[디지털데일리 이민형기자] 국내 공공기관과 기업들이 멀티팩터 인증(Multi-Factor Authentication)에 관심을 보이고 있다. 금융권 사용자단에서 적용됐던 시스템이 거꾸로 엔터프라이즈 시장으로 번지고 있는 상황이다.
지난 3.20 전산망해킹을 비롯한 각종 해킹사고가 관리자 계정 탈취로 그 피해가 일파만파로 커진 것을 고려할 때 바람직한 방향이라고 보안업계 현업인들은 입을 모은다.
먼저 최근 2단계 인증 시스템을 구축한 기업들의 사례를 살펴보자.
#1.H은행은 3.20 전산망 해킹 이후 시스템접근에만 사용했던 모바일 일회성비밀번호(OTP)를 전사적으로 확대했다. 모든 PC와 보안시스템, 관리자페이지, 웹서비스 등에도 이를 적용하고 있다.
H은행이 2단계 인증 시스템을 구축하게 된 이유는 아이디, 비밀번호 관리가 생각보다 난해하며, 해킹기술의 고도화로 아이디, 비밀번호 유출사례가 증가했기 때문이다. 이에 따라 반드시 본인의 조작으로 랜덤한 키 값을 받을 수 있는 OTP를 전사적으로 도입하게 됐다.
#2.S시는 기관내 그룹웨어에 접속할 때 아이디와 비밀번호이외에 모바일 OTP를 사용하도록 강제하고, 더 나아가 시민들의 개인정보나 기밀정보에 접근할 때도 OTP를 입력하도록 시스템을 구축했다. 이는 잠깐 자리를 비운 사이에 비인가자가 중요 데이터를 열람하거나 절취하는 사례가 많이 보고됐기 때문이다.
특히 전자결재 체계를 구축하면서 대리 결재 등의 문제가 발생하자 이를 시스템적으로 차단하기 위한 조치라고 시 관계자는 전했다.
소개한 사례는 엔터프라이즈 시장에 적용된 일부의 사례다. 이미 포털, 게임업계는 전체 업체의 9할 이상이 2단계 인증을 지원하고 있다. NHN, 다음커뮤니케이션, 넥슨, 엔씨소프트, 블리자드엔터테인먼트코리아 등 콘텐츠를 소비하기 위해 금전전인 요소가 들어가는 서비스에는 모두 탑재됐다.
금융권에서도 2단계 인증이 법제화돼 있어 인터넷뱅킹 사용자들은 보안카드, OTP생성기 등을 오래전부터 사용해왔다.
지금 상황에서 2단계 인증 등 멀티팩터 인증이 다시 수면위로 떠오른 이유는 무엇일까. 권창훈 세이퍼존 대표는 이 질문에 대한 답변으로 ‘복잡성’을 꼽았다.
권 대표는 “요새 해커들은 서비스 로그인에 사용되는 아이디와 비밀번호를 금방 탈취할 수 있다. 키로깅, 패킷 스니핑 등 우리가 상상하지 못했던 방법으로 정형화된 정보를 빼간다”며 “여기에 대응하기 위해서는 2단계 인증, 3단계 인증 등 인증의 수단을 다양화 하는 방법이 필요하다. OTP를 비롯해 보안토큰, 생체정보 등이 여기에 해당된다”고 강조했다.
이어 “OTP는 이제 일반적인 2단계 인증 수단이며, 앞으로는 보안토큰의 수단이 오게 될 것”이라고 덧붙였다.
보안토큰은 전자 서명 생성 키 등 비밀 정보를 안전하게 저장 및 보관할 수 있도록 설계됐다. 또 기기 내부에 프로세스 및 암호 연산 장치가 있어 전자 서명 키 생성, 전자 서명 생성 및 검증 등이 가능한 하드웨어 장치로 HSM(Hardware Security Module)으로 불린다.
기기 내부에 저장된 전자 서명 생성 키 등 비밀 정보는 장치 외부로 복사 또는 재생성되지 않기 때문에 인증서 등을 보관하면 비밀번호를 분실하지 않는 한 매우 안전하다.
과거 보안토큰은 지원하는 운영체제가 많지 않고 난해한 사용법, 비싼 가격 등으로 대중의 인지도를 얻지 못했으나, 가격이 1만원대로 낮아졌고, 최근에는 NFC(근거리무선통신)을 지원하는 보안토큰이 출시되는 등 편의성도 높아지고 있다.
홍형탁 미래테크놀로지 과장은 “기업에서 스마트폰을 활용해 손쉽게 사용할 수 있는 보안토큰을 많이 찾고 있다. 모바일 앱 기반 OTP는 해시알고리즘 등이 모두 앱이 들어있어 일부 기업들은 사용을 꺼린다”며 “NFC카드 형태의 보안토큰은 스마트폰에서 편하게 사용할 수 있을 뿐더러, 등록된 기기와만 연동되므로 안전한 사용이 가능하다”고 말했다.
해킹을 원천적으로 차단할 수 있는 기술이 나오지 않는 한, 멀티팩터 인증 방식은 앞으로도 인기를 끌 것으로 기대된다.