Secure Your Business with PNPSECURE

[2023 차세대 인증 분석 리포트] ‘시한폭탄’된 비밀번호, 보안성에 편리성 높인 차세대 인증 적용해야

2023-12-06

언제 터질지 모르는 ‘시한폭탄’된 비밀번호, 타인 도용 및 유출 사고로 이어져

비밀번호 72.8%, OTP 38.3%, SMS 및 문자메시지 36.2% 순으로 인증시스템 사용

대표 솔루션 분석 : 피앤피시큐어, 시큐브, 옥타코, 듀얼오스

 보안뉴스, 김경애 기자 (2023.11.30)

차세대 인증 솔루션의 탄생 및 배경

막으면 뚫리고, 막으면 또 다른 홀이 생긴다. ‘세월 앞에 장사 없다’는 말처럼 제아무리 잘나가던 보안 기술도 핫한 보안 솔루션도 취약점이 발견되고 끝내 뚫리기 마련이다. 최신 보안 기술을 하루빨리 적용해야 하는 이유다.

차세대 인증은 1세대 패스워드를 거쳐 2세대로 대표되는 PKI 기반의 공인인증서와 OTP, 3세대 대표주자인 멀티팩터(Multi-Factor) 인증과 FIDO 기반의 통합인증 등을 거쳐 오늘날에 이르렀다.


1세대: 1970년대 등장한 패스워드, 이젠 되려 ‘시한폭탄’

그중 가장 많이 사용하는 인증수단은 단연 패스워드다. 패스워드는 1970년대 대형 컴퓨터 시스템 파일에 안전한 접근을 위해 처음 사용되었다. 이후 1991년 브라우저 월드와이드웹이 등장하면서 기업은 온라인 회원 관리를 위해 패스워드 체계를 적용했다. 이때부터 패스워드 인증수단이 점차 확대되었다. 패스워드는 4자리 숫자 조합에서 영문, 특수문자로 확대됐고, 자릿수는 8자리, 10자리 이상으로 늘어났다.

하지만 이마저도 한계에 이르러 결국 부작용이 발생했다. 서비스의 급증으로 인해 사람들은 단순한 비밀번호, 유추하기 쉬운 비밀번호를 사용하다 비밀번호 기억이 어려워졌고, 새로 만드는 등의 번거로움이 발생했다. 결국 패스워드가 해킹되거나 도용되는 등 개인정보 유출 피해로 이어졌다.


▲차세대 인증 인식 및 선택 기준에 대한 설문조사중 현재 사용중인 인증 시스템 설문결과[이미지=보안뉴스]


 그러나 지금도 패스워드 인증수단은 많이 사용되고 있다. 본지가 기업과 기관의 보안담당자를 대상으로 ‘차세대 인증 인식 및 선택 기준에 대한 설문조사(설문기간 : 2023년 11월 7일~2023년 13일 까지)’를 실시한 결과 ‘현재 사용하고 있는 인증 시스템’에 대해 ‘비밀번호를 통해 관리하고 있다’는 답변이 72.8%로 압도적으로 높았다. 이어 ‘OTP를 통해 관리하고 있다’ 38.3%, ‘SMS, 문자메시지 인증을 통해 관리하고 있다’ 36.2% 순으로 집계됐다.


▲기존 인증 시스템에서 가장 불편한 점은 무엇인지에 대한 설문조사 결과[이미지=보안뉴스]


기존 인증수단의 불편한 점도 패스워드와 관련된 사항이 많았다. ‘기존 인증 시스템에서 가장 불편한 점은 무엇인가요?’란 질문에 ‘패스워드를 자주 변경해야 한다’는 답변이 48.5%로 가장 높았고, ‘패스워드 재설정 등 불필요한 업무’ 43.4%, ‘보안에 취약하다’ 37.4%, ‘외우기가 힘들다’ 37% 순으로 나타났다.


2세대: 공인인증서 & OTP ‘양대 산맥’
공인인증서, ‘전자서명법’에 ‘전성시대 맞이’ 그러나 액티브엑스가 ‘보안 홀’

2세대 대표 인증인 공인인증서는 1999년 7월 ‘전자거래기본법’과 ‘전자서명법’이 시행되면서 사용되기 시작했다. 인터넷의 발달로 전자상거래가 활성화되면서 바야흐로 공인인증서 시대가 열리며 공인인증서는 전성기를 맞이했다.

하지만 공인인증서의 잇따른 보안 사고 발생과 보안 이슈에 액티브엑스(Active-X)가 취약점으로 지목되며 저물기 시작했다. 이후 독점 지위 폐지를 골자로 한 전자서명법 개정안이 의결됨에 따라 2020년 12월 10일부터 폐지되며 공인인증서의 막이 내렸다.

현재는 공인인증서에서 공동인증서로 명칭이 변경돼 사용되고 있다. 공동인증서에는 가입자 이름, 공동인증서의 유효기간, 발급기관명, 가입자의 전자서명 검증정보, 전자서명 방식, 공동인증서 일련번호 등이 포함돼 있으며, 전자정보 증명을 위해 인증기관(Certification Authority)에서 발행하고 있다.


OTP, 사용자 불편과 번거로움 그리고 취약점 이슈

공인인증서와 함께 2세대 인증을 대표하는 OTP(일회용 패스워드, One Time Password)는 무작위로 생성되는 일회용 패스워드로 인증하는 방식이다. 기존 패스워드 방식에서 보안을 좀 더 강화하기 위해 도입됐다. 주로 온라인 뱅킹(Online Banking) 등 금융권의 전자금융 거래에서 활용된다.

OTP 생성기의 방식은 버튼을 누르면 △6자리 패스워드가 나오는 방식 △1분마다 자동으로 서로 다른 6자리의 패스워드가 나오는 시간 동기 방식 △키패드에 4자리 비밀번호를 입력하면 6자리 패스워드를 보여주는 방식 등으로 구분된다.

OTP 형태는 소형 단말기인 토큰형과 신용카드 모양의 카드형이 사용되고 있다. 최근에는 휴대폰의 범용 가입자 식별 모듈(USIM) 기반의 모바일 OTP(MOTP) 도입이 추진되고 있다.

하지만 사용자 편의성 관점에서 OTP는 복잡한 인증절차, 사용자의 번거로움, OTP 재발급, 긴 인증 소요시간 등 불편한 점도 적지 않다. 또한, OTP 코드 저장 등 보안 취약점 이슈도 존재해 좀 더 강력한 보안인증 체계가 요구되고 있다.


패스워드 & 공인인증서, 보안 위협으로 ‘도발’

지금까지 1, 2세대 인증수단에 대해 알아봤다. 그러나 여전히 많은 기업과 기관에서 보안이 취약한 1, 2세대 인증수단은 물론 공인인증서와 패스워드를 사용하고 있다. 그리고 보안에 취약한 인증수단은 언제 터질지 모르는 시한폭탄으로 기업과 기관을 위협하고 있다.

지난 11월 동행복권에서 불법 취득한 아이디와 패스워드를 무작위로 조합하여 홈페이지에 부정 로그인한 정황이 포착됐다. 이보다 앞서 지난 9월에는 모아저축은행에서 대출 신청 서버에 불법 접근으로 인해 개인정보가 유출된 바 있다. 또한, 6월에는 북한 해커조직이 보안인증 SW 취약점을 악용, 공공기관·언론사·방산·IT 등 50여개 기관을 해킹했다. 지목된 주요 원인으로는 본인인증 SW ‘MagicLine4NX(매직라인)’로 조사됐다. 북한 해커조직은 지난 5월에도 중앙선거관리위원회 인터넷망부터 내부 선거 시스템을 뚫은 바 있다. 특히, 이 사건은 패스워드 관리 부실로 초기 패스워드를 그대로 사용한 것으로 드러났다.


기존 인증수단의 주요 보안 위협과 기업의 문제점

이처럼 부실한 패스워드 관리와 보안에 취약한 공인인증서 사용은 보안 사고로 이어지고 있다. 본지는 이러한 취약한 인증실태에 주목하고, 차세대 인증 솔루션 기업과의 인터뷰를 통해 기존 인증수단의 보안 취약점과 보안 위협, 그리고 기업의 문제점에 대해 짚어봤다.


피앤피시큐어, “인증수단 탈취·공유, OTP 유실, 크리덴셜 스터핑 등 보안 위협”

첫째, 로그인의 경우 인증수단 탈취 및 공유, OTP 기기 유실, 크리덴셜 스터핑(Credential Stuffing)의 보안 위협이 존재한다. 이는 안면 정보 기반 사용자 인증을 통해 탈취 및 유실을 방지할 수 있다. 또한, 사용자 개입을 최소화하고, 패스워드리스 정책을 준수할 수 있다.

둘째, 업무 시스템 접근의 경우 휴면계정, 이상 행위, 만료 계정 미관리, 정책 설정 오류, 과도한 권한 부여 등과 같은 보안 위협이 존재한다. 따라서 통합 계정관리 및 접근제어를 통해 계정 라이프사이클을 자동 관리하고, 이기종 계정에 대한 정책을 동기화해 관리해야 한다. 또한, 최소한의 권한 설정으로 안전하게 계정을 관리해야 한다.

셋째, 작업수행 시 데이터베이스 관리자인 DBA(Database Administrator), 개발자의 고의·실수 발생 가능성이 있다. 연결 세션을 이용한 단말 조작 및 권한 탈취, 작업 화면 유출 위험이 있다. 때문에 지속적으로 사용자 행위를 검증하고 차단해야 한다. 명령어 단위 권한을 제어하고, 외부자 해킹 시도를 차단, 카메라 촬영 및 훔쳐보기 공격인 숄더서핑어택(Shoulder Surfing Attack) 등 비주얼해킹(Visual Hacking)을 차단해야 한다. 기존 ID·PW 기반 인증 절차는 실제 접속자가 인가자인지 판단할 수 없고 또, 중요·금지 명령어 실행 시 재인증 절차가 마련돼 있지 않아 제3자접속, 기기 조작과 같은 보안 사고가 발생할 수 있다.


3세대: FIDO 기술 기반, 국제표준 기술로 인증 ‘새 바람’

3세대 인증은 기존 싱글팩터 인증(SFA, Single Factor Authentication)에서 중요도에 따라 여러 인증수단을 섞어 적용하는 멀티팩터 인증, 위험기반, 지식기반(Password, PIN 코드 등), 소유기반(휴대폰 SMS, 보안카드, OTP, 인증서 등), 신체적특징기반(지문, 얼굴, 홍채 등), 신체적행위기반(수기 서명, 위치·시간·행위 패턴, 키보드 입력 등) 등 사용자의 신원을 정확히 인증하는 형태로 발전하고 있다.

이를 대표하는 기술이 바로 FIDO(Fast Identity Online)다. 비밀번호 대체 기술로 떠오른 FIDO는 여러 인증수단을 하나의 플랫폼에서 사용할 수 있는 통합인증 기술이다. 사용자 생체정보를 인증하는 모바일 중심의 인증 방식인 UAF(Universal Authentication Factor)와 아이디(이메일) + 비밀번호 + 2단계 인증인 U2F(Universal 2nd Factor)로 나뉜다.

FIDO 외에 생체인증기술 국제표준화기구는 ‘ISO/IEC JTC1 SC37’이 있으며, 국내에서는 여기서 제시한 바이오인식시스템 시험 기준을 준용하여 ‘바이오인식시스템 성능 시험인증’을 한국인터넷진흥원(KISA)에서 수행하고 있다.


차세대 인증, 스마트카·메타버스 등 적용 범위·기술 확대

차세대 인증은 스마트 시티, OT 보안, 스마트카 등 기존에 없던 새로운 영역으로 확장되고 있다. 특히, 코로나19로 인한 비대면·재택근무 확산, 디지털 업무 환경의 변화, IoT, 5G, 자율주행 등 기술의 발달, 그리고 제로트러스트와 같이 정책·제도에 따라 ‘인증’의 중요성은 날로 커지고 있다. 발전된 고도의 기술과 최신 기술을 적용한 차세대 인증이 속속 등장하고 있다.



[차세대 인증 대표 솔루션 집중분석-1]
피앤피시큐어, 무자각 지속 인증 기술로 편의성 갖춘 제로트러스트 환경 제공
실시간 안면정보 기반 사용자 검증… 업무 수행 중인 사용자 개입 불필요

▲피앤피시큐어의 안면정보 기반 실시간 사용자 인증 보안 솔루션 FaceLocker



국내외적으로 보안 위협이 증가하며 제로트러스트 보안 모델이 주목받고 있다. ‘절대 신뢰하지 말고, 항상 검증할 것’이라는 제로트러스트 기본 원칙에 따라 강력하고 지속적인 사용자 인증 체계 확립에 대한 수요가 증가하고 있다.

통합 접근제어 전문 기업 피앤피시큐어는 통합 접근제어 및 계정관리(Unified-IAM) 솔루션에 실시간 안면인식 보안 솔루션인 FaceLocker(페이스락커)를 접목해 보안성과 사용자 편의성을 모두 만족하는 차세대 제로트러스트 보안 모델을 제시한다.



안면정보 기반 실시간 사용자 인증 보안 솔루션 FaceLocker

FaceLocker(페이스락커)는 비전 AI 기술을 활용해 실시간으로 사용자의 안면정보를 탐지하여 지속적인 사용자 검증을 수행한다. 제로트러스트 모델에서 검증은 최초 한 번만 진행되는 것이 아닌, ‘지속적 검증’이 핵심이다. 하지만 이는 사용자의 불편과 생산성의 저하 문제를 수반할 수 있다.

피앤피시큐어는 본인인증 수단으로 생체정보 중 안면정보를 채택, 사용자가 웹캠이 장착된 업무 화면을 바라보는 것만으로 기기를 조작하는 사람이 실제 인가자인지를 지속적으로 검증할 수 있도록 했다. 인증 과정에서 별도의 사용자 행위 없이 사용자를 검증하는 ‘무자각 지속 인증’ 체계를 구축해 사용자 편의성을 확보한 사례다.

비대면·재택근무 및 클라우드 환경의 확산 등 디지털 환경에서 기업 보안의 또 다른 문제점은 사용자의 근무 환경을 신뢰할 수 없다는 것이다. 특히, 휴식 공간과 업무 공간이 혼재된 환경에서 근무자 개인의 노력만으로는 사무실과 동일한 수준의 보안을 유지할 수 없다. 페이스락커는 실시간으로 입력되는 영상 속에서 사용자의 부재 상황이나 제3자의 접근, 카메라 촬영 행위 등 이상 상황 탐지 시 업무 화면을 차단하는 기능을 통해 비대면·재택 근무 상황에서의 보안 위협을 원천 봉쇄한다.



DBSAFER DB·AM에 안면인증 모듈 적용해 제로트러스트 모델 실현

피앤피시큐어는 나아가 자사의 DB 및 시스템 접근제어 제품 디비세이퍼 DB(DBSAFER DB), 디비세이퍼 AM(DBSAFER AM)에 안면인증 모듈을 결합한 제로트러스트 접근제어 모델을 제시한다.

디비세이퍼 DB·AM은 온프레미스와 클라우드 환경 등 환경의 제약 없이 시스템, 네트워크, 데이터베이스에 대한 계정별 접근 및 업무 수행 권한 통제를 지원한다. 페이스락커의 안면인증 모듈을 적용해 리소스 접근 시점뿐만 아니라 업무 수행 단계별로 사용자를 지속적으로 검증하는 것은 제로트러스트의 ‘지속적 검증’에 부합한다.



▲피앤피시큐어 제로트러스트(Zero Trust)[이미지=피앤피시큐어 제공]


ISMS-P 인증 기준에서는 사용자 간 계정 공유를 엄격히 금하고 있다. 그러나 기존의 ID·PW는 내부자 간 계정 정보 공유가 가능해 실제 접속자가 인가자인지를 판단할 수 없다. 또한, 중요·금지 명령어 실행 시 재인증 절차가 마련돼 있지 않아 최초 인증 이후 제3자의 접속 및 기기 조작에 의한 보안 사고가 발생할 수 있다.

피앤피시큐어의 제로트러스트 접근제어 모델은 고유한 안면정보를 통해 계정 정보나 OTP 장치가 아닌, 실제 인가자에게 권한을 부여하고 동일 인가자 여부를 지속적으로 검증함으로써 기존 인증 절차의 한계를 극복했다.



제로트러스트의 핵심은 감시·통제 아닌 ‘보안·보호’

기업이 제로트러스트 모델을 도입하는 과정에서 보안을 강화하고자 하는 행동 지침이 근무자에 대한 감시나 통제를 강화하는 것은 아닌지 의심받는 부분도 있다. 모든 사용자는 기업의 보안 지침에 따라 주어진 업무를 수행하는 과정에서 권한 내 행위를 하는 것은 당연히 허용되고, 업무 수행 과정에서 불편함이나 장애 또한 없어야 한다.

피앤피시큐어의 페이스락커는 사용자 안면정보 탐지를 위해 카메라를 상시 사용하고 있다. 이러한 상시적인 카메라 사용이 비대면·재택근무에 필수적인 화상 스트리밍에 영향을 줄 수 있다. 페이스락커는 자체 기술을 활용해 화상 스트리밍과 인증을 위한 스트리밍 정보를 구분해 근무 상황에 맞춰 원활한 업무 처리가 가능하다.

또한, 보안 사고가 발생한 것으로 의심되는 경우, 해당 시점의 장면을 보관하기 때문에 추후 내부 직원이 본인을 보호하는 수단으로 활용할 수도 있다. 필수적인 보안 요구사항을 만족시키는 것과 동시에 비대면·재택 근무를 위한 업무 편의성을 확보한 사례라고 할 수 있다.



국내 금융권 중심으로 대형 프로젝트 연달아 수주하며 사업성 증명

피앤피시큐어의 페이스락커는 지난해 대형 은행의 안면인증 프로세스 구축 사업을 수주한 이후 안정화 작업을 진행하고 있다. 해당 프로젝트는 국내 안면인증 솔루션 도입 사업 중 최대 규모로 파악된다. 대규모 사용자 수용력과 금융권의 다양한 은행 내 시스템 연동 등 제품의 안정성이 검증된 셈이다.

피앤피시큐어 김신웅 페이스락커본부 개발팀장은 “은행 외에도 대형 증권사의 안면인증 솔루션 도입 프로젝트를 수주했다. 최초 도입 검토 당시에는 고객사에서 인증 기능에 중점을 뒀으나, 제품 시연 후 기능과 성능을 인정받아 내부정보 유출 방지 기능을 추가 구축했다. 제로트러스트 모델의 중요성이 재조명되고 있는 만큼, 정보유출 보안 체계를 강화하기 위해 힘쓸 예정이다. 현재 제조업을 비롯해 다양한 분야의 국내 다수 대기업이 도입을 검토 중”이라고 전했다.




보안뉴스, 김경애 기자

기사 본문 보기


(주)피앤피시큐어

대표이사   박천오

대표번호   1670-9295          영업문의   sales@pnpsecure.com

사업자등록번호   107-86-44093

서울특별시 강서구 마곡서로 182(마곡동, 피앤피스테이션)


Copyright ⓒ 2023 pnpsecure All rights reserved. |개인정보 처리방침