같은 투 팩터, 멀티 팩터 보안을 이미 시행하고 있었기 때문에 화를 면했다”며 가슴을 쓸어내렸다.
다수의 개인정보를 결합해 보안을 설정할수록 보안 강도는 더욱 강력해진다는 것은 어찌 보면 당연지사다. 실제로 2017년 개최된 블랙햇 콘퍼런스에서 해커 250명을 대상으로 설문조사를 한 결과, 해킹하기 가장 힘든 것으로 ‘멀티 팩트 인증’을 꼽은 응답자가 38%에 달했다. 사용자가 자신의 보안 설정을 현행 2가지 선택에서 3가지 선택으로 늘리기만 해도, 보안위협에서 더욱 자유로워질 수 있다는 것을 해커들이 인정한 것이나 다름없다.
물론 사용자의 부주의로 공인인증서나 보안카드, 공개키 기반(PKI) 공인인증 시스템이 사용자 부주의로 분실되거나 유출될 수는 있다지만, 이를 활용해 해킹이 실제로 이뤄진 사례는 현재까지는 없다. 그 때문에 공인인증서나 OTP 등을 발급받는 것에 대한 불편함과 불신이 아무리 강하다 해도 안전한 보안방식 중 하나라는 것이다.
더불어 지문인식이나 홍채인식, 안면인식 등 다양한 생체인식 정보를 활용할 수 있도록 하는 고성능 스마트폰들이 대거 출시되면서 멀티 팩트 인증에 대한 피로도를 낮춰줄 수 있는 환경이 만들어지고 있는 것도 작금의 현실이다.
따라서 다수의 네트워크 보안 전문가들이 고객사는 물론이고 사용자들에게도 호소하는 점은 ‘웹 사이트나 스마트폰 등을 이용해 멀티 팩터 인증을 지원할 수 있도록 해야 하고, 이 부분에 대한 불편을 최소화할 수 있도록 노력해야 한다.’고 말한다. 하드웨어에 대한 기술이 점차 발전함에 따라 보안 정책도 바뀌어야 하며, 보안 인증을 더 강화할 수 있다면 충분히 도입할 가치가 있다고 말하는 근거다.
일찌감치 멀티 팩터 솔루션을 시장에 선보이고 대응에 나설 것을 주문한 기업의 공통된 목소리는 한 가지다. 더욱 지능적이고 자동화된 공격에 대응 가능한 보안 솔루션을 도입해 위협을 탐지하고 차단하는 노력이 선행되어야 한다는 것. 주목할 제품에는 ▲팔로알토 네트웍스의 애플리케이션 프레임워크 ▲에어큐브의 브이프론트&유비키 ▲워치가드의 어스포인트(AuthPoint) 다중 인증 솔루션이 손꼽힌다.
미래의 멀티 팩터 기술, 위치정보나 시간 정보까지 고려한다.
그런데도 현재까지 개발된 네트워크 보안 기술은 지식기반 정보보안, 소유기반 정보보안, 속성기반 정보보안 등에 국한돼 있다. 하지만 최근에는 더욱 강화된 인증을 위해 사용자의 위치정보나 시간 정보 등을 활용한 4번째 정보보안 기술도 도입돼야 한다는 목소리도 높아지고 있다.
물론 여기에서 언급되는 위치정보나 시간 정보 등은 기존의 멀티 팩터 인증을 보완하는 선에서만 이뤄질지, 아니면 ‘슈퍼 멀티 팩터 인증(Super Multi-Factor Authentication)’수단이 새롭게 등장할지는 아직 모르는 일이다.
한 가지 분명한 것은 수많은 보안기술 중에서 다중 보안장치를 적절히 이용해 사용자들이 편안하게 서비스를 이용할 수 있도록 개발이 되어야 하며, 사용자들도 이를 불편하게만 느껴서는 안 된다는 점이다. 이를 위해서는 업계는 물론, 성숙한 보안문화에 대한 캠페인도 필요하다. 두 가지를 넘어서서 3가지 이상의 보안인증에도 익숙해져야 한다는 것을 사용자에게 인지시켜야 한다.
따라서 작금의 현실에서는 멀티 팩터 인증에 대한 부분에서 정확도가 더욱 높아진 네트워크 보안, 하드웨어, 소프트웨어 기술이 결합을 이뤄야 하며, 사용자들 또한 이러한 부분들을 불편하지 않고 쉽게 받아들일 수 있는 보안생태계가 마련돼야 한다. 이를 위해서는 업계는 물론, 사용자들도 함께 자신의 정보를 지키기 위한 다양한 수단을 마련하는 데 협력해야 한다는 것을 잊지 말아야 한다.
By 김미리 에디터 miri.kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉