Home > SecurityWorld > 오피니언

[테크칼럼] 출입보안 ‘크리덴셜’이란 무엇인가?

  |  입력 : 2021-10-31 23:08
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
출입보안 크리덴셜(Credential)의 진화

[보안뉴스= 최성빈 슈프리마 전무·기술연구소 소장] 크리덴셜(Credential)의 사전적 의미는 ‘자격증명’이며 출입보안에서만 통용되는 단어는 아니다. 일반적으로는 특정인이 해당 자격을 가지고 있는지를 증명하는 수단을 의미하며 각종 신분증과 증명서 등이 바로 Credential에 해당한다. 출입보안에서 ‘자격증명’이란 출입할 수 있는 자격과 그 자격을 증명하는 구체적인 것으로, 자격을 증명하는 구체적인 수단이란 바로 출입하고 바로 문을 열 수 있는 수단을 의미한다. 출입보안에서의 Credential 즉, 문을 열 수 있는 수단은 열쇠와 비밀번호, RF카드, 생체정보, 스마트폰에 이르기까지 다양하다.

▲‘크리덴셜’(Credential)의 사전적 의미는 ‘자격증명’이다[사진=슈프리마]


출입보안 Credential의 역사
출입보안에서 가장 먼저 출현한 Credential은 바로 ‘열쇠’이다. 인류 최초의 열쇠는 기원전 4,000년 전에 메소포타미아에서 출현한 빗장 자물쇠·열쇠로 알려져 있다. 놀라운 것은 4,000년 전에 출현한 인류 최초의 자물쇠·열쇠의 원리가 현재의 자물쇠·열쇠 원리와 크게 다르지 않다는 점이다. 열쇠는 기원전 4,000년부터 19세기까지 꾸준히 그 정교함을 발전시켜 왔다. 1857년에 이르러 번호를 통해서 열리는 자물쇠가 발명되면서 비밀번호라는 새로운 Credential이 출현했으며, 20세기 후반에 RF카드를 이용한 전자출입시스템이 개발됐다.

그리고 2000년대 들어서 생체인식이라는 새로운 개념의 Credential이 출현하며 출입인증에 이용되기 시작했고, 2010년대 후반으로 넘어오면서 스마트폰의 출현과 함께 스마트폰으로 출입하는 모바일카드가 도입되기 시작했다.

출입보안 Credential, 어떻게 진화해 왔나
열쇠와 비밀번호는 그 자체가 자격증명(Credential)의 수단이 아니다. 열쇠와 비밀번호는 단지 누군가에게 소유 또는 공유를 통해서 출입 자격을 부여하는 것으로, 누군가에게 소유 또는 공유돼야만 ‘자격증명’이 된다. 결국 소유한 사람이 출입자격을 가지게 되는 것이다. 문제는 열쇠와 비밀번호로는 누가 출입했는지를 알 수 없고, 누군가 부정한 방법으로 열쇠를 취득하거나 비밀번호를 알게 된다면 자물쇠를 바꾸거나 비밀번호를 바꿔야만 한다는 점이다. 결국 특정 소수가 출입하는 사적 공간의 출입관리는 가능하지만 특정 다수가 출입하는 공적 공간의 출입관리는 사실상 불가능하다.

이러한 한계를 극복한 것이 바로 RF카드다. RF카드는 카드의 고유번호를 비교해 출입하는 방식으로 출입한 사람이 누구인지 알 수 있고, 카드를 분실한 경우에도 시스템을 교체하지 않고 해당 카드만 비활성화 시킬 수 있기 때문에 특정 다수가 출입하는 공간의 출입관리에 적합하다.

▲RF카드는 카드의 고유번호를 비교해 출입하는 방식이다[사진=슈프리마]


물론, RF카드 역시 다른 사람에게 카드를 빌려주거나 맡기는 방법으로 인해 출입인증에 대한 문제가 존재했다. RF카드를 이용한 인증 시에 카드의 원래 소유자를 알 수 있지만 출입당시 카드를 소지하고 있던 사람이 카드의 소유자인지 확인하지 못해 부정 사용을 막을 수 없었기 때문이다.

RF카드의 대안으로 부정 사용을 원천적으로 방지할 수 있는 솔루션이 바로 생체인식이다. 생체인식은 개인의 고유한 생체적 특징 정보를 이용해서 개인을 확인하는 Credential이기 때문에 양도를 통한 부정 사용이 원천적으로 불가능하다.

생체인식 시장의 성장을 주도한 것은 지문인식이었지만 지난해 코로나19의 출현 이후 급격한 변화가 있었다. 언택트(Untact)에 대한 수요가 급증하면서 손가락 접촉을 통해서 동작하는 지문인식에 대한 수요가 급격히 줄어들기 시작했고 그 자리를 AI 기반의 얼굴인식이 대체했다. AI 기반 얼굴인식은 생체인식이 가지는 장점을 유지하면서 카메라를 이용한 비대면 등록과 비접촉 인증이 가능한 Credential로 지문인식의 빈자리를 빠르게 채워나가고 있다.

▲모바일카드는 출입보안 Credential 진화의 마지막 단계이자 지속적으로 발전될 출입보안 Credential이라고 볼 수 있다[사진=슈프리마]


최근에 등장한 모바일카드 역시 RF카드의 한계를 극복하면서 코로나19 이후 요구되는 비접촉을 만족시키는 Credential이다. 현대에 있어서 스마트폰은 금융정보를 비롯한 사회생활을 영위하기 위해서 필요한 모든 개인정보가 담겨 있는 장치이다. 서로 빌리고 빌려주는 대상이 아니라는 것이 이미 사회적으로 학습돼 있다. 하루 또는 일정 시간동안 자신의 스마트폰을 누군가에게 빌려주는 것은 상상 할 수 없고 이러한 스마트폰에 탑재된 모바일카드를 다른 이에게 빌려주는 행위는 사실상 일어나기 어렵다. 또한, 스마트폰에 탑재된 FIDO 기반 생체인식을 통해서 모바일카드를 구동하도록 구성하면 본인이 아닌 다른 사람은 모바일카드를 구동할 수 없다. 양도 가능하다는 RF카드의 한계를 완벽하게 극복한 것이다. 또한, 사람이 직접 전달해야 하는 기존 RF카드와 달리 이메일과 SMS를 통해서 원격으로 발급이 가능하기 때문에 코로나19 이후 요구되는 비접촉·비대면(Untact)을 만족시킬 수 있다.

출입보안 Credential 진화의 마지막 단계, ‘얼굴인식과 모바일카드’
앞에서 살펴본 출입보안 Credential의 진화과정을 통해서, 이상적인 Credential의 요건을 4가지로 정리해 볼 수 있다.

①출입자를 특정할 수 있어야 하며 ②출입 자격을 회수할 수 있어야 한다. ③출입 자격을 양도할 수 없어야 하고 ④코로나19 이후 요구되는 비접촉·비대면(Untact)이어야 하는데 Untact는 팬데믹으로부터 시작된 일시적인 요구라기보다는 인류가 경험한 새로운 편리함으로 이후 지속적으로 요구될 가치로 이해하는 것이 옳을 것이다.

위에서 살펴본 것과 같이 이러한 4가지 요건을 모두 만족시키는 출입보안 Credential은 바로 AI 기반 얼굴인식과 모바일카드이다. AI 기반 얼굴인식과 모바일카드가 바로 지난 6,000여 년 간 진행되어온 출입보안 Credential 진화의 마지막 단계이자 이후 지속적으로 발전될 출입보안 Credential이라고 볼 수 있을 것이다.

필자가 몸담고 있는 슈프리마가 AI 기반 얼굴인식과 모바일카드에 집중하는 것도 이러한 이유 때문이다.
[글_ 최성빈 슈프리마 전무·기술연구소 소장]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)