Home > 전체기사
사용자 인증 솔루션 시장, 성장과 정체의 기로에 서다
  |  입력 : 2018-07-04 18:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
성장 신호등은 현재 노란색...파란불과 빨간불 여부는 업계에 달렸다
계정도용 혹은 크리덴셜 스터핑 등 공격 지속...비밀번호 혹은 인증 관리가 필요하다


[보안뉴스 원병철 기자] 우리은행이 크리덴셜 스터핑(Credential Stuffing)으로 의심되는 외부 공격을 받아 약 5만 6,0000건의 고객정보가 유출된 사건이 발생했다. 현재 우리은행 측은 해킹이 아닌 단순 계정도용일 뿐이라면서 말을 아끼고 있는 상황이다.

[이미지=iclickart]


이번 사건에서 주목할 점 중 하나는 바로 크리덴셜 스터핑, 즉 기존에 유출된 아이디와 패스워드를 그대로 대입한 후 로그인이 되는 사람들의 개인정보를 빼가는 범죄 수법이다. 이는 대부분의 사람들이 같은 아이디와 같은 비밀번호를 사용하는 데서 비롯됐다.

사실 기존에 유출된 아이디와 패스워드를 이용한 개인정보 유출, 즉 계정 도용은 어제오늘의 일은 아니다. 온라인 모임 앱 ‘밴드(BAND)’는 2018년과 2017년 계정도용을 통해 사용자 몰래 로그인한 범죄자가 사용자가 가입한 밴드에 성인광고 글을 올린 사건으로 이슈가 됐다. 또한, 우리나라 1세대 온라인 게임으로 유명한 ‘라그나로크(Ragnarok)’의 리뉴얼 버전 ‘라그나로크 제로’ 게임도 계정도용 의심 사고가 발생한 바 있다. 또한, 아이돌 그룹 투표에 사용하기 위한 CJ ONE의 계정정보가 중국 온라인 쇼핑몰 타오바오에서 10만 건 이상 거래된 사건도 있었다.

그렇다면 이런 공격에 사용된 아이디와 비밀번호 정보는 어디서 나왔을까? 우리나라는 2008년 옥션(1,800만 건)을 시작으로 2011년 싸이월드(3,500만 건), 2012년 KT(870만 건), 2014년 KT(1,170만 건), 2014년 카드3사(1억 건), 2016년 인터파크(2,500만 건) 등 대규모의 개인정보 유출사고를 겪으면서 대부분의 국민들이 개인정보 유출사고를 겪었다. 해당 사건들만 합쳐도 대략 2억 건의 개인정보가 유출됐으며, 우리나라 인구가 5,200만 명임을 볼 때, 국민 1인당 4번 이상 개인정보가 유출됐다고 볼 수 있을 정도다.

이렇게 유출된 계정정보를 바탕으로 범죄자들이 또 다른 사이트에 로그인을 시도해 계정정보는 물론 개인정보까지 탈취하게 된 것이다. 이러한 공격을 막으려면 애초에 아이디와 비밀번호가 유출되지 않아야 하지만, 앞서 소개한 것처럼 이미 수억 건의 개인정보가 유출된 상황이기 때문에 차선책을 생각해야 한다.

차선책은 바로 비밀번호 관리다. 사실 많은 보안전문가들은 △모든 사이트의 비밀번호를 다르게 설정하고 △주기적으로 비밀번호를 바꾸는 것은 물론 △비밀번호를 문자와 숫자, 특수번호까지 섞어 설정하기만 해도 대부분의 계정도용이나 크리덴셜 스터핑 공격으로부터 안전할 것이라고 강조한다. 하지만 수많은 웹사이트가 존재하고 있는 현재 상황에서 실제로 이러한 방법을 그대로 따라 하기는 어려운 일이다.

이 때문에 사람들은 개인적으로 사용하는 웹사이트의 경우 대부분 같은 비밀번호를 사용하고, 업무상 회사에서 여러 아이디와 비밀번호를 사용해야할 경우에는 한글이나 워드, 엑셀 등의 문서파일에 아이디와 비밀번호를 적어 사용하는 경우도 많다. 이렇게 보관된 문서파일이 유출되면 아주 간단하게 회사의 기밀이 유출될 수 있다.

상황이 이렇게 흘러가자 비밀번호를 대신 관리해주는 솔루션들이 시장에 등장하기 시작했다. 비밀번호 관리가 중요한 것은 알지만 사람이 일일이 관리하는 것이 쉽지 않자 업체들이 개입하기 시작한 것이다.

비밀번호, 2차 인증 모두 ‘인증’이 기본, ‘사용자 인증 솔루션
시장에 대해 설명하기 전에 먼저 명칭을 명확하게 정리해야 할 것 같다. 기업의 방향에 따라 서로 사용하는 명칭이 다르기 때문. 우선 비밀번호를 사용자 대신 관리해 주는 것에 초점을 맞춘 경우 ‘비밀번호 관리 솔루션’ 혹은 ‘비밀번호 통합관리 솔루션’이란 이름을 사용한다. 하지만 ‘비밀번호’가 결국은 사용자를 ‘인증’하는 방법 중 하나이기 때문에 ‘사용자 인증 솔루션’이란 표현을 사용하는 업체들도 많다. 스마트폰이 등장하면서 ‘패턴’이나 ‘지문’, ‘얼굴인식’ 등 인증방법이 다양화됐기 때문에 비밀번호 관리 솔루션이라고 부르기가 어려워졌기 때문이다.

또한, 기존 비밀번호를 그대로 사용하고 두 번째로 다른 방법을 사용해 인증을 2번 하는 ‘2차 인증’ 방식을 사용할 경우 ‘2차 인증 솔루션’이라고 부르기도 한다. 예를 들면, 네이버나 구글에 로그인할 때 맨 처음 비밀번호를 입력한 다음 스마트폰에 모바일 OTP를 전송받아 한 번 더 본인확인을 하는 방법을 말한다. 이번 기사에서는 업계에서 보편적으로 사용하는 ‘사용자 인증 솔루션’이란 용어를 사용하도록 한다.

사용자 인증 솔루션은 크게 B2B(기업용)와 B2C(일반 사용자용)로 나뉜다. 기업용은 비밀번호 관리 솔루션 업체가 기업(웹사이트)에 솔루션을 제안해 적용하는 방식으로, 예를 들면 A기업이 B기업(웹사이트)에 C솔루션을 판매하면, 사용자는 C솔루션(보통은 스마트폰 앱)을 다운로드 받아 B기업(웹사이트)에 로그인할 때 사용하면 된다.

일반 사용자용 시장은 로그인 하는 웹사이트와 상관없이 사용자 개인이 앱이나 프로그램 등을 통해 비밀번호를 통합·관리하는 솔루션을 말한다. 보통 기업용 시장과 일반 사용자용 시장이 함께 있을 경우 시장 규모는 일반 사용자용 시장이 더 클 것 같지만, 보안업계에서는 그 반대로 보고 있다. 일반 사용자용 시장은 돈이 안 되기 때문이다.

우선, 일반 사용자 시장은 이미 네이버와 구글과 같은 무료 인증 혹은 무료 OTP에 대부분 잠식되어 있다는 것이 보안업계의 판단이다. 차세대 사용자 인증 솔루션 ‘스톤패드(StonePASS)’를 출시한 센스톤의 유창훈 대표는 “퍼블릭 시장은 이미 대부분 네이버나 다음, 구글의 인증 솔루션을 사용하고 있다”고 강조했다.

“기업 중에서도 보안이 중요한 곳을 대상으로 영업을 하고 있습니다. 예를 들어, 은행이나 증권 등 금융권이나 기업의 연구소 등 별도로 보안을 강화해야 하는 기업들은 사용자 인증 솔루션을 사용하고 있습니다.”

국내 금융권 OTP(One Time Password) 시장을 리딩하고 있는 미래테크놀로지 역시 같은 입장이다. 권순철 미래테크놀로지 이사는 “OTP로 10년간 2차 인증시장을 진행하고 있지만, 아무래도 공공분야나 연구소 등 보안을 강화하는 기관과 기업 중심으로 영업을 하고 있다”고 설명한다.

물론 기업용 시장이라고 해서 호황인 것은 아니다. 하지만 이번 우리은행 사건처럼 크리덴셜 스터핑 공격이 지속되고, 비밀번호 관리의 중요성이 계속 강조되는 만큼 기업들도 사용자 인증에 관심을 더 갖게 되면 시장은 성장할 수밖에 없다고 관련 업계는 기대하고 있다.

또한, 한쪽에서는 공인인증서 폐지가 진행되고 사설인증서가 본격적으로 활용되면 ‘인증’ 시장 자체에도 큰 변화가 있을 것이라고 보고 있다. 사설인증서가 활성화되면 공인인증서의 핵심인 △식별(부인)인증 △인가인증 △서명인증 중 사용자 인증 부분인 인가인증 분야 역시 활성화될 수밖에 없다는 얘기다.

지금까지 사용자 인증 솔루션 시장의 현 상황에 대해 알아봤다. 현재도 계정도용이나 크리덴셜 스터핑 공격이 발생하고 있지만, 사용자 인증 솔루션 분야는 생각보다 성장 폭이 크지 않다. 이는 윈도우10의 비밀번호 관리 솔루션 ‘키퍼(Keeper)’ 취약점 사건 등 사용자의 신뢰도를 하락시킨 사건들도 한몫 했지만, 아직까지 비밀번호 관리의 중요성을 간과하고 있는 기업 혹은 사용자의 인식도 큰 영향을 주고 있다. 그럼에도 관련 기업들은 고객의 니즈를 충족할 수 있는 제품을 개발하고, 고객의 시선을 끌 수 있는 특장점으로 무장하면서 시장을 견인해 나가야 한다.

다음에는 사용자 인증 솔루션의 기술과 현재 시장을 리딩하고 있는 대표 솔루션을 함께 소개하도록 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향