Home > 전체기사
사용자 인증 솔루션 시장, 성장과 정체의 기로에 서다
  |  입력 : 2018-07-04 18:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
성장 신호등은 현재 노란색...파란불과 빨간불 여부는 업계에 달렸다
계정도용 혹은 크리덴셜 스터핑 등 공격 지속...비밀번호 혹은 인증 관리가 필요하다


[보안뉴스 원병철 기자] 우리은행이 크리덴셜 스터핑(Credential Stuffing)으로 의심되는 외부 공격을 받아 약 5만 6,0000건의 고객정보가 유출된 사건이 발생했다. 현재 우리은행 측은 해킹이 아닌 단순 계정도용일 뿐이라면서 말을 아끼고 있는 상황이다.

[이미지=iclickart]


이번 사건에서 주목할 점 중 하나는 바로 크리덴셜 스터핑, 즉 기존에 유출된 아이디와 패스워드를 그대로 대입한 후 로그인이 되는 사람들의 개인정보를 빼가는 범죄 수법이다. 이는 대부분의 사람들이 같은 아이디와 같은 비밀번호를 사용하는 데서 비롯됐다.

사실 기존에 유출된 아이디와 패스워드를 이용한 개인정보 유출, 즉 계정 도용은 어제오늘의 일은 아니다. 온라인 모임 앱 ‘밴드(BAND)’는 2018년과 2017년 계정도용을 통해 사용자 몰래 로그인한 범죄자가 사용자가 가입한 밴드에 성인광고 글을 올린 사건으로 이슈가 됐다. 또한, 우리나라 1세대 온라인 게임으로 유명한 ‘라그나로크(Ragnarok)’의 리뉴얼 버전 ‘라그나로크 제로’ 게임도 계정도용 의심 사고가 발생한 바 있다. 또한, 아이돌 그룹 투표에 사용하기 위한 CJ ONE의 계정정보가 중국 온라인 쇼핑몰 타오바오에서 10만 건 이상 거래된 사건도 있었다.

그렇다면 이런 공격에 사용된 아이디와 비밀번호 정보는 어디서 나왔을까? 우리나라는 2008년 옥션(1,800만 건)을 시작으로 2011년 싸이월드(3,500만 건), 2012년 KT(870만 건), 2014년 KT(1,170만 건), 2014년 카드3사(1억 건), 2016년 인터파크(2,500만 건) 등 대규모의 개인정보 유출사고를 겪으면서 대부분의 국민들이 개인정보 유출사고를 겪었다. 해당 사건들만 합쳐도 대략 2억 건의 개인정보가 유출됐으며, 우리나라 인구가 5,200만 명임을 볼 때, 국민 1인당 4번 이상 개인정보가 유출됐다고 볼 수 있을 정도다.

이렇게 유출된 계정정보를 바탕으로 범죄자들이 또 다른 사이트에 로그인을 시도해 계정정보는 물론 개인정보까지 탈취하게 된 것이다. 이러한 공격을 막으려면 애초에 아이디와 비밀번호가 유출되지 않아야 하지만, 앞서 소개한 것처럼 이미 수억 건의 개인정보가 유출된 상황이기 때문에 차선책을 생각해야 한다.

차선책은 바로 비밀번호 관리다. 사실 많은 보안전문가들은 △모든 사이트의 비밀번호를 다르게 설정하고 △주기적으로 비밀번호를 바꾸는 것은 물론 △비밀번호를 문자와 숫자, 특수번호까지 섞어 설정하기만 해도 대부분의 계정도용이나 크리덴셜 스터핑 공격으로부터 안전할 것이라고 강조한다. 하지만 수많은 웹사이트가 존재하고 있는 현재 상황에서 실제로 이러한 방법을 그대로 따라 하기는 어려운 일이다.

이 때문에 사람들은 개인적으로 사용하는 웹사이트의 경우 대부분 같은 비밀번호를 사용하고, 업무상 회사에서 여러 아이디와 비밀번호를 사용해야할 경우에는 한글이나 워드, 엑셀 등의 문서파일에 아이디와 비밀번호를 적어 사용하는 경우도 많다. 이렇게 보관된 문서파일이 유출되면 아주 간단하게 회사의 기밀이 유출될 수 있다.

상황이 이렇게 흘러가자 비밀번호를 대신 관리해주는 솔루션들이 시장에 등장하기 시작했다. 비밀번호 관리가 중요한 것은 알지만 사람이 일일이 관리하는 것이 쉽지 않자 업체들이 개입하기 시작한 것이다.

비밀번호, 2차 인증 모두 ‘인증’이 기본, ‘사용자 인증 솔루션
시장에 대해 설명하기 전에 먼저 명칭을 명확하게 정리해야 할 것 같다. 기업의 방향에 따라 서로 사용하는 명칭이 다르기 때문. 우선 비밀번호를 사용자 대신 관리해 주는 것에 초점을 맞춘 경우 ‘비밀번호 관리 솔루션’ 혹은 ‘비밀번호 통합관리 솔루션’이란 이름을 사용한다. 하지만 ‘비밀번호’가 결국은 사용자를 ‘인증’하는 방법 중 하나이기 때문에 ‘사용자 인증 솔루션’이란 표현을 사용하는 업체들도 많다. 스마트폰이 등장하면서 ‘패턴’이나 ‘지문’, ‘얼굴인식’ 등 인증방법이 다양화됐기 때문에 비밀번호 관리 솔루션이라고 부르기가 어려워졌기 때문이다.

또한, 기존 비밀번호를 그대로 사용하고 두 번째로 다른 방법을 사용해 인증을 2번 하는 ‘2차 인증’ 방식을 사용할 경우 ‘2차 인증 솔루션’이라고 부르기도 한다. 예를 들면, 네이버나 구글에 로그인할 때 맨 처음 비밀번호를 입력한 다음 스마트폰에 모바일 OTP를 전송받아 한 번 더 본인확인을 하는 방법을 말한다. 이번 기사에서는 업계에서 보편적으로 사용하는 ‘사용자 인증 솔루션’이란 용어를 사용하도록 한다.

사용자 인증 솔루션은 크게 B2B(기업용)와 B2C(일반 사용자용)로 나뉜다. 기업용은 비밀번호 관리 솔루션 업체가 기업(웹사이트)에 솔루션을 제안해 적용하는 방식으로, 예를 들면 A기업이 B기업(웹사이트)에 C솔루션을 판매하면, 사용자는 C솔루션(보통은 스마트폰 앱)을 다운로드 받아 B기업(웹사이트)에 로그인할 때 사용하면 된다.

일반 사용자용 시장은 로그인 하는 웹사이트와 상관없이 사용자 개인이 앱이나 프로그램 등을 통해 비밀번호를 통합·관리하는 솔루션을 말한다. 보통 기업용 시장과 일반 사용자용 시장이 함께 있을 경우 시장 규모는 일반 사용자용 시장이 더 클 것 같지만, 보안업계에서는 그 반대로 보고 있다. 일반 사용자용 시장은 돈이 안 되기 때문이다.

우선, 일반 사용자 시장은 이미 네이버와 구글과 같은 무료 인증 혹은 무료 OTP에 대부분 잠식되어 있다는 것이 보안업계의 판단이다. 차세대 사용자 인증 솔루션 ‘스톤패드(StonePASS)’를 출시한 센스톤의 유창훈 대표는 “퍼블릭 시장은 이미 대부분 네이버나 다음, 구글의 인증 솔루션을 사용하고 있다”고 강조했다.

“기업 중에서도 보안이 중요한 곳을 대상으로 영업을 하고 있습니다. 예를 들어, 은행이나 증권 등 금융권이나 기업의 연구소 등 별도로 보안을 강화해야 하는 기업들은 사용자 인증 솔루션을 사용하고 있습니다.”

국내 금융권 OTP(One Time Password) 시장을 리딩하고 있는 미래테크놀로지 역시 같은 입장이다. 권순철 미래테크놀로지 이사는 “OTP로 10년간 2차 인증시장을 진행하고 있지만, 아무래도 공공분야나 연구소 등 보안을 강화하는 기관과 기업 중심으로 영업을 하고 있다”고 설명한다.

물론 기업용 시장이라고 해서 호황인 것은 아니다. 하지만 이번 우리은행 사건처럼 크리덴셜 스터핑 공격이 지속되고, 비밀번호 관리의 중요성이 계속 강조되는 만큼 기업들도 사용자 인증에 관심을 더 갖게 되면 시장은 성장할 수밖에 없다고 관련 업계는 기대하고 있다.

또한, 한쪽에서는 공인인증서 폐지가 진행되고 사설인증서가 본격적으로 활용되면 ‘인증’ 시장 자체에도 큰 변화가 있을 것이라고 보고 있다. 사설인증서가 활성화되면 공인인증서의 핵심인 △식별(부인)인증 △인가인증 △서명인증 중 사용자 인증 부분인 인가인증 분야 역시 활성화될 수밖에 없다는 얘기다.

지금까지 사용자 인증 솔루션 시장의 현 상황에 대해 알아봤다. 현재도 계정도용이나 크리덴셜 스터핑 공격이 발생하고 있지만, 사용자 인증 솔루션 분야는 생각보다 성장 폭이 크지 않다. 이는 윈도우10의 비밀번호 관리 솔루션 ‘키퍼(Keeper)’ 취약점 사건 등 사용자의 신뢰도를 하락시킨 사건들도 한몫 했지만, 아직까지 비밀번호 관리의 중요성을 간과하고 있는 기업 혹은 사용자의 인식도 큰 영향을 주고 있다. 그럼에도 관련 기업들은 고객의 니즈를 충족할 수 있는 제품을 개발하고, 고객의 시선을 끌 수 있는 특장점으로 무장하면서 시장을 견인해 나가야 한다.

다음에는 사용자 인증 솔루션의 기술과 현재 시장을 리딩하고 있는 대표 솔루션을 함께 소개하도록 한다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제