Home > 전체기사

[2021 MFA 리포트] 디지털 시대의 철저한 신원 증명, 다요소 인증

  |  입력 : 2021-07-01 13:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
브루트 포스, 사전공격, 크리덴셜 스터핑 등 사용자 계정 탈취 위한 공격 늘고 있어
계정 정보 유출돼도 다요소 인증(MFA) 통해 외부인 접근 차단할 수 있어
‘단계’가 아닌 ‘요소’ 다양화해 제대로된 MFA 구성해야
MFA 전문기업 이니텍, 미래테크놀로지, 한국보안인증의 솔루션 분석


[보안뉴스 이상우 기자] 디지털 중심의 세상에서 ID와 비밀번호는 자신의 신원이나 자격을 증명할 수 있는 수단이다. 사용자는 자신의 ID와 비밀번호를 입력해 각종 온라인 서비스에 로그인하고, 권한에 맞춰 서비스를 이용하거나 활동을 한다. 친구와 연락하는 메신저나 콘텐츠를 구독하는 일상적인 활동은 물론, 쇼핑, 금융 서비스 이용, 회사 업무 시스템 접속 등 다양한 목적으로 ID를 만들고 비밀번호를 설정한다.

[이미지=utoimage]


코로나19 기간 동안 빠르게 이뤄진 디지털 전환은 오늘날 우리 사회가 온라인을 기반으로 하는 비대면 소통에 익숙하도록 만들었다. 하지만 이 과정에서 개인과 기업이 관리해야 할 ID와 비밀번호가 늘어났으며, 이러한 추세는 결과적으로 사용자가 자신의 계정보호에 대한 인식을 안일하게 만들 수 있다.

IBM시큐리티가 실시한 설문조사에 따르면 한국 성인들은 코로나19 기간 동안 평균 14개의 새로운 온라인 계정을 만든 것으로 나타났으며, 응답자의 45%는 코로나19 이후에도 이 계정을 삭제하거나 비활성화하지 않을 계획이라고 밝혔다. 즉, 향후 몇 년간 사이버 공격자가 노릴 수 있는 대상도 많아진 셈이다. 특히, IBM시큐리티는 이번 조사에서 관리해야 할 계정이 급증한 것은 느슨한 비밀번호 관리로 이어질 수 있다고 경고했다. 실제로 10명 중 약 9명(88%)이 같은 기간에 생성한 계정에 대해 동일한 암호를 사용한 바 있다고 답변했다. 이는 코로나 기간 동안 생성된 새로운 계정 다수에 이미 유출됐을 가능성이 큰 ID와 비밀번호가 재사용됐을 가능성을 시사한다.

ID와 비밀번호를 도용하는 사이버 공격 유형은 다양하다. 우선 비밀번호를 풀기 위해 가능한 모든 경우의 수를 대입하는 ‘브루트 포스(Brute Force, 무차별 대입 공격)’는 시도는 쉬운 반면, 성공 확률이 낮고 특히 로그인 시도 횟수에 제한이 있다면 금방 차단된다. 이와 함께 쓰이는 ‘사전 공격(Dictionary Attack, 사전 대입 공격)’은 사전에 등재된 단어를 중심으로 비밀번호를 풀기 때문에 상대적으로 시간은 짧게 걸리나, 무작위 난수를 이용한 비밀번호를 풀 수는 없다.

하지만 여전히 단순한 비밀번호를 사용하는 사람이 많기 때문에 ‘단순한’ 공격 역시 유효하다. 가령, 미국 트럼프 전 대통령의 트위터 계정이 해킹된 사고의 경우 비밀번호를 단순히 maga2020!로 설정했기 때문에 발생한 것으로 보고 있으며, 사상 최악의 공급망 공격이라 일컫는 솔라윈즈 사태에 대해 외신에서는 공격자가 최초 솔라윈즈 침투 시 비밀번호를 solarwinds123으로 추측해 침입했다고 보도하기도 했다.

계정을 탈취하는 공격 유형 중 크리덴셜 스터핑(Credential Stuffing)은 다른 경로로 유출된 ID와 비밀번호 조합을 이용하는 방식이다. 보안이 취약한 일부 홈페이지의 DB 서버, 악성코드에 감염된 PC 및 스마트폰, 피싱 사이트 등을 통해 사용자의 계정 정보가 쉽게 유출될 수 있으며, 이렇게 유출된 정보는 다크웹은 물론, 표면웹을 통해 유포되기도 한다. 유포된 정보를 획득한 사이버 공격자는 이를 여러 다른 서비스에 대입하며 유효한 조합을 찾는다. 무작위로 대입하는 방식과 달리, 실제로 사용하는 ID와 비밀번호기 때문에 상대적으로 성공률 또한 높다. 만약 사용자가 보안이 취약한 동호회 홈페이지에서 사용하는 ID와 비밀번호를 인터넷 뱅킹에도 동일하게 사용하고 있다면 이는 금융 사고로 이어질 수 있다.

실제로 아카마이가 최근 발표한 보고서에 따르면, 지난 2020년 한 해 동안 관측된 크리덴셜 스터핑 공격은 총 1,930억 건이며, 이 중 34억 건은 금융 서비스를 대상으로 발생했다. 해당 보고서를 통해 아카마이는 공격자가 다양한 방법을 통해 유효한 사용자 계정 정보를 조합해가고 있으며, 이를 위해 피싱을 주로 이용하고 있다고 설명했다. 특히, 재택근무가 빈번해지고, 기업 근무 환경에 모바일 기기가 쓰이면서 스미싱을 이용하는 방식 역시 증가하고 있다고 덧붙였다. 이 때문에 사용자 ID와 비밀번호는 물론, 이를 이용한 시스템 접근에 대해 철저히 검증하는 것은 디지털 중심의 세상에서 집중해야 할 보안 과제로 자리 잡고 있다.

국내 기업·기관 보안 담당자는 ID와 비밀번호를 어떻게 보호하고 있을까
<보안뉴스>와 <시큐리티월드>는 기업 및 기관, 의료계 등의 보안담당자를 대상으로 설문조사를 실시했다. 이번 설문조사는 보안담당자의 개인용·기업용 계정 보호 방안을 묻고 다요소 인증(2단계 인증, Multi Factor Authentication, 이하 MFA) 적용 수준을 조사하기 위해 진행했다.

설문조사 결과 응답자의 58.7%는 자신의 계정 정보를 통해 알 수 없는 타인이 로그인을 시도한 경험이 있다고 답변했다. 사용자가 자신의 계정을 타인에게 알리지 않았더라도 브루트 포스나 사전공격 등을 통해 유효한 정보가 노출됐을 가능성이 있으며, 이미 공격자가 다크웹 등에서 입수한 정보로 크리덴셜 스터핑 공격을 시도했거나, 아예 피싱을 통해 실제 사용자의 정보를 탈취했을 가능성도 있다.

▲계정 보호 방안 및 MFA 인식 설문조사[자료=보안뉴스]


이번 설문조사에서 응답자의 60.9%는 사용하는 개인용 서비스마다 서로 다른 ID와 비밀번호를 설정한다고 응답했다. 보안과 관련한 업무를 담당하는 만큼, 일반 사용자와 비교해 비밀번호 설정에 신경쓰는 것으로 풀이할 수 있다. 이밖에 ID만 다르게 설정한다는 응답은 18.6%, 비밀번호만 다르게 설정한다는 응답은 3.6%로 나타났으며, 완전히 동일하게 설정한다는 응답자도 15%나 있었다. 이밖에 기타 1.8% 중에는 ID와 비밀번호가 너무 많아 어떻게 설정했는지 기억이 나지 않는다는 사용자도 있다.

응답자가 개인용 계정을 보호하기 위해 주로 사용하는 방안으로는 복잡한 비밀번호 설정(35.4%), MFA 사용(29.3%), 주기적인 비밀번호 변경(18.9%) 순으로 많았으며, 이 세 가지 방안을 모두 이용한다는 사람은 2.1%였다. 다만, 특별히 비밀번호를 관리하지 않는다는 사용자도 13.9%나 있었다.

이들의 기업에서 실시하는 비밀번호 보호 정책은 주기적인 비밀번호 변경이 46.8%로 가장 높았으며, 그 뒤를 MFA 사용(22.1%), 복잡한 비밀번호 설정(20%) 등이 있었고, 해당 수단을 복합적으로 사용한다는 응답은 1.4%였다. 한 달에 한 번 정도 쉽게 예측하기 어려운 난수를 비밀번호로 변경한다면, 개인과 기업은 여러 형태의 비밀번호 탈취 공격을 충분히 예방할 수 있다.

하지만, 사전에 등록된 단어가 아닌 난수를 이용해 숫자, 대·소문자, 특수문자 등을 조합한 비밀번호를 한 달마다 변경하고, 매번 이를 기억하는 것은 아주 번거로운 일이다. 자주 사용하지 않는 서비스의 경우 몇 번의 로그인 시도 끝에 결국 비밀번호 찾기를 통해 새로 비밀번호를 설정한 뒤 로그인하는 모습도 흔할 것이다. 기업의 경우 이러한 방식으로 비밀번호를 찾는 것은 직원의 업무의 진행 속도를 늦추는 것은 물론, IT 부서에 불필요한 업무를 제공하게 된다.

반대로 ‘복잡한’ 비밀번호를 기억하기 쉽게 하기 위해 기존 비밀번호 뒤에 1이나 ! 같은 것을 추가하는 수준에 그친다면 보안 강화라는 비밀번호 변경의 근본적인 이유를 부정하는 셈이다. 이 때 사용할 수 있는 현실적인 방법은 비밀번호 관리 솔루션을 이용하는 것이지만, 이번 설문조사에서 회사 차원의 관리 솔루션을 도입해 사용한다고 답한 사람은 6.1%에 그쳤다.

흔히 2단계 인증이라고 부르는 MFA는 복잡한 비밀번호 설정이라는 부담을 줄이면서도 유출로 인한 보안사고를 예방할 수 있는 수단이다. ID와 비밀번호를 입력하는 1차 인증과 함께 ARS, 보안카드, OTP, 이메일, 문자메시지, 전용 애플리케이션 등 다양한 수단을 활용해 추가적인 인증을 거치는 방식으로 이뤄지며, 최근에는 스마트폰을 기반으로 하는 2단계 인증을 주로 사용한다.

특히, MFA가 적용된 계정은 비밀번호가 노출되더라도, 사용자가 설정한 2차 인증 수단 없이는 계정에 접근할 수 없기 때문에 상대적으로 계정을 안전하게 보호할 수 있다. 기업 보안담당자 입장에서도 반복적인 2차 인증 요구에도 실제 로그인이 이뤄지지 않은 이벤트를 발견했다면, 이를 사이버 공격자로 의심하고 IP를 차단하거나 해당 계정의 소유자에게 비밀번호 변경을 알릴 수도 있다.

앞서 언급한 것처럼 이번 설문조사에서 MFA를 통해 계정을 보호한다고 응답한 기업은 22.1%로 나타났다. 그렇다면 기업이 이를 적극적으로 도입하지 않는 이유는 무엇일까? 많은 기업이 도입 비용에 대한 부담(44%)을 들었으며, 로그인 시 사용이 번거롭다(39.1%)고 응답한 기업도 다수를 차지했다. 비밀번호 변경만으로 충분하다고 응답한 기업은 10.7%. 필요성을 느끼지 못한다고 응답한 기업은 3.7%로 나타났다.

이러한 이유에서인지, 향후에도 MFA를 도입할 계획이 없다고 응답한 기업이 45.7%를 차지했다. 도입을 고려하고 있으나 비용이 고민이라는 기업도 31.4%로 나타났다. 6개월 이내 이를 도입하겠다는 기업은 6.2%였으며, 1년 이내 도입하겠다는 기업은 12.8%다. 도입 예산으로는 1,000만 원 이하가 38.8%로 가장 많았고, 2,000만 원 이하 16.7%, 3,000만 원 이하 23%, 3,000만 원 초과 21.5% 등으로 조사됐다.

주요 MFA 솔루션 기업이 제안하는 보안 강화 방안
미국 바이든 행정부는 최근 사이버보안 집행 명령 발표해 손상된 자격증명, 즉 유출된 계정을 악용한 사이버 공격에 대응하도록 했다. 여기에는 제로 트러스트 모델과 MFA를 통한 추가 인증, 암호화 명령 등 더 강력한 사이버 보안 표준을 미국 연방정부에서 현대화하고 구현한다는 계획이 포함돼 있다.

이처럼 MFA는 오늘날 디지털 중심의 세상에서 알 수 없는 외부인의 접근을 통제하는 데 중요한 역할을 하고 있다. 그렇다면 국내에서 활동하는 주요 MFA 솔루션 기업은 오늘날 보안 환경에 대해 어떤 조치가 필요하다고 말할까?

[이미지=utoimage]


이니텍은 최근 유출된 자격증명으로 인해 발생하는 보안사고를 예방하기 위해서는 시스템 약점 최소화, 보안운영조직 확대 등 내부 보안 역량 강화, 유출사고 대비를 위한 데이터 암호화(DRM), 원격접속 제어(악성코드에 의한 불법적인 원격접속 차단) 등이 필요하며, OSINT(Open Source Intelligence)를 활용해 계정정보가 유출됐는지 확인할 필요가 있다고 설명했다. 특히, 다요소 인증의 활용(사용자 식별·인증을 위한 간편인증 등을 활용한 2단계 인증체계 적용), 사용자 비밀번호 관리 강화(주기적 비밀번호 변경 강제화 등 비밀번호 변경규정 강화, 분실·도용·해킹에 대비해 비밀번호 초기화 적용) 등의 방식을 들 수 있다고 덧붙였다.

현재 이니텍은 생체인증(FIDO), 모바일 OTP. PKI 등을 활용한 인증 기능을 구현하고 있으며, 이밖에 간편인증과 신규 사설인증기관을 모두 아우르는 인증통합 플랫폼 또한 공급하고 있다. 주요 기술로는 FIDO2 사양에 따라 구현한 FIDO2, 시간 동기화 정보와 특수정보를 활용한 mOTP, 사용자가 등록한 패턴을 NONCE와 조합하고 해시화해 검증하는 패턴인증, 사용자가 입력한 PIN 정보 활용, 화이트박스 암호화 기술을 이용하는 SE(Security Element) 방식의 암호화도 적용한다.

이니텍은 자사 솔루션에 대해 MFA의 일반적인 사양을 구현한 모듈로 제공하지만, 화이트박스 방식으로 암호화돼 있어 암호키 노출에 민감하지 않고, 2가지 요소 인증에 국한되지 않으며, 기존 제품과 연계 구성이 가능하다는 것이 가장 큰 강점이라고 설명했다. 특히, 싱글 사인 온 등의 프로젝트를 통해 서로 다른 요소를 연계하는 노하우 역시 누적돼 있으며, 하나의 모바일 앱에서 다양한 형태의 인증 방식을 모은 모듈형 구성으로 기업에 맞게 MFA를 적용할 수 있다고 덧붙였다.

미래테크놀로지는 기업이 유출된 계정 정보로부터 정보자산을 보호하기 위해서는 사용자의 정보를 올바르게 확인할 수 있어야 한다며, 이를 위해 MFA가 필요하다고 설명했다. ID·비밀번호가 유출돼도 2차 인증을 적용한 경우 OTP·생체인증·QR인증 등의 실시간 생성정보를 활용해 로그인 단계에서 사용자를 식별하는 것이 효율적인 방안이다. 이 때 웹 페이지에서 파라미터 변조나 세션 탈취 등에 대비해 시큐어코딩을 같이 적용해야 한다고 덧붙였다.

MFA의 경우 지식기반·소유기반/속성기반/행위기반 등의 인증 카테고리 중 2가지 이상의 인증을 구현하는 것을 의미한다. 지식기반의 경우 대부분의 시스템에서 ID·비밀번호 체계를 유지하고 있기 때문에 소유기반/속성기반/행위기반 등의 요소를 로그인 절차에 추가로 적용하는 것을 의미한다. 미래테크놀로지는 비밀번호 같은 지식기반의 경우 탈취가 가능하지만 나머지 방식의 경우 탈취가 쉽지 않기 때문에 보안강화를 위한 효과가 높다고 설명했다.

미래테크놀로지는 “OTP로 대표되는 인증기술은 무작위로 생성되는 난수의 일회용 패스워드를 이용하는 사용자 인증방식이다. 보안을 강화하기 위해 로그인 할 때마다 일회성 패스워드를 생성해 동일한 패스워드가 반복해서 사용됨으로써 발생하는 보안상의 취약점을 극복하기 위해 도입됐다. 우리는 자체 생성알고리즘을 개발해 금융거래용과 동일한 기술을 적용하고, QR인증, FIDO인증 등에 접목해 인증방식을 지원하고 있다. 이 밖에도 SW방식의 사용이 제한되는 업무대상자를 위한 H/W(일반형, 보안형, 카드형, 음성형)방식의 제품도 혼용사용이 가능하도록 지원하고 있다”고 말했다.

한국보안인증은 계정 도용 등을 방지하기 위해서는 사용자가 자신의 정보가 유출됐다는 사실을 인지하는 순간, 자신의 비밀번호를 변경하는 것이 가장 중요하고, 무엇보다 비밀번호를 주기적으로 변경해야 한다고 강조했다. 주기적으로 하는 것이 중요한 이유는 유출됐다는 사실조차 모르는 경우가 많기 때문이다. 따라서 비밀번호가 유출됐더라도 해커가 시스템에 접근할 수 없도록 비밀번호 변경과 함께 2차 인증 방식도 구현해야 한다고 덧붙였다.

한국보안인증은 “통합보안 인증플랫폼(OKey)은 OTP의 안전성, 생체정보를 기반 인증, PKI 인증서 기반 인증뿐만 아니라 QR코드, 패턴, 위치 기반 인증 등이 있으며, 사용자의 정책에 따라 이들을 결합하거나 선택 적용이 가능하다”며, “OKey는 국제 표준을 준수해 구글과 MS 등의 글로벌 제품과 호환한다. 또한, 현재 한국보안인증은 FIDO 얼라이언스 회원사이며, U2F, UAF, WebAuth를 이용해 FIDO 인증을 진행하고 있다. 그 밖에, 위치기반 인증, QR인증, AI인증 등 차세대 인증기술을 OKey 내에 새롭게 적용하고 있다”고 말했다.

누리아이티는 유출된 자격증명 정보가 도용되지 않게 하기 위해서는 비밀번호를 바꾸는 것보다는 추가 인증 수단을 적용하고, 일정 횟수 이상 인증 실패 시 접속을 차단하는 조치가 필요하다고 말했다. 또한, 인증 수단을 특정하지 않고 지식기반, 소유기반, 특징기반 인증 요소 중 서로 다른 방식을 복합적으로 조합해야 한다고 덧붙였다.

누리아이티의 MFA 솔루션은 별도의 인증 서버가 필요 없는 모듈인증 방식의 2세대 인증 솔루션으로, SHA-512를 적용한 OTP로 생성기로는 스마트폰 앱(BaroPAM)와 플라스틱 OTP 카드(BaroCARD)에 생체정보인 지문 정보를 카드에 직접 등록하는 방식을 적용했다. 정보자산의 다양한 운영체제 및 애플리케이션에서 2차 인증(추가 인증)으로 OTP를 접목하는 등 중앙집중적 인증 메커니즘을 지원하는, 단순하면서도 강력한 정보자산의 접근제어 인증 솔루션이라는 설명이다.

누리아이티는 “BaroPAM은 별도의 인증 서버가 필요 없는 모듈 인증 방식의 솔루션으로 보안성이 강하며, 단순하고, 관리도 필요 없고, 장애도 없고, 손쉽게 적용할 수 있으며 추가 장비 도입도 불필요하다. 통신을 필요로 하는 방식이 아니기 때문에 빈번하게 발생하는 통신 장애가 발생하지 않으며, 인증 속도나 서비스가 중단 등의 장애도 발생하지 않는다”고 설명했다.

라온시큐어는 손상된 자격증명으로부터 기업을 보호하기 위해서는 비밀번호를 주기적으로 변경하는 것은 물론, 사이트 혹은 서비스마다 비밀번호를 다르게 설정하는 등의 방법으로 개인정보 유출 사고에 대비할 수 있으며, 생체인증, 문자 인증, OTP와 같은 2차 인증을 설정하면 크리덴셜 스터핑 등을 통한 추가적인 개인정보 유출 피해를 막을 수 있다고 설명했다.

현재 라온시큐어는 FIDO 방식의 생체인증 기술을 중심으로 MFA 체계를 구현하고 있다. 라온시큐어는 2015년 FIDO 글로벌 인증을 획득했으며, 현재 구글, 아마존, 마이크로소프트, 삼성전자, 애플 등 글로벌 IT 기업들과 함께 FIDO 얼라이언스 이사회 멤버로서 전 세계 생체인증 관련 정책 및 기술, 솔루션 등에 대한 의사결정에 참여하고 있다.

FIDO 기반 다채널 인증 플랫폼 ‘원패스(OnePass)’는 국제 기술 표준 규격인 FIDO1.0, FIDO2 인증을 통해 모바일 단말기, PC, 웹 브라우저 등 인증 환경에 제약 없이 생체인증을 사용 가능하도록 설계된 것이 특징이다. SAML, JWT, RestAPI 등 표준 기술을 지원해 기존 시스템의 환경 변화를 최소화할 수 있으며, 모바일 OTP, PC OTP, 보안 PIN 등 다양한 2차 인증 수단을 모듈식으로 제공해 높은 보안 수준의 MFA 체계를 편리하게 구현할 수 있다. 또한, 2차 인증뿐만 아니라 민간인증서 기반의 전자서명도 지원한다.

센스톤은 사용자가 IT 환경을 이용할 때 비밀번호를 주기적으로 변경하는 등의 관리를 해야 하지만, 대부분의 사용자는 동일한 계정과 비밀번호를 여러 곳의 사이트에서 사용하고 있어 사이버 위협에 놓인다고 말했다. 이를 예방하기 위해서는 주기적인 비밀번호, 동일한 계정정보 사용 지양, 2단계 인증 혹은 다요소 인증을 통한 접근제어가 필요하다고 덧붙였다. 또한, 공격자가 유출된 정보로 접근을 시도할 때, 정상적인 ID, 비밀번호로 접속을 한다면 막을 방법이 딱히 없는 것이 현실이지만, 비정상적으로 대량의 정보가 유입될 때 임계치를 두거나 비밀번호 시도횟수를 제한하는 등의 대책을 고려할 수 있다고 말했다.

센스톤은 “2단계 인증은 사용자에게 다소 불편을 초래할 수 있으나, 이미 유출된 개인들의 ID와 비밀번호로 접근하는 것을 사용자가 설정한 2단계 인증수단 없이는 접근할 수 없기 때문에 민감한 서비스를 보다 안전하게 이용할 수 있게 한다. 센스톤의 OTAC 기술을 이용해 인증코드나 QR코드를 적용한다면 사용자는 비밀번호를 기억하는 것으로부터 자유로워질 수 있으며, 일회용 코드이므로 다른 곳에 유출되어도 문제가 없기 때문에 여러 장점을 얻을 수 있다”고 설명했다.

센스톤의 OTAC 기술은 ID와 비밀번호, 인증코드 생성 RSA 하드웨어 및 소프트웨어, 토큰화(tokenization) 등 가장 보편적으로 사용되는 3가지 인증 시스템의 장점들을 모두 제공한다. 개별 시스템들이 제공하는 기능들이 모두 결합돼 있으며, 통신이 불안하거나 네트워크가 없는 환경에서도 사용자 및 기기 사이의 식별 및 인증을 동시에 지원하는 단일 다이내믹 코드를 생성할 수 있다. 센스톤은 이를 기반으로 암호가 필요없는 다요소 인증, 초소형 알고리즘을 통한 적용 유연성 및 확장성, API·SDK를 통한 시스템 통합, 토큰같은 인프라 구축 불필요로 비용 절감 등을 OTAC 기반 MFA의 장점으로 내세웠다.

시큐브는 사이버 공격자는 자동화 툴을 이용해 공격하는 것이 일반적이므로 제한된 시간 안에 로그인 시도가 증가하고, 트래픽의 변화가 생기고, 평소보다 로그인 실패 빈도가 높아지므로 탐지를 통해 차단할 수 있다고 말했다. 또한, 다요소 인증(MFA) 체계를 구축해 공격자의 접근 시도를 차단할 수 있으며, 추가로 시스템의 비밀번호 조합 정책과 변경 주기 정책을 강력히 적용해야 한다고 덧붙였다.

시큐브는 행위기반의 서명인증 기술과 소유기반의 모바일 기기를 활용한 OTP·QR 인증 솔루션을 구현하고 있다. 서명인증인 시큐사인은 서명의 최종 이미지뿐만 아니라 서명과 연관된 개인의 고유한 행위특징 정보를 인식 및 분석해 서명자의 신원을 확인하는 행위적 특징 기반 생체인증 솔루션이다. 서명자가 직접 서명을 입력해야 하므로, 무의식 상태에서는 인증이 불가해 타인에 의한 도용을 방지하며, 동적인 데이터를 통해 인증하므로 단순 복제가 불가능하다. 또한 모바일 디바이스의 터치스크린 외에 다른 부가적인 인식 센서도 불필요하다.

시큐브 Q인증은 QR코드 인증 방식과 Time-Sync 기반 OTP 인증 방식을 지원하는 소유기반 인증이다. QR코드 방식은 인증번호가 포함된 QR코드와 별도의 통신채널을 사용하는 랜덤값으로 보안인증 코드로 인증하기 때문에, 하나의 인증 정보만을 사용하는 일반적인 QR코드 인증보다 보안성이 강화됐다. OTP 방식은 시간 동기화를 통해 앱과 서버의 통신 없이 사용자를 인증할 수 있으므로, 네트워크 공격으로부터 안전하며, 망 분리 환경에 적용하기 적합한 인증 기술이다.

유넷시스템은 손상된 자격증명 악용을 방지하기 위해서는 ID와 비밀번호를 동일하게 설정하거나 공유하는 것을 삼가고, 2차 인증을 적극적으로 활용해야 한다고 말했다. 또한, 계정정보는 물론, 기업 정보 자산이 유출돼도 활용 할 수 없도록 암호화 및 비식별화를 적용해야 한다고 덧붙였다.

유넷시스템의 MFA 기술인 인증서 기반 MFA는 인가된 사용자만 발급받은 인증서 및 개인키의 소유, 개인키의 비밀번호 등 ID·비밀번호 외에 다른 기반의 인증을 적용해 전자서명 및 인증서 검증을 제공한다.

유넷시스템은 “인증서 기반의 MFA 기술인 ‘트러스트넷’ 솔루션은 2003년 당사 창업시 기반기술인 암호·인증기술을 지난 18년간 꾸준히 발전시켜온 것으로, 공인인증서 폐지에 따른 여러 대안을 제시할 수 있는 암호인증부문의 다양한 솔루션을 보유해 국내 주요 대기업, 금융권, 의료계 등에서 전문성과 기술력을 인정받아오고 있다”며, “발급대상자의 제약이 적어 인가된 협력사 및 해외임직원을 대상으로 자유롭게 발급이 가능하며, 인증서 기반의 다중인증 외 행위사실에 대한 부인방지 및 감사·증적의 활용으로 법적효력도 높다”고 덧붙였다.

펜타시큐리티는 사용하는 온라인 서비스는 많은 반면, 다양한 비밀번호를 외우는 것은 한계가 있고, 운영체제나 웹 브라우저가 비밀번호 저장 기능 역시 동기화된 계정이 노출되면 유출 사고가 발생할 수 있다고 말했다. 이에 로그인 보안 관리 기능이나 MFA가 필요하다고 덧붙였다. 특히, 기업의 경우 MFA 기술, 이력 분석을 통한 비정상 로그인 판별 기술, 로그인 시간·지역·브라우저 정보 감지 등의 기술을 적용하고, 로그인 후에 사용자가 취하는 행위가 기존에 행하던 행위와 다른 지의 여부를 분석하는 이상행위(anomaly) 감지 기술 등이 필요하다고 강조했다.

펜타시큐리티는 “우리는 지식기반(비밀번호, PIN, 패턴), 특징기반(지문, 홍채 등 FIDO 인증), 소유기반(모바일 OTP. 스마트카드 등) 요소 등 다양한 인증 수준을 활용한 인증 기술을 제공하고 있다. 이러한 요소를 결합해 사용자의 인증을 제공할 수 있으며, QR Code를 사용한 인증 등과 같이 사용자의 편의를 추가한 기법도 제공하고 있다”며, “우리 솔루션은 다양한 인증 방식 제공, 사용자의 권한 설정 및 접근제어 기능. 중복 로그인 방지 등의 인증 관리 기능, SSO(Single Sign On)을 통한 기업 내 사용자 편의, OAuth와 SAML 지원을 통해 다양한 외부 인증서비스와 연동, 사물에 대한 인증을 제공, DID(Decentralized IDentity) 지원, 웹방화벽, 개인정보 보호 솔루션과의 연동 등이 장점“이라고 소개했다.

제대로 된 MFA 구성 위해서는 ‘단계’가 아닌 ‘요소’를 다양화해야
사용자가 자신의 비밀번호를 더 복잡한 비밀번호로 수시 변경해서 보호하는 것은 아주 어려운 일이다. FIDO 얼라이언스가 실시한 설문조사에서는 온라인 사용자 45% 이상이 매우 쉬운 (예: password, 123456, 123ab, 생일 등) 비밀번호를 사용하고 있는 것으로 나타났으며, 온라인 사용자 61% 이상이 하나의 비밀번호를 다양한 계정에 사용하고 있다. 특히, 사용자 평균 30개, 최대 100개 이상 계정을 사용하고 있기 때문에 외우기 쉽도록 비슷한 유형의 비밀번호를 사용하게 된다.

MFA는 이미 유출됐거나 쉽게 추측 가능한 비밀번호를 통한 계정의 접근 시도를 차단할 수 있는 방법이다. 하지만, 단순히 여러 단계를 거쳐 로그인 하는 것이 MFA라는 생각은 버려야 한다. 가령, 비밀번호 외에 패턴을 2차 인증 수단으로 적용했을 경우 이는 MFA를 올바르게 적용한 것이 아니다. 신원 증명을 위해 지식기반 정보를 연속으로 사용했기 때문이다.

이처럼 잘못된 MFA 구성은 날로 진화하는 사이버 공격 기법에 무력할 수밖에 없다. 예를 들어 미국의 게임 개발사 일렉트로닉 아츠(EA)는 관리자 계정 보호를 위해 문자메시지로 일회용 비밀번호(OTP)를 전송하는 2차 인증을 구성했다. 하지만 사이버 공격자는 해당 관리자인 것처럼 IT 부서에 연락을 하고, 전화기를 잃어버렸으니 다른 번호로 OTP를 보내달라고 요청해 2차 인증을 뚫었다. 이러한 사례에서 알 수 있듯, 제대로 된 MFA 구성을 위해서는 단계를 늘리는 것이 아닌, 인증 방식(지식기반, 소유기반, 특징기반, 행위기반 등), 즉 요소(Factor)를 다양하게 해야 한다.

로그인 시 비밀번호+스마트폰에 설치된 인증 앱을 함께 사용한다면 지식기반+소유기반 인증을 함께 사용하는 셈이다. 특히, 여기에 지문, 정맥, 얼굴 같은 특징기반 생체인증을 더한다면 높은 수준의 보안을 기대할 수 있다. 물론, 앞서 언급한 문자메시지 기반 OTP 역시 단순한 온라인 서비스 등에서 보안을 강화하는 수단이 될 수 있지만, 기업이나 기관의 중요한 정보자산 접근통제용으로 활용하기에는 부족하다. 이에 보안담당자는 더 많은 고민과 노력으로 디지털 시대에 맞는 철저한 신원 확인을 도입할 필요가 있다.

[주요 MFA 솔루션 기업 1. 이니텍]
자서명법 개정과 디지털 컨택트 시대의 도래
인증&보안 전문기업 이니텍, 인증통합플랫폼으로 디지털 인증 시장을 선도하다


인증&보안 전문기업 이니텍은 지난해 전자서명법 개정과 코로나19 등의 여파로 비즈니스 환경이 격변하면서 오프라인 서비스와 근무환경의 디지털화, 비대면 서비스의 확장을 고민하는 기업들에게 최적의 사용자 인증 방안을 제시하고 있다. 이니텍은 SNS 인증을 비롯해 기존 공동인증서와 신규 전자서명사업자의 인증서, 각종 간편인증(생체인증, PIN, 패턴 등) 등 수없이 많은 인증 수단을 하나의 플랫폼에 통합해 제공하는 한편, 각 인증수단의 운영 환경 역시 통합함으로써 즉각적인 인증 서비스 도입 및 유연한 확장을 보장하는 제품을 출시해 시장을 공략하고 있다.

◇2021년 인증시장 전망
이니텍은 서비스의 환경적 측면에서, 코로나19 팬데믹 상황의 변화추이에 따라 비대면·디지털 방식의 활용 및 전환 속도는 개별 기업별로 상이할 수 있으나, 디지털 전환은 지속적으로 일어날 것이라 분석했다. 언제든 발생할 수 있는 예측 불가능한 사건들에 대응해야 하는 기업들은 위협이 되는 요소를 제거하고 불확실성을 최소화하며 비즈니스 환경을 최적화해야 하기 때문이다.

주목해야 할 정책의 변화는 전자서명법 개정이다. 지난해 개정된 전자서명법으로, 올해 다수의 신규 전자서명인증서비스 사업자의 출현이 예상되고 있다. 기업은 서비스 제공 시, 또는 직접적인 서비스 구매자나 파트너 같은 이들과 거래 계약을 맺을 경우 사용할 ‘인증 수단’을 정책에 맞게 적용해야 할 것이며, 이와 더불어 (구) 공인인증서의 우월한 지위 폐지는 다양한 인증서비스 제공자에게 시장에 진입할 수 있는 기회를 확대할 것이라 전망했다.

◇2021년 인증시장 기회요소
이니텍은 2021년 인증시장의 기회요소로 ‘온오프라인 통합 패스’, ‘디지털 컨택트’, ‘무인화 시스템’ 등을 꼽았다. 언택트에서 나아가 디지털 컨택트가 서비스의 성패를 좌우할 수 있는 지금, 보안을 보장하는 다양한 인증 수단의 즉각적인 도입은 서비스 전략의 가장 중요한 부분일 것이며, 이니텍의 인증통합플랫폼은 시장의 요구에 발맞춰 인증 수단들의 즉각적인 도입과 유연한 확장 기반을 제공해 기업이 저비용 고효율 인증 환경을 마련할 수 있는 기회가 될 것이라고 덧붙였다.

◇2021년 시장공략 전략
이니텍은 가장 최신의 전자서명사업자 지위 획득 노하우를 보유하고 있으며 PKI 기반 솔루션과 생체인증, 간편인증 등 보안인증에 특화된 다양한 솔루션을 보유하고 있다. 이런 노하우와 기술력을 바탕으로 인증서비스 수요 기업에게는 다양한 인증 수단의 통합 환경 제공을, 인증서비스 공급 기업에게는 지속적인 고객 확장을 제안해, 고객 편의와 보안성 확보를 최우선으로, 인증서비스 제공기업과 공급기업에게 최적의 1등 파트너사가 되겠다는 전략이다.

2021년 주목해야 할 이니텍의 제품은 ‘INI-HuB’이다. INI-HuB는 인증 GW 및 I/F를 포함해 각종 인증수단을 연계하고, Workflow를 비롯한 운영환경을 제공한다. 기업은 언제든 원하는 인증수단을 편리하게 서비스에 적용하고, 해당 인증수단을 활용한 사용자 로그인과 본인인증, 전자서명을 지원하며 그 내역을 통합해 관리할 수 있다. 기존 방식(인증수단 개별 구축) 대비 구축비용 및 운영비용을 획기적으로 절감할 수 있으며 사용자 요구에 적시에 대응할 수 있다는 장점이 있다.

[자료=이니텍]


[주요 MFA 솔루션 기업 2. 미래테크놀로지]
재택근무 확대로 업무 시스템 외부접속 증가…내부망 보안 위협도 함께 커져
미래테크놀로지, “침입피해 예방 위해 사용자 인증 강화가 필수”


◇재택근무 환경에 최적화 된 인증플랫폼 제공
코로나19 이후 공급망 공격이나 이메일 공격을 이용한 대형 보안사고가 끊임없이 발생하고 있다. 악성코드 감염으로 인한 유출 또는 딥웹·다크웹에 유포된 기업 계정정보를 이용한 내부망 침입피해를 예방하는데 있어서 가장 손쉬운 방법은 내부시스템 로그인 시 사용자 인증을 강화하는 방법이다. 국내에도 코로나19 팬데믹 이후 기업들의 재택근무 확대로 업무시스템의 외부접속이 증가하면서 로그인 보안강화를 위해 미래테크놀로지의 멀티인증 플랫폼을 찾는 기업이 크게 늘어나고 있다.

미래테크놀로지는 기존 OTP의 장점인 강력한 2팩터 인증, 적용 편의성, 다양한 장치지원을 비롯해 축적된 기술력과 노하우를 바탕으로 국내외 800여개 고객사 환경에 최적화된 시스템을 제공하고 있으며, 국내 최대 인증매체 라인업을 보유하고 있다. 최근 가장 선호되고 있는 생체인증을 비롯해, QR인증, 모바일 OTP를 통합 APP 형태로 제공하고 있으며, 신용카드 모양의 카드형, 토큰형 방식도 있다. 이외에도 ADFS 연동을 위한 에이전트 개발을 완료했다.

GrippinTower는 VPN, 데스크탑 가상화 등의 레거시 시스템과 웹 메일, 그룹웨어, SSO 등의 웹 기반 업무시스템을 비롯해 접근제어시스템, 계정관리솔루션, SFTP/RDP 등의 서버 로그인까지 연동이 가능하기 때문에 하나의 인증매체를 이용한 사내 보안강화에 최적화된 솔루션이다.

◇비대면 발급시스템 지원으로 보안성과 편의성 동시 해결
특히, 뉴노멀 시대에 맞춘 비대면 발급서비스를 2018년부터 런칭해 기존 발급절차의 불편함을 해결함으로써 사용자의 편리함과 업무연속성을 높였으며, 관리자의 업무시간 및 부하를 줄여 고객사의 큰 호응을 받고 있다. 국내를 포함한 전세계 130여개국의 임직원 및 현지직원 사용사례는 우수한 시스템 안정성을 보여주는 단적인 예라고 할 수 있다.

한편, 미래테크놀로지는 국내 최초로 자체기술을 이용한 OTP 인증서버와 단말기를 출시했고, 끊임없이 인증제품 개발을 통해 인증보안 분야의 선두기업으로 자리매김하고 있다. 국민은행, 신한은행, 농협, 기업은행, 우리은행 외 대부분의 금융기관을 고객사로 확보하고 있다. 이러한 고객층과 기술력을 바탕으로 LG전자, 현대백화점그룹, 신세계그룹 등 국내외 800여개의 고객사를 보유한 인증보안기업으로서 제품 공급을 확대해 나가고 있는 코스닥 상장기업이다.

최근 보유하고 있는 인증기술을 기반으로 개발한 IoT 보안플랫폼인 SecuAnyIoT Platform을 출시했다. 스마트시티, 스마트홈, 스마트팩토리, 커넥티드자동차 등 다양한 IoT 분야에 특화된 보안서비스를 제공하며, FIDO/OTC 기술 등 최신 인증 기술로 보안성, 적용성, 경량화로 저사양 리소스의 IoT 기기에 적용 가능하다. 또한, 한국인터넷진흥원(KISA)의 IoT 보안 가이드라인을 준수했으며, 현재 H건설사 수원 장안 A단지에 스마트홈 보안플랫폼 구축사업을 진행 중이다.

[자료=미래테크놀로지]


[주요 MFA 솔루션 기업 3. 한국보안인증]
한국보안인증, 안전하고 편리한 보안인증플랫폼 ‘OKey ACCESS’
EMR 인증제 표준 전자서명솔루션 ‘OKey MEDICAL’ 등 소개


한국보안인증이 제공하는 오키 엑세스(OKey ACCESS)는 멀티팩터 보안인증플랫폼으로, OTP, FIDO, PKI인증, 스캔 등 다양한 인증방식을 제공하는, 편리하고 강력한 보안인증플랫폼이다. 오키 메디컬(OKey MEDICAL)은 의료기관 전자의무기록 법적 효력 확보와 스마트 헬스케어 보안인증을 위한 EMR 인증제용 전자서명 솔루션으로, EMR, 헬스케어, 전자처방전, 건강검진, 동의서, 비대면 원격진료 등에 활용할 수 있다.

[자료=한국보안인증]


[자료=한국보안인증]


[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)